商業銀行大監督機制創新研究

譚志斌 程俊 饒艷

[摘要]本文從創新監督機制出發，立足于對內控三道防線制度規定的梳理，充分借鑒有代表性的商業銀行內控三道防線架構實例，在此基礎上構建風險導向模式下的大監督機制，從整體思路、風險導向、職能定位、制度安排、監督模式、增值服務、基礎保障等方面搭建大監督框架。

[關鍵詞]風險導向? ? 大監督? ? 三道防線? ? 聯動協同

一、內控三道防線的內涵發展

（一）制度沿革

金融機構內部控制組織體系的三道防線制度發軔于中國人民銀行1997年發布的《加強金融機構內部控制的指導原則》，之后又相繼出臺了相關規定，豐富了內部控制三道防線的內涵，見表1。根據監管部門的要求，金融機構結合自身實際構建了內部控制三道防線，在加強內部控制、風險防范和案件防控等方面發揮了重要作用。

（二）梳理分析

前期三道防線主要基于崗位“不相容職責分離”的控制要求，構建崗位之間的自我約束和相互制約機制，側重于微觀環節的控制。實踐表明，內部控制是一個系統工程，關注微觀的同時，應當將風險防控要求上升到宏觀層面，從相互關聯、相互制約的體系模式、組織層面去設置防線，更有利于發揮防線的實際效用。

后期三道防線則注重從內部控制與風險防控的組織保障層面進行設置。起初金融系統的防控主要針對銀行出現的操作性偏差、失誤。隨著社會的發展，風險的復雜程度也隨之不斷發展，金融系統的偏差、失誤逐漸演變成風險、案件，金融風險的防控重點也隨之從“防偏差、防失誤”向“防風險、防案件”轉變，防控上升到管理層面。

二、實例借鑒：銀行內控三道防線的架構設計

（一）代表性商業銀行的防線設置

中國銀行：各級機構、業務經營部門及員工是風險控制的第一道防線，承擔業務發展任務的同時，也承擔內部風險控制責任;法律合規部門與業務管理部門是風險控制的第二道防線，統籌內控制度建設，指導、檢查、監督、評估第一道防線的工作;稽核部門是風險控制的第三道防線，負責檢查評價本行風險管理、內部控制和公司治理的適當性和有效性。

交通銀行：建立立體風險管理框架。縱向設立業務經營部門、條線管理部門、風險管理部門和內部審計部門，橫向建立雙線報告制度，各級業務經營和管理部門須將風險信息同時報告本部門上級管理者和風險管理部門。

招商銀行：各經營機構及業務條線為實施自我風險評估、控制及防范的第一道防線;風險管理部門構成事前和事后專業化風險管理的第二道防線;內審部門是事后控制的第三道防線。

美國銀行：強調前、中、后臺的責任意識和協作意識。各前臺業務條線是銀行對外服務和風險管理的第一道防線，各業務單元經理負責本單元業務風險收益的決策，管理本單元業務現有和潛在風險。各業務部門要獨立監督各業務條線并提供反饋意見和指導建議，同時要與各業務條線加強合作，共同識別、評估和化解風險。稽核部門要對管理控制措施進行獨立的測試、驗證和評估。

（二）三道防線運行環節圖例

三道防線運行環節圖例，見圖1。

第一道防線設置4個環節：一是梳理工作事項，對部門重要工作事項內容進行描述;二是梳理制度，對應工作事項列出相關業務及管理制度;三是制定記錄表，對業務的操作過程和結果進行記錄;四是繪制流程圖，突出流程關鍵節點和執行要求等要素。

第二道防線設置4個環節：一是定位風險點，以風險為導向，準確定位和精準查找風險點;二是實施有針對性的風控措施，針對定位的風險點，“一對一”地實施相應的風控措施，跟蹤風控效果;三是制定監督檢查管理辦法，對關鍵點、風險點制訂檢查方案，明確檢查重點、檢查方法和檢查頻率等;四是嚴格執行檢查，對照檢查制度、檢查方案有效開展檢查，查缺補漏，對檢查發現的問題，立即整改，舉一反三。

第三道防線設置4個環節：一是由第三方對內控情況進行評估;二是聯合相關部門開展協同檢查，整合審計檢查資源，發揮監督合力;三是開展內部審計（稽核）部門的全面或專項檢查，有重點、全流程地查找存在問題，排查風險隱患;四是外部核查客觀上能夠推動內部監督效率和效果的不斷提升。

