企业风险管理的“三道防线”

前言：党的十九大报告将防范化解重大风险作为三大攻坚战之一，落实到企业微观层面，国务院国资委印发的《关于加强中央企业内部控制体系建设与监督工作的实施意见》(国资发监督规[2019]101号)文件中要求国资企业建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系，进一步树立和强化管理制度化、制度流程化、流程信息化的全面风险管控理念，进一步提升中央企业防范化解重大风险能力。因此，在“大智移云物区”时代，如何运用新一代信息技术提升企业防范风险的能力也就成为理论与实务界共同面临的科学问题，而全面风险管理的系统化落地不仅仅是系统流程化开发，而是涉及到制度、组织、流程、智能算法等全方位的，应建立在科学的理论指导、整体系统建设规划基础上的。为更好地指导集团企业内部控制与全面风险管理系统建设，该公众号将相继推出智能化全面风险管控理论与实践一系列推文，以期为目标企业借助信息技术全面提升防范化解重大风险能力提供借鉴性思路。

“破解内控、合规与风险建设的智能化密码”系列推文三：

企业风险管理的“三道防线”

1、 什么是“三道防线”？

一谈到企业风险管理的“三道防线”概念。我们就会想到前些年企业进行全面风险管理体系建设时，经常提起的在组织机构层面建立企业风险管理的“三道防线”的做法，即企业的业务部门作为前端部门是风险管理的第一道防线；企业风险管理职能机构作为风险管理的第二道防线；企业的内部审计职能机构作为风险管理的第三道防线。

三道防线共同组成了企业风险管理的防线系统，中国企业前些年进行的风险管理体系建设主要内容，是以建设第二道防线为主，包括建立组织机构和工作机制，识别和评估包括整个风险管理防线系统的相关风险，作为第二道防线工作开展的基础。

下图是前些年我们对典型的三道防线组织架构图的理解。

在国际上，也有跟国内“三道防线”提法相对应的概念，即 Three Lines of Defense，也可以直译为三道防线。即第一道防线是Risk Owner (风险所有方），也是指业务单元或部门；第二道防线是Risk Management (风险管理）, 前些年在风险管理理论还不太成熟时，也有称第二道防线是Risk Control and Compliance(风险控制与合规）；第三道防线是Risk Assurance（风险保证），主要是指内部审计部门。

新版COSO在附录中也阐述了对于三道防线的概念，是从风险管理责任的角度论述的，谈到了首席执行官CEO、首席风险官CRO和管理层三个层面各自的风险责任。

同时，也阐述了风险管理责任落实的第一道防线是：核心业务部门（Core Business）；第二道防线是：支持职能部门（Supporting Function）；第三道防线是：保证职能部门（Assurance Function）。

核心业务部门：和我们前期提到的第一道防线的概念基本一致，即企业管理的前台部门，作为风险管理的第一责任机构；

支持职能部门：这部分作为第二道防线和前期的提法变化最大，支持职能部门除了包含风险管理专职职能之外，还包括：法务、合规、财务、人力、质量、安全等，所有可以协助一线核心业务部门进行风险管控的职能，都应该属于支持职能部门，即第二道防线；

保证职能部门：主要指的是审计部门，包括内部审计和外部审计。

其中和我们原来三道防线的提法变化最大的就是第二道防线的内容，对原来风险管理职能进行了重新定义。

风险管理体系工作的归口管理部门，负责风险管理专业技术和工具和输出，以及负责一些年度重大的、需跨部门沟通协调的，以及无明确主责部门的风险的管理职能。一开始很多企业将风险管理工作和风险管理部门等同了起来，一谈起风险管理就是风险管理部门的职责。风险管理部虽然精通风险管理理论和工具的使用，但却不一定精通业务，如果不精通业务，显然风险评估的效果就会大打折扣。

其实，风险管理的职能体现并不是都体现在风险管理部的职能上。风险管理部的职能应该更多的体现在一种组织、协调、支持、配合的角度，帮着业务部门一起在达到业务目标的道路上管控好风险。

