試論企業內控與風險管理體系中的三道防線

張雷 四川楓葉牧場食品有限公司

引言

風險管理三道防線作為企業健康和諧發展的有力支撐，有助于提升整體內控及風險管理水平。對于風險管理三道防線，從本質上來講，其是企業根據各級崗位職責及功能，對風險管理責任進行劃分，嚴格執行風險管理三道防線機制，構建“資源共享、信息互通”的合規風險防范體系，三道防線強強聯合，相互作用、缺一不可，督促運營層、管理層等在組織或管理中認真履行工作職責，有效預防和排查潛在風險，以此促進企業總體發展目標的實現。

一、“三道防線”概念及職責

（一）第一道防線：業務部門防線

第一道防線：業務部門防線。公司的業務部門或經營單元作為前端部門整合資金費用及運營業務，尤其是在實際交易中，公司運營、業務及日常管理中會遇到各種各樣的問題。期間處理不到位、管理不徹底，均會埋下安全風險，對此企業應強化風險管理，這是最基礎的保障。公司管理層應把握整體大局，既要嚴格執行審計部門發布的各項政策及規定，又要監管協調好風險管理。具體來說，公司的風險管理包括微觀和宏觀兩個角度，將風險管理方法高效融入運營業務中，強化業務的風險管理，這是強化公司風險管理的第一道屏障，即為第一道防線。對于微觀層面，涉及各種政策與制度，存貨和資金的管理。關于宏觀層面，則分別有組織機構、管理職能、審批流程和職責承擔等。

（二）第二道防線：風險管理部門防線

第二道防線：風險管理部門防線。風險管理部門防線主要有兩層含義，一是指風險管理委員會，二是指風險管理部門。首先，風險管理委員會的主要職能是風險管理，根據企業實際情況，采取科學有效的管理方式，全面貫徹和落實風險管理。結合相應的業務流程，全程跟蹤和持續監管風險管理，其職能管理涉及的內容比較寬泛。既有協助管理層，明確把握風險目標及取向，又有各類風險管理政策及策略，創建具有針對性和目的性的風險管理機制和實施條例，形成從上自下、由內到外的風險管理機制。其次，在企業內控環節上，打造健全的企業文化，增強全體員工的風險管理意識，以全體員工的風險意識為基礎，切實發揮風險管理部門的職能。最后，企業內控機制及風險管理體系，主要是針對領導及各業務部門來定位，以此深入落實風險管理工作，根據實際的業務開展情況，及時發現潛在的風險及問題，既要強化內控管理，又要注重對內控的多元化評估。此外，尤其是財務及相關風險，對于決策層創建的處理機制，需要采取定性和定量分析結合的方法。

（三）第三道防線：內部審計防線

第三道防線：內部審計防線。內部審計防線是由公司審計委員會全權負責，管理層結合公司財務數據、經營狀況、管理規定等內容，對企業風險實施多元化評估。具體來說，根據實際情況創建相應的控制方法，各業務部門應具有識別重要風險的意識，強化風險鑒別和內控能力。尤其是在突發狀況中，需要具備隨機應變的能力，以此鑒別和分析潛在的新風險。與此同時，企業應注重提升企業內控，確保制度的科學性和合理性，嚴格監管各階段執行風險管控情況，進而全面控制和降低風險。除此之外，公司還應成立相應的治理機構，該機構由董事會和管理層全權負責，圍繞企業戰略發展規劃，全面貫徹和深入落實風險管理工作。因此，企業內控與風險管理體系中的三道防線，既是機制，又是保障，是企業高效發揮相應風險觀念里的主要方法。

在董事會機構中各成員需要具備專業能力及素質，不僅要加強理論知識學習，而且要強化實踐環節，確保面對突發狀況時，根據豐富的專業經驗，形成高度的風險判斷和鑒別能力。董事會和管理層兩者之間應相互尊重，密切配合，構建良好的溝通互動交流機制。因此。企業應明確發展目標，創建戰略規劃，完善規章制度，既要落實貼合企業實際的風險政策及規定，又要檢驗風險承受極限。當然，企業還可以營建良好的企業文化，有效滲透和植入風險管理內容，引導全體成員形成正確的、積極的價值觀，為風險管理創造有利條件。

