三道防线
一、商业银行“三道防线”的发展演变1997年,人民银行发布了《加强金融机构内部控制的指导原则》(下称《指导原则》)[1],要求金融机构建立完善的内部控制制度,设立顺序递进的三道监控防线:即一线岗位监督、部门岗位制衡以及监督部门监控等三道防线。2002年,《指导原则》被废止。此后人民银行、银监会规范性文件未再对“三道防线”进行规定。
2001年以后,证监会[2]、国资委[3]和保监会[4]先后发布规范性文件,从内部控制或者风险管理角度对“三道防线”设置提出了明确要求。具体而言,证监会规定与《指导原则》的思路相同,都是从内部控制的角度设置防线;国资委和保监会则是从风险管理的角度提出“三道防线”设置的具体要求。需要指出的是,证监会、保监会及国资委的规定均不适用于商业银行,而且保监会、国资委的规定又与商业银行的实践和组织管理模式的传统存在很大的差异。2008年,财政部、银监会等五部委联合发布了《企业内部控制基本规范》(下称《基本规范》)[5],虽未明确提出“三道防线”的要求,但为商业银行设置“三道防线”提供了新的思路和指南。
与此同时,“三道防线”的主要防控对象,也经历了从“防案件”到“防风险”再到“防偏差”的两次较大的演变。90年代初期,我国金融系统案件频发,“三角债”、虚假票据泛滥,危害金融秩序,影响金融稳定。为控制案件高发态势,人民银行发布《指导原则》提出设立“三道防线”的要求,其主要目的就是防控案件。随着风险管理理论与实践的发展,防控对象逐渐从“防案件”发展为“防风险”。《基本规范》出台后,企业内部控制被提升到了国家战略的高度,体现了五部委对内部控制的高度重视与深刻共识。就内部控制而言,“三道防线”旨在防控经营管理活动与既定目标的偏差。当然,这里的偏差与广义的风险具有逻辑上的一致性。因此,可以说商业银行“三道防线”的防控对象就是经营管理活动中偏离既定目标尤其是风险承受度的各种偏差,这种偏差包括狭义的风险、也包括舞弊行为和案件。这也是《基本规范》的本质要求。
二、商业银行“三道防线”设立的必要性目前,对商业银行如何设置“三道防线”,已无明确的监管要求。但是,经营管理中各项活动对既定目标的偏离和偏差无时不有、无处不在,不但可能形成风险、造成损失,还可能酿成刑事案件,甚至导致商业银行破产。加之,经济金融形势风云变幻,商业银行经营管理风险日趋复杂多样,案件防控压力不断加大。设置内部控制防线已经成为商业银行实现企业目标和强化内控管理的客观需要,其目的就是保证经营管理按计划进行并及时纠正各种重要偏差,防控风险,遏制舞弊、杜绝案件。
实践中,各家商业银行基于对三道防线的不同理解,设置了不同的防线。由于合理配置有限的资源是企业管理永恒的主题,内部控制“防线”的设置应当权衡实施成本与预期效益。在商业银行经营管理中,哪些环节偏差频率高、风险危害大就应该在哪里设置防线。商业银行的管理和控制围绕着业务经营展开,因此,笔者认为,只有从商业银行业务流程角度出发设置“三道防线”才能够最有效地防控经营管理中存在的偏差和风险。
三、商业银行“三道防线”的设置和功能按照业务流程,商业银行应当设置如下“三道防线”:(一)一道防线无论是监管部门的规定,还是商业银行的管理实践,均将直接进行业务操作,面向客户提供产品和服务的一线岗位、机构作为内部控制最前沿的第一道“防线”。通过建立营业机构不同岗位各司其职、各负其责、相互制约的工作机制,形成由“自我约束”和“不相容职务分离”控制作业偏差的“第一道防线”。例如临柜业务人员操作必须遵循的“会计凭证,严格审核”、“重要业务,授权控制”等操作原则。(二)二道防线由于委托代理中存在信息不对称,“一道防线”的自我约束和岗位制约可能因内部人的串通而流于形式。为此,各商业银行还设置了内控“第二道防线”。各职能部门的“自我约束”与“尽职监督”控制,是商业银行的“第二道防线”。
“尽职监督”的概念是农业银行在实践中提出的,是指各级机构职能部门按照职责分工,对同级职能部门及下级对口部门相关经营管理活动进行监测、检查、督导和纠偏的管理行为。具体而言,就是各部门将本条线及相关同级职能部门的实际工作情况与目标、计划、标准进行比较分析,采取措施纠正偏差,以实现发展目标的管理活动。尽职监督是第二道防线的主体。(三)三道防线由于商业银行具有经营多元化和组织层级制的特点,各分支机构、部门的多元利益并存,更易出现因本位主义使经营管理活动偏离战略目标和整体目标的问题。因此,需要对职能部门的自我约束和尽职监督进行监督。
首先,根据《基本规范》设立的内控管理部门作为组织协调内部控制建立和实施的专门机构,负责协调、推动和监督各职能部门尽职监督职责的履行。第二,内部审计部门作为商业银行的内设机构,按照《基本规范》的要求,对内部控制的有效性进行监督检查,以使董事会和高管层把握银行整体的内部控制状况和高风险领域;发现内部控制重大缺陷直接向董事会及其审计委员会、监事会报告。第三,监察部门对各级机构及人员执行制度、廉洁自律、履职效能实施监察;保卫部门负责刑事案件的查处。以上部门共同实现对第一道防线和第二道防线的事后监督、控制职责。从这个意义上讲,可以将内控管理部门的协调监督,内部审计部门的再监督,连同监察部门、保卫部门履行的事后监督作为商业银行业务流程控制的“第三道防线”。
商业银行“三道防线”作为内部控制的组织体系,旨在纠正偏差、防控风险。商业银行要基业长青,必需立足长远,考量预期收益与当期成本,有目的、有重点的设置内控防线。同时,内部控制是一个过程,作用于业务流程的“三道防线”彼此不是孤立设置相互替代的,而是互为补充、相互强化的系统。必须发挥业务流程中三道防线的系统合力,形成纠错防弊的机制性保障,才能有效控制偏差和风险,进而夯实管理基础、提升经营效率。