观念平台－检视企业风险管理的三道防线

面对劳退基金代操经理人的违规行为或是银行发生的理专及行员盗领案件，事实上，一旦法人机构发生弊端时，就会被要求加强风险管理，但往往无法立即找到问题症结。虽然风险管理已经成为企业管理的显学，但是预防重于治疗，防线的建立尤其重要，企业风险管理的『三道防线』，泛指第一道防线的营业单位（Management），第二道防线的监督与支援部门（Risk Management and Compliance）与第三道防线的稽核部门（Internal Audit）。

营业单位即企业交易之前台，为负责风险管理的第一线单位。支援部门除风险管理外尚包括法遵、法务等单位，负责监督及协助营业单位进行管控。而稽核部门包括内部和外部稽核机构，负责检查已完成之各项作业与交易有无违规、触法或弊端。

风险管控三道防线涉及企业组织架构，事业单位、风控部门、稽核部门、风险管理委员会、审计委员会与董事会。依据分层负责，包括总稽核、风控长与法遵长等，协助监督及控管风险并持续关注部门间的内部控制是否有效运作，当三道防线落实执行时，企业就能实现整体风险控管的目标。

三道防线成功关键在明确分工

第一道防线涉及企业运营，由业务主管负责，对运营进行控制。第二道防线为企业风险管理和法令遵循，主要由风险管理专责单位与风险管理委员会负责，加上法遵部门确认各项交易是否符合业法及相关法规，塑造管理环境掌握风险管理目标，监督和促进业务有效进行。第三道防线为内部控制和稽核，由独立稽核部门与审计委员会负责，检查及监督企业并提供系统性方法加强风险管理和落实内部控制制度。

风险管理强调吻合企业价值观

风险管理依循企业管理法则，从创造及提升企业价值出发，着重自身定位与价值。就三道防线而言，结合企业核心价值，依据价值链思维将增加企业价值的活动分为基本和支援性活动。基本活动包括生产、销售、採购、服务等环节，支援性活动则涉及人事、财务、计划、研究开发等，构成企业的价值链。

实际上仅特定价值活动才真正创造价值，亦即价值链中的『关键环节』。企业要保持竞争优势，就是在关键环节需具有优势，关注关键环节的核心竞争力，进而巩固企业竞争优势。

发挥三道防线控管的必要思维

建构风险管理制度时，相信大部分主管认为应该由风险管理专职单位全权负责，但营业单位对此权责划分却常有微词，质疑风险管理部门无法辨识所有风险且因不具实务经验致不够专业，或不愿让风险管理部门过度牵制。儘管如此，多数企业还是将控管权责授权予风险管理专责部门，导致营业单位因而缺乏咎责机制，造成风险管理部门被充分授权后反而表现不如预期。

执行风险管理制度时，错误的认知将破坏权责相符机制，第一道防线为风险承受单位，风险控管第一线的责任人，必须足以解决95％的问题，必要时，第二线须参与第一线的决策过程，而后第二道和第三道防线进行监督与查核。第二道和第三道防线必须清楚所有问题的始末，需相对付出成本以确保权责相符机制顺利。

稽核部门对于前两道防线具有检查、监督及追踪缺失改善进度的功能，因此必须具备独立性和客观性，并同步或定期向董事会完整揭露。而辅以科技与大数据的应用，于风险控制下达到企业价值极大化与经营目标。