三道防線就是一場足球賽-論風險管理、風險管理部與三道防線的職能發揮

最后選擇A、D的人并不是很多，但有很多人選擇B，認為企業的風險管理部或者是風險管理職能部門應該負責風險的識別、分析和評估工作，這道題答案其實是C。

一、風險管理≠風險管理部

前些年，我們很多企業成立了風險管理部門，來負責企業風險管理各項工作，我在上上周的文章《實現風險管理與企業績效的整合，風險管理部必須這么設！》（點擊打開）中，提到了前幾年我們對于風險管理部職能的總結定位是：

風險管理體系工作的歸口管理部門，負責風險管理專業技術和工具和輸出，以及負責一些年度重大的、需跨部門溝通協調的，以及無明確主責部門的風險的管理職能。

但是在最開始，有很多企業的風險管理部門負責過企業風險的識別、分析、評價工作，效果怎么樣？說實話，有時效果并不理想。風險管理部雖然精通風險管理理論和工具的使用，但卻不一定精通業務，如果不精通業務，顯然風險評估的效果就會大打折扣，依賴于各個業務部門的風險信息輸入作為風險管理工作的基礎風險數據庫，如果自身并不具備理解真正業務的能力，自然也就不會真正理解業務風險的能力。

問題就出在一開始很多企業將風險管理工作和風險管理部門等同了起來，一談起風險管理就是風險管理部門的職責，最開始風險管理部還興高采烈的談論如何如何管控風險，但執行了一段時間之后發現幫著別人管風險沒那么容易，業務部門如果心懷感激的對風險管理部門分擔其風險管理的職能，那將是多么和諧和美好的事情。但事實上，我們更多的看到了業務部門和風險管理部門相互之間產生的摩擦，以及風險管理部門的委屈和無奈，抱怨別的部門不支持、不配合風險管理部的工作，一肚子的抱怨。

其實企業風險管理工作的范疇比風險管理部能夠承擔的內容要廣得多，風險管理的職能體現并不是都體現在風險管理部的職能上。風險管理部的職能應該更多的體現在一種組織、協調、支持、配合的角度，幫著業務部門一起在達到業務目標的路上管控好風險。

就像新版COSO企業風險管理框架中倡導的，風險管理要實現和戰略與績效的融合，同樣，風險管理的職能也要實現和各項現有管理職能要匹配。不是業務部門要配合風險管理部做好風險管理的各項工作，而是風險管理部門協助業務部門做好業務部門的風險管理工作，這是一個定位問題，各位從事風險管理工作的朋友一定一定要把自己的定位找好，不然吃力不討好！

業務部門日常管理業務時應該同時執行其風險控制的相關要求，可能這樣的定位有時業務部門會有意見，但這就是職能所在，就是**道防線應該盡的職責。前期問題的根源就是風險管理部沖到了前面承擔了**道防線應該承擔的職責。

那如何讓風險管理職責融入現有的職責中去？我曾經給一家總部位于河北的世界500企業做風險顧問時，結合當時企業正在進行的定崗、定編、定責的“三定”工作，我協助人力資源部在編制各部門和崗位的職責說明書時，將其所承擔的風險管理責任明確了列示了出來，讓其可以非常清晰的看到本部門、本崗位應該承擔的風險責任，這是一種將其風險管理職能融入管理職能的一種顯性化做法。

同樣，我們評價一個企業風險管理能力的好壞時，也不能單純的看是否設立了風險管理部門，國際上有很多關于企業風險管理能力評價的模型，我曾在美國的企業帶隊進行過全球各機構的風險管理成熟度的評價方法論調研，并對其能力模型進行了升級和應用，幾大類幾十項評價指標中，是否設立明確的風險管理職能專職部門只是在風險管理組織體系是否健全中的一個子項，所占比重并不是很突出。

二、風險管理部≠第二道防線

前一陣，我寫了一篇關于三道防線的文章，引起了各位專家和從業者的熱議，

《號外：風險管理“三道防線”含義已變?。c擊打開）》，其中一個主要的觀點是關于第二道防線的著重論述，我們前些年提到風險管理的三道防線時，都把風險管理職能這條線作為第二道防線，包括風險管理職能部門、風險管理部、風險管理委員會等。但實際上，所謂的風險管理第二道防線并不僅是指風險管理這條線，今天我們再稍作補充。

為了大家更好的理解三道防線的含義，我們打一個比方，我們可以用踢足球賽的例子來形象的理解企業的風險管理三道防線，雖然不是十分貼切：

**道防線：場上球員，他們在球場上的表現直接關系到整場比賽的結果；（業務部門）

第二道防線：教練員，設定規則，不時的提醒和輔助球員，但是不親自上場踢球；（管理和控制職能部門）

第三道防線：裁判員，檢查和監督球員的規則遵守情況。（審計職能）

其中，第二道防線的教練員既能保持和**道防線關于比賽情況的溝通，有時甚至可以根據實際情況改變打法，比如效率和控制的平衡（參考文章：任正非，風控和業務要一起上戰場），又能和第三道防線交流如何更好的保持和遵守比賽規則，以及將其融入到打法中去。

球賽中的比賽規則是清晰明了的，但企業中的規則卻不一定是那么清晰，有時第三道防線檢查球員的是否犯規，也可以參考第二道防線設定的規則和打法。

那第二道防線在企業到底是哪些部門？簡單來說，除了一線**道防線的業務部門和第三道防線的審計監察部門，大概都可以歸集到第二道防線的范疇。

雖然企業可以劃分出三道防線，但是從足球賽的比喻中，我們可以看到，三道防線并無實質利益沖突，而且在企業來講利益是趨同一致的。它的最終績效不是衡量第二道防線設定的規則如何，第三道防線進行的檢查監督效果如何，這些規則和檢查的目標，也并不是為了限制**道防線的表現，而共同目標是要贏得比賽！這就是任正非提到的所有防線的價值體現都是多打糧食，而不是妨礙糧食生產。

由上所述，我們可以總結出對于三個概念范圍的界定，企業風險管理包含了三道防線，而其中的第二道防線又不僅是風險管理部。

所以正確的范圍順序應該是：風險管理>第二道防線>風險管理部

三、關于三道防線的職能發揮與融合

最近還有不少人咨詢，關于第二道防線和第三道方式是否可以融合的問題，比如風險管理部和審計部是否可以放在一起。原則上來講，沒有明確的限制規定風險管理部和審計部必須分離，最基本的原則是兩個職能的崗位實現互相分離即可，就算在一個屋檐下。我見過有的企業，建立了大監督部，將審計、法務、風控、合規、紀檢、監察都放入了一個部門。我們的建議是，在不違背基本原則的情況下，企業完全可以自行實踐，探索屬于自己的管理體系，定好位、定好責、畫好圈、明確分工及合作機制才是最重要的。

除了第二道防線和第三道防線融合的情況，另外，也有企業將**道防線和第二道防線的融合，比如強化**道防線的風險管理和控制職能，而不單設風險管理部門，確實有這樣的情況。第二道防線中的部分要素可以根據具體情況，與**道防線和第三道防線產生職責交叉。但是**道防線和第三道防線則不能嘗試融合，這是最基本的原則和控制要求。

上一篇：人工智能時代將是中國風險管理人才發展的春天？
下一篇：風控進化論：如何從“全民公敵”邁向“大眾紅人”

【查看更多】