對促進企業風險管理三道防線協調運轉的思考

◎中國航天科技集團公司 鄭永強

對促進企業風險管理三道防線協調運轉的思考

◎中國航天科技集團公司 鄭永強

風險管理三道防線是為了提升企業的整體風險管理能力提出的，其實質是以企業的各級崗位角色和職責為前提，對風險管理責任進行劃分。如果三道防線都能有效履行其風險管理職責，企業就能成功實現全面風險管理體系建設目標。

一、三道防線的構成

1．第一道防線

企業一線的運營和管理層構成了風險管理的第一道防線，業務和流程的責任人應對其在組織或管理活動中的風險及控制直接負責，促進企業總體目標的實現。

在建設全面風險管理體系過程中，基于對《企業風險管理—整合框架》的認識，并結合自身實際，從集團層面進行設計，將各職能部門和下屬單位定位為風險管理的第一道防線。

2．第二道防線

企業風險管理委員會(或領導組織)及風險管理主管部門構成了風險管理的第二道防線，其主要職責是營造企業的風險管理環境，在整個企業范圍內建立對風險的統一認識，在管理層的領導和監督下促進第一道防線對風險實施的管控合理有效。

從中國航天科技集團公司的實際情況看，第二道防線在每個單位的組織框架內表現為不同的形式，其職責定位也有所區別，這主要是由單位的組織規模和行業特性決定的。在業務復雜或受到嚴格監管的大型單位，如大型研究院、財務公司、投資控股公司等，這些單位第二道防線的建立往往是比較獨立的，擁有專門的風險管理機構;業務不太復雜、外部監管要求不太突出的單位則可能沒有設置專門的管理機構來履行第二道防線的職能。不同單位的第二道防線職責也有所區別，如財務公司、投資控股公司，其風險管理部門在履行第二道防線職責的同時，還是業務管理流程上的一個重要控制點，對權益性投資項目、金融投資項目等的風險進行直接監控或提出具體建議，在一定程度上發揮著第一道防線的作用。另外還要結合本單位的具體情況，對外部硬性監管政策和紅線要求進行持續監控，以防范政策風險。

3．第三道防線

企業內部審計是第三道防線，主要職責是對董事會和高級管理層所關心的風險與控制的有效性進行獨立審計并報告，第三道防線重點提供的是具有獨立性的監督而非對風險管理業務的管理。

二、風險管理機制的建立

擁有完善且運行有效的風險管理三道防線的企業，不僅可以高效識別和防范企業運營中存在或出現的風險，同時也可以通過信息渠道讓企業董事會或高級管理層有更多機會獲得重大風險及應對的無偏差信息，并通過落實高層管理者對風險提出的監管要求，加強企業對風險的管控。

企業無論采用何種治理結構，全面風險管理三道防線的設計、運行都應努力促成與治理結構的一致，這樣才能通過適當的政策和程序來明確職責，并通過一致的高層基調實現風險管理三道防線的不斷強化。需要強調的是，風險管理三道防線僅僅提供了如何具體分配角色和職責架構的前提，只有當董事會和高級管理層給予積極支持及指導時才能得以高效實施。

1．董事會和高級管理層的定位

根據美國COSO與國際內部審計協會合作完成的《在三道防線中發揮內部控制作用》對三道防線框架的分析，董事會和高層經營管理者均未被明確視為風險管理三道防線的成員，但二者有設定組織目標、制定企業發展戰略、建立企業治理結構從而管理風險的責任。因此，他們是風險管理防線設定和環境建設的領導者。同時，高層經營管理者按照承擔的職責還對第一、二道防線的活動負責。從這一點看，企業開展全面風險管理很大程度上取決于企業高層管理者的風險防范意識和采取的風險策略。在高風險領域，高層經營管理者將直接監督第一道防線對重大風險的防控情況，履行第一道防線的部分職責。

2．運營管理者的定位

企業制定總目標并將其分解為分目標或子目標。運營管理者是分目標或子目標實現的直接責任人，也是在職責范圍內發揮第一道防線的第一責任者。風險管理包括識別和評估重大風險，執行既定的活動或落實應對措施，并及時與相關方進行溝通，向主管的高層管理者匯報風險識別與管控情況，將重大風險情況向高層傳遞，以獲得更多的防范風險資源和保證。

