浅谈企业内控与风险管理体系中的“三道防线”
2018-06-28赵亦丹吕祥涛
张 顼,赵亦丹,吕祥涛
(中国电力工程顾问集团东北电力设计院有限公司,吉林 长春 130021)
我国目前仍属于发展中国家,国内大型企业以国有企业居多,虽体量已达到世界500强标准,但其经营理念、管理水平与发达国家的成熟企业仍有差距,企业管理存在诸多问题。建立和完善内部控制和风险管理体系是优化企业管理的必然要求和重要组成部分,第一步就是要明确风控工作的职责与分工,完善风控体系的制度设计。目前很多企业的风控工作由法律事务部或监察审计部独自完成,导致风控工作缺乏制衡与监督,出现“既当运动员,又当裁判员”的现象。以“三道防线”思想为指导,将风控体系的牵头建设职能与独立评价职能分离,既是促进专业化、也是保障独立性的一种有效举措,同时也可以进一步完善风控体系的制度设计。因此,企业应逐步执行“三道防线”工作,将风控建设与独立评价职责分离,体系建设部门与独立评价部门紧密配合,促进风控管理持续闭环提升。
1 “三道防线”的概念及职责
风险是“不确定性对目标的影响”,不确定性客观必然存在,内控是通过合规完善的流程,把风险控制在合理的范畴,让结果与目标更接近,而不是完全消灭风险(全部风险—内控风险=可接受风险)。“三道防线”是指企业风险管控机制应对的三道防护部门:第一道防线是风控管理的直接责任部门,直接承受风险带来的影响;第二道防线站在公司整体视角统筹开展风控相关工作;第三道防线为监督评价部门。
1.1 第一道防线
公司各个业务及职能管理部门。主要职责为梳理、建设及维护本部门的风控体系,配合公司风控工作的开展与落实,具体部门主要包括党群工作部、人力资源部、财务部、计划发展部、法律事务部等部门。
1.2 第二道防线
风控体系建设牵头部门,即法律事务部门。主要职责包括:
(1) 制定内部控制与风险管理制度。
(2) 制定内部控制与风险管理体系建设实施方案。
(3) 组织编制及维护内部控制与风险管理手册。
(4) 编制内部控制与风险管理年度计划。
(5) 组织开展风险评估,编制全面风险管理报告。
(6) 参与重要管理制度评审。
(7) 参与重大决策事项风险评估。
(8) 负责对口上级部门有关内部控制与风险管理工作。
(9) 内部控制和风险管理工作相关的其他事项。
1.3 第三道防线
风控体系监督评价部门,即监察审计部门,负责对公司风控体系运行有效性进行独立监督与评价,监督前两道防线管理体系有效性。控制与风险管理体系结构见图1。第三道防线主要职责包括:
(1) 制定内部控制评价办法,编制内部控制评价手册。
(2) 制定内部控制评价工作计划及实施方案。
(3) 组织开展内部控制评价,编制内部控制评价报告。
(4) 组织对专项重点领域的专项监督与评价、报告。
(5) 监督企业聘请的社会中介机构开展内部控制评价工作。
(6) 督促整改内部控制缺陷。
(7) 内部控制评价工作相关的其他事项。
2 “三道防线”的规避风险管理机制
根据上述“三道防线”的具体内容,我们可以看出企业所面临的风险是可以通过“三道防线”转化过滤为可控风险的。第一道防线为各个业务及职能管理部门,是风控管理的直接责任部门,直接承受风险带来的影响,它以自身的风控体系防范本部门所面临的风险,并配合第二道防线与第三道防线开展公司层面的风险评估与内控评价的开展与落实工作。第二道防线为整体风控体系的管理部门,负责引入风控先进理念方法及管控模式,组织第一道防线部门站在公司整体视角统筹开展风控工具方法应用、内部管理流程优化、风险防范等相关工作;同时,配合第三道防线部门接受内、外部监督。其主要承担建设与沟通功能,组织公司层面的风险评估与防范工作,防范第一道防线无法防范的公司层面的风险。第三道防线为监督评价部门,负责对风控体系运行有效性进行独立监督与评价,监督前两道防线管理体系的有效性。通过对企业内控体系的监督与评价进一步防范企业风险,进而最终实现企业所面临的所有风险可控。
