公司治理的三道防線理論：沿革與探微

【摘 要】 三道防線理論由FERMA和ECIIA提出，得到IIA的推薦，被COSO報告引入，并得到廣泛運用。三道防線理論從風險管理和內部控制視角揭示了公司治理系統的構成與運行機制，闡明了治理層領導下的審計委員會和內部審計部門（第三道防線）、風險管理委員會和風險管理部門（第二道防線），以及職能部門和業務單位（第一道防線）之間的職責劃分與協調有序運行方式。在三道防線理論尚未得到公司治理理論界應有關注的情況下，梳理其發展演進過程，探討其本質、構成和運行機制，有利于推動相關理論研究和實務探討。

【關鍵詞】 三道防線； 公司治理； 風險管理； 內部控制

【中圖分類號】 F230；F270 【文獻標識碼】 A 【文章編號】 1004-5937（2024）23-0002-09

一、引言

如果把公司治理研究看成一張拼圖，那么這張拼圖的最后一塊就是三道防線理論。只不過因為它是由實務界出于遵循公司法的需要而提出的，并沒有引起公司治理理論界足夠的重視。公司治理研究已經涵蓋治理模式、結構、機制和效應等方面，并充分考慮了政治、經濟、文化、技術、法律、歷史等諸多因素的影響[ 1-3 ]。但這些研究偏重高層管理，忽視了高層管理影響中低層管理的傳導機制，沒有揭示高中低層管理之間的有序運行方式，而三道防線理論正好解決了這一問題。三道防線理論雖然在公司治理研究中受到冷遇，但在風險管理和內部控制領域卻得到熱捧[ 4-7 ]。那么，如何認識三道防線理論？公司治理、風險管理和內部控制是何關系？三道防線具體如何運行？這些成為值得討論的問題，有必要通過全面梳理三道防線理論的發展演進過程，深入分析三道防線的本質、構成和運行機制，為推動三道防線理論的研究與實踐拋磚引玉。

二、三道防線理論的提出和發展

三道防線理論由歐洲風險管理協會聯合會（FERMA）和歐洲內部審計協會聯合會（ECIIA）于2010年聯合發布的立場公告（Position Paper）中提出，并自2011年以來不斷做出補充和解釋。

（一）緣起

FERMA和ECIIA提出三道防線理論旨在為歐盟各國公司董事會，尤其是審計委員會，遵循修訂后的《歐盟第8號kuCo10EgOd9StGG8d1J2yfuScyUarn5MycF2JoR2T7k=公司法指令》提供指南[ 8 ]。①

2006年5月17日，《歐盟第8號公司法指令》修訂案正式通過，以取代1984年4月10日頒布的舊指令，并要求各成員國自2008年6月起到2010年底完成對國內法的修訂。《歐盟第8號公司法指令》（以下簡稱新指令）是歐盟規范各成員國上市公司法定外部審計的一個指令。舊指令僅針對法定審計師的執業資格，如學歷、理論知識、免考條件、實習、繼續教育、注冊等做出規定；而新指令幾乎涵蓋法定審計師行業監管的全部內容，包括執業資格、職業道德、審計標準和審計報告、質量保證體系、調查和處罰、公眾監督和成員國之間的監管安排、法定審計師聘任與解聘、公眾利益主體（主要指上市公司）法定審計的特殊條款等[ 9 ]。這是歐盟為應對2003年荷蘭阿霍德公司和意大利帕瑪拉特公司財務丑聞案而做出的反應，以加強公司治理，增強社會公眾對歐盟法定審計制度的信任。

新指令第41條“公眾利益主體法定審計的特殊條款”第2b款（第41-2b條款）規定，公眾利益主體應設立審計委員會，審計委員會應監督公司內部控制、內部審計（如適用）和風險管理系統的有效性[ 10 ]。但是，各成員國將該款規定轉換為國內法時遇到了困難，對審計委員會的設立和職責認識不清，雖新指令的轉換工作提前于2010年9月完成，但是，第41-2b條款是其中最后完成轉換的條款。

（二）三道防線理論的提出

2010年9月21日，FERMA和ECIIA聯合發布立場公告《董事會和審計委員會執行第8號公司法指令第41-2b條款指南》（《指南I》），為董事會和審計委員會對公司內部控制、內部審計和風險管理系統的有效性進行監督提供指南。在《指南I》中，FERMA和ECIIA提出了三道防線理論[ 11 ]。

第一道防線是運營管理部門（Operational Management）和內部控制（Internal Controls）。運營管理部門的責任是通過采取有效的內部控制措施來評估、控制和降低風險。