3．業務管理者的定位

就風險管理業務而言，第二道防線主要執行的是獨立于第一道防線的管理職能。業務管理者在企業高級管理層的指導和監督下，持續監控風險識別與控制的有效和合理性，組織開展風險管理環境建設。由于風險管理環境是企業組織建設的有機構成，需要不斷與高層經營管理者進行溝通，并獲得及時的指導信息。因此，風險管理委員會就成為第二道防線的重要構成。

4．內部審計管理者的定位

內部審計與第一、二道防線的區別是其具有高度的組織獨立性和客觀性，主要通過采用系統、規范的方法評估和改善風險管理流程執行的有效性，幫助企業實現風險管理目標。其最大的優勢是可以向董事會或高級管理層提供監督信息，促進缺陷的改正，為風險管理的有效性提供監督保證，因此就構成了企業風險管理的第三道防線。

三、實現三道防線的協調運轉

企業風險管理三道防線雖然在職責上有一定的區分，但它們有著相同的終級目標，即通過有效的風險管理保證企業總目標的實現。從具體工作內容看，它們在解決風險問題方面也有很多一致性。因此，企業董事會和高級管理層在設定風險管理三道防線的同時，應清晰地提出風險管理三道防線之間應當實現信息共享及協調合作，以提高企業風險管理的整體效率和效果。

1．第一道防線的主要工作

第一道防線是其職責范圍內風險的第一責任者，用各種方法來管理風險，同時將影響企業總目標的風險信息向第二道防線傳遞，主要包括以下3個方面：

一是運營管理者應組織開展職責范圍內的重大風險識別，在了解風險分布的情況下有針對性地提出風險管控措施。對日常運營中存在的常態性風險，應從管理角度進行改進和完善，通過不斷豐富和完善相關管理辦法，明確管理要求，并通過有效的監督和控制實現在業務運營中防范風險的目的，如業務計劃執行風險等;對業務運營中發生頻率適中且體現為重大事項的風險，應提出針對性風險防范要求，確定風險容忍度和控制措施。通過評審、第三方評估、重點審查等措施提高對風險管控的監督力度，如產品新技術應用風險等;對發生頻率不高，但一旦發生將直接影響所承擔的組織目標、造成重大損失或不良影響的風險事項，應制定相應的風險應對預案，加強日常風險應對演練，提高風險發生后的快速反應能力，如高層建筑消防風險、易燃易爆環節的安全風險等。

二是建立重大風險信息處置通道，通過加強對業務運營中的風險監控，對識別出的發生可能性高、影響程度大的風險事項應及時向主管機構及領導匯報，以尋求更好、更多的風險管控資源。

三是按照風險事項的影響程度及時將風險信息向第二道防線傳遞，為第二道防線形成單位層面的風險建議提供信息支持，實現第一、二道防線的風險信息共享。

2．第二道防線的主要工作

一是通過適當的風險管理培訓向第一道防線提供有關的風險管理知識。

二是協助第一道防線提出風險管理實施途徑的建議或策略，通常指風險解決策略，但往往不涉及具體的風險管控措施。

三是落實風險管理環境建設，統一風險管理語言，努力提高三道防線之間的信息溝通與共享能力。

四是收集來自第一道防線各領域的風險信息，在風險清單中識別并描述風險，采用評級法，將風險進行優先排序，以找到需要給予更多關注的重大風險事項。

五是按照管理層要求明確具體風險和應對措施的責任者，監控為降低風險而采取行動的結果。

3．第三道防線的主要工作

企業的內部審計職能工作應涵蓋企業所有的重大風險和控制活動。與第一、二道防線的溝通有助于內部審計使用風險管理語言，并了解二者對風險的理解，以便于就風險管理執行的有效性進行評價，對可能存在的問題提出相關建議，對存在的重大缺陷提出整改要求。

企業風險管理三道防線的設置與企業的組織規模、業務特性緊密相關，采用何種劃分方式會有所不同，但三者的定位和基本責任是一致的。要保持三道防線協調運行，最重要的是要解決思想上的主動性與行動上的能動性問題。只有企業高層管理者的支持、指導和參與，才能有力促進三道防線各履其責;只有第一道防線主動策劃與實施，才能形成企業最直接的風險管理能力;只有構建起強有力的第二道防線，并賦予一定的授權，才能讓其在推動風險管理工作中獲得足夠的支持和尊重。?