風(fēng)險(xiǎn)管理“三道防線”含義已變！

COSO風(fēng)險(xiǎn)管理框架“應(yīng)為兩道防線"近期業(yè)內(nèi)都在熱議COSO風(fēng)險(xiǎn)管理框架“三道防線”新解等相關(guān)事宜，而我認(rèn)為“應(yīng)為兩道防線，并非三道防線”。之前一直對(duì)“三道防線”的提法多少有些疑惑，總覺得哪里不太明白，這次新解以及業(yè)內(nèi)各位專家的熱議倒是讓我清醒了一些。雖然國際、國內(nèi)都在提“三道防線”的觀點(diǎn)，但我仍有不同的看法。一、風(fēng)險(xiǎn)管理“三道防線”的概念一談到企業(yè)風(fēng)險(xiǎn)管理的“三道防線”概念。我們就會(huì)想到前些年企業(yè)進(jìn)行全面風(fēng)險(xiǎn)管理體系建設(shè)時(shí)，經(jīng)常提起的在組織機(jī)構(gòu)層面建立企業(yè)風(fēng)險(xiǎn)管理的“三道防線”的做法，即企業(yè)的業(yè)務(wù)部門作為前端部門是風(fēng)險(xiǎn)管理的第一道防線；企業(yè)風(fēng)險(xiǎn)管理職能機(jī)構(gòu)作為風(fēng)險(xiǎn)管理的第二道防線；企業(yè)的內(nèi)部審計(jì)職能機(jī)構(gòu)作為風(fēng)險(xiǎn)管理的第三道防線。下圖是前些年我們對(duì)典型的三道防線組織架構(gòu)圖的理解。內(nèi)申部■1總經(jīng)理1綜合制內(nèi)申部■1總經(jīng)理1綜合制1財(cái)務(wù)韶1市場(chǎng)韶■,生產(chǎn)韶1風(fēng)險(xiǎn)管理韶第二道防線在國際上，也有跟國內(nèi)“三道防線”提法相對(duì)應(yīng)的概念，即ThreeLinesofDefense，也可以直譯為三道防線。即第一道防線是RiskOwner（風(fēng)險(xiǎn)所有方），也是指業(yè)務(wù)單元或部門；第二道防線是RiskManagement（風(fēng)險(xiǎn)管理），前些年在風(fēng)險(xiǎn)管理理論還不太成熟時(shí)，也有稱第二道防線是RiskControlandCompliance（風(fēng)險(xiǎn)控制與合規(guī)）；第三道防線是RiskAssurance（風(fēng)險(xiǎn)保證），主要是指內(nèi)部審計(jì)部門。

2穴skA2穴skAUnit一、 對(duì)新版COS0風(fēng)險(xiǎn)管理框架中的“三道防線”的質(zhì)疑新版COSO風(fēng)險(xiǎn)管理框架在附錄中闡述了對(duì)于三道防線的概念，其中提到了風(fēng)險(xiǎn)管理責(zé)任落實(shí)的第一道防線是：核心業(yè)務(wù)部門(CoreBusiness)；第二道防線是：支持職能部門(SupportingFunction)；第三道防線是：保證職能部門(AssuranceFunction)。核心業(yè)務(wù)部門：即企業(yè)的業(yè)務(wù)部門，作為風(fēng)險(xiǎn)管理的第一責(zé)任機(jī)構(gòu)；支持職能部門：包括法務(wù)、合規(guī)、財(cái)務(wù)、人力、質(zhì)量、安全等，所有可以協(xié)助一線核心業(yè)務(wù)部門進(jìn)行風(fēng)險(xiǎn)管控的職能，都應(yīng)該屬于支持職能部門，即第二道防線；保證職能部門：主要指的是審計(jì)、監(jiān)察部門，即第三道防線；以上就是新版框架中的內(nèi)容。然而我認(rèn)為以上劃分形式考慮欠妥。二、 防線的作用和對(duì)象既然我們談防線，首先就要明確，什么是防線？作為防線，防護(hù)對(duì)象是誰？是否可以起到安防的作用？自己對(duì)自己可否進(jìn)行監(jiān)督？如果能清晰地回答這幾個(gè)問題，我想對(duì)于“防線”的理解才算是到位的。1、什么是防線？