張亞兵 張偉 肖春穎 杜秉翰

摘要基于更高效的統(tǒng)籌企業(yè)風控資源，提高企業(yè)抗風險能力的現(xiàn)實需求，在對風控體系原三道防線組織結(jié)構(gòu)以及運行過程中暴露出的問題進行深入分析的基礎(chǔ)上，通過對風險管理思想的本質(zhì)、三道防線的內(nèi)涵進行辨證解讀、重新架構(gòu)，提出了分別以業(yè)務(wù)執(zhí)行單位、業(yè)務(wù)主管部門、風控內(nèi)審部門為主體的新三道防線組織結(jié)構(gòu)以及運行方式。隨后在機型項目管理業(yè)務(wù)域?qū)π氯婪谰€組織結(jié)構(gòu)進行了實踐驗證、經(jīng)驗推廣，取得良好成效，切實改善了基層組織環(huán)境，實現(xiàn)了三道防線的高效協(xié)同聯(lián)動，成為支撐公司快速適應(yīng)、應(yīng)對內(nèi)外部環(huán)境變化的堅強護盾。

關(guān)鍵詞 風控體系；風險管理；三道防線；項目管理

DOI： 10.19840/j.cnki.FA.2022.02.009

在國資委2006年發(fā)布的《中央企業(yè)全面風險管理指引》中，提出“企業(yè)可建立風險管理三道防線，即各有關(guān)職能部門和業(yè)務(wù)單位為第一道防線；風險管理職能部門和董事會下設(shè)的風險管理委員會為第二道防線；內(nèi)部審計部門和董事會下設(shè)的審計委員會為第三道防線”[1]。各中央企業(yè)按照指引要求，搭建全面風險管理與內(nèi)部控制體系（以下簡稱“風控”），構(gòu)筑三道防線組織結(jié)構(gòu)，取得了一定的成果。但是隨著風險管理在企業(yè)的逐漸深入，風險覆蓋領(lǐng)域的持續(xù)拓展，業(yè)務(wù)專業(yè)性要求的不斷提高，三道防線組織結(jié)構(gòu)下的風控體系運行已日漸“吃力”，受邊際效用遞減規(guī)律影響，組織投入與風險防控效能產(chǎn)出比的提升，已面臨停滯甚至呈下降趨勢。鑒于此，中航西安飛機工業(yè)集團股份有限公司（以下簡稱“公司”）結(jié)合實際深入研究，探索創(chuàng)新風控體系組織形式，通過實踐運行、固化推廣，形成了更為高效的新三道防線組織結(jié)構(gòu)，為公司風控體系注入了新的活力與生命力。

一、原三道防線組織結(jié)構(gòu)及存在的問題

（一）原三道防線組織結(jié)構(gòu)

公司原三道防線組織結(jié)構(gòu)（如圖1所示）分別以業(yè)務(wù)部門、風控職能部門和內(nèi)部審計部門為主體[2]。其中業(yè)務(wù)部門是第一道防線，負責基于業(yè)務(wù)組織風險辨識、評估和應(yīng)對；第二道防線包括董事會下設(shè)的風控委員會和風控職能部門，職責是指導、組織、協(xié)調(diào)各業(yè)務(wù)開展風控工作，綜合平衡公司面臨的重大風險；第三道防線包括董事會下設(shè)的審計委員會和內(nèi)部審計職能部門，職責是對第一、二道防線活動進行監(jiān)督評價。

