“三线一体”内控监测共享模式的构建

|胥霞 朱灵梅

2022年国务院印发《关于中央企业加快建设世界一流财务管理体系的指导意见》明确指出：国有企业应“积极探索依托财务共享实现财务数字化转型的有效路径，推进共享模式、流程和技术创新，从核算共享向多领域共享延伸，从账务集中处理向企业数据中心演进，不断提高共享效率、拓展共享边界”。本文基于国务院推进核算共享向多领域共享延伸，国资委关于风险管理、内部控制、合规管理协同运作的要求，以及新时代信息化和数字化建设的需求，尝试分析和构建“三线一体”内控监测共享模式。通过对我国内部控制监管要求、国际内部审计师协会（IIA）“三线模型”、共享行业实践三方面的综合分析，论述了“三线一体”内控监测共享模式构建的可行性，提出了通过构建基于流程梳理的“三线一体”内控监测模型的大数据平台，促进“三线”职能的沟通、协作，在内控监督的部分共同目标上实现“一体化”统筹规划，避免“三线”职能之间的交叉、重复和空白，减轻一线职能迎检负担，为一线职能提供必要的风险管理支持，赋能一线在风险受控的情况下，更专注于业务的拓展和企业经营效益，从而体现风险控制的价值创造作用。同时该模型也有助于实现内控监督资源的优化配置，促进内控监督在技术层面实现转型发展。

一、“三线”合为“一体”的可能性

我国目前最新的企业内部控制框架为财政部、证监会、审计署、银监会、保监会于2008年联合发布的《企业内部控制基本规范》，以及2010年发布的《企业内部控制配套指引》。美国最新的内部控制框架有两个：一个是COSO于2013年5月发布的《内部控制——整合框架（2013）》及其配套指南；另一个是2017年6月发布的《企业风险管理——整合战略与业绩》，该框架不是取代内部控制框架，而是旨在实现两者之间的互补关系。我国的企业内部控制规范框架体系的五大要素“内部环境、风险评估、控制活动、信息与沟通、内部监督”和美国COSO框架的五大要素“控制环境、风险评估、控制活动、信息和沟通、监督活动”,都体现了内部控制框架中风险和控制活动之间的关系，内部控制活动是针对企业风险采取的控制措施。

本文所设想的“三线一体”模型是在国际内部审计师协会（IIA）2020年发布的“三线模型”基础上构建的。2013年，国际内部审计师协会推出了“三道防线”模型，其本质是按照职能部门对风险管理职责进行划分，经营管理部门是第一道防线，风险管理部门是第二道防线，审计委员会下设的内部审计部门是第三道防线。2020年发布的“三线模型”作为一种风险管理工具，突破了2013年“三道防线模型”仅关注于风险管理方面的局限性，开始着眼于组织的整体治理，强调“协作、沟通、价值创造”，不对三线职能部门进行限定，只对三线职责和能力提出要求。也就是说，“三线模型”不仅强调要防风险，更要创造价值。

在“三线模型”里，第一线和第二线都有风险管理的需要，第一线是直接对风险进行管理，第二线是对风险管理提供专业指导、支持和监测，第一线和第二线的职能可能交织在一起，也有可能分开，由不同的职能部门管理（见表1）。

表1 “三线模型”的基本要义

关于二线职能里的“监督”和三线职能里的“内部审计”之间的关系，从广义上讲，监督是对有助于业务运营体系提升的流程运行情况的评价，审计是指独立于业务运营体系的人员开展的评价。监督和审计目标都是保证运营体系的运行质量，并致力于运营绩效的持续改进，二者在方法论和技术工具基本上是一样的。

我国关于“三道防线”的职能主要在《中央企业全面风险管理指引》中进行了界定，三道防线均具备对风险管理检查的职责（见表2）。

表2 我国“三道防线”的基本要义

从组织运行有效性和效率的角度，不同职能部门如不做好相互协作、保持充分沟通，就易出现工作重复、交叉，给一线职能部门带来过重的风险管理监督负担，导致风险防控过度，价值创造关注不够。“三线”中都有风险管理的需求及共同的监督目标，应与战略目标结合，将业务需求、风险评估、检查标准上一致的要求独立出来进行专业化管理，已具备了实务需求和理论支持的条件。

