內部控制的三道防線

三道防线是通过理清角色定位和职责来强化对风险管理和内部控制的理解。第一道防线属于第一线的运营及管理，是对风险和控制责任的分配，第一道防线最为关键，最好能够把绝大部分风险控制在第一道防线。第二道防线是对第一道防线的监督、检查，避免疏漏。通过具体到各个部门、各个业务模块协助管理层监控风险，并控制风险。第三道防线属于内部审计，是对董事会和高级管理层所关心的风险和控制的有效性进行独立审计并报告。

本文结合美国反虚假财务报告委员会下属的发起人委员会（COSO）的三道防线理论，并结合国内企业经营的实际情况，介绍内部控制的三层防护体系。内控管理“三道防线”。

第一道防线：运营及管理

第一道防线就是企业运营和管理第一线的业务人员的风险控制。工作在第一线的销售人员、生产工人、运输工人、质检员、验收人员、会计、人事专员、采购员、技术工程师等，他们在日常工作的过程中就担负着内部控制的职责。一线的人员应该接受必要的内控培训，他们不但要清楚本岗位的工作职责，而且要能够评估工作中的风险，能够识别风险，并且能够自主采取必要的控制措施，必要时需要向本部门或者更高一级的管理者沟通、汇报。第一道防线主要职责及具体内容如表所示。

第一道防线是业务过程中控制风险最重要的防线，企业90%以上的精力应该放在第一道防线上，第一道防线的内控措施既要具有规范性又要有一定的灵活性，没有灵活性就不能适应不同特点的市场及客户。第一道防线要让业务主管承担起内控责任，经营责任人也是内控责任人。第一道防线的流程控制也非常重要。流程本身就是防线，完善了流程就相当于建立良好的防范措施。

第二道防线：内部监控与监督职能

第二道防线的内容包括多种风险管理与合规管理。这些管理可以确保第一道防线执行的控制和风险管理流程的设计是合理的，并能够按照预期有效地执行。第二道防线的职能通常是持续地监控风险，明确实施内控策略，提供风险专业知识，实施内控政策和执行程序，以及在收集信息方面提供帮助，从而建立起整个企业范围内对风险和内控的统一认识。

第二道防线的责任部门会因组织规模、行业不同而存在差别。在大型上市公司、业务复杂或受到严格监管的组织内，这些责任部门可能是完全独立且明确的。在小型私营企业或业务不太复杂或所受监管不严格的组织内，第二道防线的责任部门可能不存在或被合并。例如，有些企业会将法务部与内控部门合并为一个部门。在某些企业中，第二道防线的部分或全部职责可能由第一道防线的管理者来承担。

第二道防线相关人员的职责通常包括以下几点内容：协助管理层设计和建立流程和内控制度，以管理风险。明确需要监控的活动，以及如何对照管理层的期望来衡量监控是否取得成功。确保内部控制活动的充分性和有效性。上报重要的问题、新的风险和异常情况。剔除风险管理框架。识别和监控影响组织的风险，以及已知和新出现的问题。识别组织内风险偏好和风险承受能力的变化。提供风险管理和内控流程的指导和培训。

第三道防线：内部审计

内部审计是企业的第三道防线，内部审计是独立、客观的审计和咨询活动，内部审计也能够对内部贪腐、造假、浪费等现象形成威慑，最终能够提升企业价值和改善企业运营。

内部审计针对公司治理、风险管理和内部控制的效率和效果进行审计。内部审计的工作范围涵盖企业各个方面的运营和活动。

内部审计与其他两道防线的区别是其具有高度的组织独立性和客观性。内部审计师不负责设计和实施控制，也不参与企业管理运营。首席审计官直接对董事会负责。

建立专业的内部审计机构非常重要，不仅是对于较大型企业而言，对于中小型企业来说同样如此，因为中小型企业同样需要面对复杂的环境，但其组织架构却可能不太正式，可能无法保证治理和风险管理流程的有效性，还可能缺乏有效的第二道防线。

来源：财务高手进阶指南  作者：谢士杰

（责任编辑：韩福恒）

出自 MBA智库百科(https://wiki.mbalib.com/)

目录

• 1 什么是是三道防线
• 2 三道防线的发展
• 3 三道防线的必要性
• 4 三道防线如何设置

什么是是三道防线

三道防线是商业银行设置的，已无明确的监管要求。但是，经营管理中各项活动对既定目标的偏离和偏差无时不有、无处不在，不但可能形成风险、造成损失，还可能酿成刑事案件，甚至导致商业银行破产。三道防线：预防性风险管理；存款保险制度；紧急救援制度。

三道防线的发展

1997年，人民银行发布了《加强金融机构内部控制的指导原则》（下称《指导原则》），要求金融机构建立完善的内部控制制度，设立顺序递进的三道监控防线：即一线岗位监督、部门岗位制衡以及监督部门监控等三道防线。2002年，《指导原则》被废止。此后人民银行、银监会规范性文件未再对“三道防线”进行规定。