第二道防線是風險管理職能部門，含風險管理部門（Risk Management）、合規部門（Compliance）和其他部門（Others）。其中，風險管理部門是指進行風險管理的綜合部門，大型公司一般由首席風險官負責，小型公司由某一高層管理者兼任，負責實施公司風險戰略、提供正式的風險管理框架、培育風險管理文化、推行風險管理術語。合規部門是指在綜合風險管理部門之外設立單獨的合規風險管理部門，以監控公司是否遵循相關法律法規和內部規章制度。其他部門是指一些專項風險管理部門，如健康和安全、供應鏈、環境和質量控制等。這三類風險管理職能部門共同推動和監督運營管理部門實施有效的風險管理措施，幫助定義風險暴露目標，并要求其報告風險管理相關信息。

第三道防線是內部審計部門。采取風險導向方法，獨立確認（Assurance）公司風險管理的有效性，對第一、第二道防線的風險管理工作進行評價。

董事會負責指導和監督。其職責為與高級管理層一起設定公司的風險偏好（Risk Appetite），評價管理層是否針對公司重大風險采取適當的應對措施。

CEO領導下的高級管理層對公司風險和內部控制框架的有效性承擔最終責任。CEO的職責包括：設定高層基調；領導和監督運營管理部門在公司風險偏好下開展風險業務活動；跟蹤環境和風險的變化并相應調整風險偏好。

高層管理者的職責包括：在各自職責范圍內將戰略轉化為經營目標；根據風險偏好設定經營風險容忍度（Risk Tolerances）；識別和評估影響目標達成的風險，并督促采取與風險容忍度一致的風險應對措施。

另外，外部審計可視為第四道防線。主要就公司財務報告的真實性和公允性向投資者、董事會和高級管理層提供確認，而公司戰略、經營和合規風險的監督與確認由風險管理和內部審計部門分別負責。

在公司內外四道防線的共同作用下，《歐盟第8號公司法指令》中關于董事會和審計委員會的相關規定可以得到遵照執行。

三道防線理論初步提出后，在2011—2012年間，FERMA和ECIIA又通過發布意見函、立場公告、研究報告等一系列文件對理論的具體運用進行了解釋，其中具有代表性的是2011年12月發布的《高級管理層執行第8號公司法指令第41-2b條款問題解答》（《指南II》）[ 12 ]。

《指南II》主要就公司高級管理層在執行《指南I》時，在風險管理和內部控制系統建設中遇到的一些具有代表性的問題做出解答。《指南II》的主要觀點：其一，厘清了第一道防線的運營管理和內部控制之間的關系，認為內部控制并非與運營管理并列，而是嵌入經營管理和業務活動之中。其二，細化了高級管理層風險評估的時間和報告要求，要求每年至少對公司的重大風險進行一次評估，對內部控制、內部審計方案進行一次評價，每季度要對上報的關鍵流程運行報告和審計報告進行核實，發現重大缺陷和風險環境的變化要及時向董事會報告。其三，提出可以將風險管理、道德和合規、內部控制和內部審計合并，成立一個“公司治理部門”，這為不少企業設立“四位一體”乃至“多位一體”的風險管理部門提供了依據，但這一做法會影響內部審計的獨立性。其四，要求內部審計向首席財務官報告，但這會影響內部審計的獨立性。

（三）三道防線理論的發展

隨著監管環境和公司治理法規的變化，FERMA和ECIIA單獨或聯合起來通過發布解釋文件、立場公告、研究報告等形式進一步解釋和完善了三道防線理論。

1.厘清風險委員會與審計委員會的職責分工

2008年以來的全球金融危機引發了歐盟各成員國一系列的監管反應和對歐洲金融市場進行持續監管的要求。歐盟委員會和各成員國都希望對《歐盟第8號公司法指令》再次做出修訂，以增強外部審計師的獨立性和財務報告審計質量。

2014年4月3日，歐洲議會通過了修訂后的指令。該指令第39條6c款中明確指出，審計委員會應當監督企業內部質量控制和風險管理系統的有效性，以及在適用且不影響其獨立性的情況下，監督對需經法定審計的財務報告進行內部審計的有效性[ 13 ]。FERMA和ECIIA認為，這一表述增加了審計委員會對財務報告過程的職責范圍，強調了法定審計的重要性。同時，還可能意味著要引入風險委員會[ 14 ]。2013年12月，國際綜合報告委員會（IIRC）發布《國際綜合報告框架》，旨在促成一種更連貫更有效的公司報告方法，以更好地反映公司持續的價值創造能力和受托責任的履行情況，為利益相關方提供注重戰略和面向未來的高質量信息。2014年4月15日，歐洲議會發布第2013/34號指令修正案，要求大型公眾公司披露非財務報告信息，向利益相關者傳遞價值創造和發展的可持續性。歐洲理事會也于2014年9月29日發布《非財務報告指令》。