三道防線運行環節表明：制度、流程和痕跡管理能夠提升內控的制度化和規范化水平;風險清單管理、檢查復核監督有助于及早發現并防范業務風險、系統風險和人為風險等;內外協調聯動的監督制衡能夠強化內部控制管理水平。

（三）共性

銀行內部控制體系主要由銀行內部三個對內部控制承擔不同職責的團隊（業務經營團隊、風險合規團隊、審計稽核團隊）構成，相互之間分工協作、協調配合、監督制衡，有序提升銀行內部控制的有效性。

作用于內部控制的三道防線互為補充、相互強化。各防線各司其職、齊心協力，協調聯動，形成合力，共御風險，形成糾錯防弊的機制性保障。

業務經營部門一般為內部控制的第一道防線，為風險防范的前臺，承擔業務發展任務，同時履行內部風險防范職責。稽核（內審）部門一般為內部控制的第三道防線。對于第一道防線和第三道防線的設置，已基本達成共識，但對第二道防線的設置，各家商業銀行結合自身的特點會有所差別。

（四）個性

1.突出各自特色。經營單位和業務部門作為第一道防線，強調過程實時控制和制度的自我評估、修正、完善。由于第一道防線更加貼近具體業務，更有利于實現經營過程的自我評估和實時控制，在業務具體風險識別、風險防范控制方面具備先天優勢。一線員工防范風險的自覺性和主動性不斷提高，能夠主動采取措施堵截、化解風險，切實提高風險管控過程的效率;合規風險部門位于第二道防線，側重并強調各條線職能部門對經營一線進行設計、管理、指導、檢查和監督，包括對業務制度、流程的梳理，發現風險點及時提出修改建議;第三道防線內部審計（稽核）部門，強調對履行業務操作職能的一線和承擔經營管理職能的二線進行再監督和再評價，發現問題并督促及時采取措施予以整改。

2.實現整合效應。三道防線在組織排查、發現風險、人員配置等多方面進行協調和整合，整合資源，發揮合力，實現信息互通，資源共享。具體為：業務管理條線落實相關業務制度的制定、執行、日常檢查和持續改進，收集業務訴求和風險防范建議，動態調整制度、流程、風險控制措施，修訂重要憑證和合同文本等;風險合規條線落實風險監測、重點業務風險檢查、風險事件牽頭處置及實施問責等職責;審計監督條線則對重點風險隱患進行監督檢查。

三、框架構建：協同聯動的大監督機制

（一）整體思路

三道防線協同聯動的大監督機制實質是構建各職能部門、業務條線、操作環節信息共享、互動交叉、有效覆蓋的內控動態管理機制。協同聯動并不影響各職能部門原有的基本職責，只是進一步明確各條線和職能部門的內控管理責任。

內部控制三道防線作用發揮的指導思想體現在三個方面：一是服務中心工作，準確定位本單位需要關注和防控的關鍵事項，通過有效的履職活動，反饋真實情況，提出政策性建議，支持和服務好本行各項工作;二是貼近業務實際，要將風險防控扎根業務前臺，下沉業務一線，做到全覆蓋，充分掌握業務發展狀況、內部控制措施和風險管控效果等;三是關注風險領域，以風險和問題為導向，重點關注高風險業務領域，切實幫助本單位和管理層將風險管控好。

（二）風險導向

1.開展風險監測與預警。以信息化為手段，運用數據對銀行內控體系開展持續風險監測和有效預警。一是風險在線監測，即對業務系統數據進行實時、定期或不定期的風險監測;二是自動觸發預警，業務系統出現異常情況時，自動觸發預警，提示監督人員采取相應措施;三是數據深度挖掘，依靠監督分析模型，對業務系統數據進行深入分析，反饋潛在的異常情況。

2.開展風險評估。根據業務風險的發生頻率和危害程度，繪制業務風險分布圖，使監督的風險導向性更為鮮明。一是量身定制風險事件，使風險事件貼合業務實際;二是多維度評估，獲取相關單位對自身業務的風險判斷，作為評估的重要參考;三是全過程運用，不局限于事前監督階段，在事中和事后監督階段，主動參考對相關業務風險評估等級和現有控制是否有效的評價，有針對性地采取更有效的監督方法。

（三）職能定位

三道防線應明確職能定位，各司其職。作為第一道防線，各基層業務經營單位是經營活動的第一行為人，也是內部控制和風險管理的第一責任人，負責業務開展過程中的具體風險防范，開展項目篩選、盡職調查、初審上報、項目實施、后期管理等，從源頭上控制風險。要實現“自己管自己”，即開展業務過程中，通過自我評估、自我檢查、自我整改、自我培訓來履行業務經營過程中的自我風險防范和控制職能。