二、“一体”的内涵

本文将结合共享模式分析，以共享中心作为依托， “三线”共有的与财务相关的内部控制作为“一体”范围，提出构建“三线一体”内部控制监测模型。

1.“一体”的载体——共享中心。

内部控制涉及公司所有业务，范围非常广，需要在企业内部找到一个精通与财务相关的业务、流程、系统的主体，同时还兼备风险管理和内控检查知识的团队，来承载内控监测专业化管理需求。目前财务共享中心已大致具备这些特征。近10年我国央企和集团型企业的内部共享中心发展迅速，并日趋成熟。共享服务模式的运用从财务共享开始，财务逐渐将会计、费用报销、支付等集中到共享中心处理。《会计法》赋予会计机构、会计人员拥有会计监督职能，对业务的原始凭证进行审核，不真实、不合法的原始凭证不予受理；对记载不准确、不完整的原始凭证予以退回。财务共享作为企业的内部单位，对企业在经营、报告、合规方面的制度规定熟悉，逐渐形成了一套会计审核清单，可覆盖公司的所有交易，具备检查内部控制执行有效性的能力。三线职能都拥有对风险管理、内部控制检查的需求，结合财务共享的监督经验，可将与财务相关的内部控制独立出来由共享中心专业运营。此外，共享中心在内部监督方面的支撑作用，在全球共享中心建设中已得到实践检验。普华永道对300余家全球共享中心调研， 2021年发布了《全球商业服务——开启敏捷组织之路》报告，指出31%受访者表示内部审计已经成为共享中心的业务线，10%受访者表示未来内部审计将成为共享中心的业务线， 因此，内部审计也逐渐成为全球共享中心承接的新业务线条。共享中心独立于一线职能的业务操作环节，能同时为一线职能中的管理层、二线职能的风险管理部门、三线职能的内部审计部门提供独立的内控监测结果。共享中心的专业运营能力，成熟的质量管理体系，可保证采用行业最高标准建设，从方法论、操作标准、职业道德等方面保证标准统一、操作规范、质量满意。

2.“一体”的范围——与财务相关的内部控制。在《中国注册会计师审计准则第1501号》对财务报表形成审计意见的指引中，规定对内部控制的了解和评估，并没有限定“与财务报告相关”的目标。内部控制范围非常广，内控目标很多，财务领域与企业各个业务都有关联，被外部监管和资本市场最为看重。美国上市公司会计监管委员会（PCAOB）认定与财务报告相关的内部控制作为发表审计意见的范围，制定了一整套完整的内部控制审计准则，从审计策略、计划、过程、评价等给出了明确指引，都可成为内控监测的参考标准。因此，作为最成熟的共享中心财务领域，可作为本文建议的“一体”监测范围的切入点。此外，从内部控制中明确切分出来一部分执行内控测试，有行业先例可借鉴，具备成熟的方法论、工作标准、职业道德标准。内控监测范围可随着其他职能向共享中心的转移完成，且运行成熟逐步扩大。

3.“一体”的目标——经营、报告、合规。本文构想的“三线一体”模型是以经营、报告、合规为目标的、与财务相关的内部控制。虽然同PCAOB认定的与财务报告相关的内部控制仅“报告”两字之差，内涵却不同：PCAOB的内部控制包括公司收入和支出的原始凭据必须以管理层审批为前提，需要按照会计准则准确、公允反映各类交易进行会计记录，主要还是以财务报告的准确性为目标；本文建议的模型检查标准来自公司的规章制度，这些制度涵盖了经营、报告、合规三个方面，监测目标更全。如应收账款管理，从财务报告角度，主要是评估应收账款可收回性和坏账计提是否充足的问题，但从经营角度，公司制度会规定授信期限的最大值；应付账款管理，从财务报告角度，主要关注虚构交易虚挂负债的情况，但从合规角度，央企还会关注社会责任问题，这些都是在内部监测中需要增加的监测目标。

三、“三线一体”模型的运行模式构建

针对上述以与财务相关的内部控制为范围，共享中心为依托的“一体”，通过对流程关键控制点的检查逻辑建模，在大数据平台抓取实时数据，向各线职能部门推送不同频次的内控监测报告的运行模式（如图1）。

