在企業風險管理領域,存在風險管理三道防線模型的說法。
簡單地說,風險管理第1道防線是指業務部門,他們的工作是正确執行管理措施去應對風險。風險管理第2道防線是指企業内部負責風險管理的職能部門,他們的工作内容是為管理風險提供支持。風險管理第3道防線是指企業内部的審計部門,他們負責保證風險管理的充分性和有效性。
風險管理三道防線模型看起來很好,但現實很“骨感”,在企業風險管理實踐中,大多數情況下風險管理第2道防線給予第1道防線的支持和幫助太少。
在企業内部,第2道防線不直接參與管理風險,而是幫助第1道防線做好風險管理。那麼如何做好呢?這其中一個重要的方面是:第2道防線要向第1道防線提供好的風險管理方法和工具支持。
首先,第2道防線要更懂風險管理方法論,他們要精通如何正确、科學地識别、分析、評價和應對風險。其次,第2道防線要教會第1道防線這些風險管理方法論。再次,第2道防線要向第1道防線提供合适的風險管理工具,幫助他們有效地管理風險。
然而,做到上述這些并不容易,特别是企業的第2道防線很少在風險管理工具上為第1道防線提供支持,同時提供的風險管理方法論又過于簡單,分析結果過于粗淺和表面化。
由于缺乏支持和幫助,實際負責管理風險的第1道防線往往不願意配合第2道防線工作,通常會按照自己的做法去管理風險,這導緻了企業風險管理的不全面性、不系統性和不一緻性。
更多的支持是風險管理第一道防線所需要的。
企業負責風險管理的第2道防線應該為具體管理風險的第1道防線提供支援,建立企業範圍内統一的風險登記簿工具,并圍繞工具建立運行有效的風險管理方法論。與此同時,通過風險登記簿工具,又可以為負責風險管理的部門提供風險統計、總結和彙報的信息平台。實際上,這個信息平台同時又為位列第3道防線審計部門提供了信息和數據支持。
|