鑒于此，FERMA和ECIIA于2014年10月發布《審計和風險委員會：歐盟立法與最佳實踐資訊》，為歐盟各成員國的董事會成員，尤其是審計和風險委員會的成員遵循新指令做出解釋[ 14 ]。該解釋文件的主要內容包括：

其一，按照三道防線理論開展風險管理和內部控制工作仍是遵循新的監管要求的最有效方式。

其二，審計委員會應協助董事會履行公司治理職責。包括：對公司結構、控制、交易類型、商業模式及相關風險具有良好理解；與外部審計師、內部審計師、第二道防線和公司管理層保持自由、公開的溝通；有權利和責任調查任何事項，不受限制地接觸記錄、公司運營和人員。

其三，金融機構應該單獨設立風險委員會，其他組織可根據規模、業務的復雜程度自主決定。

其四，審計委員會和風險委員會的職責和區別。職責包括：評價風險管理系統；監督首席風險官或類似風險管理負責人的工作；監督外部審計的工作；協調兩個委員會之間的關系；每年報告組織風險管理的效率和效果；每年以最佳實踐為參考，審查兩個委員會的表現和職責范圍，以確定其是否有效運作；監督財務報告編制過程和財務報告的公正性；評價內部控制和風險管理系統的有效性；評價和鑒定審計活動的獨立性、客觀性和有效性；監督內部審計部門。區別主要體現：審計委員會主要監督與財務報告相關的風險，監督財務報告內部控制的有效性，評價外部審計師的工作，監督法律和道德的遵循性；而風險委員會主要監督與非財務報告相關的風險，如戰略風險、經營風險等。

可以看出，這份解釋文件更多強調了風險委員會的設立，以及風險委員會和審計委員會的職責分工。

2.三道防線理論運用于非財務報告管理

2015年3月，為應對《非財務報告指令》給內部審計帶來的挑戰和機遇，ECIIA發布立場公告《非財務報告：建立對內部審計的信任》[ 15 ]。該立場公告最大的亮點是將三道防線理論運用于對非財務報告風險的治理和控制，并提出綜合管理、報告和確認的觀點。

其一，按照三道防線區分不同職能部門在非財務報告管理中的作用，結合非財務信息所包括的主要領域有經濟、社會和環境信息。公告指出：第一道防線是運營管理，對非財務報告管理負有受托責任；第二道防線是風險管理、財務控制、合規等類似職能部門，促進和監督運營管理部門實施有效的非財務報告管理，協助業務單位向公司報告有關重要信息；第三道防線是內部審計部門，提供獨立確認，非財務報告確認是一個新興領域，對內部審計人員的技能和經驗都帶來挑戰，可考慮使用專家工作、外包某些領域或組建跨專業背景的團隊。治理層應參與界定非財務報告管理的關鍵要素，如非財務報告需要的確認水平、非財務信息的重要性水平、需要溝通的信息類型（如戰略信息）、收集信息時采用的框架等。

其二，公司應該針對財務報告與非財務報告建立和實施綜合管理、綜合報告和綜合確認。在確認中，治理層、內部確認人員（內部審計、風險管理）和外部確認者之間要加強協調，各方要協調定義標準、提供指南、統一風險觀念、確定治理層需要的確認水平，并對綜合報告進行確認。

該立場公告提出的觀點對企業ESG管理具有借鑒意義。

3.三道防線理論運用于網絡風險治理

2017年6月29日，FERMA和ECIIA以其2014年發布的《審計和風險委員會：歐盟立法與最佳實踐資訊》和經合組織（OECD）于2015年發布的《面向經濟社會繁榮的數字安全風險管理》為依據，制定了《網絡風險治理報告》，基于三道防線理論，構建了網絡風險治理和管理框架[ 16 ]。主要內容包括：

其一，第一道防線負責實施網絡風險管理政策和標準，并對網絡和基礎設施進行日常監督。承擔風險管理和控制的主要職能部門和崗位包括IT部門、人力資源部門、首席數據官和運營/業務單位。

其二，第二道防線負責執行與網絡安全有關的主要治理職能，由首席信息安全官領導，風險管理、財務控制、合規管理、數據保護等部門協調配合，確定由第一道防線執行的政策、標準和技術配置標準。第二道防線負責評估與網絡安全有關的風險和風險暴露程度，確保其與組織的風險偏好一致，監督新出現的風險和法律法規的變化，并與第一道防線協作，以確保適當的控制設計和實施。

其三，在風險委員會下設立“網絡風險治理小組”作為執行機構，在組織整體層面協調處理跨部門的網絡風險治理活動。由風險經理任組長，負責領導識別、評估、量化和緩釋網絡風險，并與組織全面風險管理工作銜接，在程序、系統、流程和培訓方面提供協助。

