健全中小银行“三道防线”制衡机制

林筱

摘 要：统筹加强“三道防线”建设，是中小银行完善风险治理、防范各类风险的重要途径。当前，我国中小银行风险治理和风险管理相对薄弱，“三道防线”建设能力和水平还有待进一步提升。同时，国内外监管对商业银行“三道防线”的机制建设、责任分担等提出了更高要求，先进同业实践则提供了更多实践案例。我国中小银行要压实各机构、各部门风险管理责任，推动全面风险管理迭代升级，促进内部审计数字化转型，推动“三道防线”同向发力、一体筑牢。

关键词：中小银行 “三道防线” 风险治理 内部审计

中图分类号：F239  文献标识码：A

文章编号：1004-4914（2024）06-095-02

中央金融工作会议提出防范化解中小金融机构等三大重点领域风险。中小银行作为中小金融机构的主体组成部分，是当前风险防控的重点对象之一。中小银行要打造强大的第一道防线、坚实的第二道防线、权威的第三道防线，形成“三道防线”既相互制衡，又齐抓共管的风险治理机制，支持自身业务发展，助力维护金融稳定。

一、银行业“三道防线”的监管趋势

巴塞尔委员会2015年发布的《银行公司治理原则》，强调了“三道防线”在风险管理流程中的作用，指出风险治理框架中应包括建立“三道防线”及清晰的职责描述。“三道防线”机制银行机构内部归属于前中后台三类不同管理部门，相互之间有效制衡、相互配合，并通过独立、有效的监控，提高各主体的风险管理有效性。“三道防线”构建了一个风险管理体系架构，各部门、各人员都是风险管理链条上的重要一环，无论哪个岗位责任缺失，都将沿着整个链条，导致一系列责任缺失和风险防范失效。

从全球看，近年来，随着银行业风险治理实践发展，全球监管对银行“三道防线”建设提出更为明确的要求，要求一道防线前移管理关口，二道防线加强独立制衡和前瞻管控;三道防线强化监督，检验一、二道防线风险管控的有效性。三道防线在风险管理中各司其职、责任分担、联防联控、有效制衡，共同扎牢风险管理的防火墙。

作为第一道防线的前台部门，处于业务流程的最前端，是产生风险的部门，直接面对市场和客户，负责维护客户关系，开展尽职调查，发起评级，核算信贷限额，以及贷后监测和管理工作，同时承担业务发展和直接管理风险的第一责任。近年来，全球监管要求一道防线关口前移，从源头上防控风险，防范“病从口入”，通过实施有效的内部控制，维护识别、评估、控制和缓释与其活动相关风险的流程，确保符合风险偏好和风险限额。

第二道防线独立于前台部门，主要负责监督风险承担和评估风险;在风险偏好范围内，通过监测和报告职责，补充前台部门的风险承担活动，负责评级、限额、业务和押品的审查，评估业务的真实性，判断业务是否符合审批标准;负责识别、计量、监测和控制机构整体的总体风险和新兴风险。近年来，全球监管更加强调二道防线的前瞻独立制衡，为了避免二道防线与业务之间的脱节，在前台业务部门增设“小中台”，在授权范围内开展风险控制，通过矩阵式管理模式，同时向业务部门和风险管理部门汇报，既保证了风险管理的独立性，又增强了风险与业务之间的紧密联系。

设立独立的内部审计部门作为第三道防线，对第一、二道防线履职情况及有效性进行监督评价，审查评价并督促改善银行经营活动、风险管理、内控合规和公司治理效果，编制并落实中长期审计规划和年度审计计划，开展后续审计，评价整改情况，对审计项目的质量负责，向董事会报告工作。近年来，全球监管强化了第三道防线审计的监督职能，内部审计部门应对银行的所有重要流程、产品线、服务和职能进行及时完整的审计，评估与每一项相关的风险，包括新出现的风险。

