三道防線

1997年，人民銀行發布了《加強金融機構內部控制的指導原則》（下稱《指導原則》），要求金融機構建立完善的內部控制制度，設立順序遞進的三道監控防線：即一線崗位監督、部門崗位制衡以及監督部門監控等三道防線。2002年，《指導原則》被廢止。此後人民銀行、銀監會規範性檔案未再對“三道防線”進行規定。

2001年以後，證監會、國資委和保監會先後發布規範性檔案，從內部控制或者風險管理角度對“三道防線”設定提出了明確要求。具體而言，證監會規定與《指導原則》的思路相同，都是從內部控制的角度設定防線；國資委和保監會則是從風險管理的角度提出“三道防線”設定的具體要求。需要指出的是，證監會、保監會及國資委的規定均不適用於商業銀行，而且保監會、國資委的規定又與商業銀行的實踐和組織管理模式的傳統存在很大的差異。2008年，財政部、銀監會等五部委聯合發布了《企業內部控制基本規範》（下稱《基本規範》），雖未明確提出“三道防線”的要求，但為商業銀行設定“三道防線”提供了新的思路和指南。

與此同時，“三道防線”的主要防控對象，也經歷了從“防案件”到“防風險”再到“防偏差”的兩次較大的演變。90年代初期，我國金融系統案件頻發，“三角債”、虛假票據泛濫，危害金融秩序，影響金融穩定。為控制案件高發態勢，人民銀行發布《指導原則》提出設立“三道防線”的要求，其主要目的就是防控案件。隨著風險管理理論與實踐的發展，防控對象逐漸從“防案件”發展為“防風險”。《基本規範》出台後，企業內部控制被提升到了國家戰略的高度,體現了五部委對內部控制的高度重視與深刻共識。就內部控制而言，“三道防線”旨在防控經營管理活動與既定目標的偏差。當然，這裡的偏差與廣義的風險具有邏輯上的一致性。因此，可以說商業銀行“三道防線”的防控對象就是經營管理活動中偏離既定目標尤其是風險承受度的各種偏差，這種偏差包括狹義的風險、也包括舞弊行為和案件。這也是《基本規範》的本質要求。

目前，對商業銀行如何設定“三道防線”，已無明確的監管要求。但是，經營管理中各項活動對既定目標的偏離和偏差無時不有、無處不在，不但可能形成風險、造成損失，還可能釀成刑事案件，甚至導致商業銀行破產。加之，經濟金融形勢風雲變幻，商業銀行經營管理風險日趨複雜多樣，案件防控壓力不斷加大。設定內部控制防線已經成為商業銀行實現企業目標和強化內控管理的客觀需要，其目的就是保證經營管理按計畫進行並及時糾正各種重要偏差，防控風險，遏制舞弊、杜絕案件。

實踐中，各家商業銀行基於對三道防線的不同理解，設定了不同的防線。由於合理配置有限的資源是企業管理永恆的主題，內部控制“防線”的設定應當權衡實施成本與預期效益。在商業銀行經營管理中，哪些環節偏差頻率高、風險危害大就應該在哪裡設定防線。商業銀行的管理和控制圍繞著業務經營展開，因此，筆者認為，只有從商業銀行業務流程角度出發設定“三道防線”才能夠最有效地防控經營管理中存在的偏差和風險。

按照業務流程，商業銀行應當設定如下“三道防線”：

無論是監管部門的規定，還是商業銀行的管理實踐，均將直接進行業務操作，面向客戶提供產品和服務的一線崗位、機構作為內部控制最前沿的第一道“防線”。通過建立營業機構不同崗位各司其職、各負其責、相互制約的工作機制，形成由“自我約束”和“不相容職務分離”控制作業偏差的“第一道防線”。例如臨櫃業務人員操作必須遵循的“會計憑證，嚴格審核”、“重要業務，授權控制”等操作原則。

由於委託代理中存在信息不對稱，“一道防線”的自我約束和崗位制約可能因內部人的串通而流於形式。為此，各商業銀行還設定了內控“第二道防線”。各職能部門的“自我約束”與“盡職監督”控制，是商業銀行的“第二道防線”。

“盡職監督”的概念是農業銀行在實踐中提出的，是指各級機構職能部門按照職責分工，對同級職能部門及下級對口部門相關經營管理活動進行監測、檢查、督導和糾偏的管理行為。具體而言，就是各部門將本條線及相關同級職能部門的實際工作情況與目標、計畫、標準進行比較分析，採取措施糾正偏差，以實現發展目標的管理活動。盡職監督是第二道防線的主體。

由於商業銀行具有經營多元化和組織層級制的特點，各分支機構、部門的多元利益並存，更易出現因本位主義使經營管理活動偏離戰略目標和整體目標的問題。因此，需要對職能部門的自我約束和盡職監督進行監督。

首先，根據《基本規範》設立的內控管理部門作為組織協調內部控制建立和實施的專門機構，負責協調、推動和監督各職能部門盡職監督職責的履行。第二，內部審計部門作為商業銀行的內設機構，按照《基本規範》的要求，對內部控制的有效性進行監督檢查，以使董事會和高管層把握銀行整體的內部控制狀況和高風險領域；發現內部控制重大缺陷直接向董事會及其審計委員會、監事會報告。第三，監察部門對各級機構及人員執行制度、廉潔自律、履職效能實施監察；保衛部門負責刑事案件的查處。以上部門共同實現對第一道防線和第二道防線的事後監督、控制職責。從這個意義上講，可以將內控管理部門的協調監督，內部審計部門的再監督，連同監察部門、保衛部門履行的事後監督作為商業銀行業務流程控制的“第三道防線”。

商業銀行“三道防線”作為內部控制的組織體系，旨在糾正偏差、防控風險。商業銀行要基業長青，必需立足長遠，考量預期收益與當期成本，有目的、有重點的設定內控防線。同時，內部控制是一個過程，作用於業務流程的“三道防線”彼此不是孤立設定相互替代的，而是互為補充、相互強化的系統。必須發揮業務流程中三道防線的系統合力，形成糾錯防弊的機制性保障，才能有效控制偏差和風險，進而夯實管理基礎、提升經營效率。