马云馨 褚洪生 高西爱

摘要：烟草企业在进行风险防控时，应该以一种总体视角，全面性地看待问题，因此，烟草企业应该完善风险管理的三道防线组织体系，即企业的业务部门作为前端部门、企业风险管理职能机构以及企业的内部审计职能机构构成的风险防控体系，本文以COSOERM作为基础，探索三道防线在实际的风险防控工作中的协同作用，指导建立风险预警管理系统，对风险进行实时评估与定期监控，增强风险控制实操能力。

1.引言

烟草商业企业风险防控建设的总体目标是全面评估企业风险，制订实施立体防控措施，建立风险预警处置机制，实现风险防控向决策层延伸、向制度规范延伸、向业务流程延伸、向岗位职责延伸，形成一套方法科学、管理有效、特色鲜明的风险防控体系。

2.完善風险管理制度组织体系——“三道防线”

进行职责划分，明确责任，使责权利有机结合。明确内控工作实施步骤和具体方法以及所要达到的阶段目标，确保有计划、有策略、有目的地推进内控工作稳步发展。

建立风险防控组织架构，健全法律风险防控领导机构，统筹推进法律风险防控建设和实施工作，形成主要领导亲自抓、分管领导具体抓、法规部门牵头、其他部门配合、全体员工参与的工作格局;明确工作职责，发挥法规部门的牵头作用，负责协调、指导、推进法律风险防控体系建设，协助职能部门处理涉法事务;发挥各职能部门的主体作用，负责将法律风险防控要求与具体业务的制度、职责、流程融合起来，加强在具体业务流程方面的专业指导;落实员工岗位法律风险防控责任，做到自觉学法、谨慎守法、积极应对法律纠纷。

企业全面风险管理的“三道防线”，控制环境是指对企业控制的建立和实施有重大影响的因素的统称。控制环境的好坏直接决定着企业其他控制能否实施或实施的效果。良好的内控环境是实施风险管理的前提和保证。企业通过强化内部控制的宣传活动和风险管理的培训教育，发挥自上而下的领导作用，提高员工对内部控制的认识程度，发起全员风险识别活动，极大的增强了员工的内控意识和风险意识，营造出良好的风险管理氛围。

2.1“三道防线”的概念

一谈到企业风险管理的“三道防线”概念。我们就会想到前些年企业进行全面风险管理体系建设时，经常提起的在组织机构层面建立企业风险管理的“三道防线”的做法，即企业的业务部门作为前端部门是风险管理的第一道防线;企业风险管理职能机构作为风险管理的第二道防线;企业的内部审计职能机构作为风险管理的第三道防线。

三道防线共同组成了企业风险管理的防线系统，中国企业前些年进行的风险管理体系建设主要内容，是以建设第二道防线为主，包括建立组织机构和工作机制，识别和评估包括整个风险管理防线系统的相关风险，作为第二道防线工作开展的基础。

在国际上，也有跟国内“三道防线”提法相对应的概念，即 Three Lines of Defense，也可以直译为三道防线。即第一道防线是Risk Owner （风险所有方），也是指业务单元或部门;第二道防线是Risk Management （风险管理）， 前些年在风险管理理论还不太成熟时，也有称第二道防线是Risk Control and Compliance（风险控制与合规）;第三道防线是Risk Assurance（风险保证），主要是指内部审计部门。

新版COSO在附录中也阐述了对于三道防线的概念，是从风险管理责任的角度论述的，谈到了首席执行官CEO、首席风险官CRO和管理层三个层面各自的风险责任。同时，也阐述了风险管理责任落实的第一道防线是：核心业务部门（Core Business）;第二道防线是：支持职能部门（Supporting Function）;第三道防线是：保证职能部门（Assurance Function）。

核心业务部门：和我们前期提到的第一道防线的概念基本一致，即企业管理的前台部门，作为风险管理的第一责任机构;

支持职能部门：这部分作为第二道防线和前期的提法变化最大，支持职能部门除了包含风险管理专职职能之外，还包括：法务、合规、财务、人力、质量、安全等，所有可以协助一线核心业务部门进行风险管控的职能，都应该属于支持职能部门，即第二道防线;

