淺談企業內控與風險管理體系中的“三道防線”

張 頊，趙亦丹，呂祥濤

(中國電力工程顧問集團東北電力設計院有限公司，吉林 長春 130021)

我國目前仍屬于發展中國家，國內大型企業以國有企業居多，雖體量已達到世界500強標準，但其經營理念、管理水平與發達國家的成熟企業仍有差距，企業管理存在諸多問題。建立和完善內部控制和風險管理體系是優化企業管理的必然要求和重要組成部分，第一步就是要明確風控工作的職責與分工，完善風控體系的制度設計。目前很多企業的風控工作由法律事務部或監察審計部獨自完成,導致風控工作缺乏制衡與監督,出現“既當運動員，又當裁判員”的現象。以“三道防線”思想為指導，將風控體系的牽頭建設職能與獨立評價職能分離，既是促進專業化、也是保障獨立性的一種有效舉措，同時也可以進一步完善風控體系的制度設計。因此，企業應逐步執行“三道防線”工作，將風控建設與獨立評價職責分離，體系建設部門與獨立評價部門緊密配合，促進風控管理持續閉環提升。

1 “三道防線”的概念及職責

風險是“不確定性對目標的影響”，不確定性客觀必然存在，內控是通過合規完善的流程，把風險控制在合理的范疇，讓結果與目標更接近，而不是完全消滅風險(全部風險—內控風險=可接受風險)。“三道防線”是指企業風險管控機制應對的三道防護部門：第一道防線是風控管理的直接責任部門，直接承受風險帶來的影響；第二道防線站在公司整體視角統籌開展風控相關工作；第三道防線為監督評價部門。

1.1 第一道防線

公司各個業務及職能管理部門。主要職責為梳理、建設及維護本部門的風控體系，配合公司風控工作的開展與落實，具體部門主要包括黨群工作部、人力資源部、財務部、計劃發展部、法律事務部等部門。

1.2 第二道防線

風控體系建設牽頭部門，即法律事務部門。主要職責包括：

(1) 制定內部控制與風險管理制度。

(2) 制定內部控制與風險管理體系建設實施方案。

(3) 組織編制及維護內部控制與風險管理手冊。

(4) 編制內部控制與風險管理年度計劃。

(5) 組織開展風險評估，編制全面風險管理報告。

(6) 參與重要管理制度評審。

(7) 參與重大決策事項風險評估。

(8) 負責對口上級部門有關內部控制與風險管理工作。

(9) 內部控制和風險管理工作相關的其他事項。

1.3 第三道防線

風控體系監督評價部門，即監察審計部門，負責對公司風控體系運行有效性進行獨立監督與評價，監督前兩道防線管理體系有效性。控制與風險管理體系結構見圖1。第三道防線主要職責包括：

(1) 制定內部控制評價辦法，編制內部控制評價手冊。

(2) 制定內部控制評價工作計劃及實施方案。

(3) 組織開展內部控制評價，編制內部控制評價報告。

(4) 組織對專項重點領域的專項監督與評價、報告。

(5) 監督企業聘請的社會中介機構開展內部控制評價工作。

(6) 督促整改內部控制缺陷。

(7) 內部控制評價工作相關的其他事項。

2 “三道防線”的規避風險管理機制

根據上述“三道防線”的具體內容，我們可以看出企業所面臨的風險是可以通過“三道防線”轉化過濾為可控風險的。第一道防線為各個業務及職能管理部門，是風控管理的直接責任部門，直接承受風險帶來的影響，它以自身的風控體系防范本部門所面臨的風險，并配合第二道防線與第三道防線開展公司層面的風險評估與內控評價的開展與落實工作。第二道防線為整體風控體系的管理部門，負責引入風控先進理念方法及管控模式，組織第一道防線部門站在公司整體視角統籌開展風控工具方法應用、內部管理流程優化、風險防范等相關工作；同時，配合第三道防線部門接受內、外部監督。其主要承擔建設與溝通功能，組織公司層面的風險評估與防范工作，防范第一道防線無法防范的公司層面的風險。第三道防線為監督評價部門，負責對風控體系運行有效性進行獨立監督與評價，監督前兩道防線管理體系的有效性。通過對企業內控體系的監督與評價進一步防范企業風險，進而最終實現企業所面臨的所有風險可控。

