三道防线是通过理清角色定位和职责来强化对风险管理和内部控制的理解。第一道防线属于第一线的运营及管理，是对风险和控制责任的分配，第一道防线最为关键，最好能够把绝大部分风险控制在第一道防线。第二道防线是对第一道防线的监督、检查，避免疏漏。通过具体到各个部门、各个业务模块协助管理层监控风险，并控制风险。第三道防线属于内部审计，是对董事会和高级管理层所关心的风险和控制的有效性进行独立审计并报告。

本文结合美国反虚假财务报告委员会下属的发起人委员会（COSO）的三道防线理论，并结合国内企业经营的实际情况，介绍内部控制的三层防护体系。内控管理“三道防线”。

第一道防线：运营及管理

第一道防线就是企业运营和管理第一线的业务人员的风险控制。工作在第一线的销售人员、生产工人、运输工人、质检员、验收人员、会计、人事专员、采购员、技术工程师等，他们在日常工作的过程中就担负着内部控制的职责。一线的人员应该接受必要的内控培训，他们不但要清楚本岗位的工作职责，而且要能够评估工作中的风险，能够识别风险，并且能够自主采取必要的控制措施，必要时需要向本部门或者更高一级的管理者沟通、汇报。第一道防线主要职责及具体内容如表所示。

第一道防线是业务过程中控制风险最重要的防线，企业90%以上的精力应该放在第一道防线上，第一道防线的内控措施既要具有规范性又要有一定的灵活性，没有灵活性就不能适应不同特点的市场及客户。第一道防线要让业务主管承担起内控责任，经营责任人也是内控责任人。第一道防线的流程控制也非常重要。流程本身就是防线，完善了流程就相当于建立良好的防范措施。

第二道防线：内部监控与监督职能

第二道防线的内容包括多种风险管理与合规管理。这些管理可以确保第一道防线执行的控制和风险管理流程的设计是合理的，并能够按照预期有效地执行。第二道防线的职能通常是持续地监控风险，明确实施内控策略，提供风险专业知识，实施内控政策和执行程序，以及在收集信息方面提供帮助，从而建立起整个企业范围内对风险和内控的统一认识。

第二道防线的责任部门会因组织规模、行业不同而存在差别。在大型上市公司、业务复杂或受到严格监管的组织内，这些责任部门可能是完全独立且明确的。在小型私营企业或业务不太复杂或所受监管不严格的组织内，第二道防线的责任部门可能不存在或被合并。例如，有些企业会将法务部与内控部门合并为一个部门。在某些企业中，第二道防线的部分或全部职责可能由第一道防线的管理者来承担。

第二道防线相关人员的职责通常包括以下几点内容：协助管理层设计和建立流程和内控制度，以管理风险。明确需要监控的活动，以及如何对照管理层的期望来衡量监控是否取得成功。确保内部控制活动的充分性和有效性。上报重要的问题、新的风险和异常情况。剔除风险管理框架。识别和监控影响组织的风险，以及已知和新出现的问题。识别组织内风险偏好和风险承受能力的变化。提供风险管理和内控流程的指导和培训。

第三道防线：内部审计

内部审计是企业的第三道防线，内部审计是独立、客观的审计和咨询活动，内部审计也能够对内部贪腐、造假、浪费等现象形成威慑，最终能够提升企业价值和改善企业运营。

内部审计针对公司治理、风险管理和内部控制的效率和效果进行审计。内部审计的工作范围涵盖企业各个方面的运营和活动。

内部审计与其他两道防线的区别是其具有高度的组织独立性和客观性。内部审计师不负责设计和实施控制，也不参与企业管理运营。首席审计官直接对董事会负责。

建立专业的内部审计机构非常重要，不仅是对于较大型企业而言，对于中小型企业来说同样如此，因为中小型企业同样需要面对复杂的环境，但其组织架构却可能不太正式，可能无法保证治理和风险管理流程的有效性，还可能缺乏有效的第二道防线。

来源：财务高手进阶指南  作者：谢士杰

（责任编辑：韩福恒）