殷允凤 王雪

[摘要]本文运用流程分解法梳理出外汇检查执法风险，尝试参照COSO风险管理框架（2017版）和国际内部审计师协会（IIA）新“三线模型”（2020），探索构建外汇检查执法风险管理与控制框架，为防范外汇检查执法风险和提高外汇执法效能提供借鉴经验，有力打击外汇违法违规行为，有效防范跨境资金流动风险，为维护外汇市场秩序和国家经济金融稳定提供内部保障。

[关键词]风险管理   三线模型   外汇检查

近年来，我国跨境资金流动的规模日益扩大、

构成更加复杂、方向更趋多元化、波动性显著增加，对外汇检查执法工作提出了较大挑战，而随着外汇行政查处的涉汇案件数量和涉案金额的不断攀升，外汇检查执法面临的风险也日益增多。本文立足外汇局内审内控部门的视角，提高政治站位，深入贯彻新发展理念，将助力国家治理体系和治理能力现代化建设、防范化解重大风险、实现价值增值等目标摆在更加突出的位置，基于风险导向对外汇检查执法进行流程分解，梳理出当前外汇检查执法存在的风险点，参照COSO风险管理框架（2017版）和IIA新“三线模型”（2020），有效运用内部控制最新理念和发展成果，构建外汇检查执法内部风险管理与控制框架，发挥内部控制防范和化解重大风险的“防火墙”作用，将风险“防线”前移，发挥提高组织工作效能、增强组织抗风险能力的作用，切实为外汇检查执法保驾护航。

一、IIA新“三线模型”与COSO风险管理框架

（一）新“三线模型”概述

2013年1月，IIA发布了《有效风险管理與控制的三道防线》，通过将运营管理的业务部门、风险管理与合规的职能部门和内部审计依次划分为“三道防线”，阐述了企业内部风险管理和内部控制的职责所在，为企业提供了一种支持实施内部控制框架的组织架构，明确了各部门在风险管理和内部控制的责任，使得COSO内部控制整合框架中的内部控制在组织中得到了有效实施，因此“三道防线模型”备受欢迎。但由于该模型过于关注如何防范和减少风险，在实践中约束了业务部门的创新行为，从而使得组织丧失了高收益高风险的机会，同时也容易出现抓小放大而无法避免黑天鹅、灰犀牛等事件。为更好地适应现代风险管理的环境变化和组织追求利益需要，在“三道防线模型”的基础上，IIA于2020年7月发布了“三线模型”（Three Lines Model），即新“三线模型”，如图1所示。新“三线模型”将视角从专项风险管理扩大到组织的整体治理，强调组织的治理机构的核心作用，将职责授权给内部各条线，并负责指导、调配资源和监督，管理层（第一线、第二线）负责实现组织目标和风险管理，内部审计（第三线）独立开展评估和提高风险管理并向治理机构负责。

（二）新“三线模型”的发展与意义

1.风险管理理念从被动防守转为积极应对。新“三线模型”与“三道防线模型”相比，比较突出的特点是去掉了“防”（Defensive）一词，名称的变化意味着新版模型作为一种风险管理工具，已不再局限于保守被动的风险管理，而是倾向于更为积极进取的风险管理，突出了风险管理在为组织提供价值创造方面的目标和使命，高度关注为组织利益相关者创造和保护价值，通过更有效的沟通、协调和配合优化组织的整体治理方式，在合理控制风险的基础上，实现为组织提升价值和创造价值的目标。

2.基于原则导向使得应用更为灵活。新“三线模型”最大变化在于基于原则导向，强调了治理、治理机构职责、管理层和第一二线的职责、第三线的职责、第三线的独立性、创造和保护价值等6项原则，基于原则的方法使得每个组织可以根据其行业、规模、运营结构和风险管理方法灵活地实施该模型。

3.强调沟通和协作使得内部审计独立而不孤立。新“三线模型”有关管理层（第一、二线）和内部审计的关系和“内部审计和组织治理机构的关系”的内容中，更强调相互沟通、配合和协作，优先考虑组织利益，以更好地创造和保护价值，尤其强调内部审计在保证独立性的前提下，要保持与管理层的互动，加强与各职能部门的沟通协作，提高内部审计的效率和效益，保证内部审计独立而不孤立，为治理机构和管理层提供可靠、具有相关性和透明的信息，保证所有的活动与组织的目标保持一致。

