商业银行大监督机制创新研究

谭志斌 程俊 饶艳

[摘要]本文从创新监督机制出发，立足于对内控三道防线制度规定的梳理，充分借鉴有代表性的商业银行内控三道防线架构实例，在此基础上构建风险导向模式下的大监督机制，从整体思路、风险导向、职能定位、制度安排、监督模式、增值服务、基础保障等方面搭建大监督框架。

[关键词]风险导向    大监督    三道防线    联动协同

一、内控三道防线的内涵发展

（一）制度沿革

金融机构内部控制组织体系的三道防线制度发轫于中国人民银行1997年发布的《加强金融机构内部控制的指导原则》，之后又相继出台了相关规定，丰富了内部控制三道防线的内涵，见表1。根据监管部门的要求，金融机构结合自身实际构建了内部控制三道防线，在加强内部控制、风险防范和案件防控等方面发挥了重要作用。

（二）梳理分析

前期三道防线主要基于岗位“不相容职责分离”的控制要求，构建岗位之间的自我约束和相互制约机制，侧重于微观环节的控制。实践表明，内部控制是一个系统工程，关注微观的同时，应当将风险防控要求上升到宏观层面，从相互关联、相互制约的体系模式、组织层面去设置防线，更有利于发挥防线的实际效用。

后期三道防线则注重从内部控制与风险防控的组织保障层面进行设置。起初金融系统的防控主要针对银行出现的操作性偏差、失误。随着社会的发展，风险的复杂程度也随之不断发展，金融系统的偏差、失误逐渐演变成风险、案件，金融风险的防控重点也随之从“防偏差、防失误”向“防风险、防案件”转变，防控上升到管理层面。

二、实例借鉴：银行内控三道防线的架构设计

（一）代表性商业银行的防线设置

中国银行：各级机构、业务经营部门及员工是风险控制的第一道防线，承担业务发展任务的同时，也承担内部风险控制责任;法律合规部门与业务管理部门是风险控制的第二道防线，统筹内控制度建设，指导、检查、监督、评估第一道防线的工作;稽核部门是风险控制的第三道防線，负责检查评价本行风险管理、内部控制和公司治理的适当性和有效性。

交通银行：建立立体风险管理框架。纵向设立业务经营部门、条线管理部门、风险管理部门和内部审计部门，横向建立双线报告制度，各级业务经营和管理部门须将风险信息同时报告本部门上级管理者和风险管理部门。

招商银行：各经营机构及业务条线为实施自我风险评估、控制及防范的第一道防线;风险管理部门构成事前和事后专业化风险管理的第二道防线;内审部门是事后控制的第三道防线。

美国银行：强调前、中、后台的责任意识和协作意识。各前台业务条线是银行对外服务和风险管理的第一道防线，各业务单元经理负责本单元业务风险收益的决策，管理本单元业务现有和潜在风险。各业务部门要独立监督各业务条线并提供反馈意见和指导建议，同时要与各业务条线加强合作，共同识别、评估和化解风险。稽核部门要对管理控制措施进行独立的测试、验证和评估。

（二）三道防线运行环节图例

三道防线运行环节图例，见图1。

第一道防线设置4个环节：一是梳理工作事项，对部门重要工作事项内容进行描述;二是梳理制度，对应工作事项列出相关业务及管理制度;三是制定记录表，对业务的操作过程和结果进行记录;四是绘制流程图，突出流程关键节点和执行要求等要素。

第二道防线设置4个环节：一是定位风险点，以风险为导向，准确定位和精准查找风险点;二是实施有针对性的风控措施，针对定位的风险点，“一对一”地实施相应的风控措施，跟踪风控效果;三是制定监督检查管理办法，对关键点、风险点制订检查方案，明确检查重点、检查方法和检查频率等;四是严格执行检查，对照检查制度、检查方案有效开展检查，查缺补漏，对检查发现的问题，立即整改，举一反三。

第三道防线设置4个环节：一是由第三方对内控情况进行评估;二是联合相关部门开展协同检查，整合审计检查资源，发挥监督合力;三是开展内部审计（稽核）部门的全面或专项检查，有重点、全流程地查找存在问题，排查风险隐患;四是外部核查客观上能够推动内部监督效率和效果的不断提升。

三道防线运行环节表明：制度、流程和痕迹管理能够提升内控的制度化和规范化水平;风险清单管理、检查复核监督有助于及早发现并防范业务风险、系统风险和人为风险等;内外协调联动的监督制衡能够强化内部控制管理水平。