（二）原三道防線存在的問題

1.第二道防線組織管理效能難以發(fā)揮

在原有三道防線組織結(jié)構(gòu)下，風控職能部門的風控主管人員不僅需要給業(yè)務(wù)部門提供風險管理基本理論的專業(yè)指導，還需要深入?yún)⑴c不同業(yè)務(wù)的風險管理實際操作過程，時刻面臨基于業(yè)務(wù)的專項風險管理的指導需求，這對于風控主管人員來說無疑是一項巨大的挑戰(zhàn)。受工作經(jīng)驗、知識積累、業(yè)務(wù)龐雜性等因素限制，風控主管人員想要在各業(yè)務(wù)做到“面面俱到”是不可能的，讓其作為第二道防線，時刻承受第一道防線洶涌而來的多頭壓力，仿若不能承受之重，既無法滿足業(yè)務(wù)專項管理需求，也無法體現(xiàn)自身專業(yè)優(yōu)勢價值，進而導致第二道防線的組織管理效能難以得到充分發(fā)揮。

2.第三道防線再監(jiān)督職能與實際不匹配

國資委提出讓內(nèi)部審計部門作為第三道防線，目的是發(fā)揮內(nèi)審的再監(jiān)督職能，出發(fā)點是正確的，但是在實踐過程中，由于很多企業(yè)因總體組織架構(gòu)需求，將內(nèi)審職能和風控職能劃歸同一個部門，在“同一個屋檐”下，第三道防線對第二道防線的再監(jiān)督作用很容易被打折扣。意識到這一問題的企業(yè)多會采用“內(nèi)審與風控職能協(xié)同開展工作”的方式，發(fā)揮第二、三道防線的指導、監(jiān)督合力，起到“1+1>2”作用。但是這樣又帶來新的問題：二、三道防線邊界淡化甚至融合后，“再監(jiān)督”變成了“監(jiān)督”，實際也就意味著第三道防線的缺失，“少了一道籬笆”無疑會破壞企業(yè)抗風險能力的完整性。

3.“聽見炮聲的人”無法得到準確幫助指導

華為集團原董事長任正非提到“讓聽得見炮聲的人來決策”[3]，因為業(yè)務(wù)執(zhí)行單位的一線人員深入業(yè)務(wù)末梢，離風險最近，最有發(fā)言權(quán)，但同時一線人員又離風險管理體系組織結(jié)構(gòu)中心最遠，其上還有業(yè)務(wù)主管部門作為中間層。風控職能部門的指導意見、管理要求經(jīng)過業(yè)務(wù)主管部門折射衰減后，作用于業(yè)務(wù)執(zhí)行單位的效果難以符合預期；業(yè)務(wù)執(zhí)行單位面臨風險防控的迫切需求也無法得到及時準確的風險管理專業(yè)性幫助、指導，這些均容易導致“聽見炮聲的人”在做決策時忽視風險或者風險應(yīng)對不當，進而捅破第一道防線，給企業(yè)造成難以挽回的損失。

二、新三道防線構(gòu)建思路

鑒于原三道防線存在的問題，公司調(diào)整風控體系組織結(jié)構(gòu)建設(shè)思路，從風險管理思想本質(zhì)入手對三道防線運行規(guī)律進行深入剖析，充分結(jié)合實際確立了新三道防線構(gòu)建目標和方向。

（一）把握風險管理的思想本質(zhì)

風險管理首先是一種思想，其次是一門藝術(shù)。思想是從事物中總結(jié)出的客觀規(guī)律，藝術(shù)則是用規(guī)律指導事物實踐的應(yīng)用過程，二者相輔相成，互為補充。風險管理思想最基本的定義是：衡量未來，決策當下[4]。在構(gòu)建風控體系組織結(jié)構(gòu)過程中，只要能夠體現(xiàn)或者有利于實現(xiàn)“衡量未來，決策當下”，就是實踐了風險管理思想，并不存在一成不變的固定模式或者規(guī)范性動作，即企業(yè)并不是必須按照國資委相關(guān)文件來構(gòu)建三道防線，“不管黑貓白貓，能抓住老鼠就是好貓”。

