一���、三道防線的理論
關于企業(yè)建立“三道防線”來管理和應對風險的理論和實踐,也指出了最近幾年關于“三道防線”理論的最新發(fā)展��,最主要的就是擴展了第二道防線的范圍����,先帶著大家回顧一下三道防線的基本內(nèi)容:
第一道防線:核心業(yè)務部門,指的是企業(yè)經(jīng)營管理中和外部市場接觸最前臺的部門�����,如銷售部門����、采購部門等核心業(yè)務部門,作為風險管理的第一責任機構�����。
第二道防線:支持職能部門�����,作為第二道防線和前些年的提法變化最大,一般我們理解上是風控�����、內(nèi)控���、合規(guī)等部門是典型的第二道防線內(nèi)容����,但最新的三道防線是將所有的支持職能部門包括:法務�����、合規(guī)��、財務���、人力、質(zhì)量�、安全等等,所有可以協(xié)助一線核心業(yè)務部門進行風險管控的職能�,都屬于支持職能部門���,即第二道防線。
第三道防線:保證職能部門��,指的是獨立監(jiān)督和審計部門����,包括內(nèi)部審計和外部審計,部分企業(yè)還包括紀檢和監(jiān)察職能�。
二、審計�����、風險與防線
近些年來��,三道防線的方法也被引入到了一般的企業(yè)進行風險管理���,用以更好的劃分不同的職能在管理風險時的不同職責���。這樣的方法最開始是從內(nèi)部審計職能引入的,有很多關于企業(yè)三道防線的資料都是出自一些國際的審計相關組織�。
審計工作的底層邏輯是基于風險的,所以,在企業(yè)風險管理發(fā)展的歷程中�����,其中有一個脈絡就是從審計中來���。這也是我們看到很多企業(yè)的風險管理職能是從內(nèi)部審計中慢慢分離出來的原因�����。
當然���,基于風險的職能不僅只有審計,企業(yè)所有防守職能的底層邏輯都是基于風險的��。
三�、對立統(tǒng)一皆為二
三道防線的理論其實本質(zhì)上是兩道防線,正反思維對撞���,在對立中發(fā)展,所有的管理莫出其外����,決策與制衡、效率與控制、執(zhí)行與監(jiān)督都是一樣的道理�。
所以三道防線中最核心的內(nèi)容是第一道和第三道,即執(zhí)行與監(jiān)督���,缺一不可����,第二道防線實為衍生物����。實踐中第一道防線和第二道防線可以融合,第二道防線與第三道防線可以融合���,但第一道防線和第三道防線則不可融合�。
而對第二道防線的理解���,在三道防線理論里是個重點�����。第一道防線和第二道防線融合側重的是核心業(yè)務層風險的自控制�����,將風險管理工作最大程度的嵌入業(yè)務職能�。
第二道防線和第三道防線融合側重的是對風險的監(jiān)督檢查,將風險管理工作要求最大程度的通過監(jiān)督檢查職能實現(xiàn)���。
實際上�����,這兩種融合方式最后的效果是一樣的���,只不過從不同的兩個側面驅(qū)動而已。
四��、從防到攻防并重
現(xiàn)在的風險和傳統(tǒng)的認知相比已經(jīng)發(fā)生了變化��,傳統(tǒng)上認為風險就是一種損失����,而最新的認知認為風險就是一種不確定性,不確定性不僅僅會帶來損失可能����,還有可能會帶來積極的可以利用的方面,所以���,之前對風險有一個定義:影響目標實現(xiàn)的不確定性���。
站在傳統(tǒng)的視角上,風險是要“防”的��,因為它會帶來損失���,特別是從審計視角出發(fā)的風險,也往往是針對這類傳統(tǒng)的風險��。但站在當下的認知下�,風險的屬性也和從前大不相同,有些風險是“防不勝防”的�,對風險的態(tài)度,也需要從最開始的恐懼��、逃避����、抗爭、防范���,轉(zhuǎn)變?yōu)閷︼L險的理解���、接受��、管理和更好的利用����,特別是在當下的不確定環(huán)境下�,對風險的態(tài)度以及學會如何與風險共處將決定一個企業(yè)的前途命運。
傳統(tǒng)的風險會帶來損失����,所以風險管理主要的目標是防范損失,保護價值���,但可以更好的把握和利用風險時����,就可以利用風險管理創(chuàng)造價值�,形成創(chuàng)造和保護價值并重的理論體系。
所以�����,單純談“防線”已經(jīng)越來越不能滿足企業(yè)風險管理的需要��,因為作為一個企業(yè)整體來看,不僅要防�����,還需要攻��,每一個理論都需要有攻防結合的雙向意識才可以幫助企業(yè)更好的發(fā)展����。
五����、三層價值網(wǎng)
三道防線的理論如何發(fā)展進化以適應這樣新時代的要求,怎么能體現(xiàn)風險理論的最新發(fā)展�,實現(xiàn)攻與防統(tǒng)一,不僅要側重價值保護����,更需要聚焦價值創(chuàng)造,幫助組織最終實現(xiàn)價值��。
授權和賦能����,是應對不確定性的有效手段�����,那么風險管理工作的本身是否也需要更多的授權和賦能核心業(yè)務部門����,這是必然的�����,提升業(yè)務部門自身的風險管理能力�����,是風險管理工作的下一步重點目標��。
因此�����,三層價值網(wǎng)”(Three ayers alue Net)的概念���,供大家參考�。
首先,組織的存在是為了實現(xiàn)價值�,而這種價值是在創(chuàng)造和保護中取得,所以企業(yè)有一個核心價值流�,所有的經(jīng)營管理活動都應該圍繞核心價值流展開。
第一層���,創(chuàng)造層:核心業(yè)務部門��,主要進行價值創(chuàng)造,同時具有價值保護職能���,在創(chuàng)造中保護�,負責打贏戰(zhàn)爭�����。對應于原來三道防線理論的第一道防線���。
第二層�����,能力層:支持職能部門���,主要負責能力輸出��,在專業(yè)領域形成價值創(chuàng)造和保護的專項能力并支持第一層更好的進行價值創(chuàng)造和保護��,以提升第一層的專項能力為主要目標��,負責提供彈藥���。對應原來三道防線理論中的第二道防線。
第三層�����,絕緣層:保證職能部門���,主要職能是保護價值�����,防止價值外流�����,建立審計和監(jiān)督的價值外流“絕緣機制”��,負責督戰(zhàn)���,更好的幫助企業(yè)實現(xiàn)價值�。對應原來三道防線理論中的第三道防線����。