（三）COSO风险管理框架的历史演进

1.COSO风险管理框架的提出。在风险管理和内部控制领域，COSO组织有着举足轻重的地位，自1992年COSO发布企业内部控制整合框架以来，作为此领域最具代表和权威的框架，被全球多个国家借鉴和采用。我国于2008年发布的《企业内部控制基本规范》，就是采用了这个框架的内部控制要素和内容。随着实践运用的发展，COSO组织对内控控制框架进行了几次修订和完善，但由于外部环境的变化，仍然存在建立了完善的内部控制体系的企业因无法应对风险而破产和倒闭的案例，且日益增多。于是，COSO组织开始从整合风险管理的角度来思考企业的管理活动以及内部控制体系的局限性。2004年12月，COSO组织发布了《企业风险管理—整合框架》（ERM，2004），这一框架是在1992年版COSO内部控制框架的基础上引入了风险偏好和风险文化，将内部控制的精髓融入企业风险管理之中，扩大了对风险管理的关注范围，在实践中能够使公司借以满足内部控制的需要，并转向更加全面有效的风险管理过程。

2.进攻与防御并重的现代风险管理框架。近年来，随着新风险层出不穷，风险管理日趋复杂，COSO组织于2017年9月发布了更新版本的企业风险管理框架《企业风险管理—与战略和绩效的整合》（ERM，2017）。2017年版ERM框架在2004版ERM的基础上，重新定义了风险管理，指出风险管理不仅涉及内部控制，也应该整合“战略与绩效”，将风险管理贯穿组织管理的全过程。在表述方式上，2017年版ERM框架采用了2013年版内控整合框架的要素加原则的方法，构建了一个包含五要素、二十原则的新框架，如图2所示。2017年版ERM框架对风险和风险管理进行了重新定义，更强调风险的积极作用，将风险管理视为企业文化，并将风险管理与“战略和绩效”相结合，风险管理框架转变为进攻与防御并重，能够实现内部审计与企业战略、决策的结合，最终达到防范风险，提升价值的目标。

3.COSO风险管理框架和内部控制框架的界定。关于COSO风险管理框架和内部控制框架，由于二者有很多关联之处，因此很容易混淆两个框架的范围和界限，国内有学者认为二者是一个体系的不同发展阶段，将风险管理等同于内部控制。对此，2013年COSO组织发布的内部控制框架更新版附录中明确指出，企业风险管理是企业治理的组成部分，而企业内部控制又是企业风险管理的组成部分。COSO组织在两次发布风险管理框架（2004版、2017版）文件中也都明确指出风险管理框架并不是对原有内部控制框架（1992版、1994年增补和2013年更新）的取代或是更替，两个框架的侧重点各不相同但相互补充，风险管理框架继承了内部控制框架的主要内容，可以说风险管理是引入风险的内部控制的发展和进化，与内部控制有共同交集，但风险管理又远不止于内部控制，它涉及了“战略、治理、利益沟通和绩效”等，是与战略制定与实施相整合的文化和实践，旨在合理利用风险实现价值创造。

通过COSO组织多年的报告和实践运用，我们可以明确目前风险管理框架与内部控制框架是同根发展、相互补充的，而风险管理框架更加强调风险治理和在创造、保持和实现价值方面的作用，更能实现组织在承担一定风险的情况下寻求利益最大化的需要;另外，风险管理也适用于任意规模、性质的组织，因此，风险管理框架更代表了内部控制理论新的发展方向。

（四）新“三线模型”与COSO现代风险管理框架的契合

2015年7月，IIA以COSO白皮书的形式对外发布《在三道防线中运用COSO内部控制》，通过将COSO内部控制整合框架（2013）与“三道防线模型”（2013）相结合，旨在为组织的战略决策者提供一个涵盖风险管理、内部控制和反舞弊的全面的框架和指导，以提高组织绩效和治理，为风险管理如在组织内部进行构建和职责划分提供了有益指导。

