在很多企业内部审计项目中,我们经常看到这样一种错位现象:组织设立了所谓的三道防线,却在关键节点失效——风险没有被及时识别,内控不到位,责任无法明确。一旦出了问题,管理层、风险合规、内部审计三方各自有话说,但真要追问谁该负责、谁在执行、谁在监督,答案却模糊不清。
三道防线并没有自动带来治理闭环。
不是模型本身的问题,而是我们对三线职责的理解、协作的机制以及接口的设计出了偏差。特别是第二线(如风险管理、合规管理、内控管理)与第三线(内部审计)之间,既容易责任重叠,又容易互相推诿,导致看似都有职责,实际没人担责的治理断档。
1模型设得再好,也得看怎么用
2000年代以来,随着风险管理理念在企业中普及,三道防线模型逐渐成为全球主流的组织架构工具。根据传统定义:
第一线:业务经营部门,风险拥有者;
第二线:风险、合规等管理职能,负责制定政策、监控执行;
第三线:内部审计,独立评价与建议提供者。
这个划分表面上清晰,但在实际操作中却经常变形。比如某集团设有风险管理部,也有合规部,再加上数据保护官、安全专员,结果这些第二线之间先产生了角色冲突;内部审计再介入时,往往被指责越权干涉管理,审计建议被束之高阁,整改推动无力。
很多企业将三道防线当作静态的组织结构,而忽视了它真正是一个动态协作机制:它不是画个图就完事,而是要求我们持续调整职责、校准边界、打通流程。这种机制的运转,需要组织具备更高的治理成熟度。
2去重难,难在权责交错
让我们回到一个典型场景:
某金融企业希望评估其反洗钱内控制度。合规部门主张:我们早已建立了制度和培训,控制体系完备。内部审计则在抽样中发现,多起客户尽职调查存在明显疏漏,且反馈流程严重滞后。二线回应:我们无法事无巨细地盯着一线,职责只是政策制定和培训,审计要求太细。审计部门则强调:既然你们设了规则和监控系统,就该承担系统失效的责任。双方陷入职责模糊的拉锯。
这不是谁不专业,而是职责定义出了问题。
制定制度与监督执行之间往往并无明显分界。尤其在现代企业中,很多第二线职能具有一定的监督或验证功能(如风险监控指标、合规巡检、内控自评等),而这些活动又与审计的独立评价职责部分重合。没有统一的协作机制,很容易导致重复检查、数据不一致,甚至治理责任落空。
问题的根源在于:我们习惯性地按职能划线,却忽视了过程交叉的本质。
3协同难,难在机制缺位
去重不等于割裂,协同也不是你来我退。真正的协同,不是职责上的彼此不碰,而是在保持边界独立的同时,确保信息流动、观点交汇、行动对接。
但多数企业恰恰缺乏这种机制。比如:
风险地图由第二线绘制,审计却从未参与评审;
审计报告指出风险事项,风险管理部门认为不符合评级逻辑;
审计整改推进过程中,找不到责任人,因为我们不是执行单位;
二线与三线使用的系统、数据平台完全割裂,信息传递靠邮件。
这些不是模型的问题,而是企业缺乏制度化接口。协同机制如果仅靠个别领导拍板协调,是不可持续的。只有把这些接口做进流程写进制度嵌入系统,才能让三线职责真正联动,而非表面分工。
4新版三线模型的启示
2020年,IIA发布新版三线模型,不再强调防线概念,而强调职责之间的协作,重新定义了三类主体的责任:
管理层不仅是第一线,还是风险责任主体;
支持职能(原第二线)应聚焦制度设计、支持与监督;
内部审计作为独立职能,应推动组织治理、风险和控制的整体有效性。
新版模型还特别强调了治理机构(如董事会)与执行管理层之间的监督接口,这是以往模型中最容易缺位的部分。
这对我们意味着什么?
不是把二三线重新命名一遍,而是要求我们:
重新厘清各自工作的目标与边界;
设计促进协作的信息与责任接口;
将风险共识、计划协同、整改联动机制化。
换句话说,不再问谁负责,而是谁在哪个环节负什么责。
5不协同,是因为不需要协同?
有人可能会问:如果每个职能都做好自己的事,不就自然协同了吗?答案是否定的。
在现实中,不协同的背后,往往隐藏着深层次的组织动力问题:
第二线担心协同变成审计的干涉;
第三线担心协同削弱独立性;
管理层担心协同引发问责和资源消耗。
而协同之所以难推行,是因为组织中缺乏一个共同的风控目标。如果二线目标是证明我们有制度,三线目标是指出管理层的问题,那自然无法协同。只有当组织整体围绕真实识别并应对风险展开,协同才有土壤。
6让三线共担风险,不是共做任务
共担风险意味着:
二线不是为了展示制度完备,而是为业务提供真正能应对风险的工具;
三线不是只为写报告、找问题,而是为组织提供预警、镜鉴和改进路径;
管理层不是旁观者,而是风险治理的发动者与资源配置者。
三道防线不是防范风险的保险架构,而是组织在面对不确定性时的一种责任协作机制。不重建机制,三线永远各自为政;不推动协同,防线只是装饰。
当我们再提三道防线时,不应再关注谁是第一线谁是第二线,而应思考:
在这个风险控制链条中,谁真正发挥了作用?谁在缺位?谁的声音被忽视了?
责任不是靠分工就能清晰,协同也不是靠会议就能完成。唯有通过机制重构,把二三线的关系从谁做了什么变成如何共同达成治理目标,三道防线才能从纸面模型变为组织真正的免疫系统。
- 还没有人评论,欢迎说说您的想法!
