朱夏茜

摘要：随着外部监管的进一步深化，银行业进入强监管、强整改、强问责时期，对商业银行防控金融风险提出了更高的要求。因此，进一步明确“三道防线”在全面风险管理中的定位，构建“三道防线”间的协同机制，不断强化和创新风险防控模式，满足不断变化的内外部形势需求，已成为商业银行发展的必由之路。本文结合多年商业银行内部审计工作实践，从商业银行内部审计“三道防线”的定位出发，通过分析商业银行“三道防线”协同机制中存在的主要问题，提出完善“三道防线”各自的职能和管理方式的主要措施，从而进一步构建“三道防线”协同机制。

关键词：发挥 “三道防线” 协同机制

金融是国家重要的核心竞争力，党的十九大提出“健全金融监管体系，守住不发生系统性金融风险的底线”，中央经济工作会议和全国金融工作会议提出，要打好防范金融风险的攻坚战，体现国家对防控金融风险、保障金融安全的高度重视。随着外部监管的进一步深化，银行业进入强监管、强整改、强问责时期，对商业银行防控金融风险提出了更高的要求。因此，进一步明确“三道防线”在全面风险管理中的定位，构建“三道防线”间的协同机制，不断强化和创新风险防控模式，满足不断变化的内外部形势需求，已成为商业银行发展的必由之路。

一、商业银行“三道防线”的定位和模式运用

（一）“三道防线”的定位

目前我国商业银行内部控制体系中，对“三道防线”风险控制体系有明确的定位。业务经办部门和业务经办行作為商业银行风险管理第一道防线，负责在本部门、本级行内部组织实施风险管理，重点防控操作风险和落实各项规章制度执行情况。第二道防线是各级风险管理部门和内部控制部门，主要职责是确保银行风险计量、评估、监测、报告的及时性、真实性、准确性和合规性，并依据风险状况采取相应对策，指导和监督第一道防线的风险管理工作。作为第三道防线，内部审计部门实行独立的垂直管理模式，由总行直接管理，按公司治理要求向董事会及其审计与合规委员会负责并报告工作。

（二）商业银行“三道防线”模式的运用

1.第一道防线作为风险的直接承担者，要保证最前端的风险敏锐度和可靠性。各级业务经办行、业务管理部门和每位员工是风险管理的第一责任人，对业务过程进行实时控制和自我评价，实现“自己约束自己”。同时，各业务主管部门须履行本条线员工的指导检查和监督工作，发挥风险识别和岗位制约作用，自查自纠，不断提高业务条线风险管理的自觉性和主动性。

2.第二道防线应当做好全行风险统筹管理，加强尽职监督检查。业务主管部门对辖区内业务条线的指导检查，属于业务执行情况的指导检查，而风险管理部门侧重于风险管理工作的落实情况检查，并检查风险披露的真实性、准确性和风险报告的时效性。两者的最大差别是站位不同导致的工作性质不同，业务主管部门对业务条线指导检查的后续工作是整改完善，确保上下执行一致并符合规章制度，而风险管理部门检查意义在于调整风险计量、调整授信总额、调整风险损失准备。

3.第三道防线要充分发挥审计服务职能，做好第一、二道防线的再评价和再监督。审计部门通过系统化、规范化的方式，审查评价经营活动、风险管理、内部控制的适当性、科学性和有效性。对审计发现的问题进行整改督导，并根据需要对内外部监督检查发现问题的整改情况进行抽样评估和独立验证。

二、商业银行“三道防线”协同机制中存在主要问题

（一）“三道防线”风险管理职责后移，自我约束能力不足

作为风险管理的第一道防线，业务管理部门和业务经办行受考核、业务发展任务压力等因素影响，将更多的精力投入到了业务研发和市场拓展中，对业务风险的事前预判、事中控制缺乏风险意识和控制手段，部分员工包括领导干部认为，防范风险是合规和审计部门的责任，自我风险管理和控制动力不足，操作层面的风险无法及时控制。作为风险管理的第二道防线，各级风险管理部门和内部控制部门在实施日常风险监督检查时，仅关注是否账平款对等浅层次的表象，忽视对业务运营的合规性和合法性等重要风险环节的监管，大大削弱了第二道防线抵御和控制风险的能力。

