王艳红  潍坊银行股份有限公司

摘要：随着金融体制改革的不断深入，城商行面临的内外部风险防控形式也愈加严峻，这对城商行内部控制和风险管理提出了更高要求。内部控制的“三道防线”在风险防控中发挥着至关重要的作用，但实际工作中有些城商行“三道防线”防什么、谁来防和怎么防的问题没有解决，“三道防线”各自为战，协同机制没有建立，发挥作用不充分。因此，如何建立完善有效的内部控制体系，实现内部控制“三道防线”的协调与互补，满足新时代下的风险防控发展需求，成为城商行转型发展过程重要的工作之一。本文立足城商行“三道防线”现状，探寻建立城商行“三道防线”协同运作机制，为城商行建立完善有效的内部控制体系提供思路和借鉴。

关键词：城商行；三道防线；内部控制；协同

一、新时代对城商行内部控制“三道防线”提出新的要求

十九大报告指出，我国经济已由高速增长转为高质量发展，推动经济发展质量变革，着力加快建设实体经济，是我们突破发展瓶颈的紧迫任务。对银行业来说，在新时代下同样面临新的转型，防范和化解新形势下的金融风险，扩大金融业开放，进一步深化金融体制改革，增强金融服务实体经济能力等方面都是各个城商行需要进一步拓展的方向。银保监会发布的2020年一季度银行业主要监管指标数据显示，城商行总资产38.13万亿元，同比增长8.3%，但不良率环比上升13bp，显示在疫情冲击下，城商行资产质量压力较大。提高内部控制的有效性，风险防范的准确性，促进稳健经营是新时代下城商行经营管理面对的首要问题。在此背景下，如何将城商行内部控制“三道防线”协同运作，发挥效能最大化，更好的为城商行在新时代下的经营发展保驾护航，是各个城商行需要深入思考并落实到各个环节的重要课题。

二、城商行内部控制“三道防线”理论及基本框架

（一）内部控制“三道防线”理论综述

1997年，中国人民银行发布的《加强金融机构内部控制的指导原则》首次提出金融机构要设立“三道防线”，要求由一线岗位监督、职能部门岗位制衡、监督部门监控，建立起完善的内部控制制度。2008年，财政部、银监会等五部委联合下发《企业内部控制基本规范》，将企业内部控制提高至国家战略高度，为商业银行“三道防线”设置提出了新的路径和思想^[1]。2014年，银监会发布《商业银行内部控制指引》，提出了建立以一线业务部门、内部控制职能管理部门、审计监督部门为脉络的“三道防线”理念，为银行业内部控制建设提供了指南。

（二）城商行内部控制“三道防线”设置框架

总体来看，第一道防线负责自我控制和评估，第二道防线的职能部门负责对一线具体业务的操作设计、流程管理和监督检查，第三道防线的内部审计部门负责对前两道防线职能的再监督和评价，通过第三道防线，发现前两道防线的问题，提出意见及建议，督促整改^[2]。具体实践中，多数城商行的“三道防线”架构为：

1.第一道防线：以一线业务操作部门和管理部门为主体，包括各分行、管辖行下设的管理部门、总行公司、零售、运行、科技等部门，承担着业务发展责任和风险直接管理的第一责任，主要通过自我评估、检查和整改来把控一线操作风险。

2.第二道防线：以总行风险管理部门和法律合规部门为主体，向经营层报告。第二道防线通过制定内部控制和操作风险管理的政策、标准和要求，就第一道防线执行各项规章制度和内控要求的情况开展检查，是对第一道防线的工作进行评估、检查和指导，同时，第二道防线为承上启下的作用，一方面保证了一道防线的有效性，另一方面为第三道防线的再检查、再监督提供了依据。

3.第三道防线：以内部审计为主体。内部审计部部门以系统和标准化的方式审查和评估业务活动，监督风险管理和内部控制的有效性，向董事会、监事会和高级管理层报告。

三、城商行“三道防线”协同中存在的问题

内部控制是一种过程控制，内嵌于整个业务流程的“三道防线”不是非此即彼、相互孤立、相互替代的关系，而应该是相互制约、补充和强化的关系。实际操作中，“三道防线”彼此孤立问题严重。

  （一）职责划分不清

在实践过程中，首先要解决的问题是城商行“三道防线”中风险控制建设与独立性评估职责分离，前两道防线均依赖于第三道防线的审计检查，第三道防线的审计部门在日常工作中常常“替代”前二道防线实施了大量的风险检查，第二道防线作为管理职能部门，虽然参与到具体业务的产品设计、流程管理环节，但往往检查职能发挥不充分^[3]。