二、構建“三道防線”的規避風險管理機制

企業控制活動是指結合風險評估的數據信息，制定具有針對性的防控和管理措施，最大化的控制風險，使可能要發生的風險具有可控性，確保符合在可承受的范圍內。首先，由董事會和管理層成立的公司治理機構，需要在內部控制系統中發揮良好的引導作用，尤其對于管理層人員而言，需要根據公司實際的發展狀況和切身利益，創建有利于公司發展的規則。其次，企業還要持續改進和完善內部控制體系，董事會要提升參與公司風險管理積極性和主動性，自覺參與到內部控制流程及運營業務中，既要具有高技術水平和專業素質，又要強化相應的監管體系。無論是公司的董事會議機構，還是全體員工，都應圍繞內控制度，嚴格履行各項工作職責；期間董事會應發揮相應的監制作用，把握管理層和決策層的預見性和科學性。最后，員工應各司其職，嚴格執行管管理制度，增強風險管理意識，比如某大型公司確立了“點、線、面”三位一體的合規風險防范思路，確立了“逐步滲透、分層融合”的合規風險防范策略，建立了“要素識別——危害評估——策略選擇——防范控制——監控跟蹤”的合規風險控制流程，建立了“根本制度——基本制度——操作細則”的三級法律風險防范制度體系，基本實現了“有制度可依、有制度必依和違反制度必究”的制度建設目標，大大提升了員工的規則意識和法治意識，切實提升經濟利益和社會效益。

企業為強化內控機制和風險管理，根據實際業務開展情況，對于一些不相容的職務，建議采取分離控制的方法，具體有以下五點內容。第一，在現金報銷時，需要由三人全權負責管理，既要負責報銷并添置原始手工憑證，又要及時將相應的數據信息，輸送到電腦操作系統中，還要進行相應的審計、復核工作，以此三人之間以不同崗位分工達到牽制作用。第二，對于支票的簽發，無論是出納人員還是會計人員，都應進行相應的簽名。第三，由于銀行存款涉及業財信息，第一時間內的對賬業務，需要創建相應的調節表，該調節表除了出納人員做好現金日記賬和銀行存款日記賬的登記工作外，還應制定第三者編制方案。第四，建議采取責權分離的方法，也就是說，管錢的人不管賬，管賬的人不管錢，出納人員只需要做好收入和相關費用的登記工作，無權干涉和監管債權債務。第五，對于物品及設備的采購驗收，進行付款記賬等工作時，禁忌采取一人全權管理的方法，避免出現以權謀私貪污腐敗的情況。

關于企業創建的財產保全控制制度，建議采取以下四點做法。第一，制定完善的現金定期盤點制度，出納人員和會計人員各司其職、密切配合。出納人員核對好每天的現金實存額，增強同現金日記賬的匹配性，實現清日月結的目的；針對賬款對應的情況，會計人員應定期盤點出納經管的現金，期間應成立清查小組，該小組成員包括管理層、財務人員和業務部門人員，做好關于清查盤點的日常巡檢和不定期抽檢工作。第二，控制儲備定額，避免超儲積壓現象發生，尤其是比較重要貨物的采購環節，需要嚴格執行簽訂合同流程，確保生產單位出具相應的資質證明；除了業務部門全程參與外，建議會計部門也加入合同簽訂過程中，而收貨部門需要嚴格執行合同規章內容，合理驗收品種數量和質量等；也就是說各部門應強強聯合、鼎力配合，確保內部控制的合理性和有效性以及時效性。第三，若是出現貨幣資金的收入和支出情況，財務部門需要在第一時間內入賬，禁忌出現拖延的不良情況。當然，集團總部選取適宜的時間段，于固定時間內要對下屬機構抽檢2～3次（每年），特別是在內部復核環節，應注重多元化監管及考核評估方式。因此，關于企業風險管理三道防線機制建立，應注重董事會、高級管理層、運營管理者、業務管理者、內部審計管理者的定位，使風險管理三道防線與治理機構保持高度的一致性，不僅要明確企業內部分配角色和職責架構，還應具有董事會和高級管理層的支持力度，通過內控體系的監督與評價，進一步防范企業風險。

