健全中小銀行“三道防線”制衡機制

林筱

摘 要：統籌加強“三道防線”建設，是中小銀行完善風險治理、防范各類風險的重要途徑。當前，我國中小銀行風險治理和風險管理相對薄弱，“三道防線”建設能力和水平還有待進一步提升。同時，國內外監管對商業銀行“三道防線”的機制建設、責任分擔等提出了更高要求，先進同業實踐則提供了更多實踐案例。我國中小銀行要壓實各機構、各部門風險管理責任，推動全面風險管理迭代升級，促進內部審計數字化轉型，推動“三道防線”同向發力、一體筑牢。

關鍵詞：中小銀行 “三道防線” 風險治理 內部審計

中圖分類號：F239? 文獻標識碼：A

文章編號：1004-4914（2024）06-095-02

中央金融工作會議提出防范化解中小金融機構等三大重點領域風險。中小銀行作為中小金融機構的主體組成部分，是當前風險防控的重點對象之一。中小銀行要打造強大的第一道防線、堅實的第二道防線、權威的第三道防線，形成“三道防線”既相互制衡，又齊抓共管的風險治理機制，支持自身業務發展，助力維護金融穩定。

一、銀行業“三道防線”的監管趨勢

巴塞爾委員會2015年發布的《銀行公司治理原則》，強調了“三道防線”在風險管理流程中的作用，指出風險治理框架中應包括建立“三道防線”及清晰的職責描述。“三道防線”機制銀行機構內部歸屬于前中后臺三類不同管理部門，相互之間有效制衡、相互配合，并通過獨立、有效的監控，提高各主體的風險管理有效性。“三道防線”構建了一個風險管理體系架構，各部門、各人員都是風險管理鏈條上的重要一環，無論哪個崗位責任缺失，都將沿著整個鏈條，導致一系列責任缺失和風險防范失效。

從全球看，近年來，隨著銀行業風險治理實踐發展，全球監管對銀行“三道防線”建設提出更為明確的要求，要求一道防線前移管理關口，二道防線加強獨立制衡和前瞻管控;三道防線強化監督，檢驗一、二道防線風險管控的有效性。三道防線在風險管理中各司其職、責任分擔、聯防聯控、有效制衡，共同扎牢風險管理的防火墻。

作為第一道防線的前臺部門，處于業務流程的最前端，是產生風險的部門，直接面對市場和客戶，負責維護客戶關系，開展盡職調查，發起評級，核算信貸限額，以及貸后監測和管理工作，同時承擔業務發展和直接管理風險的第一責任。近年來，全球監管要求一道防線關口前移，從源頭上防控風險，防范“病從口入”，通過實施有效的內部控制，維護識別、評估、控制和緩釋與其活動相關風險的流程，確保符合風險偏好和風險限額。

第二道防線獨立于前臺部門，主要負責監督風險承擔和評估風險;在風險偏好范圍內，通過監測和報告職責，補充前臺部門的風險承擔活動，負責評級、限額、業務和押品的審查，評估業務的真實性，判斷業務是否符合審批標準;負責識別、計量、監測和控制機構整體的總體風險和新興風險。近年來，全球監管更加強調二道防線的前瞻獨立制衡，為了避免二道防線與業務之間的脫節，在前臺業務部門增設“小中臺”，在授權范圍內開展風險控制，通過矩陣式管理模式，同時向業務部門和風險管理部門匯報，既保證了風險管理的獨立性，又增強了風險與業務之間的緊密聯系。

設立獨立的內部審計部門作為第三道防線，對第一、二道防線履職情況及有效性進行監督評價，審查評價并督促改善銀行經營活動、風險管理、內控合規和公司治理效果，編制并落實中長期審計規劃和年度審計計劃，開展后續審計，評價整改情況，對審計項目的質量負責，向董事會報告工作。近年來，全球監管強化了第三道防線審計的監督職能，內部審計部門應對銀行的所有重要流程、產品線、服務和職能進行及時完整的審計，評估與每一項相關的風險，包括新出現的風險。

