号外：风险管理“三道防线”含义已变！-COSO新版企业风险管理框架系列解读（八）.pdf

号外：风险管理“三道防线”含义已变！-COSO新版企业风险

管理框架系列解读（八）

一、风险管理“三道防线”的概念

一谈到企业风险管理的“三道防线”概念。我们就会想到前些年

企业进行全面风险管理体系建设时，经常提起的在组织机构层面建立

企业风险管理的“三道防线”的做法，即企业的业务部门作为前端部

门是风险管理的第一道防线；企业风险管理职能机构作为风险管理的

第二道防线；企业的内部审计职能机构作为风险管理的第三道防线。

三道防线共同组成了企业风险管理的防线系统，中国企业前些年

进行的风险管理体系建设主要内容，是以建设第二道防线为主，包括

建立组织机构和工作机制，识别和评估包括整个风险管理防线系统的

相关风险，作为第二道防线工作开展的基础。

下图是前些年我们对典型的三道防线组织架构图的理解。

在国际上，也有跟国内“三道防线”提法相对应的概念，即

ThreeLinesofDefense，也可以直译为三道防线。即第一道防线是

RiskOwner(风险所有方），也是指业务单元或部门；第二道防线是

RiskManagement(风险管理）,前些年在风险管理理论还不太成熟时，

也有称第二道防线是RiskControlandCompliance(风险控制与合

规）；第三道防线是RiskAssurance（风险保证），主要是指内部审

计部门。

“三道防线”的概念到底是中国人先提出的还是国际上先出现的，

我们还没有找到确凿的证据，如果是国际上先出现的，中国的三道防

线的概念的提出是否是借鉴了国际经验，现在还不好下定论。

二、新版COSO-ERM中对于“三道防线”的表述

新版COSO在附录中也阐述了对于三道防线的概念，是从风险管

理责任的角度论述的，谈到了首席执行官CEO、首席风险官CRO和管

理层三个层面各自的风险责任。

同时，也阐述了风险管理责任落实的第一道防线是：核心业务部

门（CoreBusiness）；第二道防线是：支持职能部门（Supporting

Function）；第三道防线是：保证职能部门（AssuranceFunction）。

核心业务部门：和我们前期提到的第一道防线的概念基本一致，

即企业管理的前台部门，作为风险管理的第一责任机构；

支持职能部门：这部分作为第二道防线和前期的提法变化最大，

支持职能部门除了包含风险管理专职职能之外，还包括：法务、合规、

财务、人力、质量、安全等，所有可以协助一线核心业务部门进行风

险管控的职能，都应该属于支持职能部门，即第二道防线；

保证职能部门：主要指的是审计部门，包括内部审计和外部审计。

其中和我们原来三道防线的提法变化最大的就是第二道防线的内

容，对原来风险管理职能进行了重新定义。原来我们指的是风险管理

职能部门和风险管理委员会组成了企业风险管理的第二道防线。现在

第二道防线将风险管理职能部门的范围扩展到了所有支持部门。应该

说，这是一种进步，是将风险管理工作从独立的视角向整合的视角，

以及更好的从企业管理活动的实际出发进行的重新定位。

其实COSO早在2015年就专门发布过关于企业风险管理三道防

线的说明性文件，阐述了类似的理念。各位如有进一步学习需要，请

见页尾方式获取。

三、企业核心价值链是纲，“三道防线”是目，纲举才能目张

基于COSO新版企业风险管理框架的方向性变化，可以看得出风

险管理还是要遵守企业管理的法则，从整体企业价值创造的角度出发，

才能更好的找到自己的位置和价值。

就三道防线而言，要结合企业核心价值创造的一系列活动来定义，

才能更好的体现风险管理工作的意义和价值。

由美国著名战略学家迈克尔·波特提出的价值链分析法

（MichaelPortersValueChainModel），把企业内外价值增加的活

动分为基本活动和支持性活动。基本活动包括生产、销售、采购、售

后服务等核心环节。支持性活动涉及人事