（二）覆盖面不全面

随着金融创新的丰富和发展，银行业务日新月异，传统的存、贷、汇业务之外，同业业务、投行业务、理财业务、互联网金融业务、代理业务等新兴业务占比逐渐增长，成为新的盈利增长点，与之同步的是经营管理风险的多样性和复杂性持续提高，内部控制和风险管理跟不上业务发展问题比较突出。“三道防线”中针对这些新兴业务政策标准建立不完善、往往出现“边做业务边规范”、“出现风险再规范”的现象。受制于高端风险管理人才储备不足，针对新兴业务的检查监督流于形式。

（三）协同机制未建立

1.第一道防线缺乏与后两道防线协同运作的积极性。第一道防线承担业务发展指标，认为后两道防线是找问题和考核的，不主动甚至回避与后两道防线的协同，自我纠偏意识差，事前和事中的风险防控不到位。

2.第二道防线内部问题突出。第二道防线负责牵头或引领内控和风险管理的部门权威性不高，有时甚至沦为“转发”和“汇总”的部门。第二道防线的各个条线管理部门有时不考虑一线业务实际情况，制定内部控制政策和标准缺乏可操作性，缺乏与第一道防线的主动沟通。由于承担风险指标考核，对业务条线的检查流于形式，事后检查多、事前事中的风险监测少^[4]。二道防线内部各部门之间沟通协调不充分，如目前银行业面临的信用风险压力持续增加，信贷管理部门、资产管理部门、风险控制部门和合规管理部门在信用风险防控中如何更好的发挥作用合力不足。

3.对内部审计独立性的认识出现偏差。内部审计的独立性主要是就组织架构而言，实际工作中，内部审计与前两道防线做好协同更有利于提高内部审计有效性。第三道防线的内部审计部门忙于日常审计项目，审计发现的问题通报多、与前两道防线坐下来研究少，对单笔业务、单个岗位、单个机构检查多、对整个业务条线管理情况的评价少。第二道防线的政策、标准制定、内部控制流程和体系建设、日常检查情况不主动与第三道防线沟通。如有的行不良贷款责任认定和风险事件的尽职调查均由三道防线的内部审计组织实施，认定和调查结果缺乏与第二道防线的沟通，有时存在业务背景、业务政策等了解不充分导致结论出现偏差^[5]。

4.纪检监察部门未纳入第三道防线。纪检监察部门对各级机构及人员执行制度、廉洁自律、履职效能实施监察，充分发挥对全行员工的监督作用，预防舞弊和案件风险问题。很多城商行纪检监察部门主要依托法律合规部门、内部审计部门发挥作用。从城商行“四会一层”公司治理架构看，纪检监察部门具有一定的独立性，既要充分发挥监督作用，又要服务于经营工作，理应作为第三道防线的重要部门，与前两道防线及内审部门建立沟通衔接机制。

四、城商行“三道防线”的协同机制建设

（一）清晰划分职责

1.保证最前端的可靠性

首先，第一道防线人员的业务经营水平决定了第一道防线的执行能力，城商行应加大对一线岗位人员的培训力度，提升第一道防线人员的风险识别能力和管理能力，提高第一道防线业务调查的全面性和操作的合规性。其次，要健全第一道防线岗位制约机制，第一道防线多为业务部门，应设置风险管理的部门或岗位，建立双线报告机制，发挥第一道防线在业务最前端的风险识别、控制和制约作用。最后，要强化第一道防线的自律自查，第一道防线积累了大量业务，后两道防线在业务全覆盖上有所欠缺，第一道防线应建立日常的业务全覆盖自查，开展风险自评、自查、自纠工作，切实把好城商行内部控制的第一道关口。

2.提升风险管理的统筹力和管控力

第二道防线作为内部控制政策、标准和措施的制定者具有举足轻重的作用，一方面要抓风险管理的统筹力，一方面要抓穿透式风控管控力。首先，风险管理部门作为全面风险管理的牵头和统筹部门，要加大全面风险管理的顶层设计，高效组织具体风险主管部门开展风险识别、计量和监测工作。其次，要发挥法律合规部门在风险管理政策落实方面的监督，建立风险管理双线报告制度，确保内控控制有效性。最后，要明确授信管理部门、资产负债管理部门、运营管理部门、金融市场管理部门等业务条线管理部门的风险管理职责，参与到一线业务的产品设计、流程管理、日常督导等过程，对其职责范围内常见的风险识别和监控提供实操性建议，发挥第二道防线穿透式风险管控实效。

