15010055730

联系电话

地址:北京朝阳区广渠路21号金海商富中心B座705

Copyright ©2019 北京一法企业管理有限公司  All rights reserved  京ICP备16058371号  网站建设:中企动力 北京

战略合作伙伴:   因特律师事务所 |   法智易  |  大连大学人文学部  |  知识产权出版社  |  法律出版社  | 

>
>
>
企业风险管理的“三道防线”

标杆案例

企业风险管理的“三道防线”

一、“三道防线”的概念

一谈到企业风险管理的“三道防线”概念。我们就会想到前些年企业进行全面风险管理体系建设时,经常提起的在组织机构层面建立企业风险管理的“三道防线”的做法,即企业的业务部门作为前端部门是风险管理的第一道防线;企业风险管理职能机构作为风险管理的第二道防线;企业的内部审计职能机构作为风险管理的第三道防线。

三道防线共同组成了企业风险管理的防线系统,中国企业前些年进行的风险管理体系建设主要内容,是以建设第二道防线为主,包括建立组织机构和工作机制,识别和评估包括整个风险管理防线系统的相关风险,作为第二道防线工作开展的基础。

下图是前些年我们对典型的三道防线组织架构图的理解。

在国际上,也有跟国内“三道防线”提法相对应的概念,即 Three Lines of Defense,也可以直译为三道防线。即第一道防线是Risk Owner (风险所有方),也是指业务单元或部门;第二道防线是Risk Management (风险管理), 前些年在风险管理理论还不太成熟时,也有称第二道防线是Risk Control and Compliance(风险控制与合规);第三道防线是Risk Assurance(风险保证),主要是指内部审计部门。

新版COSO在附录中也阐述了对于三道防线的概念,是从风险管理责任的角度论述的,谈到了首席执行官CEO、首席风险官CRO和管理层三个层面各自的风险责任。

同时,也阐述了风险管理责任落实的第一道防线是:核心业务部门(Core Business);第二道防线是:支持职能部门(Supporting Function);第三道防线是:保证职能部门(Assurance Function)。

核心业务部门:和我们前期提到的第一道防线的概念基本一致,即企业管理的前台部门,作为风险管理的第一责任机构;

支持职能部门:这部分作为第二道防线和前期的提法变化最大,支持职能部门除了包含风险管理专职职能之外,还包括:法务、合规、财务、人力、质量、安全等,所有可以协助一线核心业务部门进行风险管控的职能,都应该属于支持职能部门,即第二道防线;

保证职能部门:主要指的是审计部门,包括内部审计和外部审计。

其中和我们原来三道防线的提法变化最大的就是第二道防线的内容,对原来风险管理职能进行了重新定义。

风险管理体系工作的归口管理部门,负责风险管理专业技术和工具和输出,以及负责一些年度重大的、需跨部门沟通协调的,以及无明确主责部门的风险的管理职能。一开始很多企业将风险管理工作和风险管理部门等同了起来,一谈起风险管理就是风险管理部门的职责。风险管理部虽然精通风险管理理论和工具的使用,但却不一定精通业务,如果不精通业务,显然风险评估的效果就会大打折扣。

其实,风险管理的职能体现并不是都体现在风险管理部的职能上。风险管理部的职能应该更多的体现在一种组织、协调、支持、配合的角度,帮着业务部门一起在达到业务目标的路上管控好风险。

(三道防线示意图)

 

二、“三道防线”的应用

三道防线的理论广泛用于金融银行业,因为金融业的风险属于风险集中管理类型,这也是有一定原因的,往往风险管理的职能越集中,三道防线的边界就会越清晰。

近些年来,三道防线的方法也被引入到了一般的企业进行风险管理,用以更好的划分不同的职能在管理风险时的不同职责。

虽然企业可以划分出三道防线,但是三道防线并无实质利益冲突,而且在企业来讲利益是趋同一致的。它的最终绩效不是衡量第二道防线设定的规则如何,第三道防线进行的检查监督效果如何,这些规则和检查的目标,也并不是为了限制第一道防线的表现。这就是任正非提到的所有防线的价值体现都是多打粮食,而不是妨碍粮食生产。

原则上来讲,没有明确的限制规定风险管理部和审计部必须分离,最基本的原则是两个职能的岗位实现互相分离即可,就算在一个屋檐下。我见过有的企业,建立了大监督部,将审计、法务、风控、合规、纪检、监察都放入了一个部门。我们的建议是,在不违背基本原则的情况下,企业完全可以自行实践,探索属于自己的管理体系,定好位、定好责、画好圈、明确分工及合作机制才是最重要的。

除了第二道防线和第三道防线融合的情况,也有企业将第一道防线和第二道防线的融合,比如强化第一道防线的风险管理和控制职能,而不单设风险管理部门。第二道防线中的部分要素可以根据具体情况,与第一道防线和第三道防线产生职责交叉。

第一道防线和第二道防线融合侧重的是核心业务层风险的自控制,将风险管理工作最大程度的嵌入业务职能。

第二道防线和第三道防线融合侧重的是对风险的监督检查,将风险管理工作要求最大程度的通过监督检查职能实现。

但是第一道防线和第三道防线则不能尝试融合,这是最基本的原则和控制要求。

 

三、“攻防结合”的风险管理

(三层价值网示意图))

风险理论的最新发展,实现攻与防统一,不仅要侧重价值保护,更需要聚焦价值创造,帮助组织最终实现价值。

我们今天谈到的授权和赋能,是应对不确定性的有效手段,那么风险管理工作的本身也必然需要更多的授权和赋能核心业务部门,提升业务部门自身的风险管理能力,是风险管理工作的下一步重点目标。

所以,我们提出一个“三层价值网”(Three Layers Value Net)的概念,供大家参考。

第一层:创造层

核心业务部门:主要进行价值创造,同时具有价值保护职能,在创造中保护,负责打赢战争。对应于原来三道防线理论的第一道防线;

第二层:能力层

支持职能部门:主要负责能力输出,在专业领域形成价值创造和保护的专项能力并支持第一层更好的进行价值创造和保护,以提升第一层的专项能力为主要目标,负责提供弹药。对应原来三道防线理论中的第二道防线;

第三层:绝缘层

保证职能部门:主要职能是保护价值,防止价值外流,建立审计和监督的价值外流“绝缘机制”,负责督战,更好的帮助企业实现价值。对应原来三道防线理论中的第三道防线。

三道防线理论在很多企业已深入人心,今天只是结合风险理论的最新发展提出了一个发展参考方法,是否有指导意义还需要看企业下一步的实践,欢迎大家交流讨论,形成共识。


来源:大风控

作者:孙友文,疯控叔

小编微信:Crocso 如欲就法务与合规管理进行交流、培训、咨询等,可与我联系,将为您推荐大咖老师、资深专家和律师。