企業構筑風控體系新三道防線組織結構的探索與實踐

張亞兵 張偉 肖春穎 杜秉翰

摘要基于更高效的統籌企業風控資源，提高企業抗風險能力的現實需求，在對風控體系原三道防線組織結構以及運行過程中暴露出的問題進行深入分析的基礎上，通過對風險管理思想的本質、三道防線的內涵進行辨證解讀、重新架構，提出了分別以業務執行單位、業務主管部門、風控內審部門為主體的新三道防線組織結構以及運行方式。隨后在機型項目管理業務域對新三道防線組織結構進行了實踐驗證、經驗推廣，取得良好成效，切實改善了基層組織環境，實現了三道防線的高效協同聯動，成為支撐公司快速適應、應對內外部環境變化的堅強護盾。

關鍵詞 風控體系；風險管理；三道防線；項目管理

DOI： 10.19840/j.cnki.FA.2022.02.009

在國資委2006年發布的《中央企業全面風險管理指引》中，提出“企業可建立風險管理三道防線，即各有關職能部門和業務單位為第一道防線；風險管理職能部門和董事會下設的風險管理委員會為第二道防線；內部審計部門和董事會下設的審計委員會為第三道防線”[1]。各中央企業按照指引要求，搭建全面風險管理與內部控制體系（以下簡稱“風控”），構筑三道防線組織結構，取得了一定的成果。但是隨著風險管理在企業的逐漸深入，風險覆蓋領域的持續拓展，業務專業性要求的不斷提高，三道防線組織結構下的風控體系運行已日漸“吃力”，受邊際效用遞減規律影響，組織投入與風險防控效能產出比的提升，已面臨停滯甚至呈下降趨勢。鑒于此，中航西安飛機工業集團股份有限公司（以下簡稱“公司”）結合實際深入研究，探索創新風控體系組織形式，通過實踐運行、固化推廣，形成了更為高效的新三道防線組織結構，為公司風控體系注入了新的活力與生命力。

一、原三道防線組織結構及存在的問題

（一）原三道防線組織結構

公司原三道防線組織結構（如圖1所示）分別以業務部門、風控職能部門和內部審計部門為主體[2]。其中業務部門是第一道防線，負責基于業務組織風險辨識、評估和應對；第二道防線包括董事會下設的風控委員會和風控職能部門，職責是指導、組織、協調各業務開展風控工作，綜合平衡公司面臨的重大風險；第三道防線包括董事會下設的審計委員會和內部審計職能部門，職責是對第一、二道防線活動進行監督評價。

（二）原三道防線存在的問題

1.第二道防線組織管理效能難以發揮

在原有三道防線組織結構下，風控職能部門的風控主管人員不僅需要給業務部門提供風險管理基本理論的專業指導，還需要深入參與不同業務的風險管理實際操作過程，時刻面臨基于業務的專項風險管理的指導需求，這對于風控主管人員來說無疑是一項巨大的挑戰。受工作經驗、知識積累、業務龐雜性等因素限制，風控主管人員想要在各業務做到“面面俱到”是不可能的，讓其作為第二道防線，時刻承受第一道防線洶涌而來的多頭壓力，仿若不能承受之重，既無法滿足業務專項管理需求，也無法體現自身專業優勢價值，進而導致第二道防線的組織管理效能難以得到充分發揮。

2.第三道防線再監督職能與實際不匹配

國資委提出讓內部審計部門作為第三道防線，目的是發揮內審的再監督職能，出發點是正確的，但是在實踐過程中，由于很多企業因總體組織架構需求，將內審職能和風控職能劃歸同一個部門，在“同一個屋檐”下，第三道防線對第二道防線的再監督作用很容易被打折扣。意識到這一問題的企業多會采用“內審與風控職能協同開展工作”的方式，發揮第二、三道防線的指導、監督合力，起到“1+1>2”作用。但是這樣又帶來新的問題：二、三道防線邊界淡化甚至融合后，“再監督”變成了“監督”，實際也就意味著第三道防線的缺失，“少了一道籬笆”無疑會破壞企業抗風險能力的完整性。

3.“聽見炮聲的人”無法得到準確幫助指導

華為集團原董事長任正非提到“讓聽得見炮聲的人來決策”[3]，因為業務執行單位的一線人員深入業務末梢，離風險最近，最有發言權，但同時一線人員又離風險管理體系組織結構中心最遠，其上還有業務主管部門作為中間層。風控職能部門的指導意見、管理要求經過業務主管部門折射衰減后，作用于業務執行單位的效果難以符合預期；業務執行單位面臨風險防控的迫切需求也無法得到及時準確的風險管理專業性幫助、指導，這些均容易導致“聽見炮聲的人”在做決策時忽視風險或者風險應對不當，進而捅破第一道防線，給企業造成難以挽回的損失。

