简单地说，风险管理第1道防线是指业务部门，他们的工作是正确执行管理措施去应对风险。风险管理第2道防线是指企业内部负责风险管理的职能部门，他们的工作内容是为管理风险提供支持。风险管理第3道防线是指企业内部的审计部门，他们负责保证风险管理的充分性和有效性。

 

风险管理三道防线模型看起来很好，但现实很“骨感”，在企业风险管理实践中，大多数情况下风险管理第2道防线给予第1道防线的支持和帮助太少。

 

在企业内部，第2道防线不直接参与管理风险，而是帮助第1道防线做好风险管理。那么如何做好呢？这其中一个重要的方面是：第2道防线要向第1道防线提供好的风险管理方法和工具支持。

 

首先，第2道防线要更懂风险管理方法论，他们要精通如何正确、科学地识别、分析、评价和应对风险。其次，第2道防线要教会第1道防线这些风险管理方法论。再次，第2道防线要向第1道防线提供合适的风险管理工具，帮助他们有效地管理风险。

 

然而，做到上述这些并不容易，特别是企业的第2道防线很少在风险管理工具上为第1道防线提供支持，同时提供的风险管理方法论又过于简单，分析结果过于粗浅和表面化。

 

由于缺乏支持和帮助，实际负责管理风险的第1道防线往往不愿意配合第2道防线工作，通常会按照自己的做法去管理风险，这导致了企业风险管理的不全面性、不系统性和不一致性。

 

更多的支持是风险管理第一道防线所需要的。

 

 

企业负责风险管理的第2道防线应该为具体管理风险的第1道防线提供支援，建立企业范围内统一的风险登记簿工具，并围绕工具建立运行有效的风险管理方法论。与此同时，通过风险登记簿工具，又可以为负责风险管理的部门提供风险统计、总结和汇报的信息平台。实际上，这个信息平台同时又为位列第3道防线审计部门提供了信息和数据支持。