风险管理“三道防线”含义新内容.pdf

风险管理“三道防线”含义新内容

一、风险管理“三道防线”的概念

一谈到企业风险管理的“三道防线”概念。我们就会想到前些年企业进行

全面风险管理体系建设时，经常提起的在组织机构层面建立企业风险管理的

“三道防线”的做法，即企业的业务部门作为前端部门是风险管理的第一道防

线；企业风险管理职能机构作为风险管理的第二道防线；企业的内部审计职

能机构作为风险管理的第三道防线。

三道防线共同组成了企业风险管理的防线系统，中国企业前些年进行的

风险管理体系建设主要内容，是以建设第二道防线为主，包括建立组织机构

和工作机制，识别和评估包括整个风险管理防线系统的相关风险，作为第二

道防线工作开展的基础。

下图是前些年我们对典型的三道防线组织架构图的理解。

在国际上，也有跟国内“三道防线”提法相对应的概念，即ThreeLinesof

Defense，也可以直译为三道防线。即第一道防线是RiskOwner(风险所有

方），也是指业务单元或部门；第二道防线是RiskManagement(风险管理）,

前些年在风险管理理论还不太成熟时，也有称第二道防线是RiskControl

andCompliance(风险控制与合规）；第三道防线是RiskAssurance（风险

保证），主要是指内部审计部门。

“三道防线”的概念到底是中国人先提出的还是国际上先出现的，我们还

没有找到确凿的证据，如果是国际上先出现的，中国的三道防线的概念的提

出是否是借鉴了国际经验，现在还不好下定论。

二、新版COSO-ERM中对于“三道防线”的表述

新版COSO在附录中也阐述了对于三道防线的概念，是从风险管理责任

的角度论述的，谈到了首席执行官CEO、首席风险官CRO和管理层三个层

面各自的风险责任。

同时，也阐述了风险管理责任落实的第一道防线是：核心业务部门（Core

Business）；第二道防线是：支持职能部门（SupportingFunction）；第

三道防线是：保证职能部门（AssuranceFunction）。

核心业务部门：和我们前期提到的第一道防线的概念基本一致，即企业

管理的前台部门，作为风险管理的第一责任机构；

支持职能部门：这部分作为第二道防线和前期的提法变化最大，支持职

能部门除了包含风险管理专职职能之外，还包括：法务、合规、财务、人力、

质量、安全等，所有可以协助一线核心业务部门进行风险管控的职能，都应

该属于支持职能部门，即第二道防线；

保证职能部门：主要指的是审计部门，包括内部审计和外部审计。

其中和我们原来三道防线的提法变化最大的就是第二道防线的内容，对

原来风险管理职能进行了重新定义。原来我们指的是风险管理职能部门和风

险管理委员会组成了企业风险管理的第二道防线。现在第二道防线将风险管

理职能部门的范围扩展到了所有支持部门。应该说，这是一种进步，是将风

险管理工作从独立的视角向整合的视角，以及更好的从企业管理活动的实际

出发进行的重新定位。

其实COSO早在2015年就专门发布过关于企业风险管理三道防线的说

明性文件，阐述了类似的理念。各位如有进一步学习需要，请见页尾方式获

取。

三、企业核心价值链是纲，“三道防线”是目，纲举才能目张

基于COSO新版企业风险管理框架的方向性变化，可以看得出风险管理

还是要遵守企业管理的法则，从整体企业价值创造的角度出发，才能更好的

找到自己的位置和价值。

就三道防线而言，要结合企业核心价值创造的一系列活动来定义，才能

更好的体现风险管理工作的意义和价值。

由美国著名战略学家迈克尔·波特提出的的价值链分析法法（Michael

PortersValueChainModel），把企业内外价值增加的活动分为基本活动

和支持性活动。基本活动包括生产