基于COSOERM構筑商業企業全面風險管理“三道防線”

馬云馨 褚洪生 高西愛

摘要：煙草企業在進行風險防控時，應該以一種總體視角，全面性地看待問題，因此，煙草企業應該完善風險管理的三道防線組織體系，即企業的業務部門作為前端部門、企業風險管理職能機構以及企業的內部審計職能機構構成的風險防控體系，本文以COSOERM作為基礎，探索三道防線在實際的風險防控工作中的協同作用，指導建立風險預警管理系統，對風險進行實時評估與定期監控，增強風險控制實操能力。

1.引言

煙草商業企業風險防控建設的總體目標是全面評估企業風險，制訂實施立體防控措施，建立風險預警處置機制，實現風險防控向決策層延伸、向制度規范延伸、向業務流程延伸、向崗位職責延伸，形成一套方法科學、管理有效、特色鮮明的風險防控體系。

2.完善風險管理制度組織體系——“三道防線”

進行職責劃分，明確責任，使責權利有機結合。明確內控工作實施步驟和具體方法以及所要達到的階段目標，確保有計劃、有策略、有目的地推進內控工作穩步發展。

建立風險防控組織架構，健全法律風險防控領導機構，統籌推進法律風險防控建設和實施工作，形成主要領導親自抓、分管領導具體抓、法規部門牽頭、其他部門配合、全體員工參與的工作格局;明確工作職責，發揮法規部門的牽頭作用，負責協調、指導、推進法律風險防控體系建設，協助職能部門處理涉法事務;發揮各職能部門的主體作用，負責將法律風險防控要求與具體業務的制度、職責、流程融合起來，加強在具體業務流程方面的專業指導;落實員工崗位法律風險防控責任，做到自覺學法、謹慎守法、積極應對法律糾紛。

企業全面風險管理的“三道防線”，控制環境是指對企業控制的建立和實施有重大影響的因素的統稱。控制環境的好壞直接決定著企業其他控制能否實施或實施的效果。良好的內控環境是實施風險管理的前提和保證。企業通過強化內部控制的宣傳活動和風險管理的培訓教育，發揮自上而下的領導作用，提高員工對內部控制的認識程度，發起全員風險識別活動，極大的增強了員工的內控意識和風險意識，營造出良好的風險管理氛圍。

2.1“三道防線”的概念

一談到企業風險管理的“三道防線”概念。我們就會想到前些年企業進行全面風險管理體系建設時，經常提起的在組織機構層面建立企業風險管理的“三道防線”的做法，即企業的業務部門作為前端部門是風險管理的第一道防線;企業風險管理職能機構作為風險管理的第二道防線;企業的內部審計職能機構作為風險管理的第三道防線。

三道防線共同組成了企業風險管理的防線系統，中國企業前些年進行的風險管理體系建設主要內容，是以建設第二道防線為主，包括建立組織機構和工作機制，識別和評估包括整個風險管理防線系統的相關風險，作為第二道防線工作開展的基礎。

在國際上，也有跟國內“三道防線”提法相對應的概念，即 Three Lines of Defense，也可以直譯為三道防線。即第一道防線是Risk Owner （風險所有方），也是指業務單元或部門;第二道防線是Risk Management （風險管理）， 前些年在風險管理理論還不太成熟時，也有稱第二道防線是Risk Control and Compliance（風險控制與合規）;第三道防線是Risk Assurance（風險保證），主要是指內部審計部門。

新版COSO在附錄中也闡述了對于三道防線的概念，是從風險管理責任的角度論述的，談到了首席執行官CEO、首席風險官CRO和管理層三個層面各自的風險責任。同時，也闡述了風險管理責任落實的第一道防線是：核心業務部門（Core Business）;第二道防線是：支持職能部門（Supporting Function）;第三道防線是：保證職能部門（Assurance Function）。

核心業務部門：和我們前期提到的第一道防線的概念基本一致，即企業管理的前臺部門，作為風險管理的第一責任機構;

支持職能部門：這部分作為第二道防線和前期的提法變化最大，支持職能部門除了包含風險管理專職職能之外，還包括：法務、合規、財務、人力、質量、安全等，所有可以協助一線核心業務部門進行風險管控的職能，都應該屬于支持職能部門，即第二道防線;