是對(duì)風(fēng)險(xiǎn)事件進(jìn)行的有效攔截或降低或緩沖，從而減少損失發(fā)生的東西。防線是有明確的主體和客體的。比如用堤壩來攔防洪水。如果主體和客體融為一體，那么防線的作用就幾乎不存在了。2、對(duì)象：既然是企業(yè)的防線，就會(huì)有防護(hù)或監(jiān)督的對(duì)象。在企業(yè)中，防線防護(hù)的對(duì)象就應(yīng)該是企業(yè)價(jià)值鏈實(shí)現(xiàn)的全過程，而業(yè)務(wù)部門和職能部門才是整個(gè)價(jià)值鏈實(shí)現(xiàn)的執(zhí)行者。那么按照部門劃分，就是這兩類部門；按照事項(xiàng)劃分，就是價(jià)值鏈的全過程。3、作用：既然是企業(yè)的防線，那么就應(yīng)該起到防護(hù)、防守、監(jiān)督的作用，從而規(guī)避/降低風(fēng)險(xiǎn)、損失的發(fā)生。如果缺乏這樣的作用，或是攔截/降低風(fēng)險(xiǎn)失效，那么就不應(yīng)該稱之為防線。4、崗位互斥：從基本的崗位/角色互斥的角度來說，必須保證獨(dú)立性，不能出現(xiàn)同一部門或同一人員既是運(yùn)動(dòng)員又是裁判員，否則就是監(jiān)守自盜了。如果做不到互斥崗位/角色分離，就不能稱之為防線，也起不到防護(hù)的作用，至少在設(shè)計(jì)上就出現(xiàn)了漏洞。我想上述四個(gè)方面應(yīng)該回答清楚了開頭的幾個(gè)問題。這也就厘清了之前的疑惑——為什么是兩道防線，并非三道防線。三、責(zé)任、擔(dān)當(dāng)和監(jiān)督的區(qū)別1、每個(gè)人都對(duì)自己工作負(fù)責(zé)，有擔(dān)當(dāng)，那就不需要防線了？每個(gè)運(yùn)動(dòng)員當(dāng)然都對(duì)自己負(fù)責(zé)，有擔(dān)當(dāng)，那還需要裁判員嗎？或者自己是運(yùn)動(dòng)員并兼任裁判員？這是否成立？?jī)?nèi)控的誕生是基于人性本惡為假設(shè)前提的，并逐漸由崗位之間的相互牽制發(fā)展到現(xiàn)在的內(nèi)部控制體系，甚至是風(fēng)險(xiǎn)管理體系。因此，人除了責(zé)任感和擔(dān)當(dāng)外，還隱存著些許私欲，做一些只對(duì)自己有利而不管是否對(duì)其他人有利的事情，一方面與自我認(rèn)識(shí)有關(guān)，另一方面受自我專業(yè)范圍限制。舞弊的產(chǎn)生的原因不也是“動(dòng)機(jī)—機(jī)會(huì)—自我合理化”。而內(nèi)控/風(fēng)險(xiǎn)管理正是從大局出發(fā)，從獨(dú)立的一個(gè)視角出發(fā)，只要有損組織利益的事件或行為，都需要加強(qiáng)防控。因此，所謂的責(zé)任感、擔(dān)當(dāng)和防線的作用還是存在差異的。2、業(yè)務(wù)部門守土有責(zé)？遵守交通規(guī)則，人人有責(zé)？這里面有個(gè)概念需要明確。執(zhí)行者和風(fēng)險(xiǎn)（或損失）承擔(dān)者是否為統(tǒng)一體？如果不是，“業(yè)務(wù)部門守土有責(zé)”就是一句空話。業(yè)務(wù)人員造成的損失，往往都是由公司來承擔(dān)的，都是對(duì)自己有利的，比如越權(quán)銷售、篡改銷售價(jià)格、虛假報(bào)銷銷售費(fèi)用、通過透露標(biāo)底的方式與供應(yīng)商達(dá)成共識(shí)。所謂的“遵守交通規(guī)則，人人有責(zé)”，那是因?yàn)閳?zhí)行者和風(fēng)險(xiǎn)承擔(dān)者是統(tǒng)一體，若不遵守，自己就會(huì)受傷/殘疾/甚至更重的人身傷害。自己給家里購買家電家具有誰故意購買次品的？到貨驗(yàn)收草草了事？想要車輛禮讓行人，只有布局道路監(jiān)控系統(tǒng)和懲罰措施，以及