（二）風險管理應(yīng)以業(yè)務(wù)為中心

當風險管理思想從事物中總結(jié)提煉出來后，它必然去除了事物之間的差異，留下了共同性。相對的，當用風險管理指導不同的實踐過程時，必須再把事物的特性添加融入進去，這樣才能夠適用[5]。因此，企業(yè)開展風險管理工作時，必須與業(yè)務(wù)進行深度精準融合，在構(gòu)筑風險管理組織結(jié)構(gòu)時，應(yīng)該以“業(yè)務(wù)”為中心，依托業(yè)務(wù)主管部門，雙向銜接風控職能部門和業(yè)務(wù)執(zhí)行單位，充分發(fā)揮業(yè)務(wù)管理專業(yè)性和風險管理指導性的綜合效能[6]。

（三）對三道防線的再定位

在實際操作過程中，需要將風險管理工作從獨立的視角向整合的視角轉(zhuǎn)變，從企業(yè)管理活動的實際出發(fā)對三道防線進行重新定位。第二道防線的主要職能應(yīng)該是支持一線創(chuàng)造價值，服務(wù)一線做能力輸出的“磨刀石”[7]，第二道防線不能浮在空中，而是要深入業(yè)務(wù)層面風險防控事務(wù)，充分發(fā)揮自身的專業(yè)優(yōu)勢。第三道防線的主要職能則是保護價值，做企業(yè)運營過程的堅強護盾，第三道防線首先是要傳播風控理念、指導風控方法，其次是結(jié)合公司風險承受度統(tǒng)籌風險管控，協(xié)助第二道防線組織調(diào)配風控資源。基于此構(gòu)建思路，公司搭建起了更加適合實際需求的新三道防線組織結(jié)構(gòu)[8]。

三、新三道防線構(gòu)建成果

（一）新三道防線組織結(jié)構(gòu)

公司以業(yè)務(wù)運營為中心，以實現(xiàn)業(yè)務(wù)目標為導向，結(jié)合業(yè)務(wù)實際需求，在充分考慮專業(yè)優(yōu)勢、資源統(tǒng)籌、管理效能的基礎(chǔ)上，建立了風控體系新三道防線組織結(jié)構(gòu)（如圖2所示），進一步明確了各主體的風險管理職責，形成了“責、權(quán)、利”對等的良好組織環(huán)境[9]。

（二）新三道防線構(gòu)成及職能

1.第一道防線

業(yè)務(wù)執(zhí)行單位是第一道防線，也是風險管理的最前線，在日常經(jīng)營活動中會直接面對各類風險，只有其充分了解自身、競爭對手、客戶及所面臨的風險，才能更好地降低企業(yè)運營成本、提高產(chǎn)品質(zhì)量，為股東獲取更多的回報，最終讓客戶滿意、股東滿意[10]。

2.第二道防線

業(yè)務(wù)主管部門是第二道防線，其身兼業(yè)務(wù)規(guī)劃、組織執(zhí)行、對執(zhí)行單位監(jiān)管考核、改進提升等職能于一身，是風控體系的核心主體。以業(yè)務(wù)主管部門為中心，對業(yè)務(wù)執(zhí)行單位進行管理指導，支持一線創(chuàng)造價值，同時接受風控內(nèi)審職能部門的統(tǒng)籌監(jiān)督，可以促進實現(xiàn)公司風控體系資源、要素的高效整合。

3.第三道防線

第三道防線包括董事會下設(shè)的審計與風控委員會和風控內(nèi)審職能部門，以風控內(nèi)審職能部門為主體，職責是統(tǒng)籌協(xié)調(diào)、支持配合第一、二道防線開展風控工作，提供風險管理專業(yè)性指導，同時對風險管理活動進行再監(jiān)督，運用系統(tǒng)的方法評價、改進和提升公司的風險管理效能。

四、新三道防線實踐案例

作為航空制造企業(yè)，機型研制是公司的核心主業(yè)，因而，機型項目風險管理也成為公司風險管理的重中之重。以機型項目風險管理為試點，公司試行新三道防線組織結(jié)構(gòu)，取得良好成效，為后續(xù)推廣奠定了基礎(chǔ)。