从国内看，我国银行业监督管理部门借鉴国际经验，结合我国银行业实践，制定了《银行业金融机构全面风险管理指引》，形成了我国银行业金融机构全面风险管理的顶层设计。近年来，我国监管部门在信用风险、市场风险等各类管理指引基础上，修订出台了流动性风险、操作风险、国别风险等管理办法，引导商业银行健全风险管理治理架构和要素，健全“三道防线”机制，持续提高风险管理水平。

二、先进同业实践及我国中小银行“三道防线”问题分析

（一）“三道防线”建设的国际同业实践

1.花旗银行。花旗银行是全球系统重要性银行，其风险管理三道防线建设具有一定代表性，其中：业务条线为第一道防线。负责识别、评估和控制业务开展过程中产生的固有风险，以确保其在风险承受能力范围内，建立和实施风险缓释措施，并对内部控制的设计和有效性进行评估，通过适当的流程来履行其风险治理责任，并促进合规和控制文化。第二道防线包括独立的风险管理（IRM）、独立合规风险管理（ICRM）以及其他管控职能部门（财务、人力资源、法律）。IRM和ICRM为第一道防线部门评估和管理风险提供标准和依据;为业务部门提供建议和培训，并建立工具、方法论、流程和对各业务部门控制措施的监督，以培养合规和控制文化。内部审计为第三道防线，主要作用是独立和及时的向董事会、审计委员会、高级管理层和监管机构提供关于本机构治理架构、风险管理和控制的有效性。

2.摩根大通。摩根大通构建了“三道防线”，强化风险治理。其中：业务条线为第一道防线，负责风险识别以及风险控制措施的建立和执行。第一道防线应遵守相关法律、法规和制度，并负责实施独立风险管理部门所建立的风险管理架构。独立的风险管理部门为第二道防线，独立于业务经营。负责建立和监督全集团风险治理管理架构，负责独立评估和质疑一道防线的风险管理实践;应遵守相关法律、法规和制度，负责实施针对自身风险管理流程而制定的政策和标准。第三道防线是内部审计，负责对整个公司的流程和控制进行独立的测试和评估。

（二）“三道防线”建设的国内同业实践

国内银行主要是按照《银行业金融机构全面风险管理指引》，采用了风险管理“三道防线”的理念，建立起三道防线各司其责、相互制衡的机制。根据上述指引第十一条、第十三条，主要是强调董事会承担全面风险管理的最终责任，监事会承担全面风险管理的监督责任，负责监督检查董事会和高级管理层在风险管理方面的履职尽责情况并督促整改。通过设立或指定风险管理部门，履行第二道防线职责，负责全面风险管理，牵头履行全面风险的日常管理，各业务经营条线承担风险管理的直接责任，也就是第一道防线。

（三）我国中小银行“三道防线”建设的常见问题

“三道防线”是银行风险治理的重要组成部分，也是风险管理链条上的重要一环，任何一道防线责任缺失，都可能导致风险管控失效。我国中小银行数量众多，风险治理和风险管理相对薄弱，“三道防线”建设能力和水平还有待提升。

一是“三道防线”的制度规定不完善。目前，我国中小银行的风险管理政策在治理方面，主要涵盖了相关部门的职责，风险管理委员会的构成、开会频率以及运作机制，普遍对具体部门定位不甚清晰，比如，二道防线除了包含风险管理专业职能之外，是否包含法律、财务、人力、质量控制等支持保障部门，许多中小银行在认识上较为模糊，未能清晰定义和描述“三道防线”对应的部门、岗位职责及汇报路径。

二是第一道防线未承担风险管理第一责任。由于一道防线职能定义不清，目前许多中小银行一道防线对自身风险防控职能缺乏清晰认识，只是被动适用监管要求，缺乏主动识别和管理风险、准确进行风险评估、及时报告风险并严格遵守政策的能力;一道防线对二道防线、第三道防线反馈的问题响应较慢，缺乏风险管理优化动力，削弱了第二、三道防线各个职能部门的作用。