二、新三道防線構建思路

鑒于原三道防線存在的問題，公司調整風控體系組織結構建設思路，從風險管理思想本質入手對三道防線運行規律進行深入剖析，充分結合實際確立了新三道防線構建目標和方向。

（一）把握風險管理的思想本質

風險管理首先是一種思想，其次是一門藝術。思想是從事物中總結出的客觀規律，藝術則是用規律指導事物實踐的應用過程，二者相輔相成，互為補充。風險管理思想最基本的定義是：衡量未來，決策當下[4]。在構建風控體系組織結構過程中，只要能夠體現或者有利于實現“衡量未來，決策當下”，就是實踐了風險管理思想，并不存在一成不變的固定模式或者規范性動作，即企業并不是必須按照國資委相關文件來構建三道防線，“不管黑貓白貓，能抓住老鼠就是好貓”。

（二）風險管理應以業務為中心

當風險管理思想從事物中總結提煉出來后，它必然去除了事物之間的差異，留下了共同性。相對的，當用風險管理指導不同的實踐過程時，必須再把事物的特性添加融入進去，這樣才能夠適用[5]。因此，企業開展風險管理工作時，必須與業務進行深度精準融合，在構筑風險管理組織結構時，應該以“業務”為中心，依托業務主管部門，雙向銜接風控職能部門和業務執行單位，充分發揮業務管理專業性和風險管理指導性的綜合效能[6]。

（三）對三道防線的再定位

在實際操作過程中，需要將風險管理工作從獨立的視角向整合的視角轉變，從企業管理活動的實際出發對三道防線進行重新定位。第二道防線的主要職能應該是支持一線創造價值，服務一線做能力輸出的“磨刀石”[7]，第二道防線不能浮在空中，而是要深入業務層面風險防控事務，充分發揮自身的專業優勢。第三道防線的主要職能則是保護價值，做企業運營過程的堅強護盾，第三道防線首先是要傳播風控理念、指導風控方法，其次是結合公司風險承受度統籌風險管控，協助第二道防線組織調配風控資源。基于此構建思路，公司搭建起了更加適合實際需求的新三道防線組織結構[8]。

三、新三道防線構建成果

（一）新三道防線組織結構

公司以業務運營為中心，以實現業務目標為導向，結合業務實際需求，在充分考慮專業優勢、資源統籌、管理效能的基礎上，建立了風控體系新三道防線組織結構（如圖2所示），進一步明確了各主體的風險管理職責，形成了“責、權、利”對等的良好組織環境[9]。

（二）新三道防線構成及職能

1.第一道防線

業務執行單位是第一道防線，也是風險管理的最前線，在日常經營活動中會直接面對各類風險，只有其充分了解自身、競爭對手、客戶及所面臨的風險，才能更好地降低企業運營成本、提高產品質量，為股東獲取更多的回報，最終讓客戶滿意、股東滿意[10]。

2.第二道防線

業務主管部門是第二道防線，其身兼業務規劃、組織執行、對執行單位監管考核、改進提升等職能于一身，是風控體系的核心主體。以業務主管部門為中心，對業務執行單位進行管理指導，支持一線創造價值，同時接受風控內審職能部門的統籌監督，可以促進實現公司風控體系資源、要素的高效整合。

3.第三道防線

第三道防線包括董事會下設的審計與風控委員會和風控內審職能部門，以風控內審職能部門為主體，職責是統籌協調、支持配合第一、二道防線開展風控工作，提供風險管理專業性指導，同時對風險管理活動進行再監督，運用系統的方法評價、改進和提升公司的風險管理效能。

四、新三道防線實踐案例

作為航空制造企業，機型研制是公司的核心主業，因而，機型項目風險管理也成為公司風險管理的重中之重。以機型項目風險管理為試點，公司試行新三道防線組織結構，取得良好成效，為后續推廣奠定了基礎。

（一）型號管理部與項目執行單位協同聯動

型號管理部作為公司機型項目管理業務域的主管部門，肩負著統籌機型研制的重要職責，也是機型研制風險的核心利益相關者。在新三道防線組織結構下，型號管理部作為第二道防線，主動搭建項目風險管理框架，向上承接第三道防線風控內審部門（紀檢審計法律部）相關要素，向下對第一道防線項目執行單位（各中心、專業廠及各部門相關職能）進行管理指導，在風險評估、應對、監控預警等關鍵環節均發揮出了核心主體作用。

1.創新項目風險評估形式

機型項目研制計劃和目標確定后，由型號管理部組織各項目執行單位廣泛征集風險信息，匯總梳理形成風險事項，依托各型號項目IPT團隊針對性建立風險事項評估專家組，通過項目管理信息系統，組織專家組成員背靠背開展風險評估，評估結果按照系統內角色定義及權重分配計算后自動生成評估結論，從而在發揮項目管理專業性優勢的同時，實現了風險事項的高效精準評估。