（三）共性

银行内部控制体系主要由银行内部三个对内部控制承担不同职责的团队（业务经营团队、风险合规团队、审计稽核团队）构成，相互之间分工协作、协调配合、监督制衡，有序提升银行内部控制的有效性。

作用于内部控制的三道防线互为补充、相互强化。各防线各司其职、齐心协力，协调联动，形成合力，共御风险，形成纠错防弊的机制性保障。

业务经营部门一般为内部控制的第一道防线，为风险防范的前台，承担业务发展任务，同时履行内部风险防范职责。稽核（内审）部门一般为内部控制的第三道防线。对于第一道防线和第三道防线的设置，已基本达成共识，但对第二道防线的设置，各家商业银行结合自身的特点会有所差别。

（四）个性

1.突出各自特色。经营单位和业务部门作为第一道防线，强调过程实时控制和制度的自我评估、修正、完善。由于第一道防线更加贴近具体业务，更有利于实现经营过程的自我评估和实时控制，在业务具体风险识别、风险防范控制方面具备先天优势。一线员工防范风险的自觉性和主动性不断提高，能够主动采取措施堵截、化解风险，切实提高风险管控过程的效率;合规风险部门位于第二道防线，侧重并强调各条线职能部门对经营一线进行设计、管理、指导、检查和监督，包括对业务制度、流程的梳理，发现风险点及时提出修改建议;第三道防线内部审计（稽核）部门，强调对履行业务操作职能的一线和承担经营管理职能的二线进行再监督和再评价，发现问题并督促及时采取措施予以整改。

2.实现整合效应。三道防线在组织排查、发现风险、人员配置等多方面进行协调和整合，整合资源，发挥合力，实现信息互通，资源共享。具体为：业务管理条线落实相关业务制度的制定、执行、日常检查和持续改进，收集业务诉求和风险防范建议，动态调整制度、流程、风险控制措施，修订重要凭证和合同文本等;风险合规条线落实风险监测、重点业务风险检查、风险事件牵头处置及实施问责等职责;审计监督条线则对重点风险隐患进行监督检查。

三、框架构建：协同联动的大监督机制

（一）整体思路

三道防线协同联动的大监督机制实质是构建各职能部门、业务条线、操作环节信息共享、互动交叉、有效覆盖的内控动态管理机制。协同联动并不影响各职能部门原有的基本职责，只是进一步明确各条线和职能部门的内控管理责任。

内部控制三道防线作用发挥的指导思想体现在三个方面：一是服务中心工作，准确定位本单位需要关注和防控的关键事项，通过有效的履职活动，反馈真实情况，提出政策性建议，支持和服务好本行各项工作;二是贴近业务实际，要将风险防控扎根业务前台，下沉业务一线，做到全覆盖，充分掌握业务发展状况、内部控制措施和风险管控效果等;三是关注风险领域，以风险和问题为导向，重点关注高风险业务领域，切实帮助本单位和管理层将风险管控好。

（二）风险导向

1.开展风险监测与预警。以信息化为手段，运用数据对银行内控体系开展持续风险监测和有效预警。一是风险在线监测，即对业务系统数据进行实时、定期或不定期的风险监测;二是自动触发预警，业务系统出现异常情况时，自动触发预警，提示监督人员采取相应措施;三是数据深度挖掘，依靠监督分析模型，对业务系统数据进行深入分析，反馈潜在的异常情况。

2.开展风险评估。根据业务风险的发生频率和危害程度，绘制业务风险分布图，使监督的风险导向性更为鲜明。一是量身定制风险事件，使风险事件贴合业务实际;二是多维度评估，获取相关单位对自身业务的风险判断，作为评估的重要参考;三是全过程运用，不局限于事前监督阶段，在事中和事后监督阶段，主动参考对相关业务风险评估等级和现有控制是否有效的评价，有针對性地采取更有效的监督方法。

（三）职能定位

三道防线应明确职能定位，各司其职。作为第一道防线，各基层业务经营单位是经营活动的第一行为人，也是内部控制和风险管理的第一责任人，负责业务开展过程中的具体风险防范，开展项目筛选、尽职调查、初审上报、项目实施、后期管理等，从源头上控制风险。要实现“自己管自己”，即开展业务过程中，通过自我评估、自我检查、自我整改、自我培训来履行业务经营过程中的自我风险防范和控制职能。

