中国银行股改上市以来内部控制三道防线的建设

    为建设良好公司治理机制，适应监管要求，构建全面、动态、主动、可验证的内部控制和风险防范体系，有力防范金融风险，2006年10月，中国银行正式启动内部控制体系的改革完善，着手建立内部控制三道防线，并于2007年初全面推行。

    第一道防线：中国银行各级业务经营机构、业务管理部门和每个员工在承担业务发展任务的同时也承担着内部控制和操作风险管理的责任，既是业务的直接经办者、规章制度的执行者，又是操作风险的所有者，是内部控制和操作风险管理的第一道防线。

    第一道防线是内部控制与操作风险管理的第一责任人，通过自我评估、自我检查、自我整改、自我培训来履行业务经营过程中的自我风险控制职能。一道防线按照法律、法规和有关制度、流程的规定从事业务经营活动，对经营和业务流程中的风险主动进行识别、评估和控制，收集、报告所发现的风险点,针对薄弱环节及时进行整改，实现“自己管自己”。

　　第二道防线：中国银行内部控制和操作风险管理的第二道防线由各级法律合规部门及业务条线部门履行内部控制和操作风险管理职能的团队或职位组成。二道防线通过制定内部控制和操作风险管理的政策、标准和要求，为一道防线提供内部控制和操作风险管理的方法、工具、流程，促进内部控制和操作风险管理的一致性和有效性，制订业务检查计划，就一道防线执行各项规章制度和内控要求的情况开展检查，并监督整改，建立内部控制和操作风险管理信息收集、分析和报告制度，评估和监控一道防线内部控制和操作风险状况，对其工作提供指导。

    二道防线不是替代一道防线，而是对一道防线实施检查、监督和指导，确保一道防线内部控制的有效性，同时为三道防线开展再检查、再监督和内部控制评价提供基础。

    第三道防线：内部稽核作为内部控制第三道防线，由稽核部门负责，稽核部门通过系统化、规范化的方式，审查评价经营活动、风险管理、内部控制和公司治理的适当性和有效性，目标是协助董事会和管理层履行职责，保证国家有关经济金融法律法规、方针政策、监管部门规章的贯彻执行，改善组织运营、有效控制风险、增加银行价值。稽核部门履行稽核确认、内控评价、咨询、反舞弊欺诈职责，是内部控制体系的保障手段。

    内控三道防线概念的实施并不影响原前、中、后台分离和其他制约原则，原各职能部门的职责不变，只是更明确了分行管理层对辖内内控操作负第一责任，以及总行、一级分行条线和职能部门的制度管理责任。此项制度安排更强调全员的内控保证，适应外部监管的要求，更有利于形成有组织、有规范、可评价、可论证的内控体系。

    为保证内控三道防线合理履职，努力贯彻ERM的管理思路，中国银行自股改上市以来实行了一系列配套措施，经过几年的摸索和尝试，效果明显，着实提高了经营管理的效率，夯实了内控管理的基础。

    在一道防线建设方面，全面推广基层机构自查流程和自查系统，通过一道防线的自我评估、自我检查、自我整改、自我培训程序，促使基层管理者和员工通过持续自我检查实现关键控制环节的落实到位。同时，自查系统的利用，便于分行分析把握基层网点的内部控制总体情况和周期性变化趋势，从而更好地发挥出自查流程差错纠偏的作用。自查流程和系统运行以来，一线员工防范风险的自觉性和主动性不断提高，达到了风险关口前移的目的。

    除此之外，中国银行还通过推行业务经理派驻制度、基层负责人代职、关键岗位轮岗、强制休假等一系列措施，有效加强了一道防线的履职能力。

    在二道防线建设方面，根据巴塞尔新资本协议工作规划逐步开发操作风险管理工具，并在全行范围内推广运用。目前已开发并实施操作风险与控制评估流程（RACA)、二道防线检查工作流程、内控考核流程、重大操作风险事件报告流程（SERP）、损失数据收集（LDC）、关键风险指标（KRI）等一系列管理工具，大大促进了操作风险管理的科学化、规范化和流程化。

    二道防线以内控合规检查为基础，建立了内控问题整改的持续跟踪机制，并开发内控管理信息系统（ICIMS），收集汇总三道防线内控检查的问题，强化了对全行内控问题整改情况的记录、审批、监控和报告，为操作风险管理积累相关信息。

    在三道防线建设方面，稽核部门以风险评估为基础，结合董事会和管理层的风险偏好，合理配置稽核资源，制订年度稽核计划，密切关注全行系统性风险。稽核部门凭借自身的优势，更多地关注管理架构、内控机制、业务流程中的系统性问题，寻找、分析内控制度和设计方面的不足，并提出改进建议，帮助各级管理层有效解决问题。为满足监管要求，提升全行内控管理水平，稽核部门在集团范围内组织开展内控评价工作，制定并逐步完善内部控制评价标准，充分利用三道防线检查结果，按COSO的内部控制框架八要素(内部环境、目标设定、风险识别、风险评估、风险应对、信息与沟通、监控、控制活动)，对集团各业务条线、各机构的内部控制情况进行独立评价，得出内部控制体系设计的适当性和执行有效性的评价结果，以此为基础制定缺陷认定标准，并建立内控预警体系。

    但是，内控三道防线建设只是全面风险管理体系构建的众多基础工作之一，是企业全面遵循ERM要求的实现方式，业务管理流程的梳理和内控信息系统的搭建等工作也需要同步进行和平衡发展，同时内控三道防线建设也只有与时俱进，进一步延伸内涵、彰显实质和扩充内容，不断适应业务发展和新形势要求，才能为全面实施ERM保驾护航。