企业构筑风控体系新三道防线组织结构的探索与实践

张亚兵 张伟 肖春颖 杜秉翰

摘要基于更高效的统筹企业风控资源，提高企业抗风险能力的现实需求，在对风控体系原三道防线组织结构以及运行过程中暴露出的问题进行深入分析的基础上，通过对风险管理思想的本质、三道防线的内涵进行辨证解读、重新架构，提出了分别以业务执行单位、业务主管部门、风控内审部门为主体的新三道防线组织结构以及运行方式。随后在机型项目管理业务域对新三道防线组织结构进行了实践验证、经验推广，取得良好成效，切实改善了基层组织环境，实现了三道防线的高效协同联动，成为支撑公司快速适应、应对内外部环境变化的坚强护盾。

关键词 风控体系；
风险管理；
三道防线；
项目管理

DOI：
10.19840/j.cnki.FA.2022.02.009

在国资委2006年发布的《中央企业全面风险管理指引》中，提出“企业可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线；
风险管理职能部门和董事会下设的风险管理委员会为第二道防线；
内部审计部门和董事会下设的审计委员会为第三道防线”[1]。各中央企业按照指引要求，搭建全面风险管理与内部控制体系（以下简称“风控”），构筑三道防线组织结构，取得了一定的成果。但是随着风险管理在企业的逐渐深入，风险覆盖领域的持续拓展，业务专业性要求的不断提高，三道防线组织结构下的风控体系运行已日渐“吃力”，受边际效用递减规律影响，组织投入与风险防控效能产出比的提升，已面临停滞甚至呈下降趋势。鉴于此，中航西安飞机工业集团股份有限公司（以下简称“公司”）结合实际深入研究，探索创新风控体系组织形式，通过实践运行、固化推广，形成了更为高效的新三道防线组织结构，为公司风控体系注入了新的活力与生命力。

一、原三道防線组织结构及存在的问题

（一）原三道防线组织结构

公司原三道防线组织结构（如图1所示）分别以业务部门、风控职能部门和内部审计部门为主体[2]。其中业务部门是第一道防线，负责基于业务组织风险辨识、评估和应对；
第二道防线包括董事会下设的风控委员会和风控职能部门，职责是指导、组织、协调各业务开展风控工作，综合平衡公司面临的重大风险；
第三道防线包括董事会下设的审计委员会和内部审计职能部门，职责是对第一、二道防线活动进行监督评价。

（二）原三道防线存在的问题

1.第二道防线组织管理效能难以发挥

在原有三道防线组织结构下，风控职能部门的风控主管人员不仅需要给业务部门提供风险管理基本理论的专业指导，还需要深入参与不同业务的风险管理实际操作过程，时刻面临基于业务的专项风险管理的指导需求，这对于风控主管人员来说无疑是一项巨大的挑战。受工作经验、知识积累、业务庞杂性等因素限制，风控主管人员想要在各业务做到“面面俱到”是不可能的，让其作为第二道防线，时刻承受第一道防线汹涌而来的多头压力，仿若不能承受之重，既无法满足业务专项管理需求，也无法体现自身专业优势价值，进而导致第二道防线的组织管理效能难以得到充分发挥。

2.第三道防线再监督职能与实际不匹配

国资委提出让内部审计部门作为第三道防线，目的是发挥内审的再监督职能，出发点是正确的，但是在实践过程中，由于很多企业因总体组织架构需求，将内审职能和风控职能划归同一个部门，在“同一个屋檐”下，第三道防线对第二道防线的再监督作用很容易被打折扣。意识到这一问题的企业多会采用“内审与风控职能协同开展工作”的方式，发挥第二、三道防线的指导、监督合力，起到“1+1>2”作用。但是这样又带来新的问题：二、三道防线边界淡化甚至融合后，“再监督”变成了“监督”，实际也就意味着第三道防线的缺失，“少了一道篱笆”无疑会破坏企业抗风险能力的完整性。

3.“听见炮声的人”无法得到准确帮助指导

华为集团原董事长任正非提到“让听得见炮声的人来决策”[3]，因为业务执行单位的一线人员深入业务末梢，离风险最近，最有发言权，但同时一线人员又离风险管理体系组织结构中心最远，其上还有业务主管部门作为中间层。风控职能部门的指导意见、管理要求经过业务主管部门折射衰减后，作用于业务执行单位的效果难以符合预期；
业务执行单位面临风险防控的迫切需求也无法得到及时准确的风险管理专业性帮助、指导，这些均容易导致“听见炮声的人”在做决策时忽视风险或者风险应对不当，进而捅破第一道防线，给企业造成难以挽回的损失。

