新三线模型在企业全面风险管理体系中的应用
摘要: 建立有效的全面风险管理体系,增强企业风险防范能力,提升企业韧性,是现代企业应对环境和市场变化,提升企业管理水平和内控水平的关键,也是企业提高经营绩效的迫切需要。本文就企业如何根据新三线模型基本原理探索性建立有效的全面风险管理体系进行讨论,并对其优势进行总结。

1. 前言

新三线模型是指国际内部审计师协会(IIA)基于对其2013年推出的三道防线模型(Three Lines of Defense Model)修订后,于2020年7月正式发布的其最新成果——“三线模型”(Three Lines Model)。有别于“三道防线模型”,新三线模型去掉了“防”字,将风险管理活动由原来的“被动防守”为主变为“攻守兼备”,更加鲜明地表现出在新的经济环境下,企业管理思维要更加积极。风险不仅是可能给企业带来损失的负面因素,也有可能是给企业带来积极的正面因素,这种不确定性强调管理风险时既要防范损失、也要抓住机遇。针对可能的损失风险,新的管理理念同样要改变态度,从最初的恐惧、逃避、抗争、防范,转变为对风险的理解、接受、管理和更好的利用,特别是在当下环境不确定性明显增多的状态下,企业的风险管理态度以及学会如何让企业机遇与风险共存将决定一个企业的前途命运。

根据IIA解释,新三线模型的推出,主要是其认为现代企业处在一个越来越不确定、复杂多变、相互交织和不稳定的世界。同时,由于每个企业组织涉及多个利益相关方,其诉求多样,有些诉求甚至相互冲突。在这种背景下,对企业治理层和管理层想要顺利实现企业目标提出了新的挑战,企业需要设定强有力的治理和风险管理结构和程序来保障企业目标的实现,特别是内部审计对于管理活动提供的独立、客观的确认和建议等职能的发挥。

2. 三线模型探索性实践

根据三线模型基本原则,结合企业组织结构,风险管理“三线”情况基本设置如下:

2.1第一线的设置

第一线为风险管理线,主要包括项目部、企业主要业务部门及业务中心业务部门,按照“业务工作谁主管,风险管理谁负责”的风险管理原则,对企业业务相关风险及企业战略经营风险进行管控,其主要风险管理职责包括风险识别、风险评估、风险应对等。

第一线较为清晰,其业务职责是直接面对客户,负责市场开发或者项目管理,其风险管理职责描述也相对简单,业务工作中的风险均由其进行识别并负责应对。

2.2第二线的设置

第二线为风险管理支持线,设置较为复杂,分为两部分:

第一部分主要是企业和业务中心相关职能支持部门,包括诸如财务与资本运营部(金融风险的管理与应对)、法律事务部(合规风险的管理与应对)、人力资源部(人力资源风险的管理与应对)、安全质量部(安全风险、质量风险的管理与应对)、纪检监督部(舞弊风险的管理与应对)、其他相应职能部门等,其主要职责是全面统筹其职能领域相关的风险管理工作,既负责组织公司业务部门做好风险管理工作;也要负责在风险应对工作中,对业务部门提供支持。

第二部分是企业内部审计部门的风险内控科,其是企业风险管控工作的牵头责任部门,组织公司全面风险管理工作的开展,并对风险管理的准确性和有效性进行分析。

相较于第一线,第二线的风险管理职责稍为广泛,第二线部分职能部门既需专注于其职能领域(诸如财务管理、合同管理、人力资源管理、安全管理等)的风险管理,承担第一线的风险管理职责,又需对业务部门相关领域的风险管理提供专业性支持。

作为企业风险管理工作牵头单位,风险内控科负责全面风险管理体系的建立和维护,同时也要负责落实公司全面风险管理工作,对风险管控总体情况进行跟踪,并就其中的重要事项向管理层汇报。

2.3第三线的设置

第三线为风险管理保证线,由企业内部审计部门的综合审计科负责,其主要职责是对公司治理和风险管理的充分性和有效请提供独立、客观的保证和建议,促进持续改进。

为保证独立性和客观性,第三线独立于风险管理职责,这是至关重要的。企业设置对治理机构的问责机制,且第三线能不受限制的访问、接触完成其工作所需的资源和数据,是其实现工作目标的基础。

笔者所在企业建立了以董事会审计与风险管理委员会为管理核心,以风险管理制度体系为支撑框架的风险管理组织体系基础,同时为落实风险管理职责,业务中心和项目部等主要业务领域针对其自身工作需要,发布了风险管理工作程序,是企业全面风险管理体系的有效补充。

截图1740472705.png笔者所在企业建立了以董事会审计与风险管理委员会为管理核心,以风险管理制度体系为支撑框架的风险管理组织体系基础,同时为落实风险管理职责,业务中心和项目部等主要业务领域针对其自身工作需要,发布了风险管理工作程序,是企业全面风险管理体系的有效补充。

企业的全面风险管理是贯穿整个企业的过程,在落实全面风险管理体系时,要保证其具有结构性、一致性和持续性的特点。按照新三线模型,将企业风险管理体系划分为执行层、管理支持层、监督层。执行层更了解具体业务开展情况,负责风险识别、风险评估、风险应对工作的具体实施;管理支持层对企业的风险管理定下基调,负责风险管理目标、风险偏好控制、风险承受度确定等,在日常的风险管理工作当中,则以组织、协调、指导、监督等方式,协调风险管理工作;第三线作为监督层,为整个风险管理过程提供确认服务。对风险管理职责进行合理设置,能帮助企业形成相辅相成、相互促进、相互制约的风险防范机制。

3. 结语

新三线模型重点关注风险管理在完成企业目标、为企业增值提效、保护企业价值方面的作用,基于新三线模型建立的全面风险管理体系,在开展风险管理工作时着眼于企业整体治理,企业风险管理职责更加清晰,动态且高效的协调风险管理工作中各职能群体,使得风险承受能力和风险管理能力达到有效平衡,从而大大提升了企业风险防范能力,提升了企业韧性和管理水平,使企业更有信心和能力应对环境和市场变化。

参考文献

[1] 杜艳.构建国有企业全面风险管理框架[J].中国商界,2008(11):141-142.

[2] 王兵,杜扬.在风险管理和控制的三道防线中运用COSO内部控制[J].中国内部审计,2016(4):4-8.