其四，第三道防線的內部審計部門負責對第一、二道防線進行獨立客觀的確認，以合理保證其按照設計的職能有效運行，并監督組織整體信息安全計劃的連貫性和一致性。審計部門每年至少一次對該計劃的運行狀況進行健康檢查，并向董事會報告。

其五，明確風險經理和內部審計師之間的關系。內部審計單獨開展的活動包括：獨立評價網絡控制和網絡風險計劃，并向審計委員會報告控制缺陷；獨立評價組織的網絡安全文化；獨立評價法規的遵循性；獨立評價危機管理計劃的流程；提出改善網絡控制環境的建議。風險經理單獨開展的活動包括：監督網絡風險管理工作的實施；在第一、二道防線建立實施網絡風險管理工作的控制措施；識別和量化網絡風險暴露程度（通過壓力測試和情景測試）；擔任網絡風險治理小組的組長；協調向董事會報告網絡風險暴露和緩釋計劃（含保險）。二者都可以開展的工作：交流網絡風險暴露和網絡風險管理的有效性；確保控制機制的可審計性；向審計委員會報告網絡安全問題并提出建議；建立網絡風險確認圖。

FERMA和ECIIA以網絡風險治理和管理為例，詳細展示了三道防線理論的構成及其運行，提出了設立“網絡風險治理小組”統籌協調三道防線運行的思路，體現了最新研究成果。

三、IIA和COSO的推薦與倡導

國際內部審計師協會（IIA）和美國反虛假財務報告委員會的發起組織委員會（COSO）都是在世界范圍內具有廣泛影響的機構，其推薦和倡導對三道防線理論的公信力和廣泛傳播產生了深遠影響。

（一）IIA推薦和修訂三道防線理論

1.IIA推薦使用三道防線理論

2013年1月，IIA發布立場公告《有效風險管理和控制的三道防線》，向各國內部審計協會和內部審計師推薦使用三道防線理論。IIA的立場公告雖源于FERMA和ECIIA的指南，但提出了一些新觀點[ 6 ]。

其一，側重強調了風險管理和內部控制在公司治理中的重要性，將立場公告命名為《有效風險管理和控制的三道防線》，并指出三道防線理論適用于任何規模和復雜程度的組織。

其二，明確指出COSO風險管理框架雖然可以有效識別必須加以控制的風險，但是沒有指出組織該如何分配和協調風險管理的具體職責，而三道防線理論提供了一種簡單有效的方法，并對三道防線職責分工提出了更具操作性的建議。對于第一道防線，指出要采用分級責任結構來執行內部政策和程序，中層管理人員負責設計和實施詳細程序，控制和監督其員工執行這些程序。對于第二道防線，指出其職責具體包括：提供配套管理政策，定義角色和職責，并設定執行的目標；提供風險管理框架，識別已知和新出現的問題以及組織中的隱性風險偏好的變化；協助管理層開發管理風險和問題的程序與控制，就風險管理過程提供指導和培訓；通過運營管理推動和監控有效的風險管理實務的實施；提示運營管理中出現的問題及變化中的監管和風險情況；監測和報告控制的有效性與充分性，并及時修復缺陷。對于第三道防線，指出內部審計的確認要做到全面覆蓋。具體包括：風險管理各類目標的實現情況；風險管理和內部控制的全部要素（單位整體、分部、子公司，業務單位和職能部門），以及支持職能部門（如收支會計、人力資源、采購、發放工資、預算、基礎設施與資產管理、庫存和信息技術等）。

其三，強調了內部審計的獨立性。第二道防線負責監督和促進有效的風險管理實務，可以直接介入內部控制和風險管理系統的開發與修改，向管理層報告，具有有限的獨立性。第三道防線的內部審計具有較強的獨立性和客觀性，直接向治理層報告。對于一些小型組織而言，第二、三道防線可以合并運作，但是治理層和高級管理層要知曉這一合并對內部審計獨立性帶來的影響。

2.IIA將三道防線理論發展為三線理論

2020年7月，IIA發布《三線模型——新版三道防線理論》[ 7 ]。與原三道防線理論相比，新理論有以下改進：

其一，采用三線理論的新提法，指出三線理論不僅用于防范可能帶來損失的風險，而且要在實現組織目標、創造和保護價值方面發揮作用。

其二，采用原則導向的方法，提出了三條線職責分工的六條原則。

其三，強調了第三線的獨立性。明確指出第三線的內部審計不需要向管理層報告，而是直接對組織治理機構負責。治理機構履行以下職責確保內部審計部門的獨立性：任免首席審計官；接受首席審計官匯報；審批審計計劃并提供資源；檢查首席審計官的報告；保證首席審計官能夠不受限制地接觸治理機構，包括提供沒有管理層出席的單獨對話機會。