2001年以后，证监会、国资委和保监会先后发布规范性文件，从内部控制或者风险管理角度对“三道防线”设置提出了明确要求。具体而言，证监会规定与《指导原则》的思路相同，都是从内部控制的角度设置防线；国资委和保监会则是从风险管理的角度提出“三道防线”设置的具体要求。需要指出的是，证监会、保监会及国资委的规定均不适用于商业银行，而且保监会、国资委的规定又与商业银行的实践和组织管理模式的传统存在很大的差异。2008年，财政部、银监会等五部委联合发布了《企业内部控制基本规范》（下称《基本规范》），虽未明确提出“三道防线”的要求，但为商业银行设置“三道防线”提供了新的思路和指南。

三道防线的必要性

目前，对商业银行如何设置“三道防线”，已无明确的监管要求。但是，经营管理中各项活动对既定目标的偏离和偏差无时不有、无处不在，不但可能形成风险、造成损失，还可能酿成刑事案件，甚至导致商业银行破产。加之，经济金融形势风云变幻，商业银行经营管理风险日趋复杂多样，案件防控压力不断加大。设置内部控制防线已经成为商业银行实现企业目标和强化内控管理的客观需要，其目的就是保证经营管理按计划进行并及时纠正各种重要偏差，防控风险，遏制舞弊、杜绝案件。

实践中，各家商业银行基于对三道防线的不同理解，设置了不同的防线。由于合理配置有限的资源是企业管理永恒的主题，内部控制“防线”的设置应当权衡实施成本与预期效益。在商业银行经营管理中，哪些环节偏差频率高、风险危害大就应该在哪里设置防线。商业银行的管理和控制围绕着业务经营展开，因此，笔者认为，只有从商业银行业务流程角度出发设置“三道防线”才能够最有效地防控经营管理中存在的偏差和风险。

三道防线如何设置

按照业务流程，商业银行应当设置如下“三道防线”：

一道防线

无论是监管部门的规定，还是商业银行的管理实践，均将直接进行业务操作，面向客户提供产品和服务的一线岗位、机构作为内部控制最前沿的第一道“防线”。通过建立营业机构不同岗位各司其职、各负其责、相互制约的工作机制，形成由“自我约束”和“不相容职务分离”控制作业偏差的“第一道防线”。例如临柜业务人员操作必须遵循的“会计凭证，严格审核”、“重要业务，授权控制”等操作原则。

二道防线

由于委托代理中存在信息不对称，“一道防线”的自我约束和岗位制约可能因内部人的串通而流于形式。为此，各商业银行还设置了内控“第二道防线”。各职能部门的“自我约束”与“尽职监督”控制，是商业银行的“第二道防线”。

“尽职监督”的概念是农业银行在实践中提出的，是指各级机构职能部门按照职责分工，对同级职能部门及下级对口部门相关经营管理活动进行监测、检查、督导和纠偏的管理行为。具体而言，就是各部门将本条线及相关同级职能部门的实际工作情况与目标、计划、标准进行比较分析，采取措施纠正偏差，以实现发展目标的管理活动。尽职监督是第二道防线的主体。

三道防线

由于商业银行具有经营多元化和组织层级制的特点，各分支机构、部门的多元利益并存，更易出现因本位主义使经营管理活动偏离战略目标和整体目标的问题。因此，需要对职能部门的自我约束和尽职监督进行监督。

首先，根据《基本规范》设立的内控管理部门作为组织协调内部控制建立和实施的专门机构，负责协调、推动和监督各职能部门尽职监督职责的履行。第二，内部审计部门作为商业银行的内设机构，按照《基本规范》的要求，对内部控制的有效性进行监督检查，以使董事会和高管层把握银行整体的内部控制状况和高风险领域；发现内部控制重大缺陷直接向董事会及其审计委员会、监事会报告。第三，监察部门对各级机构及人员执行制度、廉洁自律、履职效能实施监察；保卫部门负责刑事案件的查处。以上部门共同实现对第一道防线和第二道防线的事后监督、控制职责。从这个意义上讲，可以将内控管理部门的协调监督，内部审计部门的再监督，连同监察部门、保卫部门履行的事后监督作为商业银行业务流程控制的“第三道防线”。

商业银行“三道防线”作为内部控制的组织体系，旨在纠正偏差、防控风险。商业银行要基业长青，必需立足长远，考量预期收益与当期成本，有目的、有重点的设置内控防线。同时，内部控制是一个过程，作用于业务流程的“三道防线”彼此不是孤立设置相互替代的，而是互为补充、相互强化的系统。必须发挥业务流程中三道防线的系统合力，形成纠错防弊的机制性保障，才能有效控制偏差和风险，进而夯实管理基础、提升经营效率。

第 二 章 內部控制三道防線理念

保險業各單位就其功能及業務範圍，承擔各自日常事務所產生的風險，謂 第一道防線，其應該負責辨識及管理風險，針對該風險特性設計並執行有 效的內部控制程序以涵蓋所有相關之營運活動。

第二道防線係獨立於第一道防線且非為第三道防線的其他功能及單位，依 其特性協助及監督第一道防線辨識及管理風險。第二道防線包含風險管理 、法令遵循及其他專職單位，其就各主要風險類別負責保險業整體風險管 理政策之訂定、監督整體風險承擔能力及承受風險現況、並向董（理）事 會或高階管理階層報告風險控管情形。

