简单地说，风险管理第1道防线是指业务部门，他们的工作是正确执行管理措施去应对风险。风险管理第2道防线是指企业内部负责风险管理的职能部门，他们的工作内容是为管理风险提供支持。风险管理第3道防线是指企业内部的审计部门，他们负责保证风险管理的充分性和有效性。

 

然而，传统的风险管理系统无法满足三道防线需求。传统的风险管理系统主要是企业内部负责风险管理的职能部门发起创建的系统。它们主要满足第2道防线的工作需求，主要内容是收集风险相关报表数据。

 

传统的风险管理系统对风险管理第1道防线帮助不大，但同时却增加了第1道防线的工作负担。第1道防线的管理人员需要花费时间和精力往系统里面“填数据”，而这些不是在管理风险，而是管理风险后的额外工作。所以，位于第1道防线的管理人员往往不愿意配合。

 

传统的风险管理系统对风险管理第3道防线也没有太大帮助。“干巴巴”的数据对于风险管理审计工作帮助不大。有些时候，业务部门为了应付、提交了“虚假”风险管理信息，这反而对审计工作产生误导。

 

无法满足三道防线需求，意味着传统的风险管理系统注定没有生命力，很难在企业里面再发展下去。

 

 

一个好的风险管理系统一定要能够满足三道防线需求，即使无法满足全部需求，也要尽可能对三道防线的工作提供帮助。风险登记簿（RiskRegister）就是按照这种想法进行设计开发的风险管理软件系统。

 

我在设计风险登记簿时，出发点是面向风险管理第1道防线。遵从ISO 31000，风险登记簿满足了管理风险所需要的所有过程和功能需求，从风险识别、风险评估、风险应对到风险管理，RiskRegister能够帮助企业和项目管理者有效管理风险。我认为这是风险管理软件的最基本也是最核心的功能作用。

 

第2道防线的需求其实是在第1道防线的工作基础上自然满足的。通过为RiskRegister配备数据提取、挖掘和统计分析功能，第2道防线需要的风险管理数据，无需业务部门重新填写，从系统中可以自动采集和分析，这既减少了业务部门工作量，也可以防止出现空洞的管理信息甚至虚假数据。

 

通过上述工作，RiskRegister为第3道防线提供了丰富具体同时质量很高的风险管理信息和数据。基于这些信息数据，审计部门可以更好地理解风险管理的执行状况，深入分析风险管理的有效性和充分性。