号外:风险管理“三道防线”含义已变!-COSO新版企业风险管理框架系列解读
(⼋)
⼀、风险管理“三道防线”的概念
2015高考作文
⼀谈到企业风险管理的“三道防线”概念。我们就会想到前些年企业进⾏全⾯风险管理体系建设
时,经常提起的在组织机构层⾯建⽴企业风险管理的“三道防线”的做法,即企业的业务部门作为
前端部门是风险管理的第⼀道防线;企业风险管理职能机构作为风险管理的第⼆道防线;企业
的内部审计职能机构作为风险管理的第三道防线。
三道防线共同组成了企业风险管理的防线系统,中国企业前些年进⾏的风险管理体系建设主要
内容,是以建设第⼆道防线为主,包括建⽴组织机构和⼯作机制,识别和评估包括整个风险管
理防线系统的相关风险,作为第⼆道防线⼯作开展的基础。
下图是前些年我们对典型的三道防线组织架构图的理解。
在国际上,也有跟国内“三道防线”提法相对应的概念,即 Three Lines of Defen,也可以直译
为三道防线。即第⼀道防线是Risk Owner (风险所有⽅),也是指业务单元或部门;第⼆道防线
是Risk Management (风险管理), 前些年在风险管理理论还不太成熟时,也有称第⼆道防线是
firewallRisk Control and Compliance(风险控制与合规);第三道防线是Risk Assurance(风险保
证),主要是指内部审计部门。
“三道防线”的概念到底是中国⼈先提出的还是国际上先出现的,我们还没有找到确凿的证据,如
果是国际上先出现的,中国的三道防线的概念的提出是否是借鉴了国际经验,现在还不好下定日语能力考试真题
论。
⼆、新版COSO-ERM中对于“三道防线”的表述哪有军事夏令营
新版COSO在附录中也阐述了对于三道防线的概念,是从风险管理责任的⾓度论述的,谈到了
⾸席执⾏官CEO、⾸席风险官CRO和管理层三个层⾯各⾃的风险责任。
同时,也阐述了风险管理责任落实的第⼀道防线是:核⼼业务部门(Core Business);第⼆道
防线是:⽀持职能部门(Supporting Function);第三道防线是:保证职能部门(Assurance
necrophiliaFunction)。
核⼼业务部门:和我们前期提到的第⼀道防线的概念基本⼀致,即企业管理的前台部门,作为
风险管理的第⼀责任机构;
picture是什么意思⽀持职能部门:这部分作为第⼆道防线和前期的提法变化最⼤,⽀持职能部门除了包含风险管
理专职职能之外,还包括:法务、合规、财务、⼈⼒、质量、安全等,所有可以协助⼀线核⼼
业务部门进⾏风险管控的职能,都应该属于⽀持职能部门,即第⼆道防线;
保证职能部门:主要指的是审计部门,包括内部审计和外部审计。
什么是同声传译
其中和我们原来三道防线的提法变化最⼤的就是第⼆道防线的内容,对原来风险管理职能进⾏了重新定义。原来我们指的是风险管理职能部门和风险管理委员会组成了企业风险管理的第⼆道防线。现在第⼆道防线将风险管理职能部门的范围扩展到了所有⽀持部门。应该说,这是⼀种进步,是将风险管
理⼯作从独⽴的视⾓向整合的视⾓,以及更好的从企业管理活动的实际出发进⾏的重新定位。
其实COSO早在2015年就专门发布过关于企业风险管理三道防线的说明性⽂件,阐述了类似的理念。各位如有进⼀步学习需要,请见页尾⽅式获取。
三、企业核⼼价值链是纲,“三道防线”是⽬,纲举才能⽬张
基于COSO新版企业风险管理框架的⽅向性变化,可以看得出风险管理还是要遵守企业管理的法则,从整体企业价值创造的⾓度出发,才能更好的找到⾃⼰的位置和价值。
就三道防线⽽⾔,要结合企业核⼼价值创造的⼀系列活动来定义,才能更好的体现风险管理⼯作的意义和价值。