图1 控制与风险管理体系结构图
3 实践中存在的问题及应对方案
(1)“三道防线”在实践过程中首要完成的任务是风控建设与独立评价职责分离工作。在执行风控建设与独立评价职责分离工作时,最有可能面临的问题就是风控体系建设牵头部门与风控体系监督评价部门的职责划分不明,出现某一项具体工作没有明确的责任部门现象。上文中已对风控体系建设牵头部门与风控体系监督评价部门的具体职责进行了详细地列举,在此不再赘述,笔者认为明确两部门职责应注意以下两点:①风控体系建设牵头部门的职责关键词是建设、总体以及防范,也就是说风控体系建设牵头部门主要负责公司风控体系总体制度建设方面的工作并同时负责风险防范方面的工作;②风控体系监督评价部门的职责关键词是内控、具体、监督,说明风控体系监督评价部门负责公司风控体系监督与内控评价的具体工作。掌握了这两点原则就很容易明确风控体系建设牵头部门与风控体系监督评价部门的分工,如果日后出现某项工作无明确责任部门时,可参考这两点原则确定。
在实践中,风控体系建设牵头部门与风控体系监督评价部门的职责明确划分后,应在企业各部门的职责与分工中按要求明确规定风控建设与独立评价职责分离工作的相关内容,并将风控建设与独立评价职责分离以及“三道防线”的规避风险管理机制的相关内容加入企业相关管理制度及规定、风控体系文件和信息化流程中,以制度和流程方式固化风控建设与独立评价职责分离以及“三道防线”的规避风险管理机制,为企业优化风控体系工作提供制度保障。
(2)“三道防线”在实践过程中要完成的核心任务是实现各个业务及职能管理部门、风控体系建设牵头部门与风控体系监督评价部门良好配合,联合发挥内部控制与风险管理的作用。
在企业日常管理过程中,这三类部门应这样相互配合:风控体系建设牵头部门制定内部控制与风险管理的相关制度,各个业务及职能管理部门执行上述制度;风控体系监督评价部门定期进行内部控制评价工作,发现识别内部控制缺陷;风控体系建设牵头部门组织各个业务及职能管理部门针对识别的缺陷进行整改,实现内部控制的目标,通过上述体系加强企业的风险防范工作,并定期开展企业的风险评估工作。如按上述的模式以一种理想化的模式运行,将会得到一个很好的内部控制与风险防范效果,但在实际执行的过程中,必然会出现一些问题与障碍。面对这种情况,应加强部门之间的沟通与协作,定期开展部门交流,总结“三道防线”执行过程中的经验与问题,进一步完善风控体系的制度设计,提高“三道防线”工作的执行水平。
(3)在执行“三道防线”工作的过程中,如发现该项工作的内容与企业原有管理制度发生冲突,应先理顺该项工作与原有制度之间的关系,并对原有制度进行修改,将“三道防线”工作的内容加入其中。这样既可以解决“三道防线”工作与企业原有制度的冲突,又可以进一步完善企业管理制度,促进优化企业治理工作。
4 结语
没有任何一个企业是在无风险的环境下运营的,企业的内部控制与风险管理体系提供了识别和评估风险的程序,增强了风险应对决策能力,减少了经营中的意外和损失,能够对于多种风险提供综合的应对措施,做到风险可控。但我们也应该看到企业风控管理体系存在的局限性,如风控管理体系设计不合理就会导致控制失灵,风险得不到有效防范。以“三道防线”思想为指导,将风控体系的牵头建设职能与独立评价职能分离,是完善内部控制和风险管理体系、优化企业管理的一项重要举措,也是做好企业风控工作的基石。综上所述,企业应以“三道防线”思想为指导,进一步明确责任分工,优化风控体系建设、进而强化企业管理,全面提升企业管理水平。
[1]GB/T 23694-2013.风险管理术语[S].