作为第二道防线，合规风险部门通过制定合规与风险控制政策、标准、流程和要求，实现合规与风险控制的有效性和一致性。同时，对第一道防线内部控制和风险管理情况进行专业化指导、检查、验证、审核和监督。第二道防线并非替代第一道防线，而是提升第一道防线控制的有效性，同时为第三道防线开展再检查、再监督和再评价提供基础。

作为第三道防线，内审（稽核）部门通过系统化、规范化的方式，审查评价整体经营活动、风险管理、内部控制和公司治理的适当性和有效性，目标是协助单位高级管理层有效履行职责，贯彻执行制度，改善组织运营、有效控制风险并增加组织价值。

（四）制度安排

1.工作制度。三道防线的设计架构应包括以下关键性制度安排：防线制度设计，以制度形式明确三道防线的构建依据和程序来源，以此作为构筑和运行三道防线的行动依据;防控效果控制规范，明确防线运行的各项控制措施，确保防控目标的原则性和统一性，包括非现场监督和监督咨询管理制度，对相关工作的具体形式、有关流程和监督方法等予以明确，有效拓展三道防线的实现途径和保障措施。

2.运作机制。按照三道防线运行的前、中、后阶段来看，应建立如下机制：一是信息收集机制，由经营单位和职能部门设置联络员，帮助防控部门及时、全面地掌握经营单位和职能部门业务动态、内部控制与风险管理情况;二是监督支持机制，通过设置专家库，有效弥补后台监督人员专业能力的不足，为三道防线的运行提供专家意见;三是成果运用机制，确定面向上级和本级行领导、同级部门和审计对象的成果运用三向维度，明确不同维度下防控成果运用的内容、方式和程序。同时，开拓成果运用途径，对防控成果进行加工和分析，形成调研报告、风险专报或分析报告等;对相关业务流程、内控措施等进行评估，提出风控评估意见等。

（五）监督模式

监督检查是三道防线履职的重要手段，应优化监督方式和强化监督重点。一是实现“纵向到底，横向到边，不留死角”的监督全覆盖;二是监督内容做到“点、线、面”网状结合：“点”上选取某项具体业务进行监督，“线”上选取某项业务流程进行监督，“面”上对监管要求和制度落实情况等进行总体监督等;三是监督方式实现多元化，如“前置防范”的过程式监督模式。监督检查在某项管理活动的关键控制环节进行过程式介入，前移监督关口，避免风险防范的滞后;“飞行检查”的突击式监督检查模式。采取不提前通知的检查方式，掌握真实风控情况;“问题导向”的事件式监督模式。针对突发问题事件，监督及时介入，以问题为导向，追溯风控过程中的薄弱环节。

（六）增值服务

银行内控三道防线除了防控和监督管理职责外，还应当具有咨询服务功能，实现增值价值。一是提供“需求导入”式顾问服务，由相关部门发起，提出明确的需求清单，包括具体业务范围、有待解决的困难等，相关部门进行集中研究，依据需求开展专项咨询服务;二是提供专业培训服务，发挥业务管理、合规风控及审计稽核部门在业务管理、合规管理与风险控制等内控优化管理方面的特长，为相关单位提供专业培训。

（七）基础保障

1.信息化建设。三道防线的协调联动应当紧贴大数据时代背景，做到计算机辅助监督深度介入，实现信息化监督全覆盖。充分利用多种信息资源平台，做好数据的监督分析与处理。同时可以自建或利用已有计算机辅助监督信息系统，自主开发监督工具软件，针对关键业务数据，主动开展监督分析，做好本地监督管理数据的信息化处理。对于自建的监督数据库、防控成果开发数据库、监督信息资料库等，应做到数据互通、管理互联。

2.监督团队培养。三道防线监督团队是提升防控实际效果的内核动力。一是培养业务能力，建立“业务能力清单”，结合人员的专业优势和工作特点，对监督团队人员进行有重点的培养，确保监督能力范围涵盖主要业务和关键事项;二是提升监督专业技能，三道防线监督人员在履行职责过程中，要具有较强的风险洞察力、综合分析能力及沟通协调能力，商业银行应为监督人员提供多元化的培训渠道和交流、沟通平台。