（三道防线示意图）

2、“三道防线”的应用

三道防线的理论广泛用于金融银行业，因为金融业的风险属于风险集中管理类型，这也是有一定原因的，往往风险管理的职能越集中，三道防线的边界就会越清晰。

近些年来，三道防线的方法也被引入到了一般的企业进行风险管理，用以更好的划分不同的职能在管理风险时的不同职责。

虽然企业可以划分出三道防线，但是三道防线并无实质利益冲突，而且对企业来讲利益是趋同一致的。它的最终绩效不是衡量第二道防线设定的规则如何，第三道防线进行的检查监督效果如何，这些规则和检查的目标，也并不是为了限制第一道防线的表现。这就是任正非提到的所有防线的价值体现都是多打粮食，而不是妨碍粮食生产。

原则上来讲，没有明确的限制规定风险管理部和审计部必须分离，最基本的原则是两个职能的岗位实现互相分离即可，就算在一个屋檐下。我见过有的企业，建立了大监督部，将审计、法务、风控、合规、纪检、监察都放入了一个部门。我们的建议是，在不违背基本原则的情况下，企业完全可以自行实践，探索属于自己的管理体系，定好位、定好责、画好圈、明确分工及合作机制才是最重要的。

除了第二道防线和第三道防线融合的情况，也有企业将第一道防线和第二道防线的融合，比如强化第一道防线的风险管理和控制职能，而不单设风险管理部门。第二道防线中的部分要素可以根据具体情况，与第一道防线和第三道防线产生职责交叉。

第一道防线和第二道防线融合侧重的是核心业务层风险的自控制，将风险管理工作最大程度的嵌入业务职能。

第二道防线和第三道防线融合侧重的是对风险的监督检查，将风险管理工作要求最大程度的通过监督检查职能实现。

但是第一道防线和第三道防线则不能尝试融合，这是最基本的原则和控制要求。

3、“攻防结合”的风险管理

风险理论的最新发展，实现攻与防统一，不仅要侧重价值保护，更需要聚焦价值创造，帮助组织最终实现价值。

我们今天谈到的授权和赋能，是应对不确定性的有效手段，那么风险管理工作的本身也必然需要更多的授权和赋能核心业务部门，提升业务部门自身的风险管理能力，是风险管理工作的下一步重点目标。

所以，我们提出一个“三层价值网”（Three Layers Value Net）的概念，供大家参考。

第一层：创造层

核心业务部门：主要进行价值创造，同时具有价值保护职能，在创造中保护，负责打赢战争。对应于原来三道防线理论的第一道防线；

第二层：能力层

支持职能部门：主要负责能力输出，在专业领域形成价值创造和保护的专项能力并支持第一层更好的进行价值创造和保护，以提升第一层的专项能力为主要目标，负责提供弹药。对应原来三道防线理论中的第二道防线；

第三层：绝缘层

保证职能部门：主要职能是保护价值，防止价值外流，建立审计和监督的价值外流“绝缘机制”，负责督战，更好的帮助企业实现价值。对应原来三道防线理论中的第三道防线。

4、结语

没有任何一个企业是在无风险的环境下运营的，企业的内部控制与风险管理体系提供了识别和评估风险的程序，增强了风险应对决策能力，减少了经营中的意外和损失，能够对于多种风险提供综合的应对措施，做到风险可控。但我们也应该看到企业管理体系存在的局限性，如风险管理体系设计不合理就会导致控制失灵，风险得不到有效防范。以“三道防线”思想为指导，将风控体系的牵头建设职能与独立评价职能分离，是完善内部控制和风险管理体系、优化企业管理的一项重要举措，也是做好企业风控工作的基石。

经邦大数据致力于数字赋能用户，实现风险可控下企业运营价值最大化。将帮助客户梳理并不断健全完善各项规章制度，持续进行优化，通过建设系统协助客户认真扎实地贯彻执行风险防范责任制，按规操作、规范管理、优化流程、面向业务、监控预警的风险合规文化建设，努力做到在规范与合规的前提下发展业务，以保证流程和规章制度在约束之内进行。实现企业内控、合规与全面风险管控系统的建设与实施落地，完善评价与监督考核体系综合建设，最终实现企业风控目标与战略目标的统一。