三道防线就是一场足球赛-论风险管理、风险管理部与三道防线的职能发挥
前几年被邀请给国家注册风险管理师考试命题时,我曾出过一道考题:
A. 高级管理层 B. 风险管理部门 C. 业务部门 D. 外部专业机构
最后选择A、D的人并不是很多,但有很多人选择B,认为企业的风险管理部或者是风险管理职能部门应该负责风险的识别、分析和评估工作,这道题答案其实是C。
一、风险管理≠风险管理部
前些年,我们很多企业成立了风险管理部门,来负责企业风险管理各项工作,我在上上周的文章《实现风险管理与企业绩效的整合,风险管理部必须这么设!》(点击打开)中,提到了前几年我们对于风险管理部职能的总结定位是:
风险管理体系工作的归口管理部门,负责风险管理专业技术和工具和输出,以及负责一些年度重大的、需跨部门沟通协调的,以及无明确主责部门的风险的管理职能。
但是在最开始,有很多企业的风险管理部门负责过企业风险的识别、分析、评价工作,效果怎么样?说实话,有时效果并不理想。风险管理部虽然精通风险管理理论和工具的使用,但却不一定精通业务,如果不精通业务,显然风险评估的效果就会大打折扣,依赖于各个业务部门的风险信息输入作为风险管理工作的基础风险数据库,如果自身并不具备理解真正业务的能力,自然也就不会真正理解业务风险的能力。
问题就出在一开始很多企业将风险管理工作和风险管理部门等同了起来,一谈起风险管理就是风险管理部门的职责,最开始风险管理部还兴高采烈的谈论如何如何管控风险,但执行了一段时间之后发现帮着别人管风险没那么容易,业务部门如果心怀感激的对风险管理部门分担其风险管理的职能,那将是多么和谐和美好的事情。但事实上,我们更多的看到了业务部门和风险管理部门相互之间产生的摩擦,以及风险管理部门的委屈和无奈,抱怨别的部门不支持、不配合风险管理部的工作,一肚子的抱怨。
其实企业风险管理工作的范畴比风险管理部能够承担的内容要广得多,风险管理的职能体现并不是都体现在风险管理部的职能上。风险管理部的职能应该更多的体现在一种组织、协调、支持、配合的角度,帮着业务部门一起在达到业务目标的路上管控好风险。
就像新版COSO企业风险管理框架中倡导的,风险管理要实现和战略与绩效的融合,同样,风险管理的职能也要实现和各项现有管理职能要匹配。不是业务部门要配合风险管理部做好风险管理的各项工作,而是风险管理部门协助业务部门做好业务部门的风险管理工作,这是一个定位问题,各位从事风险管理工作的朋友一定一定要把自己的定位找好,不然吃力不讨好!
业务部门日常管理业务时应该同时执行其风险控制的相关要求,可能这样的定位有时业务部门会有意见,但这就是职能所在,就是第一道防线应该尽的职责。前期问题的根源就是风险管理部冲到了前面承担了第一道防线应该承担的职责。
那如何让风险管理职责融入现有的职责中去?我曾经给一家总部位于河北的世界500企业做风险顾问时,结合当时企业正在进行的定岗、定编、定责的“三定”工作,我协助人力资源部在编制各部门和岗位的职责说明书时,将其所承担的风险管理责任明确了列示了出来,让其可以非常清晰的看到本部门、本岗位应该承担的风险责任,这是一种将其风险管理职能融入管理职能的一种显性化做法。
同样,我们评价一个企业风险管理能力的好坏时,也不能单纯的看是否设立了风险管理部门,国际上有很多关于企业风险管理能力评价的模型,我曾在美国的企业带队进行过全球各机构的风险管理成熟度的评价方法论调研,并对其能力模型进行了升级和应用,几大类几十项评价指标中,是否设立明确的风险管理职能专职部门只是在风险管理组织体系是否健全中的一个子项,所占比重并不是很突出。
二、风险管理部≠第二道防线
前一阵,我写了一篇关于三道防线的文章,引起了各位专家和从业者的热议,