其四，強調三條線協調運行的目標導向性。指出三條線的所有活動都必須與組織目標保持一致，要定期進行有效的協調、合作和溝通。

（二）COSO引入三道防線理論

2013年5月，COSO發布修訂版的《內部控制——整合框架》，在新版報告中引入了三道防線理論[ 5 ]。COSO報告的主要貢獻與不足：

其一，擴大了三道防線理論的影響。COSO內部控制框架是世界范圍內廣泛認同的建設內部控制系統的標準框架，在該框架中引入三道防線理論，有利于其廣泛傳播。

其二，從職能與薪酬的關系對三道防線進行了詮釋。一線員工及其管理者構成第一道防線，其薪酬取決于目標實現的程度。業務支持部門，如風險、控制、法律以及合規部門等，構成第二道防線，其薪酬不直接與業務績效掛鉤。內部審計師提供了第三道防線，其崗位和薪酬獨立且區別于所監督的業務領域。

其三，討論了公司治理、風險管理和內部控制之間的關系。COSO用一個圖示展示了三者之間的關系，認為公司治理涵蓋風險管理，風險管理涵蓋內部控制，但在FERMA和ECIIA已經探討三者之間融合的情況下，COSO的觀點值得商榷。

2017年，COSO發布《企業風險管理——整合戰略與執行》，該報告是COSO于2004年發布《企業風險管理——整合框架》的修訂版[ 4 ]。該報告中也引入了三道防線理論，但在表述上用的是“受托責任線模型（The lines of accountability model）”，在內容上強調風險管理的戰略導向性。第一道防線負責實施日常工作來管理績效和風險，以實現戰略和經營目標。第二道防線負責監督績效和風險管理。第三道防線的內部審計部門對組織風險管理實踐進行獨立的績效審計和評價。

以上對三道防線理論的發展演進過程進行了全面梳理，為進一步探討提供了基礎。

四、三道防線理論中值得進一步探討的問題

雖然三道防線理論已經日漸成熟并得到廣泛運用，但仍存在一些值得探討的問題。

（一）如何理解公司治理、風險管理與內部控制的關系

三道防線理論的提出，是側重強調風險管理的FERMA與側重強調內部控制和內部審計的ECIIA聯手，為董事會下設的審計委員會和風險委員會在公司治理中的職責劃分與作用發揮進行頂層設計的產物，這自然會涉及如何理解公司治理、風險管理與內部控制之間的關系。

FERMA和ECIIA并沒有專門討論三者之間的關系，但在行文中對三者之間的關系做了融合性理解，認為按照三道防線運行就可遵循公司治理、風險管理和內部控制相關法令與監管要求[ 11-12 ]。

IIA的觀點與FERMA和ECIIA的觀點大體相同。IIA于2013年發布立場公告《有效風險管理和控制的三道防線》時，立場公告的標題就體現了風險管理和內部控制的融合[ 6 ]。

COSO于1992年和2004年分別發布《內部控制——整合框架》[ 17 ]和《企業風險管理——整合框架》[ 18 ]。COSO認為，風險管理涵蓋內部控制，風險管理框架和內部控制框架應該并行[ 18 ]。2013年，COSO發布修訂版的內部控制框架，用一個三環相套的圖示指出，公司治理涵蓋風險管理，風險管理涵蓋內部控制[ 5 ]。2017年，COSO發布修訂版的風險管理框架，重申了這一觀點[ 4 ]。

受COSO影響，我國分別制定了風險管理、內部控制和公司治理規范。2008年，五部委制定《企業內部控制基本規范》，要求企業按照COSO五要素框架建設內部控制系統。2006年，國資委發布《中央企業全面風險管理指引》，要求中央國有企業建設全面風險管理系統。2019年底，國資委發布《關于加強中央企業內部控制體系建設與監督工作的實施意見》，指出風險管理和內部控制要整合實施。我國銀保監會也分別發布內部控制規范和風險管理指引，銀保監會和證監會還分別制定了《銀行保險機構公司治理準則》和《上市公司治理準則》，這不可避免地出現了公司治理、風險管理和內部控制重復建設、重復監管的問題，只有認識到管理與控制融為一體，才能根本解決這一問題。