圖1 控制與風險管理體系結構圖

3 實踐中存在的問題及應對方案

(1)“三道防線”在實踐過程中首要完成的任務是風控建設與獨立評價職責分離工作。在執行風控建設與獨立評價職責分離工作時，最有可能面臨的問題就是風控體系建設牽頭部門與風控體系監督評價部門的職責劃分不明，出現某一項具體工作沒有明確的責任部門現象。上文中已對風控體系建設牽頭部門與風控體系監督評價部門的具體職責進行了詳細地列舉，在此不再贅述，筆者認為明確兩部門職責應注意以下兩點：①風控體系建設牽頭部門的職責關鍵詞是建設、總體以及防范，也就是說風控體系建設牽頭部門主要負責公司風控體系總體制度建設方面的工作并同時負責風險防范方面的工作；②風控體系監督評價部門的職責關鍵詞是內控、具體、監督，說明風控體系監督評價部門負責公司風控體系監督與內控評價的具體工作。掌握了這兩點原則就很容易明確風控體系建設牽頭部門與風控體系監督評價部門的分工，如果日后出現某項工作無明確責任部門時，可參考這兩點原則確定。

在實踐中，風控體系建設牽頭部門與風控體系監督評價部門的職責明確劃分后，應在企業各部門的職責與分工中按要求明確規定風控建設與獨立評價職責分離工作的相關內容，并將風控建設與獨立評價職責分離以及“三道防線”的規避風險管理機制的相關內容加入企業相關管理制度及規定、風控體系文件和信息化流程中，以制度和流程方式固化風控建設與獨立評價職責分離以及“三道防線”的規避風險管理機制，為企業優化風控體系工作提供制度保障。

(2)“三道防線”在實踐過程中要完成的核心任務是實現各個業務及職能管理部門、風控體系建設牽頭部門與風控體系監督評價部門良好配合，聯合發揮內部控制與風險管理的作用。

在企業日常管理過程中，這三類部門應這樣相互配合：風控體系建設牽頭部門制定內部控制與風險管理的相關制度，各個業務及職能管理部門執行上述制度；風控體系監督評價部門定期進行內部控制評價工作，發現識別內部控制缺陷；風控體系建設牽頭部門組織各個業務及職能管理部門針對識別的缺陷進行整改，實現內部控制的目標，通過上述體系加強企業的風險防范工作，并定期開展企業的風險評估工作。如按上述的模式以一種理想化的模式運行，將會得到一個很好的內部控制與風險防范效果，但在實際執行的過程中，必然會出現一些問題與障礙。面對這種情況，應加強部門之間的溝通與協作，定期開展部門交流，總結“三道防線”執行過程中的經驗與問題，進一步完善風控體系的制度設計，提高“三道防線”工作的執行水平。

(3)在執行“三道防線”工作的過程中，如發現該項工作的內容與企業原有管理制度發生沖突，應先理順該項工作與原有制度之間的關系，并對原有制度進行修改，將“三道防線”工作的內容加入其中。這樣既可以解決“三道防線”工作與企業原有制度的沖突，又可以進一步完善企業管理制度，促進優化企業治理工作。

4 結語

沒有任何一個企業是在無風險的環境下運營的，企業的內部控制與風險管理體系提供了識別和評估風險的程序，增強了風險應對決策能力，減少了經營中的意外和損失，能夠對于多種風險提供綜合的應對措施，做到風險可控。但我們也應該看到企業風控管理體系存在的局限性，如風控管理體系設計不合理就會導致控制失靈，風險得不到有效防范。以“三道防線”思想為指導，將風控體系的牽頭建設職能與獨立評價職能分離，是完善內部控制和風險管理體系、優化企業管理的一項重要舉措，也是做好企業風控工作的基石。綜上所述，企業應以“三道防線”思想為指導，進一步明確責任分工，優化風控體系建設、進而強化企業管理，全面提升企業管理水平。

[1]GB/T 23694－2013.風險管理術語[S].