金融行业“三道防线”探讨和风险治理的困境

虽然，人民银行和银监会在2002年废止《指导原则》之后，没有再在总体指导上明确提出三道防线。《商业银行信息科技风险管理指引》也没有明确提出三道防线的说法，但其内核和三道防线却一脉相承。

《指导原则》的三道防线描述

（一）、建立一线岗位双人、双职、双责为基础的第一道监控防线。属于单人单岗处理业务的，必须有相应的后续监督机制。
（二）、建立相关部门、相关岗位之间相互监督制约的工作程序作为第二道监控防线。要建立业务文件在相关部门和相关岗位之间传递的标准，明确文件签字的授权。
（三）、建立以内部监督部门对各岗位、各部门各项业务全面实施监督反馈的第三道防线。内部监督部门作为对业务的事后监督机构，必须独立地监督各项业务活动，同时及时将检查评价的结果反馈给最高管理层。

《保险公司合规管理办法》的三道防线描述

▷ 第二十条保险公司应当建立三道防线的合规管理框架，确保三道防线各司其职、协调配合，有效参与合规管理，形成合规管理的合力。

▷ 第二十一条保险公司各部门和分支机构履行合规管理的第一道防线职责，对其职责范围内的合规管理负有直接和第一位的责任。保险公司各部门和分支机构应当主动进行日常的合规管控，定期进行合规自查，并向合规管理部门或者合规岗位提供合规风险信息或者风险点，支持并配合合规管理部门或者合规岗位的合规风险监测和评估。

▷ 第二十二条保险公司合规管理部门和合规岗位履行合规管理的第二道防线职责。合规管理部门和合规岗位应当按照本办法第十六条规定的职责，向公司各部门和分支机构的业务活动提供合规支持，组织、协调、监督各部门和分支机构开展合规管理各项工作。

▷ 第二十三条保险公司内部审计部门履行合规管理的第三道防线职责，定期对公司的合规管理情况进行独立审计。

▷ 第二十四条保险公司应当在合规管理部门与内部审计部门之间建立明确的合作和信息交流机制。内部审计部门在审计结束后，应当将审计情况和结论通报合规管理部门；合规管理部门也可以根据合规风险的监测情况主动向内部审计部门提出开展审计工作的建议。

《证券公司投资银行类业务内部控制指引》的三道防线描述：

第七条、证券公司应当构建清晰、合理的投资银行类业务内部控制组织架构，建立分工合理、权责明确、相互制衡、有效监督的三道内部控制防线:

 (一)、项目组、业务部门为内部控制的第一道防线，项目组应当诚实守信、勤勉尽责开展执业活动，业务部门应当加强对业务人员的管理，确保其规范执业。

 (二)、质量控制为内部控制的第二道防线，应当对投资银行类业务风险实施过程管理和控制，及时发现、制止和纠正项目执行过程中的问题。

 (三)、内核、合规、风险管理等部门或机构为内部控制的第三道防线，应当通过介入主要业务环节、把控关键风险节点，实现公司层面对投资银行类业务风险的整体管控。

事前、事中、事后是风险管理的三道防线，在这点上几乎每个机构、每个层面都达成了共识。但如何定义事前、事中、事后，在不同机构中体现出了不同的理解和执行。无论是人民银行指导原则，还是保监会、证监会三道防线，很明显的可以发现风险评估缺失或者风险管理后置的问题。

风险评估和治理是安全的起点，这应该是任何风险管理和安全管控的出发点。风险评估承接企业经营战略和目标，指导在日常运营中安全和风险如何进行保护、检测、响应和恢复，起到企业经营战略目标和具体落地控制之间承上启下的作用。显然，风险评估应该是事前这道防线的核心内容。

但在商业银行、保险和证券等金融机构三道防线指导中都有意无意回避了这个问题。风险评估异常艰难，主要困难在于风险管理部门要领会最高管理层或者董事会的意图。这个过程在实践中极有可能是“鸡同鸭讲”的过程，非常痛苦且无效。金融机构的主营业务是经营风险，风险评估是其每分每秒在进行的日常事务。如果连金融机构都可能无法很好的做出安全风险评估，何况其他机构。

基于上述分析，在风险评估支撑下的三道防线应该是如下进行的：

01 第一道防线

风险管理部门评估风险，形成规避风险的各种原则和规章制度以及具体落地措施，形成合规依据。具体落地措施由风险管理部门和合规管理部门共同制定。

02 第二道防线

一线业务部门依据规章制度和具体落地措施，日常贯彻执行。合规和稽核管理部门及时检查落实业务部门是否落实合规，发现合规中的障碍，及时改进合规措施。

03 第三道防线

审计部门定期对业务执行进行专项或者全面审计，检查和发现合规漏洞以及潜在可能存在风险。第三道防线和第一道防线形成反馈闭环。

《商业银行信息科技风险管理指引》虽然没有明确提出三道防线，但以信息科技治理，风险管理部门和审计部门承担的三道防线相对比较接近风控、合规、审计的三道防线。要实现风控、合规、审计三道防线，必须解决风险评估的问题。要解决风险评估，必须要解决“鸡同鸭讲“的问题。也许风险管理需要改变思路，不要让董事会做指导，而是让董事会做选择题。

文章来源：美创科技 柳遵梁

参考资料：

[1]. 《加强金融机构的内部控制的指导原则》（银发〔1997〕199号）

[2].《保险公司合规管理办法》（保监发〔2016〕116号）

[3].《证券公司投资银行类业务内部控制指引》 （证监会公告〔2018〕6号）

[4].《商业银行信息科技风险管理指引》（银监发〔2009〕19号）

转载请注明来自网盾网络安全培训，本文标题：《金融行业“三道防线”探讨和风险治理的困境》

标签：数据安全金融行业