企业风险管理的三道防线应如何建立

企业风险管理组织体系的框架中其实包含了风险管理的三道防线,即各有关职能部门和业务单位为第一道防线,风险管理职能部门和董事会下设的风险管理委员会为第二道防线,内部审计部门和董事会下设的审计委员会为第三道防线。

第一道防线——业务单位和有关职能部门。足球经理们曾经说过,当守门员未能扑出进球时,在他之前,其他10名队友也一定漏过了这个球。身处第一线的业务单位和有关职能部门(例如:财务部、销售部、采购部)要负责管理的所选定的经营模式中诸多既存的风险,也是防范这些风险的第一道防线,是企业风险管理的最前沿。企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中,要求各业务单位就其战略风险、财务风险、市场风险、运营风险和法律风险进行系统化的识别、衡量和评价,并向主要的管理人员明确风险管理的职责和责任,及时就风险应对措施、控制活动以及信息沟通整体质量进行报告,这样才能建立好防范风险的第一道防线。

第二道防线——风险管理职能部门与风险管理委员会。除了负责的业务部门管理层及工作人员,企业还需要一个有效并受到尊重的风险管理职能部门。这一风险管理职能部门就是企业风险管理的第二道防线。风险管理不仅需要理解业务部门和相关职能部门的工作并指出其不足之处,而且需要完善对集中性、相关性和预警的深入理解。如果说一流风险管理的秘密在于企业的风险文化,那么这种文化一定是建立在风险管理人员的能力上。高素质的风险管理人员是风险管理部门平等参与决策并让业务单位尊重风险纪律的保障。这些风险管理人员不仅要对业务及其所承担的风险有着清晰的理解,而且还要跟得上企业迅速发展且愈发复杂的形势。当然,这些经验丰富的风险管理人员仅靠自身是远远不够的。他们同样需要一套支持性的组织架构、基础设施及内部流程。为了强制执行并推行适当的快速批准机制,风险管理者需要及时且准确的数据以及相关的权力。在建立第二道防线的过程中,风险管理职能部门需要从企业整体利益的角度来考察企业所面临的各类风险,编制规章制度,对各业务单位的风险进行组合管理,度量风险和评估风险的界限,建立风险信息系统,并负责风险信息披露、沟通等。

第三道防线——内部审计部门和审计委员会。风险管理第三道防线涉及一个独立于业务单位的部门,即内部审计部门。内部审计部门不仅需要对业务单位的工作有着良好的理解,而且需要对风险管理的规定进行深入研究。内部审计工作是对各业务部门和风险管理职能部门的风险管理活动进行再监督,而不是自行参与每一项风险的评估和控制或主导企业的风险管理工作。内部审计可以通过评估风险识别的充分性,评价已有风险衡量的恰当性,以及评估风险防范措施的有效性等方式参与企业风险管理工作。

企业风险管理的三道防线如下图所示。