由于前两道防线未充分发挥各风险控制职能，内部审计实际上履行了揭示操作层面、制度执行层面风险的职责，本应一级抓一级、一级促一级的三道防线的内控整体合力难以得到充分发挥。审计部门无法真正发挥对第一、二道防线的再监督和再评价作用，不能从根源上寻找问题的起因并提出风险防范的有效建议。同时，审计部门缺乏统一、标准的质量控制体系约束审计流程，一定程度上影响了审计效果。

（二）“三道防线”缺乏有效协同手段，信息共享不够

业务经营部门、风险管理部门、内部控制部门和审计部门在实际工作中受各自职责的影响，缺乏有效的协同手段和管理机制，各部门之间形成信息“孤岛”，无法有效实现信息成果共享，主要体现在两个方面。一是三道防线之间未形成一个监管整体，未建立有效的风险信息共享和沟通机制，导致三道防线在风险揭示和界定中存在一定偏差。二是各类风险检查未能实现统筹安排，一家经营行同时接受几项检查的情况时有发生，重复检查与监督盲区并存，一定程度上造成了检查资源的浪费。三是风险检查成果信息往往局限于具体的某一家被审计单位，无法形成合力，最终造成大量的风险信息和检查成果被闲置。

（三）“三道防线”间沟通交流不到位，成果利用不充分

“三道防线”之间的协作及沟通联系渠道较为单一，与业务主管部门联系不足，审计沟通反馈链较长，主要表现在问题屡查屡犯、责任人处理不到位等方面。部分业务主管部门对审计揭示风险的危害性认识不足、总结汲取教训不充分，主动参加整改的积极性不高，疲于应付，以及各类检查与整改工作一定程度上的“两张皮”等现象也对整改工作影响较大。

审计成果的有效利用是审计价值的集中体现。目前，审计部门更多的关注审计过程的实施和管理，审计报告作为审计成果重要体现缺乏针对性，对问题的表述缺乏提炼和总结。审计报告提出的结论和建议未能站在董、监、高层面总揽全局的提炼和分析问题，不足以引起他们的关注，审计的效用性大打折扣。

三、构建“三道防线”协同机制的主要措施

组织效率既来源于分工，也来源于协同。在商业银行风险管理“三道防线”的运行中，“三道防线”之间既相对独立，又需要协同配合。各防线职责划分和运行机制，有利于保证“三道防线”之间的独立性，但更重要的是在保证独立性的同时，考虑如何增强“三道防线”的协同性。第一道防线是基础，第二道防线是总揽，第三道防线是保障，在同一目标之下，理论上是可以实现协同的，但由于在实际工作中各自归于不同的管理模式，要实现协同目的，还须进一步完善各自的职能和管理方式。

（一）加强前台业务条线风险意识，建立各级行业务部门风险管理团队

建议商业银行在各级行主要业务部门设立风险经理和风险管理小组，完善业务营销部门的风险管理绩效考核方案。在具体职责方面，主要业务部门配备的风险经理和风险管理小组接受风险管理部门的业务指导，并对业务主管部门与风险部门负责。

人员配备方面，为了适应严峻的内外部经营环境，要求风险经理及风险管理小组具备丰富的知识结构、较高的业务技能和专业素养。风险经理和风险管理小组成员要从单一的业务型人才向复合型人才转变。商业银行可以采取专项培训、前后台定期交流学习等方式，不断提高风险经理和风险管理小组成员的业务能力和业务水平，使其胜任适应新常态下开展风险管控工作的要求。