（一）型號管理部與項目執(zhí)行單位協(xié)同聯(lián)動

型號管理部作為公司機型項目管理業(yè)務(wù)域的主管部門，肩負著統(tǒng)籌機型研制的重要職責，也是機型研制風險的核心利益相關(guān)者。在新三道防線組織結(jié)構(gòu)下，型號管理部作為第二道防線，主動搭建項目風險管理框架，向上承接第三道防線風控內(nèi)審部門（紀檢審計法律部）相關(guān)要素，向下對第一道防線項目執(zhí)行單位（各中心、專業(yè)廠及各部門相關(guān)職能）進行管理指導，在風險評估、應(yīng)對、監(jiān)控預警等關(guān)鍵環(huán)節(jié)均發(fā)揮出了核心主體作用。

1.創(chuàng)新項目風險評估形式

機型項目研制計劃和目標確定后，由型號管理部組織各項目執(zhí)行單位廣泛征集風險信息，匯總梳理形成風險事項，依托各型號項目IPT團隊針對性建立風險事項評估專家組，通過項目管理信息系統(tǒng)，組織專家組成員背靠背開展風險評估，評估結(jié)果按照系統(tǒng)內(nèi)角色定義及權(quán)重分配計算后自動生成評估結(jié)論，從而在發(fā)揮項目管理專業(yè)性優(yōu)勢的同時，實現(xiàn)了風險事項的高效精準評估。

2.靈活應(yīng)用風險應(yīng)對策略

鑒于不同機型項目風險的承受度差異，型號管理部靈活審慎的應(yīng)用控制、分散、轉(zhuǎn)移等風險應(yīng)對策略，通過加強對重點專項業(yè)務(wù)領(lǐng)域主要風險的應(yīng)對管控，以及對各種風險因素疊加共振產(chǎn)生不利影響的統(tǒng)籌監(jiān)控，為項目執(zhí)行單位開展應(yīng)對工作提供可靠的指導方案。

3.實現(xiàn)項目風險動態(tài)管控

型號管理部將存在風險事項的項目計劃與相應(yīng)風險應(yīng)對計劃進行邏輯關(guān)聯(lián)，實現(xiàn)項目計劃與風險應(yīng)對計劃的過程同步管控和動態(tài)跟蹤，風險應(yīng)對信息實時反饋，確保項目執(zhí)行單位能夠及時完整地掌握項目信息，并能準確執(zhí)行風險應(yīng)對計劃，同時也進一步夯實了項目執(zhí)行單位的一道防線管控責任。

（二）紀檢審計法律部充分發(fā)揮統(tǒng)籌監(jiān)督職能

型號管理部在組織項目風險管控過程中，針對識別出的作用范圍廣、影響程度大，可能會對公司運營目標實現(xiàn)造成嚴重影響的風險事項，通過風險升級輸入至第三道防線紀檢審計法律部，由紀檢審計法律部統(tǒng)籌公司風控資源，開展風險應(yīng)對，傳遞風險信息，監(jiān)督執(zhí)行單位落實風險應(yīng)對措施。過程中與型號管理部保持雙向溝通，由型號管理部定期監(jiān)控反饋風險演變，提出風險應(yīng)對新需求，從而協(xié)助型號管理部共同將風險控制在公司可承受范圍內(nèi)。