四、案例研究：制衡机制与监督效率效果分析

（一）案例背景

2017年，某银行为掩盖不良贷款，通过编造虚假用途、分拆授信、越权审批等手法违规办理信贷、同业、理财、信用证和保理等业务，向多个空壳企业授信，换取相关企业出资承担该银行的不良贷款。这些企业主要是非正常经营或虚假注册的“壳”公司。原银监会披露该银行内部控制严重失效，授信管理严重违规;违规办理信贷、同业投资、理财、信用证、商业承兑汇票业务，违规利用保理公司进行资金空转，严重违反审慎经营规则。

（二）制衡机制的缺失分析

每个风险事件必然存在蛛丝马迹，或存在一些不符合逻辑、不符合常理的特征及异常表象。同时，也反映出监督制衡机制中的一些缺陷。

1.缺失合规经营、诚实守信的内控文化，内部监督检查不到位、走过场。涉案银行经营理念较差，过分注重业绩和排名，无视合规经营。在多次专项治理和风险排查中，均未发现相关违法违规问题，风险排查和内部检查不到位、走过场。同时该行内控制度不健全，存在诸多管理真空。

2.未遵循风险导向，对明显的风险信号未引起足够关注。该行的业绩长期在当地名列前茅，客户主要集中在冶金、矿山等传统行业，然而这些行业近年来效益大幅下滑，并不足以支撑银行业绩。在没有其他优势的前提下，该银行取得这样优异的经营成果本身就是风险信号，但未引起足够关注。

3.监督模式有欠缺，三道防线对明显异常情况均未进行核实和检查。涉案分行授信业务权限并不大，但长期存在无申报至总行审批的授信项目。与此同时，该银行总体授信规模较大，授信客户数量众多，但所有授信审批项目均在分行授信权限内完成审批，这样的表象存在故意绕开总行授权限制、授信项目化整为零的嫌疑。但该行或上级行均未对该情况进行核实。

（三）监督方法的再总结

1.多环节交叉检查验证。一是分析报表，查看分行资产负债表、头寸表、科目余额表（含表外）、利润明细表等主要会计报表，重点关注短期内余额变动较大的资产负责类科目和收入增长较多的损益类科目，通过报表数据追溯有疑点业务，查清业务本源。例如，本案是为掩盖巨额不良资产和经营损失，通过分析报表应能发现不良资产出表以及中间业务收入不合理增长等可疑线索;二是审核资金流向，查询反洗钱大额交易的核查记录，分析判断是否存在大额资金流向集中账户，或在集中时段流向本行或他行固定账户;三是观察回访环节，现场访谈或抽样电话回访相关客户，了解和判断是否存在贷款用途虚假等情况。

2.非现场分析与现场访谈相结合。运用非现场分析手段，对客户信息如股东、注册地址、企业联系人、担保人、主办客户经理等进行筛选和比较，分析客户的性质、行业等特征，查找隐性关联客户、实际控制人情况等实质信息，进而延伸分析其客户数量占比、贷款余额占比、授信担保方式等数据，确定风险线索;对非现场分析筛查中存在疑点的客户，要针对大量存在的首次用信客户、隐性关联客户、民营企业客户等特征，从整体上把握客户结构，关注客户之间的往来关系，更深层次地发现问题。相对于数据而言，检查监督人员还可以通过与各类型人员开展访谈等形式，交流获取一些“活”信息，特别是经营数据中不能反映的内部信息。通过访谈经营机构内部人员，可以对前期的一些疑问进行证实，既能发现关键的风险线索，也能解决“信息不对称”问题。比如，在访谈中询问客户经理客户的结构、业务新增情况等，检查监督人员可以以此为出发点，核实新客户的数量、注册时间、财务报表真实性等问题，进而对被审计单位的经营管理情况获得更加全面的了解。

（作者单位：华夏银行股份有限公司上海分行，

邮政编码：200120，电子邮箱：xiaoyanzi505@sina.com）

主要参考文献

黄小勇.构建危机应对协同联动机制的思考[J].中国井冈山干部学院学报， 2011（7）

史海涛.联动“三道防线”优化内控体系[J].中国邮政， 2013（3）

张立民，唐松华.内部控制、公司治理与风险管理：《托普典章》为什么不能拯救托普[J].审计研究， 2007（5）

郑小荣.风险导向内部审计若干理论问题探讨[J].审计与经济研究， 2006（11）

郑鑫.商业银行内部控制“三道防线”的分析与探讨[J].農村金融研究， 2011（12）