2017年9月发布的新版COSO企业风险管理框架在附录中阐述了对于三道防线的概念,谈到了首席执行官CEO、首席风险官CRO和管理层三个层面各自的风险责任。阐述了风险管理责任落实的第一道防线是:核心业务部门(Core Business);第二道防线是:支持职能部门(Supporting Function);第三道防线是:保证职能部门(Assurance Function)。第一道防线:核心业务部门:和我们前期提到的第一道防线的概念基本一致,即企业管理的前台部门,作为风险管理的第一责任机构;第二道防线:支持职能部门:这部分作为第二道防线和前期的提法变化最大,支持职能部门除了包含风险管理专职职能之外,还包括:法务、合规、财务、人力、质量、安全等,所有可以协助一线核心业务部门进行风险管控的职能,都应该属于支持职能部门,即第二道防线;第三道防线:保证职能部门:主要指的是审计部门,包括内部审计和外部审计。原来我们指的是风险管理职能部门和风险管理委员会组成了企业风险管理的第二道防线。现在第二道防线将风险管理职能部门的范围扩展到了所有支持部门。应该说,这是一种进步,是将风险管理工作从独立的视角向整合的视角,以及更好的从企业管理活动的实际出发进行的重新定位。三道防线这个概念能被企业广泛使用和接受,目前能够查到比较有影响力的理论成果是IIA2013年发布的一份《有效风险管理与控制的三道防线》立场报告。
2020年,IIA更新了三道防线模型,新版三线模型发布,将第一道防线和第二道防线放在了一起,之前第二道防线处于中间位置,往前可以和第一道防线紧密合作发挥专业支持作用,往后可以和第三道防线联合发挥监督作用。第一道防线和第二道防线融合侧重的是核心业务层风险的自控制,将风险管理工作最大程度的嵌入业务职能。第二道防线和第三道防线融合侧重的是对风险的监督检查,将风险管理工作要求最大程度的通过监督检查职能实现。实践过程中也有的将第二道防线的内容拆分划入第一道防线和第三道防线的职能中去。新版本的三道防线模型显然采用的是第一种融合方式,将第一道和第二道融合,这符合我们之前对于第二道防线的“赋能”定位。结合几种三道防线理论模型,我之前还曾基于迈克尔·波特提出的'价值链分析法'(Michael Porter s Value Chain Model)改造了三道防线模型图。
中间一行以基础价值创造活动为核心,构成了风险管理的第一道防线;基础价值创造活动两旁是支持职能,来更好的支持基础价值创造活动的目标达成。除了我们说的风险管理专职职能如风险管理、内部控制,还包括我们比较常见的财务、法务、人力、研发、信息化、技术、安全、质量等等,其他内容不再一一列举,只要符合我们对第二道防线的定义范畴,都可以算是第二道防线的支持职能;最外围的是保证职能,也就是第三道防线,包含了审计职能(内部审计与外部审计),还包含中国企业特有的两块职能,纪检和监察,共同组成了第三道防线。从上面的三道防线模型我们可以看出,三道防线的划分方式有两个前提条件:
1、三道防线的适用视角是整个企业;
2、三道防线是针对企业核心业务而言的。
这是三道防线使用的前提。
这里面需要有一个问题需要澄清,我们以往使用的风险分类并不是以核心业务为中心划分的,所以这两个之间会有一定不匹配的情况。
按照国务院国资委《中央企业全面风险管理指引》的风险分类方式,企业风险可以分为:战略风险、市场风险、运营风险、财务风险、法律风险等五大类。
这种分类方式是一种归纳分类,并不能体系企业核心价值创造活动层次和阶段,这是两种逻辑,没有对错。为此,之前我还专门写过一篇文章:
或者是将这三类内容视为目标,给原来那五类风险贴上标签。
这样我们才能更好的定位当我们提某一类风险时,到底指代的是什么样的风险,是哪一个级别的风险。定义不清,则风险的内涵差异会非常大。回到开始的问题,风险管理三道防线的第一道、第二道、第三道划分方式是针对企业整体、核心业务而言的。
如果具体到某一类风险,也可以应用三道防线的模型去管理风险,逻辑相同,但应用场景不同。
用三道防线去管理风险的核心是让风险管理的主责部门(risk owner)担负起管理风险的主要责任,这是本质。
比如人力资源风险,COSO的企业风险管理框架中有一个原则叫“吸引、发展和留住核心人才”,这需要公司设定对人才风险管理的总体基调,培育珍惜人才/重视人才的企业文化、出台一系列的人力资源政策。这些内容都是人力资源部作为主要的职责来履行。
虽然在企业管理核心业务风险中,人力资源部属于第二道防线,但就人力资源风险而言,人力资源部就是第一道防线。所以,无论你在三道防线模型中属于哪一道,对于你需要承担主要职责的风险类型,你一定是第一道防线!