三、“三道防線”實際應用問題及針對性解決方案

授權和賦能核心業務部門，可以提升業務部門自身的風險管理能力，是風險管理工作的下一步重點目標。風險管控既需要創造價值，也要保護價值形成價值外流“絕緣機制”。

（一）風控建設與獨立評價職責分離工作

一是三道防線在實際應用中，在其前提和基礎上，做好風控建設與獨立評價職責分離工作。在分離環節上，即出現風控體系建設，與各部門職責劃分不明的問題；或者是某一項具體工作，缺乏相應的責任承擔部門或人員。對此，應強化風控建設與獨立評價職責，明晰分離工作重難點，建議采取以下三點措施，首先，擴充和豐富風控體系，建設部門應充分發揮引導作用，及時處理風險防范各項事務，切實提升負責風險防范工作水平，從整體上把控風控體系總制度建設。其次，高度堅持分工體系監督評價工作職責，明確內控監督及各個工作要點，在線管理、動態跟蹤，強化公司風控體系監督與內功評價的具體工作。最后，對于分工體系建設，主要是由管理部門牽頭，高度明確各部門、個人員工作職責，劃分各部門權利及義務，在實際的職責及分工中，制定多元化評價職責分離的具體內容，以三道防線為指導，強化規避風險管理機制，為企業優化分工體系工作提供強有力支撐。

（二）各部門與風控體系監督評價的契合

三道防線在實際應用中，其關鍵和核心是各業務部門及職能管理部門的鼎力配合，高效把握內部控制及風險管理功能。首先，關于企業的運營業務及日常管理，業務部門、職能管理部門，風控體系建設牽頭部門三者之間，應共同作用、密切配合，缺一不可。風控體系建設牽頭部門起到引領作用，應制定貼合公司實際的內部控制及風險管理制度。其次，分工體系監督評價部門，做好內部控制評價工作為中心的日常巡檢和定期抽查工作，及時排查內部控制薄弱環節；風控體系建設牽頭部門，應做好對個人業務及職能管理部門的日常監管，尤其是潛在的缺陷，即針對問題采取相應的整改措施，以此達到內部控制的良好成效。最后，為持續改進公司的風險防范工作，還可以根據實際情況召開相關的風險多元化評估工作。此外，在具體應用上可能會產生一些不良現象，各部門應鼎力配合，密切溝通、高效協作，強化內部互動交以三道防線為總目標，不斷總結經驗與問題，持續改進風控體系，切實提升執行水平及工作效率。當然，有的企業，建立了大監督部，將審計、法務、風控、合規、紀檢、監察都放入了一個部門。在不違背基本原則的情況下，企業完全可以自行實踐，探索屬于自己的管理體系，定好位、定好責、畫好圈、明確分工及合作機制才是最重要的。

（三）工作內容與企業管理制度發生沖突

嚴格執行三道防線環節上，若是該項工作與企業原有機制相脫離，事先應理清三道防線工作與原有管理制度的內在聯系，根據實際情況，適當調整和修改管理機制，將三道防線的工作內容有效植入其中。針對工作內容與企業制度管理的沖突問題，及時創建有針對性的管理方法，不僅可以避免與企業管理機制的沖突，而且還能健全企業管理制度，從而科學把控企業高效治理工作。因此，關于企業內控與風險管理體系，董事會、高級管理層、運營管理者、業務人員、內部審計應相互配合、共同作用，以實現三道防線的協調運轉。企業風險管理三道防線的應用，離不開企業的組織規模、業務運營，在劃分及管理環節內容不同會產生不同成效，三者之間有專門的內容規定及要求，但共同目標及責任定位高度一致，層層遞進、密切聯系、缺一不可，為促進三道防線的高效安全運行，尤為重要的是企業應提升全體人員工作主動性和積極性，管理層人員深入到各個工作環節，給予各項工作支持力度，經過有效的指導和參與，促進各部門及職工各司其職、內部配合，根據第一道防線注重策略及設施，貼合企業實際情況，切實提高風險管理水平，發揮第二、三道防線功能及作用，促進風險管理工作的高效開展。

結語

企業在風險中謀求良性發展，其內部控制及風險管理體系需要注重多元化效應，貼合實際情況、制定以三道防線為中心的風險管理防范體系。總結實際應用中的問題及不足，創建相對應的改進措施，明確責任分工、各部門各司其職，密切配合，持續改進風控體系建設，促進企業管理品質的改善，具有重大現實意義。