图1 “三线一体”模型的运行模式

1.基于流程建立监测指标。（1）内部控制设计与流程密不可分，流程是内部控制的基础和载体。业务过程一般由政策、流程、系统和表单几部分构成，内部控制建设会从业务梳理开始，明确业务环节，分析业务风险，确定风险点，选择应对策略，确定内部控制措施。（2）内部控制监督与流程密不可分。对与财务相关内部控制的了解，需充分了解流程、操作、系统、风险、内控、制度等基于流程的一体化管理要素，交易发起、审批、执行、记录、报告的自动操作和手工操作的全过程，与交易全过程相关的会计记录、证明材料和财务报表中的具体科目，信息系统如何获取交易之外对财务报表有重大影响的事项和情况及财务报告的出具流程。（3）持续有效的内部控制管理与流程密不可分。通过信息系统优化流程，把内部控制嵌入到流程中，能够规范各项业务活动，提高业务处理效率，减少人为操作失误。但信息系统优化并不意味着风险消失，内部控制不再适用，流程调整带来风险转移，内部控制应该相应调整才能有效。例如，区块链技术在财务上的应用，使传统意义上重要的财务控制措施，如对账、会计处理等控制发生根本性改变，可提升运营有效性和效率，财务报告的准确性、一致性、可靠性、合法与合规性；区块链技术可以使内部交易对账流程简单直观、效率提升，不再需要在交易层级函证，但区块链技术也是由技术服务提供商提供，如何保证交易信息安全可信，会增加对技术服务提供商内部控制有效性的鉴证需求；区块链上交易处理和记录的速度非常快，同时不可更改和冲销，交易发生前的事前预防控制问题通过区块链的使用得以解决，需调整内控监督的重心，减少对事前预防控制的关注，加大事后发现性控制的监测，从而更有效地在区块链技术背景下防范风险。（4）共享中心是在企业职能管理基础上对流程管理的补位。在英国经济学家亚当·斯密《国富论》“分工提高劳动生产率”的理论指引下，企业通常是以职能的方式组织生产经营活动，职能之间的衔接存在缺位，会导致链条衔接上产生风险和低效率等问题。流程管理正是强化职能之间的协同合作，共享中心独立于所有职能之外的流程型组织，流程管理的理念是共享中心的基因，这种观念与基于流程的内控监测模型非常契合，由共享中心将流程梳理关键内控监测指标，建立模型的方式，能够更好地贯彻内控基于流程的核心。（5）在内控测试的时候，如果只在单点上抽取样本测试，而不将全流程连贯起来，就会缺乏流程的整体评价视角，较难找到违规事项，比如隐藏较深的空转、走单事项，违规操作可能是点上合规，串起来不合规的方式，如果不把全链条链接起来检查，是发现不了违规事项的；其次，内控测试的时间点，一般是在业务发生后。如果采取不按原有操作流程逐步检查的方式，可通过流程上前后环节的分析确定关键控制点，以结果前后比对的方式查找异常清单；再次，流程上如果实现系统自动控制的节点，无须再通过人工抽样的方式检查，可通过信息系统一般性测试方法，以检查系统控制的方式得到内控执行有效性的保证。

2.基于大数据手段建设监测工具。各个职能部门都有自己的检查清单，这些检查清单有诸多重复项，加之某些职能部门之间缺乏沟通、协同，每年都会产生很多问题，但最大的问题是如何保证找到问题的完整性，建立完整统一的风险清单。而据德勤调查数据显示，目前建立完整风险清单的企业不到20%。传统的监督检查由于技术手段的限制，只能通过抽样、抽查的方式查找问题，有如“大海捞针”。随着信息系统算力提升、大数据手段的运用、数据中心的建立，审计监测全量覆盖、远程非现场模式正在审计从业人员的努力下，从理论变为现实。内控监测大数据平台要保证内控监测的完整性，首先需要保证风险清单的完整性，其次需保证内控定位的准确性，最后需持续监督的稳定性。这些都要求对业务、流程、系统熟悉，是一个持续完善的过程。