作為第二道防線，合規風險部門通過制定合規與風險控制政策、標準、流程和要求，實現合規與風險控制的有效性和一致性。同時，對第一道防線內部控制和風險管理情況進行專業化指導、檢查、驗證、審核和監督。第二道防線并非替代第一道防線，而是提升第一道防線控制的有效性，同時為第三道防線開展再檢查、再監督和再評價提供基礎。

作為第三道防線，內審（稽核）部門通過系統化、規范化的方式，審查評價整體經營活動、風險管理、內部控制和公司治理的適當性和有效性，目標是協助單位高級管理層有效履行職責，貫徹執行制度，改善組織運營、有效控制風險并增加組織價值。

（四）制度安排

1.工作制度。三道防線的設計架構應包括以下關鍵性制度安排：防線制度設計，以制度形式明確三道防線的構建依據和程序來源，以此作為構筑和運行三道防線的行動依據;防控效果控制規范，明確防線運行的各項控制措施，確保防控目標的原則性和統一性，包括非現場監督和監督咨詢管理制度，對相關工作的具體形式、有關流程和監督方法等予以明確，有效拓展三道防線的實現途徑和保障措施。

2.運作機制。按照三道防線運行的前、中、后階段來看，應建立如下機制：一是信息收集機制，由經營單位和職能部門設置聯絡員，幫助防控部門及時、全面地掌握經營單位和職能部門業務動態、內部控制與風險管理情況;二是監督支持機制，通過設置專家庫，有效彌補后臺監督人員專業能力的不足，為三道防線的運行提供專家意見;三是成果運用機制，確定面向上級和本級行領導、同級部門和審計對象的成果運用三向維度，明確不同維度下防控成果運用的內容、方式和程序。同時，開拓成果運用途徑，對防控成果進行加工和分析，形成調研報告、風險專報或分析報告等;對相關業務流程、內控措施等進行評估，提出風控評估意見等。

（五）監督模式

監督檢查是三道防線履職的重要手段，應優化監督方式和強化監督重點。一是實現“縱向到底，橫向到邊，不留死角”的監督全覆蓋;二是監督內容做到“點、線、面”網狀結合：“點”上選取某項具體業務進行監督，“線”上選取某項業務流程進行監督，“面”上對監管要求和制度落實情況等進行總體監督等;三是監督方式實現多元化，如“前置防范”的過程式監督模式。監督檢查在某項管理活動的關鍵控制環節進行過程式介入，前移監督關口，避免風險防范的滯后;“飛行檢查”的突擊式監督檢查模式。采取不提前通知的檢查方式，掌握真實風控情況;“問題導向”的事件式監督模式。針對突發問題事件，監督及時介入，以問題為導向，追溯風控過程中的薄弱環節。

（六）增值服務

銀行內控三道防線除了防控和監督管理職責外，還應當具有咨詢服務功能，實現增值價值。一是提供“需求導入”式顧問服務，由相關部門發起，提出明確的需求清單，包括具體業務范圍、有待解決的困難等，相關部門進行集中研究，依據需求開展專項咨詢服務;二是提供專業培訓服務，發揮業務管理、合規風控及審計稽核部門在業務管理、合規管理與風險控制等內控優化管理方面的特長，為相關單位提供專業培訓。

（七）基礎保障

1.信息化建設。三道防線的協調聯動應當緊貼大數據時代背景，做到計算機輔助監督深度介入，實現信息化監督全覆蓋。充分利用多種信息資源平臺，做好數據的監督分析與處理。同時可以自建或利用已有計算機輔助監督信息系統，自主開發監督工具軟件，針對關鍵業務數據，主動開展監督分析，做好本地監督管理數據的信息化處理。對于自建的監督數據庫、防控成果開發數據庫、監督信息資料庫等，應做到數據互通、管理互聯。

2.監督團隊培養。三道防線監督團隊是提升防控實際效果的內核動力。一是培養業務能力，建立“業務能力清單”，結合人員的專業優勢和工作特點，對監督團隊人員進行有重點的培養，確保監督能力范圍涵蓋主要業務和關鍵事項;二是提升監督專業技能，三道防線監督人員在履行職責過程中，要具有較強的風險洞察力、綜合分析能力及溝通協調能力，商業銀行應為監督人員提供多元化的培訓渠道和交流、溝通平臺。

