本文作者：宣強 單位：華融金融租賃公司

一、內控防線建設的依據及特點

（一）《中央企業全面風險管理指引》的規定

該《指引》第十條明確要求，“企業開展全面風險管理工作應與其他管理工作緊密結合，把風險管理的各項要求融入企業管理和業務流程中。具備條件的企業可建立風險管理三道防線，即各有關職能部門和業務單位為第一道防線；風險管理職能部門和董事會下設的風險管理委員會為第二道防線；內部審計部門和董事會下設的審計委員會為第三道防線”

（二）上市商業銀行年報中披露的防線設置情況

根據對三家有代表性的上市商業銀行有關情況的收集，了解到各家商業銀行的防線設置基本概況。中國銀行：本行各級機構、業務經營部門及員工是風險控制的第一道防線，承擔業務發展任務的同時也承擔內部風險控制的責任；法律合規部門與業務管理部門是風險控制的第二道防線，統籌內控制度建設，指導、檢查、監督、評估第一道防線的工作；稽核部門是風險控制的第三道防線，負責檢查評價本行風險管理、內部控制和公司治理的適當性和有效性。交通銀行：建立立體風險管理框架，縱向設立業務經營部門、條線管理部門、風險管理部門和內部審計部門四道防線。橫向建立雙線報告制度，各級業務經營和管理部門須將風險信息同時報告本部門上級管理者和風險管理部門。招商銀行：各經營機構及業務條線為實施自我風險評估、控制及防范的第一道防線；風險管理部門構成在事前和事中進行專業化風險管理的第二道防線；內審部門是事后控制的第三道防線。

（三）基本特點

可以看出，雖然金融機構對全面風險管理框架下的內控三道防線的劃分不盡相同，但基本特點是第一道防線強調經營一線單位的過程實時控制和自我評估，第二道防線強調各職能部門對一線部門（過程）進行設計、管理、指導、檢查和監督，第三道防線強調內部稽核部門對業務操作職能（一線）及業務管理職能（二線）進行再監督和評價，發現問題并督促其及時采取相應措施。

二、關于內部控制“防線”與“防火墻”

銀監會2009年11月26日正式發布的《商業銀行投資保險公司股權試點管理辦法》中，使用了“防火墻”的概念，突出商業銀行董事會負最終責任，要求董事會負責建立并完善“防火墻”制度，確保銀行和保險公司在業務場所、經營決策、人員、財務、信息系統等方面進行有效的隔離。通過比較相關資料可以看出，內部控制“防線”與“防火墻”具有很強的內在聯系，在大部分情況下是通用的。

（一）兩者都是內部控制所要求的一種制度安排。即通過機構職能、業務流轉環節、人員設置、決策權限等方面的限制，在業務組織與職能機構之間以及各類人員之間設置屏障，以切斷風險的傳遞，控制風險的總體水平。

（二）兩者都屬于風險控制體系與機制的范疇。即兩者均是由風險控制體系的設計監督、操作執行和防范評價三類保證活動、三類保證人員組成的全方位控制體系，也是一種有效的風險控制活動機制。當然，兩者之間也有細微的區別：

1“、防線”側重于一個相對獨立的法人機構的內部控制，“防火墻”則側重于一個集團法人的內部控制，特別是混業經營背景下的金融控股集團以及多元化經營的大型企業集團。

2、“防火墻”側重于防范集團內不同機構之間內部交易、關聯交易形成的風險，而“防線”側重對獨立法人機構內所有部門和分支機構全方位的監控、對所有業務流程全過程的監控、全員性的制約以及對主要風險的全面覆蓋。

3、“防線”更多的具有“前臺、中臺、后臺”職能的分離與制約，或者“事前防控、事中復核、事后監督”的色彩，而“防火墻”在很多情況下上述色彩并不突出。對于非銀行金融機構，設置由各經營機構及業務條線為實施自我風險評估、控制及防范的第一道防線；風險管理部門構成在事前和事中進行專業化風險管理的第二道防線；內審部門是事后控制的第三道防線，這樣的內控防線建設相對更科學。

三、相關機構在防線設置中的職能定位

對于非銀行金融機構，各個基層業務部門構成第一道防線。按照經營活動第一行為人即為風險管理第一責任人的要求，負責業務開展過程中的具體風險防范，要嚴格按照風險管理要求和業務流程，將項目篩選、盡職調查、初審上報、項目實施、后期管理等各環節的風險防范責任落實到人，從源頭上控制風險。作為第一道防線的人員，在承擔業務開展的同時，必須通過自我評估、自我檢查、自我整改、自我培訓來履行業務經營過程中的自我風險控制職能，實現“自己管自己”。風險控制部門與相關的專業委員會構成第二道防線。通過制定風險控制政策、標準、流程和要求，以實現風險控制的一致性和有效性。就第一道防線的執行情況進行專業化的檢查、驗證、審核（決策）、監督。建立內部控制和操作風險管理信息收集、分析和報告制度，評估和監控一道防線內部控制和操作風險狀況，對其工作提供指導。第二道防線不是替代第一道防線，而是對第一道防線實施檢查、監督和指導，確保第一道防線內部控制的有效性，同時為第三道防線開展再檢查、再監督和內部控制評價提供基礎。稽核（或其他內審）部門構成第三道防線。稽核部門通過系統化、規范化的方式，審查評價經營活動、風險管理、內部控制和公司治理的適當性和有效性，目標是協助董事會和管理層履行職責，保證國家有關經濟金融法律法規、方針政策、監管部門規章的貫徹執行，改善組織運營、有效控制風險、增加公司價值。