前言:的十九大报告将防范化解重大风险作为三大攻坚战之一,落实到企业微观层面,国务院国资委印发的《关于加强中央企业内部控制体系建设与监督工作的实施意见》(国资发监督规[2019]101号)文件中要求国资企业建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效IM电竞 IM电竞app的内控体系,进一步树立和强化管理制度化、制度流程化、流程信息化的全面风险管控理念,进一步提升中央企业防范化解重大风险能力。因此,在“大智移云物区”时代,如何运用新一代信息技术提升企业防范风险的能力也就成为理论与实务界共同面临的科学问题,而全面风险管理的系统化落地不仅仅是系统流程化开发,而是涉及到制度、组织、流程、智能算法等全方位的,应建立在科学的理论指导、整体系统建设规划基础上IM电竞 IM电竞app的。为更好地指导集团企业内部控制与全面风险管理系统建设,我们将相继推出智能化全面风险管控理论与实践一系列推文,以期为目标企业借助信息技术全面提升防范化解重大风险能力提供借鉴性思路。
风险管理责任落实的第一道防线是:核心业务部门(Core Business);第二道防线是:支持职能部门(Supporting Function);第三道防线是:保证职能部门(Assurance Function)。
和我们前期提到的第一道防线的概念基本一致,即企业管理的前台部门,作为风险管理的第一责任机构;
这部分作为第二道防线和前期的提法变化最大,支持职能部门除了包含风险管理专职职能之外,还包括:法务、合规、财务、人力、质量、安全等,所有可以协助一线核心业务部门进行风险管控的职能,都应该属于支持职能部门,即第二道防线;
主要指的是审计部门,包括内部审计和外部审计。其中和我们原来三道防线的提法变化最大的就是第二道防线的内容,对原来风险管理职能进行了重新定义。原来我们指的是风险管理职能部门和风险管理委员会组成了企业风险管理的第二道防线。现在第二道防线将风险管理职能部门的范围扩展到了所有支持部门。应该说,这是一种进步,是将风险管理工作从独立的视角向整合的视角,以及更好的从企业管理活动的实际出发进行的重新定位。
风险管控三条防线讨论的内容涉及组织的各个部门和岗位,部门包括:各业务部门、风险管理委员会、主要风控部门、内审部门、审计委员会和董事会。岗位包括:内部审计师、风向管理专家、法务人员、欺诈调查专员和其他风险和内控方面的专家。它能够帮助组织揭露风险并持续关注各部门是否有超越该防线的行为。这一模型适用于任何规模和层次的企业,同时也可以帮助那些还没有建立系统的风险管理制度的企业,帮助它们在风险管理中查漏补缺并尽可能地避免职能相互覆盖。其实质是以企业各级岗位和职责为前提,对风险管理的责任进行划分,当三道防线都能有效地履行其风险管理职责时,企业就能实现整体风险管理的战略目标。
第一道防线:企业的运营和管理。由谁负责:业务和流程负责人。职责:对组织运营和管理过程中的风险进行控制。
第二道防线:企业的风险管理和合规性管理。由谁负责:企业风险管理委员会或风险管理的主管部门。职责:塑造良好的风向管理环境,从整体层面把握企业风险管理目标,并监督和促进业务和营运层面风险管理的有效进行。
第三道防线:内部控制和内部审计。由谁负责:审计委员会或内审部门。职责:对企业重点风险管理和控制出具进行独立的审计并出具审计报告,对企业风险管理和控制的监督应独立于业务层面的风险管理。
目前组织应不断升级自身的风险管理和内部控制,并提供了一套系统性方法来加强风险管理和内部控制之间联系,而加强第二道和第三道防线之间联系的前提是要明确二者各自的基本职能以及在组织内部担当的角色。
由于企业本身的监管要求比较高,可以预见,企业将会更多的采纳这一模型来控制风险。不出意料,78%的企业管理者回应称他们的公司正在将内部审计作为风险控制的第三道防线%的回应者却称他们的公司将内部控制作为风险控制的第二道防线%的回应者认为第二道防线和第三道防线之间的区别并不明显。