3.充分发挥第三道防线的监督作用

一方面是对高风险领域进行专项审计，及时揭示城商行潜在的重大风险，对城商行整体风险情况进行再评估，另一方面是发挥二次监督作用，对前两道防线风控防控的有效性进行再评估、再监督，向董事会和经营管理层提出独立的报告和建议，对审计后的整改情况建立持续跟踪机制，促进审计成果落地开花^[6]。

（二）提高业务覆盖面

近几年来，新兴业务在各个银行尤其是城商行业务中的占比与日俱增，成为银行业炙手可热的竞争手段，但碍于城商行风险控制手段的局限性以及新业务风险的时滞性，这些新兴业务的风险防控措施并不完善，一旦发生风险将会对城商行经营带来巨大冲击，因此，新兴业务内控机制建设迫在眉睫。“三道防线”作为城商行风险的守护者，要提高科技支撑，借助先进的科技手段，一方面做好传统业务的风险防控，另一方面要协同配合，加大对新兴业务风险防控的资源倾斜，尽快建立起与城商行发展方向同步的防控措施，提高“三道防线”业务覆盖面，提前布局战略规划方向的风险防控手段和多事，确保无漏洞、无盲区，真正发挥“三道防线”与时俱进地内控机制。

（三）建立“三道防线”协同机制

1.建立政策、标准制定的联络机制

第二道防线作为全行内控政策、标准和措施的制定部门，可由全面风险管理的牵头部门推动建立“三道防线”之间的联络机制。制定内控政策、标准和措施时，一是要加强与第一道防线的联络，深入第一道防线调研，利用第一道防线处于业务最前端、最熟悉业务的优势，获取第一手信息，要充分听取第一道防线对拟制定或已实行的内控政策、标准和措施实际执行情况的意见建议。二是要加强与第三道防线的联络，定期收集内外部审计检查、纪检监察发现的各类问题，利用问题管理系统做好问题分析，积极听取内部审计部门在日常审计中发现的各类内控和风险管理方面问题或漏洞的有关分析和提出的审计建议。三是做好第二道防线内部各部门的联络，尤其内控政策标准和措施涉及跨部门职责的，涉及新兴业务的，要通过充分联络沟通，合理界定职责权限。

内控政策、标准和措施制定的联络机制建立容易，真正落地发挥作用关键要做好后评价，新的政策、标准和措施制定实施后，第二道防线和第三道防线均应通过各自检查手段和方式，对实际执行情况和效果进行后评价，从各自角度发现问题，通过汇总分析提出解决问题的办法。

2.建立检查评价和培训的资源共享机制

第二道防线和第三道防线均有检查评价职能，为发挥效用最大化，可由第三道防线的内部审计部门牵头建立资源共享机制。

一是统筹检查审计计划。制定年度检查或审计计划时应提前沟通联络、互通有无，统筹安排布局检查资源，确保检查重点涵盖“四高”即高风险机构、高风险岗位、高风险业务、高风险环节，涵盖创新业务、新兴市场业务，涵盖内部控制的主要流程。

二是合理统筹资源，做好分工，避免重复检查。尤其是涉及业务复杂、涉及机构多、风险暴露大的检查项目，第二、三道防线可整合资源，抽调精兵强将组建联合检查组，以发现问题、解决问题为目标，推进重大项目的检查实效，做精品项目。

三是做好检查成果共享。一方面要建立问题库，汇总收集第二、三道防线检查发现的问题、外部检查审计发现的问题，内部审计部门要开展后续跟踪审计，督促问题系统性整改，另一方面第二、三道防线要利用自身优势组织专业人员结合检查发现的典型问题编制典型案例，针对各条防线开展案例分析培训。

四是做好内外部培训资源共享。第二、三道防线要结合自身实际情况组织内部培训或参加外部专业培训。对外部效果好的培训内容，可联合派出人员参加。外部培训的成果和内部优秀培训成果要互通有无，通过部门联席会议的形式开展专题再培训。

3.建立定期的部门间联席会议机制

“三道防线”在各自的领域发挥日常监督作用，但碍于组织架构及职能不同，缺乏必要的沟通，城商行应建立起良好的“三道防线”沟通机制，定期召开“三道防线”联席会议。联席会议包括但不限于检查计划协调会议、重大检查项目推进会议、检查成果分析会议、政策、标准和措施制定研讨会议、配合外部监管部门、审计机关、外审机构协调会议等等。

