三道防线新进化，从“防线”到“价值网”的蜕变

阳光男孩007007 2019-09-08

展开全文

一、三道防线的理论

第一道防线：

核心业务部门：即指的是企业经营管理中和外部市场接触最前台的部门，如销售部门、采购部门等核心业务部门，作为风险管理的第一责任机构；

第二道防线：

支持职能部门：这部分作为第二道防线和前些年的提法变化最大，一般我们理解上是风控、内控、合规等部门是典型的第二道防线内容，但最新的三道防线是将所有的支持职能部门包括：法务、合规、财务、人力、质量、安全等等，所有可以协助一线核心业务部门进行风险管控的职能，都属于支持职能部门，即第二道防线；

第三道防线：

保证职能部门：主要指的是独立监督和审计部门，包括内部审计和外部审计，部分企业还包括纪检和监察职能。

去年，我参考迈克尔·波特提出的'价值链分析法'（Value Chain Model），重新绘制了三道防线的示意图。

二、审计、风险与防线

三道防线的理论广泛用于金融银行业，因为金融业的风险属于风险集中管理类型，这也是有一定原因的，往往风险管理的职能越集中，三道防线的边界就会越清晰。

近些年来，三道防线的方法也被引入到了一般的企业进行风险管理，用以更好的划分不同的职能在管理风险时的不同职责。

我们能够看到的是，这样的方法最开始是从内部审计职能引入的，有很多关于企业三道防线的资料都是出自一些国际的审计相关组织。

审计工作的底层逻辑是基于风险的，所以，在企业风险管理发展的历程中，其中有一个脉络就是从审计中来。这也是我们看到很多企业的风险管理职能是从内部审计中慢慢分离出来的原因。

当然，基于风险的职能不仅只有审计，企业所有防守职能的底层逻辑都是基于风险的。

三、对立统一皆为二

三道防线的理论其实本质上是两道防线，正反思维对撞，在对立中发展，所有的管理莫出其外，决策与制衡、效率与控制、执行与监督都是一样的道理。

所以三道防线中最核心的内容是第一道和第三道，即执行与监督，缺一不可，第二道防线实是衍生物，所以在之前的文章里，我提到实践中第一道防线和第二道防线可以融合，第二道防线与第三道防线可以融合，但第一道防线和第三道防线则不可融合。

而对第二道防线的理解，在三道防线理论里是个重点，之前在企业的实践中讨论的最多。

第一道防线和第二道防线融合侧重的是核心业务层风险的自控制，将风险管理工作最大程度的嵌入业务职能。

第二道防线和第三道防线融合侧重的是对风险的监督检查，将风险管理工作要求最大程度的通过监督检查职能实现。

实际上，这两种融合方式最后的效果是一样的，只不过从不同的两个侧面驱动而已。

四、从防到攻防并重

如果大家熟悉我之前的观点，今天我们谈到的风险和之前传统的认知相比已经发生了变化，我们传统上认为风险就是一种损失，而我们最新的认知认为风险就是一种不确定性，不确定性不仅仅会带来损失可能，还有可能会带来积极的可以利用的方面，所以，我之前对风险有一个定义：影响目标实现的不确定性。

站在传统的视角上，风险是要“防”的，因为它会带来损失，特别是从审计视角出发的风险，也往往是针对这类传统的风险。但站在当下的认知下，风险的属性也和从前大不相同，有些风险是“防不胜防”的，我们对风险的态度，也需要从最开始的恐惧、逃避、抗争、防范，转变为对风险的理解、接受、管理和更好的利用，特别是在当下的不确定环境下，对风险的态度以及学会如何与风险共处将决定一个企业的前途命运。

传统的风险会带来损失，所以我们的风险管理主要的目标是防范损失，保护价值，但当我们可以更好的把握和利用风险时，我们就可以利用风险管理创造价值，形成创造和保护价值并重的理论体系。

所以，单纯谈“防线”已经越来越不能满足企业风险管理的需要，因为作为一个企业整体来看，不仅要防，还需要攻，每一个理论都需要有攻防结合的双向意识才可以帮助企业更好的发展。

五、三层价值网

三道防线的理论如何发展进化以适应这样新时代的要求，我思考的很长时间，怎么能体现风险理论的最新发展，实现攻与防统一，不仅要侧重价值保护，更需要聚焦价值创造，帮助组织最终实现价值。

我们今天谈到的授权和赋能，是应对不确定性的有效手段，那么风险管理工作的本身是否也需要更多的授权和赋能核心业务部门，我想也是必然的，提升业务部门自身的风险管理能力，是风险管理工作的下一步重点目标。

所以，今天我提出一个“三层价值网”（Three Layers Value Net）的概念，供大家参考。