◎中国航天科技集团公司 郑永强
对促进企业风险管理三道防线协调运转的思考
◎中国航天科技集团公司 郑永强
风险管理三道防线是为了提升企业的整体风险管理能力提出的,其实质是以企业的各级岗位角色和职责为前提,对风险管理责任进行划分。如果三道防线都能有效履行其风险管理职责,企业就能成功实现全面风险管理体系建设目标。
1.第一道防线
企业一线的运营和管理层构成了风险管理的第一道防线,业务和流程的责任人应对其在组织或管理活动中的风险及控制直接负责,促进企业总体目标的实现。
在建设全面风险管理体系过程中,基于对《企业风险管理—整合框架》的认识,并结合自身实际,从集团层面进行设计,将各职能部门和下属单位定位为风险管理的第一道防线。
2.第二道防线
企业风险管理委员会(或领导组织)及风险管理主管部门构成了风险管理的第二道防线,其主要职责是营造企业的风险管理环境,在整个企业范围内建立对风险的统一认识,在管理层的领导和监督下促进第一道防线对风险实施的管控合理有效。
从中国航天科技集团公司的实际情况看,第二道防线在每个单位的组织框架内表现为不同的形式,其职责定位也有所区别,这主要是由单位的组织规模和行业特性决定的。在业务复杂或受到严格监管的大型单位,如大型研究院、财务公司、投资控股公司等,这些单位第二道防线的建立往往是比较独立的,拥有专门的风险管理机构;业务不太复杂、外部监管要求不太突出的单位则可能没有设置专门的管理机构来履行第二道防线的职能。不同单位的第二道防线职责也有所区别,如财务公司、投资控股公司,其风险管理部门在履行第二道防线职责的同时,还是业务管理流程上的一个重要控制点,对权益性投资项目、金融投资项目等的风险进行直接监控或提出具体建议,在一定程度上发挥着第一道防线的作用。另外还要结合本单位的具体情况,对外部硬性监管政策和红线要求进行持续监控,以防范政策风险。
3.第三道防线
企业内部审计是第三道防线,主要职责是对董事会和高级管理层所关心的风险与控制的有效性进行独立审计并报告,第三道防线重点提供的是具有独立性的监督而非对风险管理业务的管理。
拥有完善且运行有效的风险管理三道防线的企业,不仅可以高效识别和防范企业运营中存在或出现的风险,同时也可以通过信息渠道让企业董事会或高级管理层有更多机会获得重大风险及应对的无偏差信息,并通过落实高层管理者对风险提出的监管要求,加强企业对风险的管控。
企业无论采用何种治理结构,全面风险管理三道防线的设计、运行都应努力促成与治理结构的一致,这样才能通过适当的政策和程序来明确职责,并通过一致的高层基调实现风险管理三道防线的不断强化。需要强调的是,风险管理三道防线仅仅提供了如何具体分配角色和职责架构的前提,只有当董事会和高级管理层给予积极支持及指导时才能得以高效实施。
1.董事会和高级管理层的定位
根据美国COSO与国际内部审计协会合作完成的《在三道防线中发挥内部控制作用》对三道防线框架的分析,董事会和高层经营管理者均未被明确视为风险管理三道防线的成员,但二者有设定组织目标、制定企业发展战略、建立企业治理结构从而管理风险的责任。因此,他们是风险管理防线设定和环境建设的领导者。同时,高层经营管理者按照承担的职责还对第一、二道防线的活动负责。从这一点看,企业开展全面风险管理很大程度上取决于企业高层管理者的风险防范意识和采取的风险策略。在高风险领域,高层经营管理者将直接监督第一道防线对重大风险的防控情况,履行第一道防线的部分职责。
2.运营管理者的定位
企业制定总目标并将其分解为分目标或子目标。运营管理者是分目标或子目标实现的直接责任人,也是在职责范围内发挥第一道防线的第一责任者。风险管理包括识别和评估重大风险,执行既定的活动或落实应对措施,并及时与相关方进行沟通,向主管的高层管理者汇报风险识别与管控情况,将重大风险情况向高层传递,以获得更多的防范风险资源和保证。
3.业务管理者的定位