在信息化背景下建设内控监测大数据平台(如图2)，（1）基于流程梳理出内控监测模型，确定关键内控点、逻辑关系、数据来源；（2）打通与大数据平台的连接，将需要的数据信息从生产系统、销售系统、库管系统、客户管理系统、财务系统等相关系统中抽取到大数据平台；（3）将大数据平台中的数据，通过内控监测模型的逻辑检验，精准查找异常交易，通过内控监测管理平台的可视化展示异常诊断报告，向三线职能提供精准有效的管理层建议，供三线职能通过业绩评价考核、流程优化等方式改进管理。

图2 内控监测大数据平台构建

3.基于不同需求设置监测周期。本文建议的模型会根据三线不同的监督策略，按照相同的指标、不同的周期发送报告。《中央企业全面风险管理指引》要求，企业一线职能各有关部门和业务单位、二线职能风险管理职能部门应定期履行各自的风险管理职责，三线职能内部审计部门应至少每年一次对风险管理情况进行监督评价，三线职能不同的监督定位，有着不同的监督周期要求。（1）一线职能管理层对于风险管理负有自查和检验职责，承担主要责任，需要在日常工作中监督并督导整改，对时效性要求最高。本文的模型建议以日报的方式向一线管理层推送，使管理层有充足的时间督导整改。在向一线职能管理层推送报告时，可针对部分监测点采用风险预警方式，在违规事项实际发生前提示管理层，避免违规事项的发生；部分监测事项无法实现提前预警，只有实际违规后才能发现。共享中心推送的内控监测报告构成企业的发现性控制的支撑措施。从内控评价的角度来讲，预防性控制和发现性控制构成对内部控制执行有效性评价的整体控制措施。按照共享中心推送的内控监测报告，一线管理层只要能做到及时督导整改，依照内控评价标准，仍然可被二线和三线职能部门认定为企业的内部控制执行有效。（2）二线职能风险管理部门对风险管理负有评价和建议职责，基于一定的周期进行风险管理的评价。国资委《关于加强中央企业内部控制体系建设与监督工作的实施意见的通知》要求，在子公司全面自评基础上，集团监督确保每3年覆盖全部子公司。中央企业的风险管理部门在该要求范围内，根据不同的监督策略，制定不同的评价周期，共享中心可以根据风险管理部门要求的周期提供定期的内控监测报告。同时，由于共享中心的独立性、专业性，通过内控监测平台生成的内控监测报告无法人为修改，且内控监测平台的系统修改权限由二线职能控制，避免了共享中心和企业人员勾结修改内控监测报告的可能性，使内控监测报告按照前置逻辑反映企业实际控制情况。（3）三线职能内部审计部门更多强调其审计的独立性，内部审计准则同样允许审计部门可利用其他部门相关监测结果进行审查。内审部门可制定不同的审计策略，也可评价共享中心内控监测运行情况，评估是否需要利用共享中心的内控监测报告，支撑内部审计计划和测试工作。共享中心可按照内部审计部门的需求，不定期地提供内控监测报告，帮助内审部门准确定位重大风险点，提高审计效率。内部控制、合规管理协同运作的要求，以及新时代信息化和数字化建设的需求，通过对我国内部控制监管要求、国际内部审计师协会（IIA）“三线模型”、共享行业实践三方面的综合分析，论述了“三线一体”内部控制监测共享模式构建的可行性，提出了通过构建基于流程梳理的内控监测模型的大数据平台，实现内控监督资源的优化配置，促进内控监督在技术层面实现现代化转变，最终实现企业的转型发展。

“三线一体”内部控制监测共享模式作为一种三线职能在内控监测部分目标的融合性探索、尝试性研究，在该领域尚有许多工作需要完成。本文搭建的“三线一体”内部控制监测共享模式基于与财务相关内部控制作为切入点，下一步可继续提升该模型的普适性。随着更多职能纳入共享中心，可应用到其他专业领域的内控监督领域。此外，“三线一体”内部控制监测共享模式尚未在实践中进行大范围试验和检验，随着该模型的应用实践，还需不断丰富和优化，以期实现更加完善和高效的预期功能。

四、结论与建议

本文基于国资委关于风险管理、