IIA新“三线模型”的发布，使得风险管理工具与COSO现代风险管理框架（ERM，2017）更为契合，为实现增值型内部控制和风险管理提供了更好的视角。首先，新“三线模型”与COSO现代风险管理框架（ERM，2017）均采用了更积极的“进可攻、防可守”的新时代风险管理理念。其次，二者具有一致的最终目标，即在正视风险的基础上创造更符合组织利益的价值。第三，新“三线模型”与COSO现代风险管理框架（ERM，2017）都是基于原则导向。图2中COSO现代风险管理框架（ERM，2017）采用了价值创造链条描述了风险管理要素与战略目标和价值创造的关系，与新“三线模型”的原则及三线角色的对应更为直观。新“三线模型”在“三道防线”的基础上新增了6项原则，明确定义了治理机构的职责和作用，清晰界定了治理机构、管理层和内部审计各自承担的职责和作用，梳理了各线职能的划分及任务，通过阐明这些角色和职责来增强有关风险和控制的沟通，为组织提供了一种有效的方法，充分传达每个人的职责以及其如何适合组织的整体风险和控制结构，与COSO现代风险管理框架（ERM，2017）相契合。

二、外汇检查执法内部管理风险分析

外汇检查执法内部管理风险存在于检查执法的各个环节，从行政管辖、立案、调查、处理到执行和信息公开等各个环节均有可能产生，主要表现为以下几个方面：处罚违法事实不清或证据不足、处罚依据不准或适用法律有误、自由裁量权使用不当，案件接收和调查取证程序不规范、适用简易程序不当、重大案件未经集体审议决定、不按规定程序举行听证及复审、未履行告知义务等，内部管理风险防控不到位极易引发声誉风险和法律风险。本文采用流程分解法，从外汇检查执法工作启动到案件收尾，全流程梳理了外汇检查执法工作面临的风险，如表1所示。

三、运用COSO风险管理框架和IIA新“三线模型”构建外汇检查执法风险管理和控制框架

（一）风险管理框架各要素、原则与新“三线模型”的对应关系

1.“治理和文化”“战略和目标”要素及其原则在新“三线模型”中的定位。ERM（2017）将旧版的内部环境要素拓展为“组织治理和文化”，即将风险管理与组织治理融为一体，强调组织基于实施风险监管、建立组织机构、培育文化和核心价值观以及用人机制5个原则制定战略目标，并根据风险偏好平衡风险和绩效，对组织实施全面风险管理。因此，承担ERM（2017）制定战略目标、平衡风险和绩效这两项风险管理要素的角色，应该对应IIA新“三线模型”的组织治理机构，在风险管理和控制的新“三线模型”中占据核心地位，负责给三线角色授权、指导、提供资源和监督，制定组织目标、发展战略，并建立管理和控制风险的组织机构，统筹管理三线角色的运行，使得三线角色实现合作、沟通和交流，以实现有效的风险管理和控制。

2.“绩效”要素及其原则在新“三线模型”中的定位。ERM（2017）的“绩效”要素及其识别风险、评估风险、风险排序、风险应对以及组合风险原则，应由新“三线模型”中的管理层所对应的第一线和第二线角色分别承担。第一线角色一般由负责日常运营的部门承担，第二线角色由负责管理和监督的部门承担;对于第一线和第二线角色间如何划分风险管理职责，则由组织治理机构根据各部门承担的职能灵活掌握并调整，有效实现组织目标。

3.“审查和纠正”要素及其原则在新“三线模型”中的定位。ERM（2017）的“审查和纠正”要素及其评估重大变化、审查风险和绩效以及提升风险管理的原则，对应新“三线模型”中的第三线内部审计，内部审计部门由组织治理机构授权独立开展监督、审计，并向组织治理机构报告。

4.“信息、沟通与报告”要素及其原则在新“三线模型”中的定位。ERM（2017）“信息、沟通与报告”要素及其利用信息和技術、沟通风险信息和汇报风险、文化和绩效原则，虽然在新“三线模型”中没有具体对应的角色，但在风险管理和控制框架中扮演着重要的角色。比如，IIA强调作为第三线角色的内部审计应当与管理层保持定期的互动，管理层的第一、二线职能部门和内部审计之间也需要相互协作，保持沟通。另外，组织治理机构和各线也应积极与外部开展合作、沟通和交流。因此，可将风险管理的“信息、沟通和报告”要素作为三线模型中的“润滑剂”角色，使得三线角色在组织治理机构的管理和外部的影响下更好地实施风险管理和控制，提高组织绩效。

