查看原文
其他

号外:风险管理“三道防线”含义已变!-COSO新版企业风险管理框架系列解读(八)

孙友文 大风控 2023-02-24

一、风险管理“三道防线”的概念


一谈到企业风险管理的“三道防线”概念。我们就会想到前些年企业进行全面风险管理体系建设时,经常提起的在组织机构层面建立企业风险管理的“三道防线”的做法,即企业的业务部门作为前端部门是风险管理的第一道防线;企业风险管理职能机构作为风险管理的第二道防线;企业的内部审计职能机构作为风险管理的第三道防线。


三道防线共同组成了企业风险管理的防线系统,中国企业前些年进行的风险管理体系建设主要内容,是以建设第二道防线为主,包括建立组织机构和工作机制,识别和评估包括整个风险管理防线系统的相关风险,作为第二道防线工作开展的基础。


下图是前些年我们对典型的三道防线组织架构图的理解。



在国际上,也有跟国内“三道防线”提法相对应的概念,即 Three Lines of Defense,也可以直译为三道防线。即第一道防线是Risk Owner (风险所有方),也是指业务单元或部门;第二道防线是Risk Management (风险管理), 前些年在风险管理理论还不太成熟时,也有称第二道防线是Risk Control and Compliance(风险控制与合规);第三道防线是Risk Assurance(风险保证),主要是指内部审计部门。 


“三道防线”的概念到底是中国人先提出的还是国际上先出现的,我们还没有找到确凿的证据,如果是国际上先出现的,中国的三道防线的概念的提出是否是借鉴了国际经验,现在还不好下定论。



二、新版COSO-ERM中对于“三道防线”的表述


新版COSO在附录中也阐述了对于三道防线的概念,是从风险管理责任的角度论述的,谈到了首席执行官CEO、首席风险官CRO和管理层三个层面各自的风险责任。



同时,也阐述了风险管理责任落实的第一道防线是:核心业务部门(Core Business);第二道防线是:支持职能部门(Supporting Function);第三道防线是:保证职能部门(Assurance Function)。


核心业务部门:和我们前期提到的第一道防线的概念基本一致,即企业管理的前台部门,作为风险管理的第一责任机构;


支持职能部门:这部分作为第二道防线和前期的提法变化最大,支持职能部门除了包含风险管理专职职能之外,还包括:法务、合规、财务、人力、质量、安全等,所有可以协助一线核心业务部门进行风险管控的职能,都应该属于支持职能部门,即第二道防线;


保证职能部门:主要指的是审计部门,包括内部审计和外部审计。


其中和我们原来三道防线的提法变化最大的就是第二道防线的内容,对原来风险管理职能进行了重新定义。原来我们指的是风险管理职能部门和风险管理委员会组成了企业风险管理的第二道防线。现在第二道防线将风险管理职能部门的范围扩展到了所有支持部门。应该说,这是一种进步,是将风险管理工作从独立的视角向整合的视角,以及更好的从企业管理活动的实际出发进行的重新定位。


其实COSO早在2015年就专门发布过关于企业风险管理三道防线的说明性文件,阐述了类似的理念。各位如有进一步学习需要,请见页尾方式获取。


三、企业核心价值链是纲,“三道防线”是目,纲举才能目张


基于COSO新版企业风险管理框架的方向性变化,可以看得出风险管理还是要遵守企业管理的法则,从整体企业价值创造的角度出发,才能更好的找到自己的位置和价值。


就三道防线而言,要结合企业核心价值创造的一系列活动来定义,才能更好的体现风险管理工作的意义和价值。


由美国著名战略学家迈克尔·波特提出的"价值链分析法"(Michael Porter s Value Chain Model),把企业内外价值增加的活动分为基本活动和支持性活动。基本活动包括生产、销售、采购、售后服务等核心环节。支持性活动涉及人事、财务、计划、研究与开发等,基本活动和支持性活动构成了企业的价值链。


不同的企业参与的价值活动中,并不是每个环节都创造价值,实际上只有某些特定的价值活动才真正创造价值,这些真正创造价值的经营活动,就是价值链上的"战略环节"。企业要保持的竞争优势,实际上就是企业在价值链某些特定的战略环节上的优势。