保證職能部門：主要指的是審計部門，包括內部審計和外部審計。

其中和我們原來三道防線的提法變化最大的就是第二道防線的內容，對原來風險管理職能進行了重新定義。

風險管理體系工作的歸口管理部門，負責風險管理專業技術和工具和輸出，以及負責一些年度重大的、需跨部門溝通協調的，以及無明確主責部門的風險的管理職能。一開始很多企業將風險管理工作和風險管理部門等同了起來，一談起風險管理就是風險管理部門的職責。風險管理部雖然精通風險管理理論和工具的使用，但卻不一定精通業務，如果不精通業務，顯然風險評估的效果就會大打折扣。

其實，風險管理的職能體現并不是都體現在風險管理部的職能上。風險管理部的職能應該更多的體現在一種組織、協調、支持、配合的角度，幫著業務部門一起在達到業務目標的路上管控好風險。

2.2“三道防線”的應用

三道防線的理論廣泛用于金融銀行業，因為金融業的風險屬于風險集中管理類型，這也是有一定原因的，往往風險管理的職能越集中，三道防線的邊界就會越清晰。

近些年來，三道防線的方法也被引入到了一般的企業進行風險管理，用以更好的劃分不同的職能在管理風險時的不同職責。雖然企業可以劃分出三道防線，但是三道防線并無實質利益沖突，而且在企業來講利益是趨同一致的。它的最終績效不是衡量第二道防線設定的規則如何，第三道防線進行的檢查監督效果如何，這些規則和檢查的目標，也并不是為了限制第一道防線的表現。這就是任正非提到的所有防線的價值體現都是多打糧食，而不是妨礙糧食生產。

原則上來講，沒有明確的限制規定風險管理部和審計部必須分離，最基本的原則是兩個職能的崗位實現互相分離即可，就算在一個屋檐下。我見過有的企業，建立了大監督部，將審計、法務、風控、合規、紀檢、監察都放入了一個部門。我們的建議是，在不違背基本原則的情況下，企業完全可以自行實踐，探索屬于自己的管理體系，定好位、定好責、畫好圈、明確分工及合作機制才是最重要的。

除了第二道防線和第三道防線融合的情況，也有企業將第一道防線和第二道防線的融合，比如強化第一道防線的風險管理和控制職能，而不單設風險管理部門。第二道防線中的部分要素可以根據具體情況，與第一道防線和第三道防線產生職責交叉。

第一道防線和第二道防線融合側重的是核心業務層風險的自控制，將風險管理工作最大程度的嵌入業務職能。

第二道防線和第三道防線融合側重的是對風險的監督檢查，將風險管理工作要求最大程度的通過監督檢查職能實現。

但是第一道防線和第三道防線則不能嘗試融合，這是最基本的原則和控制要求。

3.理順風險防控工作流程

建立法律風險動態預警處置機制，實現法律風險信息的及時發現、有效傳導、科學預警、正確處置。通過實施法律風險防控計劃，定期排查、篩選法律風險信息，及時將風險信息向有關部門和人員進行預警提示，做到法律風險早發現、早預防、早化解;對突發的法律糾紛案件，及時啟動應急響應機制，根據風險等級的不同，分別向決策層、法規部門和法律顧問通報情況，制訂工作預案，協調有關部門依法處置法律糾紛。

4.定期評估企業風險

建立風險預警管理系統，對風險進行實時評估與定期監控，通過編制《風險清單》，梳理、匯總企業內部重點區域、關鍵崗位和重要環節的風險點，為減少和規避員工操作風險提供指引。借助引導式培訓、情景模擬、案例回溯等方式幫助員工熟悉和掌握風險識別和分析工具，增強風險控制實操能力。

參考文獻

[1]程蕭誼. 基于風險防控的煙草行業多元化企業內控管理探討[J]. 財富生活（20）：2.

[2]吳新岐. 風險管理視角下的煙草商業企業內部控制研究[J]. 中國產經， 2020（13）.

[3]吳曉瑩. 基于COSO框架的煙草商業企業稅務風險管控體系構建研究[J]. 會計師（22）.

[4]劉正模. 煙草商業全面風險管理問題淺析[J]. 企業研究， 2013（22）：64-65.