就风险管理业务而言,第二道防线主要执行的是独立于第一道防线的管理职能。业务管理者在企业高级管理层的指导和监督下,持续监控风险识别与控制的有效和合理性,组织开展风险管理环境建设。由于风险管理环境是企业组织建设的有机构成,需要不断与高层经营管理者进行沟通,并获得及时的指导信息。因此,风险管理委员会就成为第二道防线的重要构成。
4.内部审计管理者的定位
内部审计与第一、二道防线的区别是其具有高度的组织独立性和客观性,主要通过采用系统、规范的方法评估和改善风险管理流程执行的有效性,帮助企业实现风险管理目标。其最大的优势是可以向董事会或高级管理层提供监督信息,促进缺陷的改正,为风险管理的有效性提供监督保证,因此就构成了企业风险管理的第三道防线。
企业风险管理三道防线虽然在职责上有一定的区分,但它们有着相同的终级目标,即通过有效的风险管理保证企业总目标的实现。从具体工作内容看,它们在解决风险问题方面也有很多一致性。因此,企业董事会和高级管理层在设定风险管理三道防线的同时,应清晰地提出风险管理三道防线之间应当实现信息共享及协调合作,以提高企业风险管理的整体效率和效果。
1.第一道防线的主要工作
第一道防线是其职责范围内风险的第一责任者,用各种方法来管理风险,同时将影响企业总目标的风险信息向第二道防线传递,主要包括以下3个方面:
一是运营管理者应组织开展职责范围内的重大风险识别,在了解风险分布的情况下有针对性地提出风险管控措施。对日常运营中存在的常态性风险,应从管理角度进行改进和完善,通过不断丰富和完善相关管理办法,明确管理要求,并通过有效的监督和控制实现在业务运营中防范风险的目的,如业务计划执行风险等;对业务运营中发生频率适中且体现为重大事项的风险,应提出针对性风险防范要求,确定风险容忍度和控制措施。通过评审、第三方评估、重点审查等措施提高对风险管控的监督力度,如产品新技术应用风险等;对发生频率不高,但一旦发生将直接影响所承担的组织目标、造成重大损失或不良影响的风险事项,应制定相应的风险应对预案,加强日常风险应对演练,提高风险发生后的快速反应能力,如高层建筑消防风险、易燃易爆环节的安全风险等。
二是建立重大风险信息处置通道,通过加强对业务运营中的风险监控,对识别出的发生可能性高、影响程度大的风险事项应及时向主管机构及领导汇报,以寻求更好、更多的风险管控资源。
三是按照风险事项的影响程度及时将风险信息向第二道防线传递,为第二道防线形成单位层面的风险建议提供信息支持,实现第一、二道防线的风险信息共享。
2.第二道防线的主要工作
一是通过适当的风险管理培训向第一道防线提供有关的风险管理知识。
二是协助第一道防线提出风险管理实施途径的建议或策略,通常指风险解决策略,但往往不涉及具体的风险管控措施。
三是落实风险管理环境建设,统一风险管理语言,努力提高三道防线之间的信息沟通与共享能力。
四是收集来自第一道防线各领域的风险信息,在风险清单中识别并描述风险,采用评级法,将风险进行优先排序,以找到需要给予更多关注的重大风险事项。
五是按照管理层要求明确具体风险和应对措施的责任者,监控为降低风险而采取行动的结果。
3.第三道防线的主要工作
企业的内部审计职能工作应涵盖企业所有的重大风险和控制活动。与第一、二道防线的沟通有助于内部审计使用风险管理语言,并了解二者对风险的理解,以便于就风险管理执行的有效性进行评价,对可能存在的问题提出相关建议,对存在的重大缺陷提出整改要求。
企业风险管理三道防线的设置与企业的组织规模、业务特性紧密相关,采用何种划分方式会有所不同,但三者的定位和基本责任是一致的。要保持三道防线协调运行,最重要的是要解决思想上的主动性与行动上的能动性问题。只有企业高层管理者的支持、指导和参与,才能有力促进三道防线各履其责;只有第一道防线主动策划与实施,才能形成企业最直接的风险管理能力;只有构建起强有力的第二道防线,并赋予一定的授权,才能让其在推动风险管理工作中获得足够的支持和尊重。◀