企業只可能有一個整體系統，而不可能存在多個系統。對系統的稱呼不同，只是因為視角不同。首先，任何企業都是在應對內外各種風險因素的過程中生存與發展的。企業為了實現特定目標，需要識別、評估和應對風險，所以企業管理就是風險管理。其次，企業為應對風險所采取的措施，就是控制措施。企業有可能出于成本效益考慮，對識別的風險不采取應對措施，但是只要采取了措施，就是控制措施，除控制措施之外，在企業管理中不存在其他措施，所以企業管理就是內部控制。最后，在企業管理中，如果強調不同利益主體的權責利關系，企業管理可稱為公司治理。以上表明，企業管理、公司治理、風險管理和內部控制具有內在一致性，可通過三道防線一體化整合實施[ 19 ]。

（二）如何認識三道防線理論

三道防線是一個形象化的表述。那么，如何認識三道防線理論？COSO認為三道防線理論只是解決了風險管理和內部控制系統中的職責分工問題，只能運用于控制環境中的“組織架構、權力與責任”部分。風險管理和內部控制系統要按照五要素或八要素分門別類地建設[ 5 ]。而FERMA和ECIIA指出三道防線理論對建立結構清晰的公司治理系統至關重要，并試圖將COSO的風險管理和內部控制框架融入三道防線理論之中[ 11-12，14 ]。那么，按照COSO框架能否構建內部控制或風險管理系統，三道防線理論有何貢獻與不足？

COSO以為按照五要素或八要素可建設內部控制系統或風險管理系統，并且這兩個系統可按照五要素或八要素運行，但事實上COSO陷入了認識誤區。

不妨以COSO于2004年提出的八要素框架（內部環境、目標設定、事項識別、風險評估、風險應對、信息與溝通、控制活動、監督活動）為例進行解釋。八要素的運行方式：在建立內部環境的基礎上，通過信息與溝通，識別影響企業目標實現的風險事項進行風險評估，并提出應對風險的控制活動，最后對整個過程進行監督[ 18 ]。可以看出，八要素是作為一個整體來運行的，并形成一套方法，這套方法運行的結果是提出了應對風險的控制活動和監督活動。而內部環境（或稱控制環境）也是企業識別和評估風險后建立起來的控制活動。所以，雖然控制環境、控制活動、監督活動的名稱不同，但都是通過搜集信息、評估風險后制定和執行的控制措施。那么，COSO八要素的運行可以簡化為通過搜集和溝通信息，識別和評估風險，制定和執行控制活動（含控制環境和監督活動），這就更清晰地顯示出COSO八要素框架實質上是一套方法[ 19 ]。同時，簡化后的八要素變成了五要素，而五要素正是COSO內部控制框架的要素。這也表明，風險管理框架和內部控制框架不存在誰包含誰的問題，無論是八要素還是五要素都是一套方法，不能據此構建風險管理系統和內部控制系統。如果這樣，COSO便既沒有構建起風險管理系統和內部控制系統，也沒有解決系統的運行問題。

那么，風險管理系統、內部控制系統或稱公司治理系統（統稱公司治理系統）如何構建？如何運行？簡言之，將流程排列組合起來構建公司治理系統，按照三道防線運行。

企業針對業務活動、財務活動及其相應的管理活動，在識別、評估風險后會采取一系列的控制活動（含控制環境、監督活動），這些活動會按照流程排列組合起來，由此在企業管理中出現了戰略、文化、人事、組織結構、權責劃分、ESG、預算、采購、生產、銷售、存貨、固定資產、研發、投資、融資、營運資金、信息系統、內部審計等不同流程。公司治理系統的構建要考慮：為應對風險、實現目標，企業究竟需要哪些流程？單個流程的運行如何更有效？流程與流程之間如何排列組合才能取得競爭優勢？

將流程排列組合起來構建的公司治理系統可分為兩個層面，即公司層面控制（戰略、文化、人事、組織結構、權責劃分、ESG、預算、信息系統、內部審計等）和業務層面控制（采購、生產、銷售、存貨、固定資產、研發、投資、融資、營運資金等）。那么，公司治理系統的協調有序運行就要處理好公司層面內部的控制流程之間、業務層面內部的控制流程之間及其兩個層面相互之間的關系。

三道防線理論的貢獻在于從風險管理和內部控制視角，闡明了公司層面控制中的董事會下屬審計委員會和風險委員會之間的職責分工和發揮作用的方式，以及公司層面控制中的高層管理通過審計委員會及其內部審計部門、風險管理委員會及其風險管理部門，監督和指導中低層管理和基層員工開展業務活動及財務活動的傳導機制與協調有序運行方式，而這正是現行公司治理理論忽視之處。