（二）外汇检查执法风险管理和控制框架思路

1.组织治理。一是强化顶层设计，完善内控制度。外汇管理部门实行垂直管理，从总局到基层外汇局是全国上下一盘棋，因此首先要从加强顶层设计入手，修订完善各项内控制度，从执法权主体、裁量空间、执法程序、内外部监督以及执法能力、队伍建设等方面，全方位规范外汇检查处罚工作，确保过罚相当、量罚统一，加强执法过程管控，确保执法的公平和公正。二是完善法律法规，提高外汇执法权威性。在现有外汇执法依据框架下，可对跨区域、跨境的外汇交易实施更加有效的监管手段，进一步完善法律法规，配合外汇管理条例等法规修订，提高对外汇违规行为的处罚幅度，完善罚则条款，放宽适用主体，加大对外汇违规行为的惩处力度，提高外汇执法的权威性，同时也应探索运用现代信息技术，开展大数据分析，创新外汇监管和执法的手段和方法，通过“稳、准、狠”的严厉打击和多样化的惩戒方式，增大市场主体违规成本预期，有力震慑市场主体，从而有效防范风险，维护外汇市场秩序。三是加强宣传和培训，形成风险管理文化。一方面要强化风险管理监督责任，构建完善的风险管理体系，另一方面要通过宣传、教育培训，提高外汇检查执法机构及其检查执法人员的风险管理意识、执法能力，形成自上而下的风险管理传导机制。

2.第一线和第二线角色。IIA将第一线和第二线角色均归属于管理层，为组织的风险管理角色分配提供了开放的环境。外汇局作为行政管理部门，组织目标不同于企业，业务部门和监督管理部门存在职能交叉的情况，尤其是基层外汇局行政执法人员相对有限，更是很难将业务管理和监督检查完全区分开来。因此，外汇检查执法的风险管理和控制的第一线和第二线角色应交由负责具体实施的外汇管理部门承担，外汇检查执法部门负责人和检查人员等作为第一线，具体负责立案、调查取证和处理等行政检查执法行为，另由法律事务部门、同级业务部门、案审会和上级局归口管理部门等作为第二线，提供法律支持、业务协调、监督和指导，跟踪了解外汇检查执法情况，加强监测，使监督制约落到实处。

3.第三线角色。省分局以上的外汇管理部门一般都设有专门的内审内控部门，具备对下级局外汇检查执法开展内部监督的相对独立性。但是由于专职内审内控人员相对较少等问题，也很难做到全面的风险监督和评估。应进一步增强内部审计的独立性，通过程序控制、项目审计等方式，对风险管理提出独立意见，做到三线权责明晰，尤其是形成独立的报告路线，增强风险控制能力。必要时在实施内部审计时，可以从外汇管理的业务部门和内控部门抽调骨干力量实施跨区域交叉审计，或聘请专业法律顾问提供法律支持，强化第三线角色职能作用。

4.健全部门协调机制，避免执法越位或缺位。协调推进与海关、商务、税务、反洗钱等多部门完善法规、协同监管，推进跨部门数据共享和执法合作，整合执法资源，完善联合执法机制，增强检查执法合力，提升监管与检查效能。

（作者单位：中国人民银行枣庄市中心支行  国家外汇管理局山东省分局，邮政编码：277102，电子邮箱：wang_xue_email@163.com）

主要参考文献

[1]陈锦烽.IIA立场公告：《有效风险管理与控制的三道防线》简介[J].中国内部审计， 2013（8）：44-45

[2]舒伟，左锐，陈颖，等.COSO风险管理框架的新发展及其啟示[J].西安财经学院学报， 2018（5）：41-47

[3]王兵，杜杨.在风险管理和控制的三道防线中运用COSO内部控制[J].中国内部审计， 2016（4）：4-8

[4]周婷婷，张浩.COSOERM框架的新动向[J].会计之友， 2018（17）：82-85