二、新三道防线构建思路

鉴于原三道防线存在的问题，公司调整风控体系组织结构建设思路，从风险管理思想本质入手对三道防线运行规律进行深入剖析，充分结合实际确立了新三道防线构建目标和方向。

（一）把握风险管理的思想本质

风险管理首先是一种思想，其次是一门艺术。思想是从事物中总结出的客观规律，艺术则是用规律指导事物实践的应用过程，二者相辅相成，互为补充。风险管理思想最基本的定义是：衡量未来，决策当下[4]。在构建风控体系组织结构过程中，只要能够体现或者有利于实现“衡量未来，决策当下”，就是实践了风险管理思想，并不存在一成不变的固定模式或者规范性动作，即企业并不是必须按照国资委相关文件来构建三道防线，“不管黑猫白猫，能抓住老鼠就是好猫”。

（二）风险管理应以业务为中心

当风险管理思想从事物中总结提炼出来后，它必然去除了事物之间的差异，留下了共同性。相对的，当用风险管理指导不同的实践过程时，必须再把事物的特性添加融入进去，这样才能够适用[5]。因此，企业开展风险管理工作时，必须与业务进行深度精准融合，在构筑风险管理组织结构时，应该以“业务”为中心，依托业务主管部门，双向衔接风控职能部门和业务执行单位，充分发挥业务管理专业性和风险管理指导性的综合效能[6]。

（三）对三道防线的再定位

在实际操作过程中，需要将风险管理工作从独立的视角向整合的视角转变，从企业管理活动的实际出发对三道防线进行重新定位。第二道防线的主要职能应该是支持一线创造价值，服务一线做能力输出的“磨刀石”[7]，第二道防线不能浮在空中，而是要深入业务层面风险防控事务，充分发挥自身的专业优势。第三道防线的主要职能则是保护价值，做企业运营过程的坚强护盾，第三道防线首先是要传播风控理念、指导风控方法，其次是结合公司风险承受度统筹风险管控，协助第二道防线组织调配风控资源。基于此构建思路，公司搭建起了更加适合实际需求的新三道防线组织结构[8]。

三、新三道防线构建成果

（一）新三道防线组织结构

公司以业务运营为中心，以实现业务目标为导向，结合业务实际需求，在充分考虑专业优势、资源统筹、管理效能的基础上，建立了风控体系新三道防线组织结构（如图2所示），进一步明确了各主体的风险管理职责，形成了“责、权、利”对等的良好组织环境[9]。

（二）新三道防线构成及职能

1.第一道防线

业务执行单位是第一道防线，也是风险管理的最前线，在日常经营活动中会直接面对各类风险，只有其充分了解自身、竞争对手、客户及所面临的风险，才能更好地降低企业运营成本、提高产品质量，为股东获取更多的回报，最终让客户满意、股东满意[10]。

2.第二道防线

业务主管部门是第二道防线，其身兼业务规划、组织执行、对执行单位监管考核、改进提升等职能于一身，是风控体系的核心主体。以业务主管部门为中心，对业务执行单位进行管理指导，支持一线创造价值，同时接受风控内审职能部门的统筹监督，可以促进实现公司风控体系资源、要素的高效整合。

3.第三道防線

第三道防线包括董事会下设的审计与风控委员会和风控内审职能部门，以风控内审职能部门为主体，职责是统筹协调、支持配合第一、二道防线开展风控工作，提供风险管理专业性指导，同时对风险管理活动进行再监督，运用系统的方法评价、改进和提升公司的风险管理效能。

四、新三道防线实践案例

作为航空制造企业，机型研制是公司的核心主业，因而，机型项目风险管理也成为公司风险管理的重中之重。以机型项目风险管理为试点，公司试行新三道防线组织结构，取得良好成效，为后续推广奠定了基础。

（一）型号管理部与项目执行单位协同联动

型号管理部作为公司机型项目管理业务域的主管部门，肩负着统筹机型研制的重要职责，也是机型研制风险的核心利益相关者。在新三道防线组织结构下，型号管理部作为第二道防线，主动搭建项目风险管理框架，向上承接第三道防线风控内审部门（纪检审计法律部）相关要素，向下对第一道防线项目执行单位（各中心、专业厂及各部门相关职能）进行管理指导，在风险评估、应对、监控预警等关键环节均发挥出了核心主体作用。

1.创新项目风险评估形式

机型项目研制计划和目标确定后，由型号管理部组织各项目执行单位广泛征集风险信息，汇总梳理形成风险事项，依托各型号项目IPT团队针对性建立风险事项评估专家组，通过项目管理信息系统，组织专家组成员背靠背开展风险评估，评估结果按照系统内角色定义及权重分配计算后自动生成评估结论，从而在发挥项目管理专业性优势的同时，实现了风险事项的高效精准评估。

2.灵活应用风险应对策略

鉴于不同机型项目风险的承受度差异，型号管理部灵活审慎的应用控制、分散、转移等风险应对策略，通过加强对重点专项业务领域主要风险的应对管控，以及对各种风险因素叠加共振产生不利影响的统筹监控，为项目执行单位开展应对工作提供可靠的指导方案。

3.实现项目风险动态管控

型号管理部将存在风险事项的项目计划与相应风险应对计划进行逻辑关联，实现项目计划与风险应对计划的过程同步管控和动态跟踪，风险应对信息实时反馈，确保项目执行单位能够及时完整地掌握项目信息，并能准确执行风险应对计划，同时也进一步夯实了项目执行单位的一道防线管控责任。

