风险管理“三道防线”含义已变!COSO风险管理框架“应为两道防线"2018-06-09 12:38近期业内都在热议COSO风险管理框架“三道防线”新解等相关事宜,而我认为“应为两道防线,并非三道防线”之前一直对“三道防线”的提法多少有些疑惑,总觉得哪里不太明白,这次新解以及业内各位专家的热议倒是让我清醒了一些虽然国际、国内都在提“三道防线”的观点,但我仍有不同的看法一、风险管理“三道防线”的概念一谈到企业风险管理的“三道防线”概念我们就会想到前些年企业进行全面风险管理体系建设时,经常提起的在组织机构层面建立企业风险管理的“三道防线”的做法,即企业的业务部门作为前端部门是风险管理的第一道防线;企业风险管理职能机构作为风险管理的第二道防线;企业的内部审计职能机构作为风险管理的第三道防线下图是前些年我们对典型的三道防线组织架构图的理解在国际上,也有跟国内“三道防线”提法相对应的概念,即Three Lines of Defense,也可以直译为三道防线即第一道防线是Risk Owner (风险所有方),也是指业务单元或部门;第二道防线是Risk Management (风险管理), 前些年在风险管理理论还不太成熟时,也有称第二道防线是Risk Control and Compliance(风险控制与合规);第三道防线是Risk Assurance(风险保证),主要是指内部审计部门。
一、对新版COSO风险管理框架中的“三道防线”的质疑新版COSO风险管理框架在附录中阐述了对于三道防线的概念,其中提到了风险管理责任落实的第一道防线是:核心业务部门(Core Business);第二道防线是:支持职能部门(Supporting Function);第三道防线是:保证职能部门(Assurance Function)核心业务部门:即企业的业务部门,作为风险管理的第一责任机构;支持职能部门:包括法务、合规、财务、人力、质量、安全等,所有可以协助一线核心业务部门进行风险管控的职能,都应该属于支持职能部门,即第二道防线;保证职能部门:主要指的是审计、监察部门,即第三道防线;以上就是新版框架中的内容然而我认为以上划分形式考虑欠妥二、防线的作用和对象既然我们谈防线,首先就要明确,什么是防线?作为防线,防护对象是谁?是否可以起到安防的作用?自己对自己可否进行监督?如果能清晰地回答这几个问题,我想对于“防线”的理解才算是到位的1、什么是防线?是对风险事件进行的有效拦截或降低或缓冲,从而减少损失发生的东西防线是有明确的主体和客体的比如用堤坝来拦防洪水如果主体和客体融为一体,那么防线的作用就几乎不存在了。
2、对象:既然是企业的防线,就会有防护或监督的对象在企业中,防线防护的对象就应该是企业价值链实现的全过程,而业务部门和职能部门才是整个价值链实现的执行者那么按照部门划分,就是这两类部门;按照事项划分,就是价值链的全过程3、作用:既然是企业的防线,那么就应该起到防护、防守、监督的作用,从而规避/降低风险、损失的发生如果缺乏这样的作用,或是拦截/降低风险失效,那么就不应该称之为防线4、岗位互斥:从基本的岗位/角色互斥的角度来说,必须保证独立性,不能出现同一部门或同一人员既是运动员又是裁判员,否则就是监守自盗了如果做不到互斥岗位/角色分离,就不能称之为防线,也起不到防护的作用,至少在设计上就出现了漏洞我想上述四个方面应该回答清楚了开头的几个问题这也就厘清了之前的疑惑——为什么是两道防线,并非三道防线三、责任、担当和监督的区别1、每个人都对自己工作负责,有担当,那就不需要防线了?每个运动员当然都对自己负责,有担当,那还需要裁判员吗?或者自己是运动员并兼任裁判员?这是否成立?内控的诞生是基于人性本恶为假设前提的,并逐渐由岗位之间的相互牵制发展到现在的内部控制体系,甚至是风险管理体系因此,人除了责任感和担当外,还隐存着些许私欲,做一些只对自己有利而不管是否对其他人有利的事情,一方面与自我认识有关,另一方面受自我专业范围限制。
舞弊的产生的原因不也是“动机—机会—自我合理化”而内控/风险管理正是从大局出发,从独立的一个视角出发,只要有损组织利益的事件或行为,都需要加强防控因此,所谓的责任感、担当和防线的作用还是存在差异的2、业务部门守土有责?遵守交通规则,人人有责?这里面有个概念需要明确执行者和风险(或损失)承担者是否为统一体?如果不是,“业务部门守土有责”就是一句空话业务人员造成的损失,往往都是由公司来承担的,都是对自己有利的,比如越权销售、篡改销售价格、虚假报销销售费用、通过透露标底的方式与供应商达成共识所谓的“遵守交通规则,人人有责”,那是因为执行者和风险承担者是统一体,若不遵守,自己就会受伤/残疾/甚至更重的人身伤害自己给家里购买家电家具有谁故意购买次品的?到货验收草草了事?想要车辆礼让行人,只有布局道路监控系统和惩罚措施,以及社会媒体监督,估计才会有所成效所以说,只是倡导“规则”没用,只是谈“责任”也没用只有监督机制跟进,惩罚措施跟进,或执行者和风险承担者为统一体,“业务部门守土有责”、“遵守交通规则,人人有责”才会落到实处,才会有实效。