從國內看，我國銀行業監督管理部門借鑒國際經驗，結合我國銀行業實踐，制定了《銀行業金融機構全面風險管理指引》，形成了我國銀行業金融機構全面風險管理的頂層設計。近年來，我國監管部門在信用風險、市場風險等各類管理指引基礎上，修訂出臺了流動性風險、操作風險、國別風險等管理辦法，引導商業銀行健全風險管理治理架構和要素，健全“三道防線”機制，持續提高風險管理水平。

二、先進同業實踐及我國中小銀行“三道防線”問題分析

（一）“三道防線”建設的國際同業實踐

1.花旗銀行。花旗銀行是全球系統重要性銀行，其風險管理三道防線建設具有一定代表性，其中：業務條線為第一道防線。負責識別、評估和控制業務開展過程中產生的固有風險，以確保其在風險承受能力范圍內，建立和實施風險緩釋措施，并對內部控制的設計和有效性進行評估，通過適當的流程來履行其風險治理責任，并促進合規和控制文化。第二道防線包括獨立的風險管理（IRM）、獨立合規風險管理（ICRM）以及其他管控職能部門（財務、人力資源、法律）。IRM和ICRM為第一道防線部門評估和管理風險提供標準和依據;為業務部門提供建議和培訓，并建立工具、方法論、流程和對各業務部門控制措施的監督，以培養合規和控制文化。內部審計為第三道防線，主要作用是獨立和及時的向董事會、審計委員會、高級管理層和監管機構提供關于本機構治理架構、風險管理和控制的有效性。

2.摩根大通。摩根大通構建了“三道防線”，強化風險治理。其中：業務條線為第一道防線，負責風險識別以及風險控制措施的建立和執行。第一道防線應遵守相關法律、法規和制度，并負責實施獨立風險管理部門所建立的風險管理架構。獨立的風險管理部門為第二道防線，獨立于業務經營。負責建立和監督全集團風險治理管理架構，負責獨立評估和質疑一道防線的風險管理實踐;應遵守相關法律、法規和制度，負責實施針對自身風險管理流程而制定的政策和標準。第三道防線是內部審計，負責對整個公司的流程和控制進行獨立的測試和評估。

（二）“三道防線”建設的國內同業實踐

國內銀行主要是按照《銀行業金融機構全面風險管理指引》，采用了風險管理“三道防線”的理念，建立起三道防線各司其責、相互制衡的機制。根據上述指引第十一條、第十三條，主要是強調董事會承擔全面風險管理的最終責任，監事會承擔全面風險管理的監督責任，負責監督檢查董事會和高級管理層在風險管理方面的履職盡責情況并督促整改。通過設立或指定風險管理部門，履行第二道防線職責，負責全面風險管理，牽頭履行全面風險的日常管理，各業務經營條線承擔風險管理的直接責任，也就是第一道防線。

（三）我國中小銀行“三道防線”建設的常見問題

“三道防線”是銀行風險治理的重要組成部分，也是風險管理鏈條上的重要一環，任何一道防線責任缺失，都可能導致風險管控失效。我國中小銀行數量眾多，風險治理和風險管理相對薄弱，“三道防線”建設能力和水平還有待提升。

一是“三道防線”的制度規定不完善。目前，我國中小銀行的風險管理政策在治理方面，主要涵蓋了相關部門的職責，風險管理委員會的構成、開會頻率以及運作機制，普遍對具體部門定位不甚清晰，比如，二道防線除了包含風險管理專業職能之外，是否包含法律、財務、人力、質量控制等支持保障部門，許多中小銀行在認識上較為模糊，未能清晰定義和描述“三道防線”對應的部門、崗位職責及匯報路徑。

二是第一道防線未承擔風險管理第一責任。由于一道防線職能定義不清，目前許多中小銀行一道防線對自身風險防控職能缺乏清晰認識，只是被動適用監管要求，缺乏主動識別和管理風險、準確進行風險評估、及時報告風險并嚴格遵守政策的能力;一道防線對二道防線、第三道防線反饋的問題響應較慢，缺乏風險管理優化動力，削弱了第二、三道防線各個職能部門的作用。