保证职能部门：主要指的是审计部门，包括内部审计和外部审计。

其中和我们原来三道防线的提法变化最大的就是第二道防线的内容，对原来风险管理职能进行了重新定义。

风险管理体系工作的归口管理部门，负责风险管理专业技术和工具和输出，以及负责一些年度重大的、需跨部门沟通协调的，以及无明确主责部门的风险的管理职能。一开始很多企业将风险管理工作和风险管理部门等同了起来，一谈起风险管理就是风险管理部门的职责。风险管理部虽然精通风险管理理论和工具的使用，但却不一定精通业务，如果不精通业务，显然风险评估的效果就会大打折扣。

其实，风险管理的职能体现并不是都体现在风险管理部的职能上。风险管理部的职能应该更多的体现在一种组织、协调、支持、配合的角度，帮着业务部门一起在达到业务目标的路上管控好风险。

2.2“三道防线”的应用

三道防线的理论广泛用于金融银行业，因为金融业的风险属于风险集中管理类型，这也是有一定原因的，往往风险管理的职能越集中，三道防线的边界就会越清晰。

近些年来，三道防线的方法也被引入到了一般的企业进行风险管理，用以更好的划分不同的职能在管理风险时的不同职责。虽然企业可以划分出三道防线，但是三道防线并无实质利益冲突，而且在企业来讲利益是趋同一致的。它的最终绩效不是衡量第二道防线设定的规则如何，第三道防线进行的检查监督效果如何，这些规则和检查的目标，也并不是为了限制第一道防线的表现。这就是任正非提到的所有防线的价值体现都是多打粮食，而不是妨碍粮食生产。

原则上来讲，没有明确的限制规定风险管理部和审计部必须分离，最基本的原则是两个职能的岗位实现互相分离即可，就算在一个屋檐下。我见过有的企业，建立了大监督部，将审计、法务、风控、合规、纪检、监察都放入了一个部门。我们的建议是，在不违背基本原则的情况下，企业完全可以自行实践，探索属于自己的管理体系，定好位、定好责、画好圈、明确分工及合作机制才是最重要的。

除了第二道防线和第三道防线融合的情况，也有企业将第一道防线和第二道防线的融合，比如强化第一道防线的风险管理和控制职能，而不单设风险管理部门。第二道防线中的部分要素可以根据具体情况，与第一道防线和第三道防线产生职责交叉。

第一道防线和第二道防线融合侧重的是核心业务层风险的自控制，将风险管理工作最大程度的嵌入业务职能。

第二道防线和第三道防线融合侧重的是对风险的监督检查，将风险管理工作要求最大程度的通过监督检查职能实现。

但是第一道防线和第三道防线则不能尝试融合，这是最基本的原则和控制要求。

3.理顺风险防控工作流程

建立法律风险动态预警处置机制，实现法律风险信息的及时发现、有效传导、科学预警、正确处置。通过实施法律风险防控计划，定期排查、筛选法律风险信息，及时将风险信息向有关部门和人员进行预警提示，做到法律风险早发现、早预防、早化解;对突发的法律纠纷案件，及时启动应急响应机制，根据风险等级的不同，分别向决策层、法规部门和法律顾问通报情况，制订工作预案，协调有关部门依法处置法律纠纷。

4.定期评估企业风险

建立风险预警管理系统，对风险进行实时评估与定期监控，通过编制《风险清单》，梳理、汇总企业内部重点区域、关键岗位和重要环节的风险点，为减少和规避员工操作风险提供指引。借助引导式培训、情景模拟、案例回溯等方式帮助员工熟悉和掌握风险识别和分析工具，增强风险控制实操能力。

参考文献

[1]程萧谊. 基于风险防控的烟草行业多元化企业内控管理探讨[J]. 财富生活（20）：2.

[2]吴新岐. 风险管理视角下的烟草商业企业内部控制研究[J]. 中国产经， 2020（13）.

[3]吴晓莹. 基于COSO框架的烟草商业企业税务风险管控体系构建研究[J]. 会计师（22）.

[4]刘正模. 烟草商业全面风险管理问题浅析[J]. 企业研究， 2013（22）：64-65.