四、案例研究：制衡機制與監督效率效果分析

（一）案例背景

2017年，某銀行為掩蓋不良貸款，通過編造虛假用途、分拆授信、越權審批等手法違規辦理信貸、同業、理財、信用證和保理等業務，向多個空殼企業授信，換取相關企業出資承擔該銀行的不良貸款。這些企業主要是非正常經營或虛假注冊的“殼”公司。原銀監會披露該銀行內部控制嚴重失效，授信管理嚴重違規;違規辦理信貸、同業投資、理財、信用證、商業承兌匯票業務，違規利用保理公司進行資金空轉，嚴重違反審慎經營規則。

（二）制衡機制的缺失分析

每個風險事件必然存在蛛絲馬跡，或存在一些不符合邏輯、不符合常理的特征及異常表象。同時，也反映出監督制衡機制中的一些缺陷。

1.缺失合規經營、誠實守信的內控文化，內部監督檢查不到位、走過場。涉案銀行經營理念較差，過分注重業績和排名，無視合規經營。在多次專項治理和風險排查中，均未發現相關違法違規問題，風險排查和內部檢查不到位、走過場。同時該行內控制度不健全，存在諸多管理真空。

2.未遵循風險導向，對明顯的風險信號未引起足夠關注。該行的業績長期在當地名列前茅，客戶主要集中在冶金、礦山等傳統行業，然而這些行業近年來效益大幅下滑，并不足以支撐銀行業績。在沒有其他優勢的前提下，該銀行取得這樣優異的經營成果本身就是風險信號，但未引起足夠關注。

3.監督模式有欠缺，三道防線對明顯異常情況均未進行核實和檢查。涉案分行授信業務權限并不大，但長期存在無申報至總行審批的授信項目。與此同時，該銀行總體授信規模較大，授信客戶數量眾多，但所有授信審批項目均在分行授信權限內完成審批，這樣的表象存在故意繞開總行授權限制、授信項目化整為零的嫌疑。但該行或上級行均未對該情況進行核實。

（三）監督方法的再總結

1.多環節交叉檢查驗證。一是分析報表，查看分行資產負債表、頭寸表、科目余額表（含表外）、利潤明細表等主要會計報表，重點關注短期內余額變動較大的資產負責類科目和收入增長較多的損益類科目，通過報表數據追溯有疑點業務，查清業務本源。例如，本案是為掩蓋巨額不良資產和經營損失，通過分析報表應能發現不良資產出表以及中間業務收入不合理增長等可疑線索;二是審核資金流向，查詢反洗錢大額交易的核查記錄，分析判斷是否存在大額資金流向集中賬戶，或在集中時段流向本行或他行固定賬戶;三是觀察回訪環節，現場訪談或抽樣電話回訪相關客戶，了解和判斷是否存在貸款用途虛假等情況。

2.非現場分析與現場訪談相結合。運用非現場分析手段，對客戶信息如股東、注冊地址、企業聯系人、擔保人、主辦客戶經理等進行篩選和比較，分析客戶的性質、行業等特征，查找隱性關聯客戶、實際控制人情況等實質信息，進而延伸分析其客戶數量占比、貸款余額占比、授信擔保方式等數據，確定風險線索;對非現場分析篩查中存在疑點的客戶，要針對大量存在的首次用信客戶、隱性關聯客戶、民營企業客戶等特征，從整體上把握客戶結構，關注客戶之間的往來關系，更深層次地發現問題。相對于數據而言，檢查監督人員還可以通過與各類型人員開展訪談等形式，交流獲取一些“活”信息，特別是經營數據中不能反映的內部信息。通過訪談經營機構內部人員，可以對前期的一些疑問進行證實，既能發現關鍵的風險線索，也能解決“信息不對稱”問題。比如，在訪談中詢問客戶經理客戶的結構、業務新增情況等，檢查監督人員可以以此為出發點，核實新客戶的數量、注冊時間、財務報表真實性等問題，進而對被審計單位的經營管理情況獲得更加全面的了解。

（作者單位：華夏銀行股份有限公司上海分行，

郵政編碼：200120，電子郵箱：xiaoyanzi505@sina.com）

主要參考文獻

黃小勇.構建危機應對協同聯動機制的思考[J].中國井岡山干部學院學報， 2011（7）

史海濤.聯動“三道防線”優化內控體系[J].中國郵政， 2013（3）

張立民，唐松華.內部控制、公司治理與風險管理：《托普典章》為什么不能拯救托普[J].審計研究， 2007（5）

鄭小榮.風險導向內部審計若干理論問題探討[J].審計與經濟研究， 2006（11）

鄭鑫.商業銀行內部控制“三道防線”的分析與探討[J].農村金融研究， 2011（12）