（二）建立总行层面分工明确、职责明晰的风险管理模式，探索风险管理创新机制，优化风险管理流程

一方面，风险管理职能部门要针对不同的风险管理特征和业务流程制定有差异的职责与分工。为促进各项业务健康可持续发展，部分商业银行在探索風险管理创新机制方面做了一些尝试，值得借鉴。如，2004年建行股改后，实行纵向和横向相结合的风险管理模式，包括首席风险官、风险总监、风险主管、风险经理组成纵向独立的风险报告线，风险经理和客户经理共同参与贷前评估、客户评级等各个业务环节的横向作业方式，实现风险部门与客户部门共同防范风险。但这种方式的弊端在于基层经营层面风险管理与业务经营并未真正实现独立，风险经理与客户经理容易勾结，第一道防线与第二道防线相互制约失效。近年来，建行对风险管理模式再次进行改革，在原有制度基础上强调各级机构党委对风险负全责，充分发挥党委在领导和推动风险管理方面的核心作用，风险管理流程得到进一步优化。

另一方面，在内控合规部门每年进行内控评价的基础上，内审部门再对部分高领域爆发的问题进行核查，加强对第一、二道防线履职情况的评价，督促第一、二道防线风险管理落实到位。

（三）提升内部审计质量，强化第三道防线监督与服务职能

1.坚持风险导向审计，防范系统性金融风险。2018年银监会针对经营管理和风险防控中的薄弱环节，要求商业银行内部审计部门将内部控制、信用风险管控等事项纳入年度审计计划，对防控金融风险和内部审计履职提出了更高的要求。近年来，各商业银行不良贷款大幅增长，信用风险成为商业银行发展的绊脚石。因此，内部审计必须高度重视信用风险。首先，要关注信用风险高发领域，重点监测高风险行业，全面排查和防控产能过剩行业、高污染行业、房地产行业的信用风险。其次，要关注信用风险新领域，加强对网络金融等新兴产品信用风险的监控，注重新兴产品的投入产出比和产品发展前景，防范系统性暴露信用风险。最后，要关注信用风险管理的全面性，将审计工作纳入商业银行信用风险防控的全过程管理，监督全面风险管理的有效性。

2.重视管理审计作用，发挥审计确认与咨询的服务职能。商业银行内部审计日趋完善，内部审计不但要做好审计确认，也要对经营行做好长效的咨询和审计顾问服务。不仅要关注经营决策方面、系统运行方面、业务处理方面中存在的各种问题和缺陷，及时准确揭示内部控制和风险管理的问题，还要发挥内部审计的主观能动性，通过对以往审计暴露出的问题进行总结，预测将来经营发展中可能出现的风险，并提前填补漏洞。同时，建立与一、二道防线常态化沟通平台，形成立体式全面风险管控体系。内部审计部门可以通过定期召开行局经营管理风险分析会、工作联席会等方式，探索经营管理与风险评价，持续加强与被审计单位在案防风控工作中的协作配合，以提升“三道防线”整体合力。

3.创新信息化审计模式，全面实施信息化持续监测。大数据及人工智能等信息科技的快速发展驱动商业银行信息化审计的进程快速发展，商业银行内部审计模式逐渐向以非现场监测为主，现场核实为辅的信息化审计。

要加强非现场持续监测，一是要通过内部审计平台挖掘风险线索，第一时间发现经营行在管理、制度、系统和操作等层面存在的风险点和薄弱环节。二是要研发各类预警方法模型，对经营行各类业务进行持续监测，实现对商业银行全流程持续监测和全面风险预警机制。三是要建立审计业务与信息化技术相互融合的运行机制。如，加强审计技术与审计业务团队的协同合作。审计业务团队中要有懂技术的业务骨干，信息化团队中也要有会业务的研发人才。审计业务部门要依托信息化团队的建设，信息化团队要对业务团队提供技术支持，提升审计的效率和效果。

4.强化审计成果利用，发挥“三道防线”监督合力。经济发展步入新常态阶段，要求内部审计必须更好地履行对第一、二道防线的再监督职责，要从事后监督为主向业务全流程监督评价转变。审计部门与第一、二道防线按照“全覆盖，深排查，少交叉”的原则，确定各自检查的范围和重点，三道防线监督检查要各有侧重，不留死角，避免过多的重复检查，加强成果和信息交换共享，更好体现内部审计的监督与服务职能。