合规管理组织架构和人员配置是合规管理体系的核心,对确保合规政策的有效执行至关重要。通过设计搭建科学合理的组织架构,可以明确职责分工、有效运行各项机制,推动部门和人员持续提升合规管理水平,最终确保合规政策的顺利执行和合规风险的有效防控。
“三道防线”是当前在企业合规管理实践中,接受度最深广的一种合规管理组织架构模型。企业通过对业务运营(第一线)、风险监督(第二线)、独立审计(第三线)的分层协同,来构建系统性风险防控体系。接下来,【三品合规】与您一起探讨一下“三道防线”的前世今生,以及未来的演进方向。
01
“三道防线”的由来
请你想象几片瑞士奶酪叠加成三明治,假如每片奶酪代表一个风险控制层,奶酪上的洞代表防御中的弱点,这些洞的位置、大小随机分布。如果风险是一支箭,射过来,一层防御的洞不会导致系统被击穿,因为其他层的奶酪会挡住风险。但现实当中,风险控制层是动态运行的,你可以想象成每片奶酪都是在自转。如果这种转动导致奶酪片上的孔洞在多层对齐,则箭头就能击穿防御直达核心。
这就是英国人詹姆斯·T·里森(James T. Reason)在上世纪90年代提出的瑞士奶酪模型(Swiss Cheese Model),也是风险管理和事故预防领域的经典理论框架。该模型揭示了风险管理不是消除所有“洞”,而是通过多层冗余和动态调整,降低“洞”的对齐概率,通过落实“深度防御”原则,来避免单点故障。瑞士奶酪模型带给企业管理的启示在于,如果想要有效防控风险,在管理上设置多层冗余且进行合理的架构分工,是非常必要的。
1990年代末,随着英国巴林银行倒闭、大和银行纽约分行丑闻等重大风险事件发生,银行业暴露出一线交易员失控、风险部门缺位、审计失效等问题。瑞士奶酪模型的风控理念被商业银行接受并广泛实施,欧美的大型银行逐渐自发形成“业务自控+风险中台+内部审计”的三层结构。2001年,巴塞尔委员会也在文件中确认“内部审计应独立于业务和风险管理职能”,由此奠定了三道防线的政策基础。
真正让“三道防线”形成被国际社会广泛认可和应用的风险管控模型,是国际内部审计师协会(IIA)和美国反虚假财务报告委员会的发起人委员会(COSO)。
2015年IIA发表《在风险管理和控制的三道防线中运用COSO内部控制》,提出“COSO内部控制框架与三道防线模型相结合,原因在于COSO内部控制框架与三道防线模型都共同作用于企业风险管理与内部控制,且三道防线模型恰好弥补了COSO 内部控制框架中并未言明的职责划分与落实的问题”。IIA和COSO给出的“三道防线”,正是运营管理防线,风险及合规性监督防线以及内部审计防线,即:
第一道防线是负责在基本业务操作过程中合规地执行各项内外部控制措施的有关业务单位;
第二道防线是识别并应对各类风险以及制定各项控制规范的风险部门;
第三道防线是对前两层的风险控制措施落实情况进行检查、监督、评价、报告及修正 的内部审计部门。
02
我国企业对“三道防线”的理解与应用
“三道防线”的风险管控模型在改革开放中被传入中国,并在银行和各大企业中迅速传播应用。但其中也发生了一些“水土不服”,主要集中在对第三道防线即内部审计防线的理解上。由于内审主要还是针对业务和事项,在对人的监察效用上相对薄弱。我国企业,尤其是央国企,普遍建立有党委领导下的纪检监察部门,不仅能对企业治理和业务工作进行监察,还履行着对党风行风和单位人员作风的执纪监督责任,完全有别于西方的第三道防线,是更具中国特色的企业风险防范模式。
基于实践经验的总结,我国在《中央企业合规管理办法》中并没有直接写明“三道防线”的字眼,甚至我国深度参与或起草的《合规管理体系 要求与使用指南》(ISO 37301:2021 / GB/T 35770-2022)等重点合规文献中,也没有“三道防线”的表述,而是把三道防线的理念和制度价值,直接融入到了政策文件的精神与实际操作指导之中。
目前我国大部分企业的合规管理体系中的“三道防线”,主要是按照以下逻辑和职能架设的:
第一道防线是合规风险防控的直接承担部门(业务部门),其责任人是部门负责人。部门遵循相关法律法规和公司制定的管理制度、业 务规范对本部门业务开展过程进行合规风险控制,同时针对过程中发现的潜在风险点,应及时向业务分管领导汇报,并同第二道防线进行沟通。
第二道防线为企业合规管理工作的牵头部门,其责任人为合规部的行政负责人。合规管理部门通过对合规风险进行分析,为业务部门提供风险控制的具体方法和工具,确保各环节的合规风险控制措施的正常执行,同时根据潜在风险点,对风险评估持续进行更新。合规管理团队应就履职情况独立向合规总监(首席合规官)进行汇报,对于检查过程中发现的部门违规问题及时同第三道防线沟通。
第三道防线为独立的审计监督部门(如稽核监察部),其责任人为审计监督部门的行政负责人。通过稽核、审计、内部举报调查、问责等方式监督企业各部门和合规管理团队的履职,并就发现的问题向合规总监(首席合规官)和监事会(或审计委员会)进行双线汇报。
03
“三道防线”的发展趋势
由于目前没有任何一个规范性文件将“三道防线”列为效力性的强制规定,因此在企业管理体系的实践中,它应当是灵活的,可以根据组织规模、结构和复杂性针对性进行设计。尤其在穿透式监管、AI智能体等新技术新方法引入后,企业的管理变革正在悄然发生,合规管理的“三道防线”也必将向更高的阶梯跃迁。
合规管理的“三道防线”在演进发展中,会保持以下特点或趋势:
一是突出合规刚性。合规管理以立规的方式确定了防范其他风险的底线要求,不同于信用、市场、操作风险可以设定各自的容忍度,企业的合规风险容忍度无限趋近于零,故无法通过轻易调节风险容忍度来获得更高的绩效。所以合规管理的“三道防线”刚性要强于内控、以及全面风险管理的防线。
二是保持防线协同性。三道防线不仅强调每道防线各自的分工,还强调第二道防线相对独立于第一道防线,第三道防线独立于第一、二道 防线,这种设计为了避免风险穿透,却容易产生信息孤岛。协同性要求各道防线之间保持持续的沟通与协作,共同对风险问题进行干预。
三是治理层的扩展性。当前很多企业的合规管理体系强调的是“管业务必须管合规”,这是做好第一道防线的必然要求。但是企业在业务活动之外,还有管理活动。在大多数企业的合规管理体系设计中都是偏向对基层部门和一线人员的管控,但是对于领导,决策层这种关键少数的合规问题,关注是相对不足的,传统的“三道防线”也止步于企业中层。因此有必要考虑将公司的治理机构、管理层和一线运营人员均纳入第一道防线,IIA在2020年发布的最新版“三道线模型”(The Three Lines Model)就做出了这样的调整。新模型将第一线扩展到包括治理机构,第二线更注重支持性角色,第三线则强调战略性和协作性,而非单纯的内部审计。
潞安化工余吾煤业
编辑:王 江
监制:李 鹏 杨利军