李 慧
(京福铁路客运专线安徽有限责任公司,安徽 合肥 230031)
“三道防线”模型已在多个行业得到广泛的应用,发挥了良好的作用。“三道防线”模型,对于合资铁路公司风控管理工作具有一定的借鉴意义。为了能够更好地发挥风控价值,创造利润,实现合资铁路公司的经营目标,必须将风控工作贯穿于铁路合资公司各项经营管理活动中,与公司总的管理战略目标相适应,根据不同层级的特点,建立合适的风控体系。本文结合合资铁路公司在风险防控中存在的问题,对“三道防线”模型在合资铁路公司应用提出了初步设想。
企业风险是“不确定性对经营目标的影响”,内控是通过合理合规的流程,把风险控制在可接受的范畴,从而实现企业的经营目标。“三道防线”是指企业风控管理的三道防护线:第一道防线是最基层的各有关职能部门和业务单位,是风控直接责任部门;第二道防线是风险管理职能部门,从公司总体风控角度统筹开展风控相关工作;第三道防线是内部审计部门和董事会下设的审计委员会,为最外层的监管部门。它在企业管理中最值得借鉴的地方在于从风控的角度对组织内部的各个职能部门重新进行职责分工。
1997年,中国人民银行《加强金融机构内部控制的指导原则》,旨在要求各金融机构建立“三道防线”风控制度。2004年,中国银行股改上市时,引入了“三道防线”的风控体系。2006年,国资委在《中央企业全面风险管理指引》第十条中提出“具备条件的企业可建立风险管理三道防线”。
2013年1月,国际内部审计师协会(IIA)为了进行有效的风险控制,提出《有效风险管理与控制的三道防线》企业应当搭建“三道防线”,并说明了这“三道防线”的组成、角色、职责、运作与协调等。这“三道防线”也被称为风险管理和风险控制模型。
2020年7月,国际内部审计协会(IIA)更新“三道防线”模型为“三线”模型。从字面意思来看是将“防”字去掉了,在进攻和防守两个方面统筹风险,进一步提升了风险管理理念。
“三道防线”的理论广泛应用于多个行业。例如,华为在业务管线上建立三道防线,包括行政长官、内控和稽查、审计;各中央企业按照《中央企业全面风险管理指引》要求,搭建全面风控体系,构筑“三道防线”组织结构,均取得了一定成效。
个别合资铁路公司风控管理观念落后,企业管理层认为开展风险管理会增加企业的成本;各职能部门对专职风控部门是否有能力与精力管控整个企业的风险有质疑,甚至质疑他们的专业性,是否过多插手本部门的业务;基层业务口对风控工作非常抵触,认为约束了他们的手脚,使他们不能展开手脚来开展工作。但实际上不是这样,风控工作关系着合资铁路公司是否健康运行,从国铁集团巡视组发现的问题可以看出,如果没有搭建一个良好的风险防控体系,可能效率更低,以及资产流失,徇私舞弊、经营失败等各类事项的发生。所以可以认为“三道防线”就像企业管理中的“红绿灯”,没有人希望红绿灯使我们的通行受到限制,但是如果没有红绿灯指示,整个企业就会陷入一片混乱。
目前投资公司风险控制工作由法律事务部、监察审计部或相关部门负责,有些下属合资公司没有设置这些部门,实际工作中也有财务部门等相关部门替代。导致风险控制工作缺乏制衡与监督,出现“既当运动员,又当裁判员”的现象。各下属合资公司业务人员,直接面对上级单位的审计人员,由于没有经过事中风控系统学习和指导,直接变成了事后监督,工作中难免出现错误,每次审计都暴露出许多问题。因此,合资铁路公司应逐步执行“三道防线”体系,将风控制建设与业务职责分离,促进风控工作水平的进一步提升。
目前,国铁集团在内部审计部门的配备上,对于铁路合资公司的管理,基本上只到投资公司这个层级,投资公司以下的下属合资公司大都没有配备内审人员,有的公司有内审人员,也大多是专职兼职人员,他们既从事审计工作,又负责公司其他工作,把内部审计工作为辅助工作,工作中处于应付的状态。还有一些单位根本没有配备人员充实内部审计力量,需要内部审计时,聘请外部专业机构进行审计,把内审变成了外审,弱化了内部监督职能。
合资铁路公司风控总体目标是:围绕铁路安全生产、运输经营、建设项目等重点任务,围绕“强基达标、提质增效”任务,进一步完善风控体制,分析公司各种经营风险,并采取相应的应对策略,确定风险管理实施方案,以实现风险控制的最优组合的,以最小的成本减少各类风险带来的损失的管理制度和方法,充分发挥风险管理作用,为铁路改革发展保驾护航。