由美国著名战略学家迈克尔·波特提出的'价值链分析法'(Michael Porter s Value Chain Model),把企业内外价值增加的活动分为基本活动和⽀持性活动。基本活动包括⽣产、销售、采购、售后服务等核⼼环节。⽀持性活动涉及⼈事、财务、计划、研究与开发等,基本活动和⽀持性活动构成了企业的价值链。
不同的企业参与的价值活动中,并不是每个环节都创造价值,实际上只有某些特定的价值活动才真正创造价值,这些真正创造价值的经营活动,就是价值链上的'战略环节'。企业要保持的竞争优势,实际
上就是企业在价值链某些特定的战略环节上的优势。
运⽤价值链的分析⽅法来确定核⼼竞争⼒,就是要求企业密切关注组织的资源状态,要求企业特别关注和培养在价值链的关键环节上获得重要的核⼼竞争⼒,以形成和巩固企业在⾏业内的竞争优势。企业的优势既可以来源于价值活动所涉及的市场范围的调整,也可来源于企业间协调或合⽤价值链所带来的最优化效益。波特的价值链分析法可以⽤如下图表⽰:swat
四、构建企业核⼼价值链下的新型“三道防线”
根据上述分析,为了让风险管理⼯作更好的发挥价值,必须将风险管理⼯作更好的融⼊企业的管理过程,嵌⼊到企业管理活动中去,⽽不是单搞⼀套,造成形式主义。
结合COSO关于三道防线的⽅向性建议与企业核⼼价值链的构造,结合中国企业的实际,我们可以粗略的构思出如下关于新型“三道防线”含义的表达图⽰。
本图以制造业企业为蓝本,中间⼀⾏以基础价值创造活动为核⼼,构成了风险管理的第⼀道防线;
announcer
基础价值创造活动两旁是⽀持职能,来更好的⽀持基础价值创造活动的⽬标达成。除了我们说的风险管理专职职能如风险管理、内部控制,还包括我们⽐较常见的财务、法务、⼈⼒、研发、信息化、技术、安全、质量等等,其他内容不再⼀⼀列举,只要符合我们对第⼆道防线的定义范畴,都可以算是
第⼆道防线的⽀持职能;
最外围的是保证职能,也就是第三道防线,包含了审计职能(内部审计与外部审计),还包含中国企业特有的两块职能,纪检和监察,共同组成了第三道防线。
如果最终的价值体现可以归结为利润,那么我们就可以以利润达成为⽬标,当然价值的体现不仅仅可以归纳为利润,这个话题我们前⾯的⽂章中聊过关于价值的内容,再此不再详述。
coca cola
五、企业风险管理中“三道防线”的职能发挥
企业风险管理的三道防线概念既然已经明确,那各道防线对于风险管理责任的承担是怎么分配的呢。
在前些年中国企业风险管理体系建⽴的过程中,曾经有⼀段时间,有⼀部分企业的相关领导认为,企业的风险管理⼯作就应该是风险管理专职职能负责。最开始企业的各业务部门对此种权利的划分是有意见的。
有的质疑风险管理部门的精⼒是否可以照顾到每类风险,有的质疑风险管理部门不够专业来管理这么多类风险,还有的是因为不想让风险管理部门插⼿⾃⾝业务太多,对⾃⼰形成牵制。尽管有这么多的质疑,有的企业领导在初期还是把各类风险管理的权利和职责分配给了风险管理职能部门。经过⼀段时间的运⾏,突然有⼀天企业各业务部门醒悟了,觉得这样的授权⽅式太爽了,业务部门的风险都由
风险管理部门负责,⾃⼰不⽤再担⼼出事担责任了,⽽风险管理部门则被这种突如其来的“充分授权”搞得头晕脑胀,苦不堪⾔。
在风险管理⼯作开展的初期,种种如上的错位还有很多,这样的决策破坏企业管理最基本
的“责、权、利”的统⼀和对等。
企业风险管理的职责和企业管理的职责是⼀致的,被授予了什么样的权利,即同时授予了相对应的风险管理的职能,这是不能分割的⼀个整体。
我们可以通过华为的企业风险管理实践了解⼀下企业应⽤层⾯的经验,第⼀道防线即为风险的Owner(所有者),是企业风险防控的第⼀责任⼈,通过第⼀道防线要解决95%的问题,接下来才是要第⼆道防线和第三道防线要进⾏查漏补缺的。但是这⾥也要明确⼀点,第⼆道防线和第三道防线在查找和明确这100%的问题是什么的过程中,需要付出⼤量的参⼯作和精⼒来保证这种机制顺利运转的⼯作基础。
如需索取COSO 关于三道防线的专题原⽂,请留⾔本公众号!