《号外:风险管理“三道防线”含义已变!(点击打开)》,其中一个主要的观点是关于第二道防线的着重论述,我们前些年提到风险管理的三道防线时,都把风险管理职能这条线作为第二道防线,包括风险管理职能部门、风险管理部、风险管理委员会等。但实际上,所谓的风险管理第二道防线并不仅是指风险管理这条线,今天我们再稍作补充。
为了大家更好的理解三道防线的含义,我们打一个比方,我们可以用踢足球赛的例子来形象的理解企业的风险管理三道防线,虽然不是十分贴切:
第一道防线:场上球员,他们在球场上的表现直接关系到整场比赛的结果;(业务部门)
第二道防线:教练员,设定规则,不时的提醒和辅助球员,但是不亲自上场踢球;(管理和控制职能部门)
第三道防线:裁判员,检查和监督球员的规则遵守情况。(审计职能)
其中,第二道防线的教练员既能保持和第一道防线关于比赛情况的沟通,有时甚至可以根据实际情况改变打法,比如效率和控制的平衡(参考文章:任正非,风控和业务要一起上战场),又能和第三道防线交流如何更好的保持和遵守比赛规则,以及将其融入到打法中去。
球赛中的比赛规则是清晰明了的,但企业中的规则却不一定是那么清晰,有时第三道防线检查球员的是否犯规,也可以参考第二道防线设定的规则和打法。
那第二道防线在企业到底是哪些部门?简单来说,除了一线第一道防线的业务部门和第三道防线的审计监察部门,大概都可以归集到第二道防线的范畴。
虽然企业可以划分出三道防线,但是从足球赛的比喻中,我们可以看到,三道防线并无实质利益冲突,而且在企业来讲利益是趋同一致的。它的最终绩效不是衡量第二道防线设定的规则如何,第三道防线进行的检查监督效果如何,这些规则和检查的目标,也并不是为了限制第一道防线的表现,而共同目标是要赢得比赛!这就是任正非提到的所有防线的价值体现都是多打粮食,而不是妨碍粮食生产。
由上所述,我们可以总结出对于三个概念范围的界定,企业风险管理包含了三道防线,而其中的第二道防线又不仅是风险管理部。
所以正确的范围顺序应该是:风险管理>第二道防线>风险管理部
三、关于三道防线的职能发挥与融合
最近还有不少人咨询,关于第二道防线和第三道方式是否可以融合的问题,比如风险管理部和审计部是否可以放在一起。原则上来讲,没有明确的限制规定风险管理部和审计部必须分离,最基本的原则是两个职能的岗位实现互相分离即可,就算在一个屋檐下。我见过有的企业,建立了大监督部,将审计、法务、风控、合规、纪检、监察都放入了一个部门。我们的建议是,在不违背基本原则的情况下,企业完全可以自行实践,探索属于自己的管理体系,定好位、定好责、画好圈、明确分工及合作机制才是最重要的。
除了第二道防线和第三道防线融合的情况,另外,也有企业将第一道防线和第二道防线的融合,比如强化第一道防线的风险管理和控制职能,而不单设风险管理部门,确实有这样的情况。第二道防线中的部分要素可以根据具体情况,与第一道防线和第三道防线产生职责交叉。但是第一道防线和第三道防线则不能尝试融合,这是最基本的原则和控制要求。
福利来了!
为了更好的让大家学习风险管理知识,风险管理世界公众号专门整理了第一批经典资料库,可供大家学习参考:
1、COSO 2017 新版风险管理框架中文摘要 ;
2、COSO 2016 新版风险管理框架征求意见版;
3、COSO 关于三道防线定位及职责论述英文版;
4、COSO 2004版风险管理框架英文版;
5、COSO 2004版风险管理框架中文版;
6、COSO 1992版内部控制框架英文版;
7、ISO31000《风险管理指南》 2009年英文版;
8、ISO31000《风险管理指南》 2009年中文版;
9、AS/NZS:4360 全球第一个国家风险管理标准;
10、中国企业内部控制十年专题报告;
具体获取方式,请添加下方疯控叔微信号咨询!
延伸阅读:
1.【收藏版】全面解析2017COSO新版企业风险管理框架(二合一)
3.【原创】从COSO ERM的演变看企业风险管理工作的定位