风险管理“三道防线”含义新内容一、风险管理“三道防线”的概念—谈到企业风险管理的“三道防线”概念。我们就会想到前些年企业进行全面风险管理体系建设时,经常提起的在组织机构层面建立企业风险管理的“三道防线”的做法,即企业的业务部门作为前端部门是风险管理的第一道防线;企业风险管理职能机构作为风险管理的第二道防线;企业的内部审计职能机构作为风险管理的第三道防线。三道防线共同组成了企业风险管理的防线系统,中国企业前些年进行的风险管理体系建设主要内容,是以建设第二道防线为主,包括建立组织机构和工作机制,识别和评估包括整个风险管理防线系统的相关风险,作为第二道防线工作开展的基础。下图是前些年我们对典型的三道防线组织架构图的理解。在 国 际 上 也 有 跟 国 内 “ 三 道 防 线 ” 提 法 相 对 应 的 概 念 , 即ThreeLinesofDefense,也可以直译为三道防线。即第一道防线是 RiskOwner(风险所有方),也是指业务单元或部门;第二道防线是 RiskManagement(风险管 理 ) , 前 些 年 在 风 险 管 理 理 论 还 不 太 成 熟 时 , 也 有 称 第 二 道 防 线 是RiskControlandCompliance ( 风 险 控 制 与 合 规 ) ; 第 三 道 防 线 是RiskAssurance(风险保证),主要是指内部审计部门。“三道防线”的概念到底是中国人先提出的还是国际上先出现的,我们还没有找到确凿的证据,如果是国际上先出现的,中国的三道防线的概念的提出是否是借鉴了国际经验,现在还不好下定论。二、新版 COS0-ERM 中对于“三道防线”的表述新版 COSO 在附录中也阐述了对于三道防线的概念,是从风险管理责任的角度论述的,谈到了首席执行官 CEO、首席风险官 CRO 和管理层三个层面各自的风险责任。同 时 , 也 阐 述 了 风 险 管 理 责 任 落 实 的 第 一 道 防 线 是 : 核 心 业 务 部 门(CoreBusiness);第二道防线是:支持职能部门(SupportingFunction);第三道防线是:保证职能部门(AssuranceFunction)。核心业务部门:和我们前期提到的第一道防线的概念基本一致,即企业管理的前台部门,作为风险管理的第一责任机构;支持职能部门:这部分作为第二道防线和前期的提法变化最大,支持职能部门除了包含风险管理专职职能之外,还包括:法务、合规、财务、人力、质量、安全等,所有可以协助一线核心业务部门进行风险管控的...
