一、风险管理的三道防线

提到风险控制与合规，很多采购人员认为是公司层面的事，责任在风险管理部门、合规管理部门或内控管理部门，采购只需要配合、支持就可以了。这是对风险控制与合规管理的一种严重误解。

国资委出台的《中央企业全面风险管理指引》第十条指出：企业开展风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可以建立风险管理的三道防线，即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。

国资委印发的《中央企业合规管理指引（试行）》第十一条提出：业务部门负责本领域的日常合规管理工作，按照合规要求完善业务管理制度和流程，主动开展合规风险识别和隐患排查，发布合规预警，组织合规审查，及时向合规管理牵头部门通报风险事项，妥善应对合规风险事件，做好本领域合规培训和商业伙伴合规调查等工作，组织或配合进行违规问题调查并及时整改。

可见，无论是“风险管理指引”还是“合规管理指引”，都将业务部门放在了第一道防线的位置。

（一）第一道防线

企业应该对采购的风险与合规管理工作正确定位：采购部门作为第一道防线，需要对该项工作负首要责任。在设计采购组织职能的时候，要将风险与合规管理的职责考虑进去，让职能显性化。除了支持和配合风险管理部门、合规管理部门的工作，采购通常需要主导哪些职责呢？

首先，需要对采购组织的风险进行持续的识别、分析、评估、应对与改进。梳理采购相关的法律法规要求、道德规范要求，并结合组织的对外承诺，明确采购合规义务。

由于采购最了解自身的业务，所以要将风险控制与合规要求嵌入流程与系统中，并根据风险的动态变化持续进行流程改进和业务优化。

此外，采购的绩效不仅是质量（Q）、成本（C）、交付（D），还应将风险控制与合规因素纳入其中。监督与审计不仅是公司审计部门的职责，采购作为第一道防线，往往能最先感知到风险，处理风险的成本也最小，因此采购也有义务对内部进行及时的监督与考核，以提前发现问题，帮助改进。

（二）第二道防线

公司的风险管理部门、内控管理部门、合规管理部门等部门作为第二道防线可提前介入采购风险工作的指导，事前对采购的主要风险事项进行审核，比如对可疑供应商的资质情况进行审核，事中监督采购风险管理工作的开展，事后评估采购风险管理的效果。

（三）第三道防线

公司审计、纪检、监察部门作为第三道防线，对采购业务的真实性、合规性进行监督，发现采购存在的问题及风险，并督促整改。

通过三道防线的组织架构，让采购的风险控制与合规工作形成全生命周期的闭环管理（见图3-1）。风险与合规管理领先的企业不仅设有首席风险官（CRO），还单独设有首席合规官（CCO），他们可以跨越不同防线，进行穿透式管理。

小师妹插嘴

第一道防线就好像比赛场上的球员，球员的表现直接影响了比赛的结果；第二道防线则扮演着教练员的角色，负责指导和辅助球员；第三道防线就像裁判员，检查和监督球员是否遵守了比赛规则。

【案例3-1】大众汽车合规管理的三道防线

大众汽车的企业风险管理、内部控制和合规管理体系遵从“三道防线”的原则。这三道防线中每道防线的责任都落在具体部门，每道防线都有清晰的工作重点。

第一道防线关注大众汽车集团业务部门中的业务风险和应对措施。在这一层面上，业务部门和每个个体都对业务风险管理/内部控制（RMS/ICS）和合规业务行为负责。他们需要遵守相应的合规要求，定期或根据需求向相关管理人员提供报告。大众汽车的风控与合规部门建立风控策略和工具，必要时提供帮助来支持各业务部门。

第二道防线通过GRC常规流程，由风控与合规部门共同整合并推进风控与合规管理体系建设。GRC常规流程利用IT系统记录集团相关的风险（包括合规风险），并评估RMS/ICS的有效性。第二道防线负责制定标准、测试风险管理体系和内部控制体系的有效性。

第三道防线着重于监测RMS/ICS的组织和实施是否有效。集团内部审计是第三道防线。 oiW0ZhEm66Yh/3cOTHThx0FsRV+DtCbgxbfEjc07aH+/bg6nSdGY6GD4FHc5Ulcu