第三道防線係內部稽核單位，應以獨立超然之精神，執行稽核業務，協助 董（理）事會及高階管理階層查核與評估風險管理及內部控制制度是否有 效運作，包含評估第一道及第二道防線進行風險監控之有效性，並適時提 供改進建議，以合理確保內部控制制度得以持續有效實施及作為檢討修正 內部控制制度之依據。

保險業董（理）事會及高階管理階層應積極協助及指導三道防線之建立， 清楚界定各道防線之角色功能及權責。 管理階層建立三道防線架構時，應考量各保險業活動的性質、大小、複雜 程度及風險狀況進行調整，但其調整需能確保三道防線之有效性。 董（理）事會及高階管理階層應持續確保組織架構符合三道防線原則，督 導該架構之有效運作，並對其有效性負最終之責任。

第一章   總則

中華民國銀行商業同業公會全國聯合會為有效協助銀行完善內部控制制度
及強健企業體質，推動內部控制三道防線理念之落實，特訂定本守則。
銀行關於內部控制三道防線架構之建立，應依本守則辦理。

銀行應建立內部控制三道防線架構，明確釐清三道防線之權責範圍，以利
各單位了解其各自在銀行整體風險及控制架構所扮演之角色功能，加強風
險管理及內部控制工作的溝通協調，三道防線各司其職。

第二章   內部控制三道防線理念

銀行各單位就其功能及業務範圍，承擔各自日常事務所產生的風險，謂第
一道防線，其應該負責辨識及管理風險，針對該風險特性設計並執行有效
的內部控制程序以涵蓋所有相關之營運活動。

第二道防線係獨立於第一道防線且非為第三道防線的其他功能及單位，依
其特性協助及監督第一道防線辨識及管理風險。第二道防線包含風險管理
、法令遵循及其他專職單位，其就各主要風險類別負責銀行整體風險管理
政策之訂定、監督整體風險承擔能力及承受風險現況、並向董（理）事會
或高階管理階層報告風險控管情形。

第三道防線係內部稽核單位，應以獨立超然之精神，執行稽核業務，協助
董（理）事會及高階管理階層查核與評估風險管理及內部控制制度是否有
效運作，包含評估第一道及第二道防線進行風險監控之有效性，並適時提
供改進建議，以合理確保內部控制制度得以持續有效實施及作為檢討修正
內部控制制度之依據。

銀行的董（理）事會及高階管理階層應積極協助及指導三道防線之建立，
清楚界定各道防線之角色功能及權責。
管理階層建立三道防線架構時，應考量各銀行活動的性質、大小、複雜程
度及風險狀況進行調整，但其調整需能確保三道防線之有效性。
董（理）事會及高階管理階層應持續確保組織架構符合三道防線原則，督
導該架構之有效運作，並對其有效性負最終之責任。

第三章   三道防線之角色與功能

第一道防線負責及持續管理營運活動所產生的相關風險，包含下列各款：
一、辨識、評估、控制及降低營運活動所產生的風險，確保營運活動與銀
    行目標及任務一致。
二、第一道防線應將風險控制在其單位可承擔之範圍內，依需要向第二道
    防線報導其曝險狀況。
三、建立內部控制程序。
四、執行風險管理程序並維持有效的內部控制。
五、當流程及控制程序不足時，應立即提出改善計畫。
第一道防線應定期或不定期就前項內容辦理自我評估，以確保風險有被適
當控管。

第二道防線的功能係在訂定整體政策及建立管理制度，協助及監督第一道
防線管理風險與自我評估執行情形。依照不同的功能性質，第二道防線之
權責包含協助辨識及衡量風險、定義風險管理角色及責任、提供風險管理
架構及定期將風險管理結果呈報高階管理階層。說明如下：
一、風險管理單位負責建立獨立有效的風險管理機制，以評估及監督整體
    風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序
    遵循情形。
二、法令遵循單位負責法令遵循制度之規劃、管理及執行，訂定法令遵循
    之評估內容與程序，並督導各單位定期辦理法令遵循自行評估及綜理
    法令遵循事務。
三、其他專職單位，包含但不限於財務控制、人力資源、法務等。

內部稽核單位係第三道防線，負責查核與評估第一道及第二道防線所設計
並執行之內部控制與風險管理制度之有效性，並適時提供改進建議。

第四章   三道防線間之協調

各銀行的組織架構雖然不盡相同，惟仍須依風險管理及控制架構中各道防
線所扮演之角色功能進行協調，運作之原則如下：
一、風險管理及控制流程的建構應遵循三道防線模式。
二、各道防線均應本於其角色定位及職掌，確實執行及管理相關業務。
三、各道防線應互相協調，以促進效果及效率。
四、各道防線之風險管理及控制功能運作結果，應互相分享知識與資訊，
    以協助所有功能更有效完成其職責。

第五章   附則

本守則經本會理事會通過，並報請金融監督管理委員會核備後施行；修正
時亦同。