三道防線理論的不足在于，三道防線理論雖然將職能部門和業務單位的運營活動作為第一道防線，但只能算是存而不論，沒有明確第一道防線在開展運營管理時職能部門和業務單位的具體職責，也沒有針對具體的業務流程，如采購、生產、銷售等，指出流程優化和再造方式，以及流程之間協調運行方式。當然，指出三道防線理論的不足，只能算是求全責備。FERMA和ECIIA提出三道防線理論的初衷在于為歐盟各國公司董事會，尤其是審計委員會，遵循修訂后的《歐盟第8號公司法指令》提供指南。隨著監管環境的變化，逐步開始強調第二道防線的風險委員會和風險管理職能部門的作用。這就說明，三道防線理論的提出并非為了解決第一道防線中職能部門和業務單位的運行問題，而是重在解釋第二、三道防線在公司治理中發揮作用的方式。因此，三道防線理論僅從一個有限的范圍探討了公司治理系統的構成和運行機制。

（三）如何認識綜合風險管理部門

FERMA和ECIIA于2010年在《指南I》中提出三道防線理論時，建議設立綜合風險管理部門，并區分了該部門與合規部門、其他風險管理部門（如健康和安全、供應鏈、環境和質量控制等）的職責[ 11 ]。2011年，FERMA和ECIIA在《指南II》中建議可以將風險管理、道德和合規、內部控制和內部審計合并，成立一個“公司治理部門”[ 12 ]。而IIA在2013年和2020年分別發布《有效風險管理和控制的三道防線》及其修訂版時，則強調了內部審計的獨立性，認為只有較小型公司才能將內部審計部門與風險管理部門合并[ 6-7 ]。那么，企業是否需要設立綜合風險管理部門，有何職能，與內部控制部門是何關系，可否設立多位一體的風險管理部門？

1.綜合風險管理部門的設立和職能

企業大多分業務板塊和職能條線進行管理，并針對健康、安全、環境、信用、合規、供應鏈、質量、財務等一個或幾個高風險領域設立專項風險管理部門，但較少設立綜合風險管理部門，只有行政事業單位、國有企業、金融機構、部分上市公司等迫于監管壓力才會設立。

對于中小企業而言，由于業務相對單一，在特定地域范圍內經營，控制鏈條較短、幅度較寬，管理層更多地參與到運營活動中，更容易獲取風險信息并及時采取應對措施，風險能夠得到緩釋，所以可不設立綜合風險管理部門。但是，對于大型組織，尤其是上市公司而言，卻有必要設立綜合風險管理部門作為風險管理委員會的日常工作機構，從組織機構層面保證風險管理工作的有效開展。具體職責如下：（1）培育和宣貫風險管理文化。（2）協助董事會制定風險管理愿景和戰略，設定風險管理目標，確定風險偏好和風險容忍度，制定年度風險管理（內部控制）工作計劃，并組織實施。（3）構建風險管理（內部控制）總體框架，制定全面風險管理制度體系（內部控制體系），推行規范的風險管理術語，推動流程再造和制度文件的定期修訂。（4）統籌規劃三道防線的運行，協調各專項風險管理部門的工作，推動和監控有效的風險管理實務在運營管理中實施，處理好與內部審計部門之間的關系。（5）建立風險識別和評估模型，定期組織風險評估工作。（6）建立各類指標體系，設立關鍵風險預警指標并及時預警。（7）建立風險報告制度（含快報、月報、季報、半年報和年報）。（8）制定風險管理評價辦法，并組織實施。每季度或半年組織一次，在第一道防線自評的基礎上進行抽評，對發現的問題進行跟蹤整改。（9）協助內部審計部門開展年度風險管理（內部控制）評價工作。（10）提供風險管理工作指導和培訓[ 6，11-12 ]。

2.綜合風險管理部門和綜合內部控制部門的關系

風險管理就是內部控制，所以綜合風險管理部門也可稱為綜合內部控制部門。

從國有企業來看，國有企業從要求設立綜合風險管理部門發展為設立綜合內部控制部門。2006年，國資委發布《中央企業全面風險管理指引》，要求設立風險管理委員會領導下的風險管理部門。2019年，國資委先后發布《關于加強中央企業內部控制體系建設與監督工作的實施意見》和《關于做好2020年中央企業內部控制體系建設與監督工作有關事項的通知》，要求各中央企業以強內控、防風險、促合規為目標，進一步整合優化內控、風險管理和合規管理監督工作，按一體化要求編制2019年度內控體系工作報告，不再分別報送《中央企業內部控制評價報告》和《中央企業年度風險管理報告》。負責內控體系一體化建設的機構稱為“內控體系職能部門或機構”。可見，國資委也認識到管理與控制是融合的，并從側重強調風險管理，發展為要求風險管理、內部控制、合規管理一體化建設[ 20 ]。