基于COSO新版企业风险管理框架的方向性变化,可以看得出风险管理还是要遵守企业管理的法则,从整体企业价值创造的角度出发,才能更好的找到自己的位置和价值。就三道防线而言,要结合企业核心价值创造的一系列活动来定义,才能更好的体现风险管理工作的意义和价值。由美国著名战略学家迈克尔·波特提出的价值链分析法(Michael Porter s Value Chain Model),把企业内外价值增加的活动分为基本活动和支持性活动。基本活动包括生产、销售、采购、售后服务等核心环节。支持性活动涉及人事、财务、计划、研究与开发等,基本活动和支持性活动构成了企业的价值链。
不同的企业参与的价值活动中,并不是每个环节都创造价值,实际上只有某些特定的价值活动才真正创造价值,这些真正创造价值的经营活动,就是价值链上的战略环节。企业要保持的竞争优势,实际上就是企业在价值链某些特定的战略环节上的优势。
运用价值链的分析方法来确定核心竞争力,就是要求企业密切关注组织的资源状态,要求企业特别关注和培养在价值链的关键环节上获得重要的核心竞争力,以形成和巩固企业在行业内的竞争优势。企业的优势既可以来源于价值活动所涉及的市场范围的调整,也可来源于企业间协调或合用价值链所带来的最优化效益。波特的价值链分析法可以用如下图表示:
企业风险管理的三道防线概念既然已经明确,那各道防线对于风险管理责任的承担是怎么分配的呢。在前些年中国企业风险管理体系建立的过程中,曾经有一段时间,有一部分企业的相关领导认为,企业的风险管理工作就应该是风险管理专职职能负责。最开始企业的各业务部门对此种权利的划分是有意见的。
有的质疑风险管理部门的精力是否可以照顾到每类风险,有的质疑风险管理部门不够专业来管理这么多类风险,还有的是因为不想让风险管理部门插手自身业务太多,对自己形成牵制。尽管有这么多的质疑,有的企业领导在初期还是把各类风险管理的权利和职责分配给了风险管理职能部门。经过一段时间的运行,突然有一天企业各业务部门醒悟了,觉得这样的授权方式太爽了,业务部门的风险都由风险管理部门负责,自己不用再担心出事担责任了,而风险管理部门则被这种突如其来的“充分授权”搞得头晕脑胀,苦不堪言。
在风险管理工作开展的初期,种种如上的错位还有很多,这样的决策破坏企业管理最基本的“责、权、利”的统一和对等。
企业风险管理的职责和企业管理的职责是一致的,被授予了什么样的权利,即同时授予了相对应的风险管理的职能,这是不能分割的一个整体。我们可以通过华为的企业风险管理实践了解一下企业应用层面的经验,第一道防线即为风险的Owner(所有者),是企业风险防控的第一责任人,通过第一道防线%的问题,接下来才是要第二道防线和第三道防线要进行查漏补缺的。但是这里也要明确一点,第二道防线和第三道防线%的问题是什么的过程中,需要付出大量的参工作和精力来保证这种机制顺利运转的工作基础。
对于三条线防控的解读,根据全球内部审计核心知识体系的报告,对服务行业第三道防线的是这样解释的:“机构的内部审计师们应致力于帮助其他两道防线更为有效的在风险管控中发挥应有的作用。”内部审计这一防线对前两条防线起到推动、监督和评价的作用。其和第一二道防线的区别是审计委员会或内审部门的风险管控结果可以直接向董事会报告,具备高度的组织独立性和客观性。当然,在一些规模较小的企业,第二条防线和第三条防线之间的界限可能并不清晰。
致力于数字赋能用户,实现风险可控下企业运营价值最大化。将帮助客户梳理并不断健全完善各项规章制度,持续进行优化,通过建设系统协助客户认真扎实地贯彻执行风险防范责任制,按规操作、规范管理、优化流程、面向业务、监控预警的风险合规文化建设,努力做到在规范与合规的前提下发展业务,以保证流程和规章制度在约束之内进行。实现企业内控、合规与全面风险管控系统的建设与实施落地,完善评价与监督考核体系综合建设,最终实现企业风控目标与战略目标的统一。IM电竞 IM电竞平台IM电竞 IM电竞平台IM电竞 IM电竞平台