联席会议讨论和研究的内容要突出一个“实”字，以解决问题为目标和导向。如对复杂业务、新兴业务的各类重大发现或倾向性问题，在联席会议上集体商议解决措施，对内控漏洞或风控措施不到位造成不良后果的要及时纠正，及时研究讨论向管理层提出发现问题的建议。再如不良贷款责任认定工作，可由内部审计部门牵头成立责任认定联席会议，内部审计部门完成前期责任认定后，牵头风控、法律合规、授信管理等部门派出业务骨干召开联席会议，对责任认定发现的问题进行集体商议，判断问题类型、问题根源、问题定性，一方面能够避免单一部门决策的局限性，另一方面利于相关部门在日常政策制定及业务管理方面查找漏洞，及时发现风险隐患，引导责任认定工作流程更规范。

4.建立“三道防线”间人员交流轮岗机制

“三道防线”人员由于所处的风险防控阶段不同，日常接触到的业务及看待问题的角度不同，相互之间可以很好的形成补充，城商行应建立起“三道防线”人员交流轮岗机制，让第三道防线的内部审计部门、第二道防线的政策标准和内控措施制定部门深入一线了解实际业务操作存在的问题，同时让一线从业经验丰富的人员充实到第二、三道防线，让“三道防线”之间的人员互相沟通交流，形成良性循环，组建一支既懂业务、又懂规矩的专业队伍，彻底解决部分城商行出现的第一道防线闷头苦干、第二道防线闭门造车、第三道防线脱离实际的情况。

（四）推进纪检监察与内部审计及前两道防线的联动

1.以经济责任审计为切入点，推进纪检监察与“三道防线”联动

一是成立由纪检监察部门与“三道防线”有关部门组成的经济责任责任审计工作联席会议制度，不定期召开联席会议，就城商行经济责任审计制度是否需要修订及完善、有关负责人经济责任审计工作开展情况进行商讨，就审计实施过程中遇到的问题进行组织协调。

二是在年度经济责任审计计划需征求城商行内部纪检监察部门意见，合理确定年度经济责任审计范围，同时，在实施审计过程中除关注常规审计内容外，还要就有关负责人党风廉政建设和遵守廉洁从业规定方面进行审计，对该领域审计发现或信访举报的重大违规违纪线索，纪检监察部门要联合审计、法律合规等有关部门一同深入调查，形成纪检监察与“三道防线”良性互动机制，借助经济责任审计，发挥监督实效。

三是纪检监察部门联合“三道防线”在日常自查、内外部审计、信访举报中发现的问题，进一步梳理问题类型及导向，尤其是人为因素造成的重大影响，汇编形成典型案例，通过现场或网络教育平台进行全行培训，夯实党风廉政建设教育培训，有效发挥纪检监察的震慑力。

    2.加强对采购、招投标项目的监管力度

对于城商行内部采购、招投标项目的管理方面，一方面要进一步完善招投标管理机制，纪检监察与“三道防线”的审计、法律合规、风险控制部门应全程参与招投标项目，相关部门要联动起来，敢于发表意见，避免流于形式，真正发挥发挥监察、审计的专业优势，从源头上预防舞弊行为。另一方面是纪检监察部门要加强对招投标有关工作人员的监督，防止为某些投标人“量身定做”招标文件或利用资格预审设置“门槛”，强化有关人员“八小时外”的行为自律，将勤政廉政贯穿于采购、招投标的全过程，促进城商行采购、招投标项目规范管理，防止违法违纪行为的发生。

五、结束语

新时代风云激荡，机遇和风险同在，发展与挑战并存。对于城商行来说，建立完善、有效的“三道防线”，夯实城商行内部控制建设是应对机遇与挑战的坚强盾牌。要想真正发挥内部控制“三道防线”实效，避免不同防线独立运作，要加快建立起相互合作的“三道防线”协同机制，督促“三道防线”集体发挥合力，形成“业务管理冲在前，风险合规立当中，审计监督守在后”，分工明确、职责清晰、有机配合的三道“防火墙”，提升城商行内部控制体系实效。只有这样的“内外兼修”，才能保证城商行在纷繁复杂的外部冲击中保持立足之地，平稳转型，回归本源，更好地为民营企业服务，实现价值创造。

参考文献：

[1]贾建明.三道防线加强银行风险管理[J].商业银行,2019(01):80-81.

[2]史海涛.联动“三道防线”优化内控体系[J].管理悟道,2019(01):48-49.

[3]张顼.浅谈企业内控与风险管理体系中的“三道防线”[J].电力勘测设计,2018(06):77-80.

[4]郑鑫.商业银行“三道防线”的本质与功能[J].中国会计报,2012(15):20-21.

[5]刘元庆.内部审计在风险管控中的职能定位[J],大经贸,2017(10):35-36.

[6]张国平.商业银行内部审计管理创新及审计风险与防范[J].财经界,2017(02):15-17.