1.投资公司风控管理“三道防线”
第一道防线:下属合资公司、各职能部门。下属合资公司身处风险管理的第一道防线,负责在日常工作中对各类风险进行具体管理,是风险的直接面对者,是各项具体合规管理制度的执行者;投资公司各职能部门,对本部门涉及的风险各类风险进行分析,对各类制度提出修该建议,具体执行风险管理相关制度。
第二道防线:管理层、风控职能部门。风控职能部门作为投资公司风控管理的第二道防线,身处中间端,负责统筹协调相关职能部门、下属合资公司,对各具体风险管理工作进行统一的规划、组织、指导、监控,他们要躬身入局,要拥抱业务、赋能经营。管理层作为风控领导部门,对其执行情况向公司董事会汇报,负责企业风控体系的建立和完善,确保其能够合理有效的运转。
第三道防线:审计与监察部门。审计、监察部门作为最外层的第三道防线,具备保证监督。负责对公司合规管理体系运行情况和运行效果,合规管理政策的执行情况进行检查、评估。内部审计、党委纪检部门都属于第三道防线。他们属于事后监督,内审对“事”监管,党委纪检对“人”监督。
投资公司风控管理三道防线如图1所示。
图1 投资公司风控管理三道防线图
2.下属合资公司风控管理三道防线
第一道防线:合资公司各业务部门。合资公司各业务部门身处风险的最直接接触者,对风管领域的各类风险进行分析,对风控部分各类风险管理制度提出修改意见,贯彻执行风控管理相关制度,是各项具体合规管理制度的执行者,力求能把风险控制在最低范围内。
第二道防线:公司管理层、风控职能部门。公司管理层风控职能部门是风控管理的第二道防线,身处中间端,负责统筹协调各业务部门,公司各类风险进行统一的规划、指导,并向上级风控部门汇报,建立风险清单,更好地服务基层业务。公司经理层作为基层领导组织,主要履行本公司风控管理体系的建立,保证其能够规范有效的运转。
第三道防线:审计与监察部门。审计、监察部门作为是最外层的第三道防线,具有监督作用,为公司各类生产经营风险把好最后一关。
下属合资公司风控管理三道防线如图2所示。
图2 下属合资公司风险管理三道防线图
建立流程责任制是强化各职能部门的对应业务风险管理,主要以制度来约束行为。所以职能部门在开展具体工作的时候,他的流程是实施责任制,流程的每一步都有制度,按照制度来实施,在每个风险点进行监控,按制度来约束职能和业务部门的行为,从而实现按规制而为,公司的大部分风险都在这个业务层面风险得到控制。
风控管理的部门,针对跨越流程、跨领域的高风险事项进行拉通管理,既要负责风险管理方法论的建设及推广,也要做好各层级的赋能,帮助业务口真正开展工作。由于铁路系统庞大,他们不仅需要投入精力,还需要很强的业务能力,是对合资铁路公司基建、运营、法律、财务等整个企业经营很了解的全能人才,他们有很强的执行力、理解力、判断力、沟通协调能力,所以大量适应需要的人才培养也不是短期能形成的,所以必须注重人才的培养,加强人才配备,提高风险控制人员业务水平。
由于目前下属合资公司都没有配备内审人员,所以可以推行实行财务监察、内部审计审人员与财务监察合二为一制度,或建立下属合资公司内审人员的委托管理派任制度,各投资公司内审部门可长期派驻到下属合资公司进行工作指导,提高威慑力,垂直领导监审人员,使下属合资公司在日常应对风险的工作中,提高各项风控管理的执行力,提高对下属合资公司的监督效果,使之日常工作中按照最优标准执行,少做事后整改事项。
进入大数据时代,合资铁路公司风险控制应当重点建立畅通的信息管理系统,实现各类信息共享,提高风控工作管理效率,为风险控制提供有效支持。一是建立管理制度信息库,搜集各项管理制度,系统化分类管理,便于查找和执行;二是建立风险事件信息库,根据风险事件发生的可能性,采取的应对措施;三是建立内审数据信息库,汇总各类内审中经常发生的风险事件,内审中共性问题,标注内控高风险点,将内审工作发挥更高大的功效。
综上所述,在“三道防线”的监管体系中,内部审计是“点”,风险管理是“线”,流程责任是“面”,只有三者结合起来才能确保内外合规。通过“三道防线”的逐层过滤和优化,无论从制度流程方面,还是从事前、事中、事后方面,甚至对人员和业务管理的角度,都对风险进行了管控,最终目的是转化为企业经营成果,使合资铁路公司的风控职能为管理层提供决策依据,更好地服务于战略,创造价值,增加利润,确保企业经营目标的实现。