（三）三級體系評價增強三道防線抗風險能力

依托新三道防線組織結(jié)構(gòu)，公司建立起了包括業(yè)務(wù)執(zhí)行單位自主監(jiān)督評價、業(yè)務(wù)主管部門績效評估和風控內(nèi)審部門監(jiān)督評價審計在內(nèi)的三級風控體系評價機制，從三個不同維度評價公司的抗風險能力并促進風控體系自主改進提升。在機型項目風險管控過程中，一級評價基于業(yè)務(wù)目標，由項目執(zhí)行單位自主評價風控工作實踐過程；二級評價統(tǒng)籌項目風險管理，由型號管理部評價各單位風控工作執(zhí)行績效情況，結(jié)合項目計劃完成情況納入考核指標，在公司運營績效考核中體現(xiàn)；三級評價是對一、二級評價的再監(jiān)督，由紀檢審計法律部深入剖析風險管控過程還存在的缺失和斷點，并下發(fā)管控通報，提出改進要求。三級體系評價機制持續(xù)運行，推動風控體系實現(xiàn)PDCA循環(huán)，從而不斷增強三道防線抗風險能力，成為支撐公司快速適應(yīng)、應(yīng)對內(nèi)外部環(huán)境變化的堅強護盾（如圖3所示）。

五、結(jié)論

本文通過對風控體系三道防線組織結(jié)構(gòu)進行研究，指出組織構(gòu)建要透過現(xiàn)象抓住本質(zhì)，按照實際需求調(diào)整內(nèi)容，而不能拘泥于形式。在已被提出的“二道防線支持一線創(chuàng)造價值”理論的基礎(chǔ)上，本文結(jié)合公司實際進一步拓展，詳細闡述了業(yè)務(wù)執(zhí)行單位、業(yè)務(wù)主管部門、風控內(nèi)審部門組成的新三道防線之間的辨證關(guān)系[11]，對內(nèi)部宏觀組織架構(gòu)相似的企業(yè)的風控實踐具有很好的指導借鑒價值。

同時需要指出，踐行新三道防線意味著將風險管控責任從風控職能部門更多向業(yè)務(wù)主管部門轉(zhuǎn)移，這樣雖然符合現(xiàn)實需求，有利于風控體系效能發(fā)揮，但是責任的弱化會進一步加劇風控職能部門自身“管控風險義務(wù)”與“風險管控責任”不對等的問題，這種不對等無疑不利于風控職能部門實踐活動的切實落地。隨著企業(yè)風控體系的不斷完善，員工風控意識的不斷增強，未來風控職能部門與業(yè)務(wù)主管部門將面臨在“責、權(quán)、利”上進一步融合的客觀要求。在現(xiàn)有組織結(jié)構(gòu)下，風控職能部門應(yīng)該更多的發(fā)揮主觀能動性，主動尋找有助于風險責任承擔的方式方法，拉近自身與風險的距離，推動三道防線之間的進一步融合，真正實現(xiàn)“從風險中來，到風險中去”。AFA

參考文獻

[1]國資委.國資發(fā)改革[2006]108號：中央企業(yè)全面風險管理指引[S].北京市：2006.

[2] IIA.the Three Lines of Defense in effec‐tive risk management and control[S]. America：IIA，2013.

[3]希文.任正非內(nèi)部講話[M].黑龍江：哈爾濱出版社，2017.

[4]彼得L.伯恩斯坦.與天為敵：風險探索傳奇[M].北京市：機械工業(yè)出版社，2010.

[5]弗蘭克？H.奈特.風險、不確定性與利潤[M].北京市：商務(wù)印書館，2010.

[6] ISO.ISO 31000：Risk Management-Guidelines[S]. Switzerland：ISO，2018.

[7]孫友文.風險管理三道防線含義已變[EB/ OL].[2017-12-17].“大風控”微信公眾號.

[8] COSO.leveraging COSO across the Three Lines of Defense[S]. America：COSO，2015.

[9] IIA.Three Lines Model（An update of the Three Lines of Defence）[S]. America：IIA，2020.

[10]國資委.國資發(fā)監(jiān)督規(guī)〔2019〕101號：關(guān)于加強中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作的實施意見[S].北京市：2019.

[11]陳先達，楊耕.馬克思主義哲學原理[M].北京市：中國人民大學出版社，2019.

（審稿：劉春奇編輯：馮金玉唐涵）