三是第二道防線履職能力較弱。目前第二道防線側重于事后響應，未能實現前瞻性的關口前移和全流程監督;二道防線的地位不足，使其對第一道防線的風險導向績效評價產生的影響有限;第二道防線在每種風險類別的風險管理政策框架中的作用，包括有關風險治理、風險評估、控制，管理流程和支持系統的作用還有待加強。

四是第三道防線履職有待提升。第三道防線評估第二道防線的風險管理實踐，因不具備履行內部審計職責所需的專業知識、職業技能和實踐經驗，難以識別和捕捉第一和第二道防線存在的風險。對于審計發現的問題，第一、二道防線的主要負責人未能自覺履行審計整改第一責任人的職責，導致審計發現問題懸而不決、風險隱患拖延不改。

三、健全中小銀行“三道防線”機制的建議

一是加強“三道防線”聯防聯控。提高第一道防線的風險意識，完善第一道防線內部風險管理組織架構，增強風險管理能力。加強各級機構、各個業務板塊第二道防線建設，指定專人負責，加強全面風險管理和各類風險統籌管理。持續提升第三道防線的監督能力。通過打造堅實的第二道防線，推動建立強大的第一道防線和權威的第三道防線，在相互制衡的同時，建立完善的風險管理機制、強化風險意識、加強信息溝通和協作以及持續改進風險管理，“三道防線”齊抓共管、高效配合、協力主動防控風險，構建堅實的風險防線。

二是壓實各級機構管理責任。明確各級機構黨委的主體責任，健全風險管理體系和管理機制，研究重大風險事項;明確各級機構主要負責人的首要責任，傳導風險管理文化;明確分管副行長的控制責任，完善風險管理政策，加強風險識別、監測、預警和管控;明確前臺業務部門第一道防線是各類風險的承擔和管控主體;明確風險管理和內控合規部門作為第二道防線對一道防線的制衡功能，為第三道防線提供再監督、風險管理評價提供基礎;明確內部審計部門第三道防線的監督責任，監督第一二道防線風險管理的有效性。

三是推動全面風險管理升級。風險管理要變被動處置為主動作為，加強主動性、前瞻性、預見性，提升科學性和有效性。完善風險治理體系、加強風險文化建設、明確風險策略要求、實施風險偏好限額、健全風險政策流程，“三道防線”各司其職、協力主動防控風險。風險管理要提升智慧化防控能力，從以人力為核心的人工管理向以數據為核心的智能管理轉變，從人控、機控轉向數控、智控。風險管理要實現全覆蓋，深入落實全面風險管理要求，堅持全覆蓋管理各類風險、各類機構、各類業務、各類人員，確保各項風險得到全面、有效管控。

四是促進內部審計數字化轉型。積極融入金融業數字化轉型趨勢，深化科技賦能，在大局中找準自身定位，內審、科技、數據、業務部門加強協同，共同夯實數據基礎、打通數據梗阻、加快系統建設，打造好數字化審計平臺。主動探索內審數字化轉型的有效路徑，積極學習借鑒國家審計、監管部門、金融同業的理念方法和先進實踐，推動內審業務模式、管理模式數字化重塑，打造更多數字化審計場景。

參考文獻：

[1] Basel Committee on Banking Supervision. Corporate governance principles for banks [EB/OL].（2015-07-08）[2023-11-20].https：//www.bis.org/bcbs/publ/d328.htm.

[2] Citigroup.2022 Annual Report [EB/OL].（2023-05-01）[2023-11-12]. https：//www.citigroup.com/rcs/citigpa/storage/ public/citi-2022-annual-report.pdf.

[3] J.P.Morgan. 2022 Annual Report [EB/OL].（2023-05-20）[2023-11-12]. https：//reports.jpmorganchase.com/investor-relations/2022/ar-ceo-letters.htm.

[4] 中國銀行業監督管理委員會.銀行業金融機構全面風險管理指引[EB/OL].（2016-09-27）[2023-11-20].https：//www.cbirc.gov.cn/cn/view/pages/governmentDetail.htmldocId=265725&itemId=861&generaltype=1.

[作者簡介：林筱，女，溫州民商銀行審計部，審計師，研究方向：金融管理、銀行風險控制、內部審計。]

（責編：若佳）