一談到企業風險管理的“三道防線”概念。我們就會想到前些年企業進行全面風險管理體系建設時,經常提起的在組織機構層面建立企業風險管理的“三道防線”的做法,即企業的業務部門作為前端部門是風險管理的第一道防線;企業風險管理職能機構作為風險管理的第二道防線;企業的內部審計職能機構作為風險管理的第三道防線。 三道防線共同組成了企業風險管理的防線系統,中國企業前些年進行的風險管理體系建設主要內容,是以建設第二道防線為主,包括建立組織機構和工作機制,識別和評估包括整個風險管理防線系統的相關風險,作為第二道防線工作開展的基礎。 下圖是前些年我們對典型的三道防線組織架構圖的理解。 在國際上,也有跟國內“三道防線”提法相對應的概念,即 Three Lines of Defense,也可以直譯為三道防線。即第一道防線是Risk Owner (風險所有方),也是指業務單元或部門;第二道防線是Risk Management (風險管理), 前些年在風險管理理論還不太成熟時,也有稱第二道防線是Risk Control and Compliance(風險控制與合規);第三道防線是Risk Assurance(風險保證),主要是指內部審計部門。 “三道防線”的概念到底是中國人先提出的還是國際上先出現的,我們還沒有找到確鑿的證據,如果是國際上先出現的,中國的三道防線的概念的提出是否是借鑒了國際經驗,現在還不好下定論。 新版COSO在附錄中也闡述了對於三道防線的概念,是從風險管理責任的角度論述的,談到了首席執行官CEO、首席風險官CRO和管理層三個層面各自的風險責任。 同時,也闡述了風險管理責任落實的第一道防線是:核心業務部門(Core Business);第二道防線是:支持職能部門(Supporting Function);第三道防線是:保證職能部門(Assurance Function)。 核心業務部門:和我們前期提到的第一道防線的概念基本一致,即企業管理的前臺部門,作為風險管理的第一責任機構; 支持職能部門:這部分作為第二道防線和前期的提法變化最大,支持職能部門除了包含風險管理專職職能之外,還包括:法務、合規、財務、人力、質量、安全等,所有可以協助一線核心業務部門進行風險管控的職能,都應該屬於支持職能部門,即第二道防線; 保證職能部門:主要指的是審計部門,包括內部審計和外部審計。 其中和我們原來三道防線的提法變化最大的就是第二道防線的內容,對原來風險管理職能進行了重新定義。原來我們指的是風險管理職能部門和風險管理委員會組成了企業風險管理的第二道防線。現在第二道防線將風險管理職能部門的範圍擴展到了所有支持部門。應該說,這是一種進步,是將風險管理工作從獨立的視角向整合的視角,以及更好的從企業管理活動的實際出發進行的重新定位。 其實COSO早在2015年就專門發布過關於企業風險管理三道防線的說明性文件,闡述了類似的理念。各位如有進一步學習需要,請見頁尾方式獲取。 基於COSO新版企業風險管理框架的方向性變化,可以看得出風險管理還是要遵守企業管理的法則,從整體企業價值創造的角度出發,才能更好的找到自己的位置和價值。 就三道防線而言,要結合企業核心價值創造的一系列活動來定義,才能更好的體現風險管理工作的意義和價值。 由美國著名戰略學家邁克爾·波特提出的"價值鏈分析法"(Michael Porter s Value Chain Model),把企業內外價值增加的活動分為基本活動和支持性活動。基本活動包括生產、銷售、采購、售後服務等核心環節。支持性活動涉及人事、財務、計劃、研究與開發等,基本活動和支持性活動構成了企業的價值鏈。 