运用价值链的分析方法来确定核心竞争力,就是要求企业密切关注组织的资源状态,要求企业特别关注和培养在价值链的关键环节上获得重要的核心竞争力,以形成和巩固企业在行业内的竞争优势。企业的优势既可以来源于价值活动所涉及的市场范围的调整,也可来源于企业间协调或合用价值链所带来的最优化效益。波特的价值链分析法可以用如下图表示:



四、构建企业核心价值链下的新型“三道防线”


根据上述分析,为了让风险管理工作更好的发挥价值,必须将风险管理工作更好的融入企业的管理过程,嵌入到企业管理活动中去,而不是单搞一套,造成形式主义。


结合COSO关于三道防线的方向性建议与企业核心价值链的构造,结合中国企业的实际,我们可以粗略的构思出如下关于新型“三道防线”含义的表达图示。



本图以制造业企业为蓝本,中间一行以基础价值创造活动为核心,构成了风险管理的第一道防线;


基础价值创造活动两旁是支持职能,来更好的支持基础价值创造活动的目标达成。除了我们说的风险管理专职职能如风险管理、内部控制,还包括我们比较常见的财务、法务、人力、研发、信息化、技术、安全、质量等等,其他内容不再一一列举,只要符合我们对第二道防线的定义范畴,都可以算是第二道防线的支持职能;


最外围的是保证职能,也就是第三道防线,包含了审计职能(内部审计与外部审计),还包含中国企业特有的两块职能,纪检和监察,共同组成了第三道防线。


如果最终的价值体现可以归结为利润,那么我们就可以以利润达成为目标,当然价值的体现不仅仅可以归纳为利润,这个话题我们前面的文章中聊过关于价值的内容,再此不再详述。


五、企业风险管理中“三道防线”的职能发挥


企业风险管理的三道防线概念既然已经明确,那各道防线对于风险管理责任的承担是怎么分配的呢。


在前些年中国企业风险管理体系建立的过程中,曾经有一段时间,有一部分企业的相关领导认为,企业的风险管理工作就应该是风险管理专职职能负责。最开始企业的各业务部门对此种权利的划分是有意见的。


有的质疑风险管理部门的精力是否可以照顾到每类风险,有的质疑风险管理部门不够专业来管理这么多类风险,还有的是因为不想让风险管理部门插手自身业务太多,对自己形成牵制。尽管有这么多的质疑,有的企业领导在初期还是把各类风险管理的权利和职责分配给了风险管理职能部门。经过一段时间的运行,突然有一天企业各业务部门醒悟了,觉得这样的授权方式太爽了,业务部门的风险都由风险管理部门负责,自己不用再担心出事担责任了,而风险管理部门则被这种突如其来的“充分授权”搞得头晕脑胀,苦不堪言。


在风险管理工作开展的初期,种种如上的错位还有很多,这样的决策破坏企业管理最基本的“责、权、利”的统一和对等。



企业风险管理的职责和企业管理的职责是一致的,被授予了什么样的权利,即同时授予了相对应的风险管理的职能,这是不能分割的一个整体。


我们可以通过华为的企业风险管理实践了解一下企业应用层面的经验,第一道防线即为风险的Owner(所有者),是企业风险防控的第一责任人,通过第一道防线要解决95%的问题,接下来才是要第二道防线和第三道防线要进行查漏补缺的。但是这里也要明确一点,第二道防线和第三道防线在查找和明确这100%的问题是什么的过程中,需要付出大量的参工作和精力来保证这种机制顺利运转的工作基础。



如需索取COSO 关于三道防线的专题原文,请留言本公众号!


延伸阅读:

1. 【原创】首次全面解析2017 COSO 正式版《企业风险管理框架》‍

2. 【原创】从COSO ERM的演变看企业风险管理工作的定位

3. 【原创】人工智能时代将是中国风险管理人才发展的春天

4. 【原创】ISO31000:2017《风险管理原则与指南》送审版先睹为快

5. 【原文】任正非112号令: 风控人员要和业务人员一起上战场

6. 【原创】不要误读任正非,为了风险控制把业务部门逼上梁山?

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存