2.靈活應用風險應對策略

鑒于不同機型項目風險的承受度差異，型號管理部靈活審慎的應用控制、分散、轉移等風險應對策略，通過加強對重點專項業務領域主要風險的應對管控，以及對各種風險因素疊加共振產生不利影響的統籌監控，為項目執行單位開展應對工作提供可靠的指導方案。

3.實現項目風險動態管控

型號管理部將存在風險事項的項目計劃與相應風險應對計劃進行邏輯關聯，實現項目計劃與風險應對計劃的過程同步管控和動態跟蹤，風險應對信息實時反饋，確保項目執行單位能夠及時完整地掌握項目信息，并能準確執行風險應對計劃，同時也進一步夯實了項目執行單位的一道防線管控責任。

（二）紀檢審計法律部充分發揮統籌監督職能

型號管理部在組織項目風險管控過程中，針對識別出的作用范圍廣、影響程度大，可能會對公司運營目標實現造成嚴重影響的風險事項，通過風險升級輸入至第三道防線紀檢審計法律部，由紀檢審計法律部統籌公司風控資源，開展風險應對，傳遞風險信息，監督執行單位落實風險應對措施。過程中與型號管理部保持雙向溝通，由型號管理部定期監控反饋風險演變，提出風險應對新需求，從而協助型號管理部共同將風險控制在公司可承受范圍內。

（三）三級體系評價增強三道防線抗風險能力

依托新三道防線組織結構，公司建立起了包括業務執行單位自主監督評價、業務主管部門績效評估和風控內審部門監督評價審計在內的三級風控體系評價機制，從三個不同維度評價公司的抗風險能力并促進風控體系自主改進提升。在機型項目風險管控過程中，一級評價基于業務目標，由項目執行單位自主評價風控工作實踐過程；二級評價統籌項目風險管理，由型號管理部評價各單位風控工作執行績效情況，結合項目計劃完成情況納入考核指標，在公司運營績效考核中體現；三級評價是對一、二級評價的再監督，由紀檢審計法律部深入剖析風險管控過程還存在的缺失和斷點，并下發管控通報，提出改進要求。三級體系評價機制持續運行，推動風控體系實現PDCA循環，從而不斷增強三道防線抗風險能力，成為支撐公司快速適應、應對內外部環境變化的堅強護盾（如圖3所示）。

五、結論

本文通過對風控體系三道防線組織結構進行研究，指出組織構建要透過現象抓住本質，按照實際需求調整內容，而不能拘泥于形式。在已被提出的“二道防線支持一線創造價值”理論的基礎上，本文結合公司實際進一步拓展，詳細闡述了業務執行單位、業務主管部門、風控內審部門組成的新三道防線之間的辨證關系[11]，對內部宏觀組織架構相似的企業的風控實踐具有很好的指導借鑒價值。

同時需要指出，踐行新三道防線意味著將風險管控責任從風控職能部門更多向業務主管部門轉移，這樣雖然符合現實需求，有利于風控體系效能發揮，但是責任的弱化會進一步加劇風控職能部門自身“管控風險義務”與“風險管控責任”不對等的問題，這種不對等無疑不利于風控職能部門實踐活動的切實落地。隨著企業風控體系的不斷完善，員工風控意識的不斷增強，未來風控職能部門與業務主管部門將面臨在“責、權、利”上進一步融合的客觀要求。在現有組織結構下，風控職能部門應該更多的發揮主觀能動性，主動尋找有助于風險責任承擔的方式方法，拉近自身與風險的距離，推動三道防線之間的進一步融合，真正實現“從風險中來，到風險中去”。AFA

參考文獻

[1]國資委.國資發改革[2006]108號：中央企業全面風險管理指引[S].北京市：2006.

[2] IIA.the Three Lines of Defense in effec‐tive risk management and control[S]. America：IIA，2013.

[3]希文.任正非內部講話[M].黑龍江：哈爾濱出版社，2017.

[4]彼得L.伯恩斯坦.與天為敵：風險探索傳奇[M].北京市：機械工業出版社，2010.

[5]弗蘭克？H.奈特.風險、不確定性與利潤[M].北京市：商務印書館，2010.

[6] ISO.ISO 31000：Risk Management-Guidelines[S]. Switzerland：ISO，2018.

[7]孫友文.風險管理三道防線含義已變[EB/ OL].[2017-12-17].“大風控”微信公眾號.

[8] COSO.leveraging COSO across the Three Lines of Defense[S]. America：COSO，2015.

[9] IIA.Three Lines Model（An update of the Three Lines of Defence）[S]. America：IIA，2020.

[10]國資委.國資發監督規〔2019〕101號：關于加強中央企業內部控制體系建設與監督工作的實施意見[S].北京市：2019.

[11]陳先達，楊耕.馬克思主義哲學原理[M].北京市：中國人民大學出版社，2019.

（審稿：劉春奇編輯：馮金玉唐涵）