三道防线新进化,从“消极防守”到“积极创造”的蜕变
进攻是最好的防守!
——克劳塞维茨《战争论》
如大家所知,国际内审协会(IIA)2020年更改其被广泛接受的企业风控“三道防线”的模型,变为“三线”模型(或译为三道线模型),其中一个原因就是近年来对“三道防线”的批评声音越来越大,因为此模型侧重“防”,忽略了“攻”。
对于当下的企业来讲,片面的强调“防守”和“保护”已经不起作用了,需要边攻边防、以攻带防、以攻为防。
就像最开始克劳塞维茨的那句话:进攻是最好的防守。
这句话对我们中国的企业尤为重要,因为中国的文化基因中,讲究“和”与“合”,并不主张“攻”。
孙子兵法讲“不战”,墨子讲“非攻”,才是高超的取胜之法。
我们的文化核心是“稳定”,而西方的文件宣扬的是“冒险”,这其实能解释很多东西方的思维差异。
但面对今天这种不确定性极高的环境,防守和保守绝不能让企业立于不败之地,而是要进攻、要冒险、要试错,在失败中完成迭代、进化。
企业的风险管理体系是要以支持其战略和经营目标为宗旨,所以,其理论也必须要支持企业更好的进攻、冒险和试错。
其实,在几年前我就意识到了三道防线的局限性,并着手开始改造这个模型,提出了价值网的概念,供参考。
一、三道防线的理论
关于企业建立“三道防线”来管理和应对风险的做法,是过去这些年企业界比较常用的方法,最近几年关于“三道防线”理论的最新发展,最主要的就是扩展了之前第二道防线的范围,先带着大家回顾一下三道防线的基本内容:
第一道防线:
核心业务部门:即指的是企业经营管理中和外部市场接触最前台的部门,如销售部门、采购部门等核心业务部门,作为风险管理的第一责任机构;
第二道防线:
支持职能部门:一般我们理解风控、内控、合规等部门是典型的第二道防线职能。最新的三道防线是将所有的支持职能部门包括:法务、合规、财务、人力、质量、安全等等,所有可以协助一线核心业务部门进行风险管控的职能,都属于支持职能部门,即第二道防线;
第三道防线:
保证职能部门:主要指的是独立监督和审计部门,包括内部审计和外部审计,部分企业还包括纪检和监察职能。
2018年,我参考迈克尔·波特提出的'价值链分析法'(Value Chain Model),重新绘制了三道防线的示意图。
二、审计、风险与防线
三道防线的理论曾广泛用于金融银行业,因为金融业的风险属于风险集中管理类型,这也是有一定原因的,往往风险管理的职能越集中,三道防线的边界就会越清晰。
近些年来,三道防线的方法也被引入到了一般的企业进行风险管理,用以更好的划分不同的职能在管理风险时的不同职责。
我们能够看到的是,这样的方法最开始是从内部审计职能引入的,有很多关于企业三道防线的资料都是出自一些国际的审计相关组织。
审计工作的底层逻辑是基于风险的,所以,在企业风险管理发展的历程中,其中有一个脉络就是从审计中来。这也是我们看到很多企业的风险管理职能是从内部审计中慢慢分离出来的原因。
当然,基于风险的职能不仅只有审计,企业所有防守职能的底层逻辑都是基于风险的。
三、对立统一皆为二
三道防线的理论其实本质上是两道防线,正反思维对撞,在对立中发展,所有的管理莫出其外,决策与制衡、效率与控制、执行与监督都是一样的道理。
所以三道防线中最核心的内容是第一道和第三道,即执行与监督,缺一不可,第二道防线实是衍生物,所以在之前的文章里,我提到实践中第一道防线和第二道防线可以融合,第二道防线与第三道防线可以融合,但第一道防线和第三道防线则不可融合。
而对第二道防线的理解,在三道防线理论里是个重点,之前在企业的实践中讨论的最多。
第一道和第二道防线融合侧重的是核心业务层风险的自控制,将风险管理工作最大程度的嵌入业务职能。
第二道和第三道防线融合侧重的是对风险的监督检查,将风险管理工作要求最大程度的通过监督检查职能实现。
实际上,这两种融合方式最后的效果是一样的,只不过从不同的两个侧面驱动而已。
四、从防到攻防并重
如果大家熟悉我们之前的观点,今天我们谈到的风险和之前传统的认知相比已经发生了变化,我们传统上认为风险就是一种损失,而我们最新的认知认为风险就是一种不确定性,不确定性不仅仅会带来损失可能,还有可能会带来积极的可以利用的方面,所以,结合目前市面上的几十种风险定义,我提出了一个对风险的理解定义:
影响目标实现的不确定性(Uncertainty of Achieving Objectives)。
站在传统的视角上,风险是要“防”的,因为它会带来损失,特别是从审计视角出发的风险,也往往是针对这类传统的风险。
但站在当下的认知下,风险的属性也和从前大不相同,有些风险是“防不胜防”的,我们对风险的态度,也需要:
从最开始的恐惧、逃避、抗争、防范,转变为对风险的理解、接受、管理和更好的利用。
特别是在当下的不确定环境下,对风险的态度以及学会如何与风险共处将决定一个企业的前途命运。
传统的风险会带来损失,所以我们的风险管理主要的目标是防范损失,保护价值,但当我们可以更好的把握和利用风险时,我们就可以利用风险管理创造价值,形成创造和保护价值并重的理论体系。
所以,单纯谈“防线”已经越来越不能满足企业风险管理的需要,因为作为一个企业整体来看,不仅要防,还需要攻,每一个理论都需要有攻防结合的双向意识才可以帮助企业更好的发展。
五、三层价值网
三道防线的理论如何发展进化以适应这样新时代的要求,我思考的很长时间,怎么能体现风险理论的最新发展,实现攻与防统一,不仅要侧重价值保护,更需要聚焦价值创造,帮助组织最终实现价值。
我们今天谈到的授权和赋能,是应对不确定性的有效手段,那么风险管理工作的本身是否也需要更多的授权和赋能核心业务部门,我想也是必然的,提升业务部门自身的风险管理能力,是风险管理工作的下一步重点目标。
所以,我提出“三层价值网”(Three Layers of Value Net)的概念,供大家参考。
首先,组织的存在是为了实现价值,而这种价值是在创造和保护中取得,所以企业有一个核心价值流,所有的经营管理活动都应该围绕核心价值流展开。
三层价值网
第一层:创造层
核心业务部门:主要进行价值创造,同时具有价值保护职能,在创造中保护,负责打赢战争。对应于原来三道防线理论的第一道防线;
第二层:能力层
支持职能部门:主要负责能力输出,在专业领域形成价值创造和保护的专项能力并支持第一层更好的进行价值创造和保护,以提升第一层的专项能力为主要目标,负责提供弹药。对应原来三道防线理论中的第二道防线;
第三层:绝缘层
保证职能部门:主要职能是保护价值,防止价值外流,建立审计和监督的价值外流“绝缘机制”,负责督战,更好的帮助企业实现价值。对应原来三道防线理论中的第三道防线。
虽然IIA已经更新了其三道防线模型,但三道防线理论在很多企业已深入人心,今天只是结合风险理论的最新发展提出了一个发展参考方法,欢迎大家交流讨论,形成共识。