三是第二道防线履职能力较弱。目前第二道防线侧重于事后响应，未能实现前瞻性的关口前移和全流程监督;二道防线的地位不足，使其对第一道防线的风险导向绩效评价产生的影响有限;第二道防线在每种风险类别的风险管理政策框架中的作用，包括有关风险治理、风险评估、控制，管理流程和支持系统的作用还有待加强。

四是第三道防线履职有待提升。第三道防线评估第二道防线的风险管理实践，因不具备履行内部审计职责所需的专业知识、职业技能和实践经验，难以识别和捕捉第一和第二道防线存在的风险。对于审计发现的问题，第一、二道防线的主要负责人未能自觉履行审计整改第一责任人的职责，导致审计发现问题悬而不决、风险隐患拖延不改。

三、健全中小银行“三道防线”机制的建议

一是加强“三道防线”联防联控。提高第一道防线的风险意识，完善第一道防线内部风险管理组织架构，增强风险管理能力。加强各级机构、各个业务板块第二道防线建设，指定专人负责，加强全面风险管理和各类风险统筹管理。持续提升第三道防线的监督能力。通过打造坚实的第二道防线，推动建立强大的第一道防线和权威的第三道防线，在相互制衡的同时，建立完善的风险管理机制、强化风险意识、加强信息沟通和协作以及持续改进风险管理，“三道防线”齐抓共管、高效配合、协力主动防控风险，构建坚实的风险防线。

二是压实各级机构管理责任。明确各级机构党委的主体责任，健全风险管理体系和管理机制，研究重大风险事项;明确各级机构主要负责人的首要责任，传导风险管理文化;明确分管副行长的控制责任，完善风险管理政策，加强风险识别、监测、预警和管控;明确前台业务部门第一道防线是各类风险的承担和管控主体;明确风险管理和内控合规部门作为第二道防线对一道防线的制衡功能，为第三道防线提供再监督、风险管理评价提供基础;明确内部审计部门第三道防线的监督责任，监督第一二道防线风险管理的有效性。

三是推动全面风险管理升级。风险管理要变被动处置为主动作为，加强主动性、前瞻性、预见性，提升科学性和有效性。完善风险治理体系、加强风险文化建设、明确风险策略要求、实施风险偏好限额、健全风险政策流程，“三道防线”各司其职、协力主动防控风险。风险管理要提升智慧化防控能力，从以人力为核心的人工管理向以数据为核心的智能管理转变，从人控、机控转向数控、智控。风险管理要实现全覆盖，深入落实全面风险管理要求，坚持全覆盖管理各类风险、各类机构、各类业务、各类人员，确保各项风险得到全面、有效管控。

四是促进内部审计数字化转型。积极融入金融业数字化转型趋势，深化科技赋能，在大局中找准自身定位，内审、科技、数据、业务部门加强协同，共同夯实数据基础、打通数据梗阻、加快系统建设，打造好数字化审计平台。主动探索内审数字化转型的有效路径，积极学习借鉴国家审计、监管部门、金融同业的理念方法和先进实践，推动内审业务模式、管理模式数字化重塑，打造更多数字化审计场景。

参考文献：

[1] Basel Committee on Banking Supervision. Corporate governance principles for banks [EB/OL].（2015-07-08）[2023-11-20].https：//www.bis.org/bcbs/publ/d328.htm.

[2] Citigroup.2022 Annual Report [EB/OL].（2023-05-01）[2023-11-12]. https：//www.citigroup.com/rcs/citigpa/storage/ public/citi-2022-annual-report.pdf.

[3] J.P.Morgan. 2022 Annual Report [EB/OL].（2023-05-20）[2023-11-12]. https：//reports.jpmorganchase.com/investor-relations/2022/ar-ceo-letters.htm.

[4] 中国银行业监督管理委员会.银行业金融机构全面风险管理指引[EB/OL].（2016-09-27）[2023-11-20].https：//www.cbirc.gov.cn/cn/view/pages/governmentDetail.htmldocId=265725&itemId=861&generaltype=1.

[作者简介：林筱，女，温州民商银行审计部，审计师，研究方向：金融管理、银行风险控制、内部审计。]

（责编：若佳）