最近在一家央企总部调研时发现,这家企业的风险管理工作牵头部门是——审计部,包括主导建立了这家企业的风险管理体系,制定和发布了企业风险管理制度,并日常负责评价和审计风险管理体系的运行情况。经过询问,这种设置方式是有一些历史背景的,自从2006年国务院国资委发布《中央企业全面风险管理指引》之后,这家企业就把风险管理这项职能交给了审计部,一直延续至今。
在2006年之后的几年,各家央企几乎都开展了强化企业风险管理工作的行动,这期间,主导部门曾出现过很多种版本。这新版本包括把主导部门设置在董事会办公室、战略规划部、经营管理部、企业管理部、法律事务部、财务部等等。
有的企业则专门设立了风险管理部、内部控制部来推动相关工作。
审计部主导风险管理工作也是其中的一个版本,而当时还是有相当数量的企业选择了这个版本。
在2006年之后刚刚推行企业风险管理的那几年,很少有企业可以对这项工作有深刻理解,对风险的认知更是停留在最传统的层面。从发现风险、防范风险、降低损失的角度,似乎和审计部的审计内容最为接近,所以一开始有企业把这项工作的职能放入审计部也不足为奇。
如果对国际上企业风险管理的理论发展脉络比较熟悉,我们都知道COSO是在1992年发布的《内部控制整合框架》,到了2004年发布了《企业风险管理整合框架》,从内部控制到企业风险管理是一脉相承的,而内部控制发端于内部牵制,和企业财务管理有密切联系,财务和审计的关系不必赘述。
所以,按此逻辑,把风险管理工作纳入审计部也有一定的理论依据。
站在我们今天对风险管理工作的理解,我们认为让审计部来主导这项工作是不适宜的。
如果用三道防线的理论来定位,审计部应该是企业风险防控的第三道防线,是企业大监督体系的重要组成部分,它的主要使命是行使监督权。大监督强调独立监督,突出独立性和客观性,而风险管理的职能定位并不是监督,而是赋能,赋能业务部门可以更好的管理本业务领域的相关风险,按照之前我们对三道防线职能的分配,风险管理属于第二道防线。
如果把监督和赋能都放在审计部下,就等于把二道防线和三道防线捏到了一起,会产生定位偏差。如果审计部的风险管理工作定位为监督,那就是对风险管理工作的监督,对一项工作履行监督职能并不能成为这些工作的主导职能。
如果审计部的风险管理工作定位为赋能,虽然可以这么来宣传,但有多少单位可以接受审计部同仁们的赋能,相信你是去帮他们而不是监督他们?更何况很多企业的审计职能和监察、纪检是合署办公的。业务部门需要风控的赋能,但你手里还有监督的大棒,会让他们有所忌惮。我们有很多风险管理的政策和制度都是从监督角度提出来的,比如,国务院国资委2019年发布的整合推动风险、内控、合规的加强中央企业内部控制建设与监督工作通知,也就是被称作101号文的文件,这是这两年指导中央企业进行风险管理工作的指导性文件。但这份文件的重点其实是其中的“监督”二字,发文单位是综合监督局,就是从监督的角度推动的这项工作。从监督的角度,可以把有可能被业务部门仅仅为达成业绩而忽略的风控工作拉回正轨,但其实监督和建设是两条线,这叫以督促建。还是要回到第一道防线(第二道防线)的职能,在实际业务中防控风险才是正道,而不是依靠监督防控风险,这就像依靠外力的效果远比不上由内而发的效果,也会迷失掉到底谁是真正的risk owner。IIA新版三道防线模型
不管是二道防线的赋能还是三道防线的监督,所有的工作内容包括制度、文件都不是凭空出现的,不是为了做而做、也不是为了迎合上级要求而做,这些工作都是在服务企业核心价值创造活动,都可以在业务部门找到对应部分,如果找不到,那说明业务部门的内容是缺失的,需要补上。
第三道防线监督端工作内容就是再次确认其中的关键点。线在面上,点在线中,脱离了面的线和点,就脱离了企业价值创造的主航道。所以,能够被业务落地执行的风险管理制度才是最好的制度。我们主导风险管理工作也是一样,最终要体现在“面”上的功夫,如果在监督端发力,那就是“以点带面”,效果不会理想。这并不是说,审计部一定不可以主导企业的风险管理工作,管理无绝对,只有相对合理。在我看来,审计部第三道防线的监督职能对企业来讲非常重要,我曾经讲过三道防线的理论其实本质上是两道防线,正反思维对撞,在对立中发展,所有的管理莫出其外,决策与制衡、效率与控制、执行与监督都是一样的道理。
所以三道防线中最核心的内容是第一道和第三道,即执行与监督,缺一不可,第二道防线实为衍生物。企业可以砍掉或分化掉第二道防线,但第三道防线却砍不得。
企业的每项职能都有其本然使命,能行使好本然使命就是其最大的不易。用我们风险管理理念来解释—坚守本手、不落俗手,就是妙手!一、大风控VS大监督,二道防线,你的主要职责不是监督
二、最大错位:在三道防线谈赋能、在二道防线谈监督