（二）纪检审计法律部充分发挥统筹监督职能

型号管理部在组织项目风险管控过程中，针对识别出的作用范围广、影响程度大，可能会对公司运营目标实现造成严重影响的风险事项，通过风险升级输入至第三道防线纪检审计法律部，由纪检审计法律部统筹公司风控资源，开展风险应对，传递风险信息，监督执行单位落实风险应对措施。过程中与型号管理部保持双向沟通，由型号管理部定期监控反馈风险演变，提出风险应对新需求，从而协助型号管理部共同将风险控制在公司可承受范围内。

（三）三级体系评价增强三道防线抗风险能力

依托新三道防线组织结构，公司建立起了包括业务执行单位自主监督评价、业务主管部门绩效评估和风控内审部门监督评价审计在内的三级风控体系评价机制，从三个不同维度评价公司的抗风险能力并促进风控体系自主改进提升。在机型项目风险管控过程中，一级评价基于业务目标，由项目执行单位自主评价风控工作实践过程；
二级评价统筹项目风险管理，由型号管理部评价各单位风控工作执行绩效情况，结合项目计划完成情况纳入考核指标，在公司运营绩效考核中体现；
三级评价是对一、二级评价的再监督，由纪检审计法律部深入剖析风险管控过程还存在的缺失和断点，并下发管控通报，提出改进要求。三级体系评价机制持续运行，推动风控体系实现PDCA循环，从而不断增强三道防线抗风险能力，成为支撑公司快速适应、应对内外部环境变化的坚强护盾（如图3所示）。

五、结论

本文通过对风控体系三道防线组织结构进行研究，指出组织构建要透过现象抓住本质，按照实际需求调整内容，而不能拘泥于形式。在已被提出的“二道防线支持一线创造价值”理论的基础上，本文结合公司实际进一步拓展，详细阐述了业务执行单位、业务主管部门、风控内审部门组成的新三道防线之间的辨证关系[11]，对内部宏观组织架构相似的企业的风控实践具有很好的指导借鉴价值。

同时需要指出，践行新三道防线意味着将风险管控责任从风控职能部门更多向业务主管部门转移，这样虽然符合现实需求，有利于风控体系效能发挥，但是责任的弱化会进一步加剧风控职能部门自身“管控风险义务”与“风险管控责任”不对等的问题，这种不对等无疑不利于风控职能部门实践活动的切实落地。随着企业风控体系的不断完善，员工风控意识的不断增强，未来风控职能部门与业务主管部门将面临在“责、权、利”上进一步融合的客观要求。在现有组织结构下，风控职能部门应该更多的发挥主观能动性，主动寻找有助于风险责任承担的方式方法，拉近自身与风险的距离，推动三道防线之间的进一步融合，真正实现“从风险中来，到风险中去”。AFA

参考文献

[1]国资委.国资发改革[2006]108号：中央企业全面风险管理指引[S].北京市：2006.

[2] IIA.the Three Lines of Defense in effec‐tive risk management and control[S]. America：IIA，2013.

[3]希文.任正非内部讲话[M].黑龙江：哈尔滨出版社，2017.

[4]彼得L.伯恩斯坦.与天为敌：风险探索传奇[M].北京市：机械工业出版社，2010.

[5]弗兰克？H.奈特.风险、不确定性与利润[M].北京市：商务印书馆，2010.

[6] ISO.ISO 31000：Risk Management-Guidelines[S]. Switzerland：ISO，2018.

[7]孫友文.风险管理三道防线含义已变[EB/ OL].[2017-12-17].“大风控”微信公众号.

[8] COSO.leveraging COSO across the Three Lines of Defense[S]. America：COSO，2015.

[9] IIA.Three Lines Model（An update of the Three Lines of Defence）[S]. America：IIA，2020.

[10]国资委.国资发监督规〔2019〕101号：关于加强中央企业内部控制体系建设与监督工作的实施意见[S].北京市：2019.

[11]陈先达，杨耕.马克思主义哲学原理[M].北京市：中国人民大学出版社，2019.

（审稿：刘春奇编辑：冯金玉唐涵）

猜你喜欢项目管理风险管理项目式学习从娃娃抓起项目管理评论(2021年3期)2021-07-14项目管理指南中国质量与标准导报(2019年6期)2019-09-10全面风险管理与传统风险管理比较今日财富(2018年19期)2018-05-14项目管理成熟度模型构建研究财讯(2018年21期)2018-05-14养老保险精算的分析与风险管理的研究智富时代(2017年10期)2017-11-22养老保险精算的分析与风险管理的研究智富时代(2017年10期)2017-11-22基于Flex（Open Scales）、触摸屏的项目管理GIS系统研究与实现中国信息化·学术版(2013年5期)2013-10-09风险管理审计探讨现代商贸工业(2009年22期)2009-07-05

推荐访问:构筑 防线 组织结构