不同的企業參與的價值活動中,並不是每個環節都創造價值,實際上只有某些特定的價值活動才真正創造價值,這些真正創造價值的經營活動,就是價值鏈上的"戰略環節"。企業要保持的競爭優勢,實際上就是企業在價值鏈某些特定的戰略環節上的優勢。 運用價值鏈的分析方法來確定核心競爭力,就是要求企業密切關注組織的資源狀態,要求企業特別關注和培養在價值鏈的關鍵環節上獲得重要的核心競爭力,以形成和鞏固企業在行業內的競爭優勢。企業的優勢既可以來源於價值活動所涉及的市場範圍的調整,也可來源於企業間協調或合用價值鏈所帶來的最優化效益。波特的價值鏈分析法可以用如下圖表示: 根據上述分析,為了讓風險管理工作更好的發揮價值,必須將風險管理工作更好的融入企業的管理過程,嵌入到企業管理活動中去,而不是單搞一套,造成形式主義。 結合COSO關於三道防線的方向性建議與企業核心價值鏈的構造,結合中國企業的實際,我們可以粗略的構思出如下關於新型“三道防線”含義的表達圖示。 本圖以制造業企業為藍本,中間一行以基礎價值創造活動為核心,構成了風險管理的第一道防線; 基礎價值創造活動兩旁是支持職能,來更好的支持基礎價值創造活動的目標達成。除了我們說的風險管理專職職能如風險管理、內部控制,還包括我們比較常見的財務、法務、人力、研發、信息化、技術、安全、質量等等,其他內容不再一一列舉,只要符合我們對第二道防線的定義範疇,都可以算是第二道防線的支持職能; 最外圍的是保證職能,也就是第三道防線,包含了審計職能(內部審計與外部審計),還包含中國企業特有的兩塊職能,紀檢和監察,共同組成了第三道防線。 如果最終的價值體現可以歸結為利潤,那麼我們就可以以利潤達成為目標,當然價值的體現不僅僅可以歸納為利潤,這個話題我們前面的文章中聊過關於價值的內容,再此不再詳述。一、風險管理“三道防線”的概念
二、新版COSO-ERM中對於“三道防線”的表述
三、企業核心價值鏈是綱,“三道防線”是目,綱舉才能目張
四、構建企業核心價值鏈下的新型“三道防線”
五、企業風險管理中“三道防線”的職能發揮
企業風險管理的三道防線概念既然已經明確,那各道防線對於風險管理責任的承擔是怎麼分配的呢。
在前些年中國企業風險管理體系建立的過程中,曾經有一段時間,有一部分企業的相關領導認為,企業的風險管理工作就應該是風險管理專職職能負責。最開始企業的各業務部門對此種權利的劃分是有意見的。
有的質疑風險管理部門的精力是否可以照顧到每類風險,有的質疑風險管理部門不夠專業來管理這麼多類風險,還有的是因為不想讓風險管理部門插手自身業務太多,對自己形成牽制。盡管有這麼多的質疑,有的企業領導在初期還是把各類風險管理的權利和職責分配給了風險管理職能部門。經過一段時間的運行,突然有一天企業各業務部門醒悟了,覺得這樣的授權方式太爽了,業務部門的風險都由風險管理部門負責,自己不用再擔心出事擔責任了,而風險管理部門則被這種突如其來的“充分授權”搞得頭暈腦脹,苦不堪言。
在風險管理工作開展的初期,種種如上的錯位還有很多,這樣的決策破壞企業管理最基本的“責、權、利”的統一和對等。
企業風險管理的職責和企業管理的職責是一致的,被授予了什麼樣的權利,即同時授予了相對應的風險管理的職能,這是不能分割的一個整體。
我們可以通過華為的企業風險管理實踐了解一下企業應用層面的經驗,第一道防線即為風險的Owner(所有者),是企業風險防控的第一責任人,通過第一道防線要解決95%的問題,接下來才是要第二道防線和第三道防線要進行查漏補缺的。但是這裡也要明確一點,第二道防線和第三道防線在查找和明確這100%的問題是什麼的過程中,需要付出大量的參工作和精力來保證這種機制順利運轉的工作基礎。
發表評論 取消回複