商业银行内控三道防线建设与全面风险管理（ERM）

    然而，作为资本市场“放之四海而皆准”的内控理论，对银行业而言，COSO的ERM体系针对性不及BASEL强，监管要求更为原则导向，容易增加实际应用的难度、引起使用者的疑惑，产生推行阻力，一定程度上影响到了商业银行全面落实ERM的积极性。同时，我们也应该注意到，商业银行在摸索前行的过程中提出了一系列特色鲜明的内控管理举措，为全面推行ERM奠定了坚实的基础，营造了良好的氛围。商业银行内控三道防线建设便是其中的一个典型实例。

    商业银行内部控制的三道防线是指由内控体系的设计监督、操作执行和防范评价三类保证活动、三类保证人员组成的全行内控体系，是全面覆盖集团经营管理的各环节、各条线、各职能、各机构，实现信息共享、联动互动、适当交叉、合理覆盖的内控保证活动机制。

    虽然国内外银行同业对全面风险管理框架下的内控三道防线的划分不尽相同，但基本特点是一道防线强调过程实时控制和自我评估程序，二道防线强调各职能部门对一线部门（过程）进行设计、管理、指导、检查和监督，三道防线强调内部稽核部门对业务操作职能（一线）及业务管理职能（二线）进行再监督和评价，发现问题并督促其及时采取相应措施。

    从银行整体层面而言，构建内部控制三道防线是完善银行内控管理架构的重大变革，是内控关口前移、全面加强风险管理的重要举措，是牢固树立全员风险意识和合规文化的重要制度保障，是全面满足COSO《企业风险管理——整体框架》（ERM）的重要奠基石，将内控和操作风险管理基础建设纳入了统一规范的轨道。

    从内控框架的改进发展来看，构建内控三道防线是COSO内控框架部分改革思路得以成形的典型实例，具体来讲：

    首先，ERM在内控理念方面强调了全程的风险管理过程、全员的风险管理文化和全员参与的风险管理机制。银行三道防线建设思路表明，各机构、职能部门、人员都是全面风险管理体系必不可少的一部分，唯有各司其职、加强沟通、协调配合，才能真正发挥三道防线牢不可破的威力。业务发展与风险管理相辅相承，应当确保业务发展目标在有效的风险管控下实现，并通过管控机制推动其更好更快地发展。随着三道防线的逐步落实到位和效果显现，在银行营造了良好的内控管理氛围，“内控制约发展”“内控是合规和稽核部门的事情，与业务部门、经营机构不相关”等不和谐的声音销声匿迹。内控体系的第一道防线（业务部门、经营机构及其员工）在承担业务发展任务的同时也承担起了相应的内部控制责任。由于更加贴近具体业务，在对业务具体风险识别，风险防范性控制方面具备先天的优势，在履行对各项业务操作流程实时或及时的合规监督及自我评估职责的过程中，能够主动采取措施堵截、化解风险或者发出风险提示，切实提高了风险管控过程的效率。

    第二，ERM在风险管控幅度方面借用金融资产组合理论提出可从整体上把握分散于各机构、职能部门的风险暴露，以统筹考虑风险应对策略。这对机构内部的信息沟通渠道和沟通机制提出了更高的要求。三道防线通过建立起信息共享、定期协调配合的机制，充分沟通对集团内各类风险，尤其是综合性、系统性风险的判断和认知，从集团整体层面把握风险的预期严重程度，在提出综合性解决方案的基础上按照职责将任务进一步分解，以便形成整体合力并有针对性地落实。

    第三，ERM在控制目标方面增加了与企业愿景和使命相关的高层次－“战略目标”。 随着第一、二道防线的完善到位，传统稽核工作内容，如绩效审计、合规审计、离任审计已逐步转移到一、二道防线。稽核部门作为内控第三道防线，凭借其在组织内部的独立地位、技术优势和独特视角，工作重点正逐步由合规检查为主向以防范为目标、风险为导向的内控评价为主过渡，开始以经营目标和组织战略为出发点识别高风险领域和关键控制，关注集团管控和战略推行，尝试在集团层面上对内控体系进行整体评价，对系统性风险进行有效的识别和应对，以确保战略目标的逐步平稳实现。