风险管理从“三道防线”到“三道线”的思考与践行
作者: 发布时间: 2022-06-16 浏览次数: 158

风险管理从“三道防线”到“三道线”的思考与践行

原创 卢玉如 内审之友 2022-06-13 06:40 发表于广东

01引 言
2020
7月,国际内部审计协会(IIA)将企业风险管理——“三道防线”模型(Three Lines of Defense,发布于20131月)升级为“三道线”模型(Three Lines Model,有学者译为“三线”模型)。

三道线模型从过去 Enterprise Risk Management Aligning with Strategy and Performance,变成了Enterprise Risk Management Integrating with Strategy and Performance一字之调整道出企业风险管理工作和企业战略与绩效的关系的升级,从过去的“相协同、相协调”升级为“有机的、密不可分的整体”。

 “三道线”模型的升级的背景告诉我们,在风险社会的大背景下,面对日益复杂的企业风险管理问题已经无法依靠单一的第三道防线(内部审计部门)的力量对风险管理遇到的问题进行全面治理,必须依托三道防线共同参与,发挥各专业能力主体的合力作用,更好地平衡“防”与“攻”的关系,以强有力的“合力”方式来强化企业风险管理结构和程序以保障和实现组织目标。



02坚信两个原则

在企业中践行“三道线”前必要坚信两个原则:

第一,风险管理。它管理的是 “事”,是影响公司战略、经营目标能否达成的事。因此,要做好风险管理必须是从上而下推动, 那么“合力”的主体(目标人群)很明确,那就是核心管理团队。

第二,意识认知先行。只有统一了认知和意识,风险管理才能发挥各管理主体的“合力”作用,参与主体的任何一维度个体心里赋值的降低都可能导致管理主体行为的减少和目标实现水平的降低。


03践 行

在具体践行过程中,可以从以下三方面落地:统一认知,认知促进合力;重塑机制,机制保障合力;方法论赋能,能力促进合力。

(一)统一认知:统一风险认知,责任主体认知,企业层面风险偏好认知
统一风险认知

痛点:基于大多数人都是风险厌恶型,所以在推行风险管理“合力”模型的时候,可能会遇到部分管理者“谈风险色变”,一提到“风险”,就误以为说他们有问题,对 “风险”一词很抗拒。

践行:跟管理层进行宣导和一对一的沟通,宣导和沟通的重点:“风险”并不是指“问题”。风险具有不确定性的,是指事项发生并影响战略和经营目标实现的可能性,即不确定性带来的机会或损失。因此,风险需要提前识别,可防可控。


统一责任主体认知

痛点:可能会遇到部分管理者认为风险管理就是风控部门或者内部审计部门的职责,不清楚自己在风险管理中所充当的角色。

践行:宣导“三道线”,明确各部门归属哪道线,各线的在风险管理中主体责任(执行主体责任,管理主体责任,监督评价主体责任)。


共识企业层面风险偏好认知

企业风险偏好,即企业为了实现其战略和经营目标,在平衡收益和风险后采取的风险应对策略,是企业所辖业务的风险接受度。风险偏好是公司风险管理的核心和基调,是风险策略确定(承受/控制/转移/规避)和应对措施制定的依据。

痛点:在实践中,尝尝会遇到管理层虽有意识参与到风险管理过程中,但面对风险时经常无法达成方向上的一致,各管理人员心里都有一把衡量风险的称。例如,业务部门面对风险的时候更倾向选择往前冲,而职能部门面对风险更倾向于防守,这是因为管理人员的个人风险偏好以及所在的部门的不同分工,造成在管理风险进行决策过程中分歧较多。

践行:共识企业的风险偏好,以帮助管理层在做出风险应对策略时更好地跟企业的风险偏好保持一致。企业层面的风险偏好对决策有着至关重要的影响和作用,决策者只有准确并清楚的了解与认识企业的风险偏好,才能做出最好的决策实现企业的战略和经营目标。这里需要说明的是企业的风险偏好是企业总体的风险偏好,根据企业的实际情况,个别领域是需设立个个性化的风险偏好把控。例如,当企业在业务高速发展期或者扩张期,整体风险偏好可能会选择“积极型”等,但是在合法合规领域依然会坚持“保守型”或者“稳健型”等。


1:风险偏好即对应的风险管控策略


(二)建立保障机制
痛 点

在提倡和推行“攻”与“防”平衡的风险管理“三道线”模型时,可能会遇到部分管理者担心“攻”后出现风险事件而被问责,以致产生“多一事不如少一事的心态”。这个时候保障机制的建立非常重要,机制在共识中建立,在运行中完善。

践 行

1、重塑共同目标:风险管理三线的目标是一致的,实现企业战略和经营目标,促进企业增值保值。

2、明确风险管理态度:创建防攻兼备,平衡风险,既保护发展中合法经营管理者的权益,又保护经营管理者的创造力和积极性。

3、机制保障:实施经营管理问题“三个区分开来”。保护好发展中合法经营管理者的权益,保护经营管理者的创造力和积极性,如商业模式创新、体制机制创新等;其次是严格区分经营管理责任和违纪违法责任,健全、完善三道线机制创新等;最后是对主观上故意违规的行为进行惩罚和震慑,合理保障公司资产防线机制。

(三)方法论赋能:聚焦重点风险领域集中管控;提供第一/二部门自主管理的大原则
在风险管理中,遵守二八原则,实行重点风险领域的集中管控(风控审计部统筹,各防线合力的方式);其他风险由第一、二道线部门自主管控的方式。

1、聚焦重点风险领域集中管控

风险管理是贯穿于风险识别、风险评估、风险应对、风险监控和风险报告的全过程,任何一个环节方法论的使用或者重视程度不够,都会对风险管理的成效大打则扣。

在践行的总体做法:

通过全面识别风险矩阵评估法,内外部环境研判和经验值修正等),四级评估管理层一对一访谈、业务自评提报、风控内审部专业预判、管理层集体评价四级评估),找准集团重点风险十大风险),落实风险应对明确责任主体,确定管控原则,量化风险管控目标,签订风险执行书(部门一把手绩效挂钩)),围绕风险监控日常+专项+复盘调整),建立重点风险动态监控预警机制

2、红黄绿风险矩阵机制

提供业务/职能部门自我管理的大原则(量化标准)。红黄蓝风险矩阵机制旨在给业务/职能部门提供具体的风险管理的方法论和工具,其中结合风险识别评估的分值应用,红灯是禁区,黄灯是讨论区,绿灯是直通区,以提升防攻平衡,实现风险管理的最终目标。

04写在最后
最后,想特别提醒在践行中的几个关键点:

1关键点
1
、风险管理是自上而下的过程,因此,在风险识别、评估、应对、监控以及报告过程都需要管理团队共同参与。

2、风险管理别忘记共识“企业风险偏好”,所有的风险应对措施都是建立在企业风险偏好的基础上做出的风险应对策略的选择。

3、风险识别评估,通常是依据剩余风险进行的评估,即考虑现有管控措施发挥作用的情况下,风险发生的可能性及其对公司的影响程度。

4、在重点风险管理的目标设置上,为了更好实现风险前置管控,建议制定双目标。总目标,是结果指标;分目标,又叫前置目标,是过程指标。

5、风险监控要明确具体规则,并且定期公示,否则容易造成风险管理虎头蛇尾。