我國上市公司要求設立的綜合管理部門稱為內控合規部。以《國務院關于進一步提高上市公司質量的意見》為據，上海市和深圳市先后發布《關于推動提高上海上市公司質量的若干措施》和《深圳市關于進一步提高上市公司質量的實施意見》，明確提出上市公司要設立內控合規部門，加強內控建設。上海市的規定是“增強內部控制有效性，探索試點上市公司按照公司章程規定設立內控合規機構”；深圳市的規定是“引導深圳上市公司完善公司內控機制，規范經營決策行為，指定部門負責內控合規工作”。

我國行政事業單位要求設立的綜合管理部門稱為“內部控制職能部門或牽頭部門”。財政部發布的《行政事業單位內部控制規范（試行）》，要求確定內部控制職能部門或牽頭部門，在單位各部門內部控制建設中建立溝通協調和聯動機制。

可見，我國國有企業、上市公司和行政事業單位要求設立綜合內部控制部門。

3.設立多位一體的風險管理部門

可否如FERMA和ECIIA所述，將綜合風險管理部門、各專項風險管理部門和審計部門合并成立一個多位一體的風險管理部門[ 12 ]？

如IIA所述，規模較小的企業可將二、三兩道防線整合，設立綜合風險管理部門，但要采取措施合理保證內部審計的獨立性，一旦條件成熟要考慮分設風險管理部門和內部審計部門。但是，上市公司、金融機構、大型企業、行政事業單位應單獨設立內部審計部門，保證三道防線協調有序運行[ 6-7 ]。而第二道防線中的綜合風險管理部門和各專項風險管理部門是否整合，可根據企業性質、規模、所處行業、風險的重要程度、監管要求等酌情考慮。譬如，國有企業可按照國資委的要求將風險管理、內部控制與合規管理整合；上市公司可按照滬深兩市規定將內部控制與合規管理整合；在ESG信息強制披露背景下，可在董事會下設ESG委員會，并在綜合風險管理部門之外專設ESG風險管理部門等。●

【參考文獻】

［1］ 陳德球，胡晴.數字經濟時代下的公司治理研究：范式創新與實踐前沿［J］.管理世界，2022（6）：213-240.

［2］ 李維安，張耀偉，鄭敏娜，等.中國上市公司綠色治理及其評價研究［J］.管理世界，2019（5）：126-133，160.

［3］ 李曦輝，陳溫都蘇.域觀范式下的公司治理內涵優化［J］.會計之友，2023（18）：122-129.

［4］ COSO.Enterprise risk management-integrating with strategy and performance ［R］.Committee of Sponsoring Organizations of the Treadway Commission，2017.

［5］ COSO.Internal control-integrated framework（framework and appendices） ［R］.Committee of Sponsoring Organizations of the Treadway Commission，2013.

［6］ IIA.The three lines of defense in effective risk management and control［S］.The Institute of Internal Auditors，2013.

［7］ IIA.The IIA's three lines model-an update of the three lines of defense［S］.The Institute of Internal Auditors，2020.

［8］ 丁丁.歐盟統一的法定審計制度：挑戰與改革［J］.河北法學，2007（12）：168-172.

［9］ 胡勝校.歐盟規范法定審計的重大舉措：頒布施行新的第8號公司法指令［J］.審計月刊，2006（12下）：5-8.

［10］ EU.The 8th European company law directive［S］. European Union，2006.

［11］ FERMA，ECIIA.Guidance for boards and audit committees on the implementation of art 41-2b of the 8th directive［R］.Federation of European Risk Management Associations & European Confederation of Institutes of Internal Auditing，2010.

［12］ FERMA，ECIIA.Guidance on implementing the 8th EU company law directive article 41-2b for Senior management（questions and answers for executive committees）［R］.Federation of European Risk Management Associations & European Confederation of Institutes of Internal Auditing，2011.

［13］ EU.The 8th European company law directive［S］. European Union，2014.

［14］ FERMA，ECIIA.Audit and risk committees：news from EU legislation and best practices ［R］. Federation of European Risk Management Associations & European Confederation of Institutes of Internal Auditing，2014.

［15］ ECIIA.Non-financial reporting：building trust with internal audit［R］.European Confederation of Institutes of Internal Auditing，2015.

［16］ FERMA，ECIIA.Cyber risk governance report［R］.Federation of European Risk Management Associations & European Confederation of Institutes of Internal Auditing，2017.

［17］ COSO.Internal control-integrated framework［R］. Committee of Sponsoring Organizations of the Treadway Commission，1992.

［18］ COSO.Enterprise risk management-integrated framework［R］.Committee of Sponsoring Organizations of the Treadway Commission，2004.

［19］ 白華，胡禮燕.超越COSO：中國內部控制規范體系探索［J］.會計與經濟研究，2020，34（6）：11-31.

［20］ 白華，周松連，李舒瑩，等.國有企業內部控制體系一體化建設的思考［J］.財會通訊，2021（20）：3-9.