本文作者:宣强 单位:华融金融租赁公司
一、内控防线建设的依据及特点
(一)《中央企业全面风险管理指引》的规定
该《指引》第十条明确要求,“企业开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线”
(二)上市商业银行年报中披露的防线设置情况
根据对三家有代表性的上市商业银行有关情况的收集,了解到各家商业银行的防线设置基本概况。中国银行:本行各级机构、业务经营部门及员工是风险控制的第一道防线,承担业务发展任务的同时也承担内部风险控制的责任;法律合规部门与业务管理部门是风险控制的第二道防线,统筹内控制度建设,指导、检查、监督、评估第一道防线的工作;稽核部门是风险控制的第三道防线,负责检查评价本行风险管理、内部控制和公司治理的适当性和有效性。交通银行:建立立体风险管理框架,纵向设立业务经营部门、条线管理部门、风险管理部门和内部审计部门四道防线。横向建立双线报告制度,各级业务经营和管理部门须将风险信息同时报告本部门上级管理者和风险管理部门。招商银行:各经营机构及业务条线为实施自我风险评估、控制及防范的第一道防线;风险管理部门构成在事前和事中进行专业化风险管理的第二道防线;内审部门是事后控制的第三道防线。
(三)基本特点
可以看出,虽然金融机构对全面风险管理框架下的内控三道防线的划分不尽相同,但基本特点是第一道防线强调经营一线单位的过程实时控制和自我评估,第二道防线强调各职能部门对一线部门(过程)进行设计、管理、指导、检查和监督,第三道防线强调内部稽核部门对业务操作职能(一线)及业务管理职能(二线)进行再监督和评价,发现问题并督促其及时采取相应措施。
二、关于内部控制“防线”与“防火墙”
银监会2009年11月26日正式的《商业银行投资保险公司股权试点管理办法》中,使用了“防火墙”的概念,突出商业银行董事会负最终责任,要求董事会负责建立并完善“防火墙”制度,确保银行和保险公司在业务场所、经营决策、人员、财务、信息系统等方面进行有效的隔离。通过比较相关资料可以看出,内部控制“防线”与“防火墙”具有很强的内在联系,在大部分情况下是通用的。
(一)两者都是内部控制所要求的一种制度安排。即通过机构职能、业务流转环节、人员设置、决策权限等方面的限制,在业务组织与职能机构之间以及各类人员之间设置屏障,以切断风险的传递,控制风险的总体水平。
(二)两者都属于风险控制体系与机制的范畴。即两者均是由风险控制体系的设计监督、操作执行和防范评价三类保证活动、三类保证人员组成的全方位控制体系,也是一种有效的风险控制活动机制。当然,两者之间也有细微的区别:
1“、防线”侧重于一个相对独立的法人机构的内部控制,“防火墙”则侧重于一个集团法人的内部控制,特别是混业经营背景下的金融控股集团以及多元化经营的大型企业集团。
2、“防火墙”侧重于防范集团内不同机构之间内部交易、关联交易形成的风险,而“防线”侧重对独立法人机构内所有部门和分支机构全方位的监控、对所有业务流程全过程的监控、全员性的制约以及对主要风险的全面覆盖。
3、“防线”更多的具有“前台、中台、后台”职能的分离与制约,或者“事前防控、事中复核、事后监督”的色彩,而“防火墙”在很多情况下上述色彩并不突出。对于非银行金融机构,设置由各经营机构及业务条线为实施自我风险评估、控制及防范的第一道防线;风险管理部门构成在事前和事中进行专业化风险管理的第二道防线;内审部门是事后控制的第三道防线,这样的内控防线建设相对更科学。
三、相关机构在防线设置中的职能定位
对于非银行金融机构,各个基层业务部门构成第一道防线。按照经营活动第一行为人即为风险管理第一责任人的要求,负责业务开展过程中的具体风险防范,要严格按照风险管理要求和业务流程,将项目筛选、尽职调查、初审上报、项目实施、后期管理等各环节的风险防范责任落实到人,从源头上控制风险。作为第一道防线的人员,在承担业务开展的同时,必须通过自我评估、自我检查、自我整改、自我培训来履行业务经营过程中的自我风险控制职能,实现“自己管自己”。风险控制部门与相关的专业委员会构成第二道防线。通过制定风险控制政策、标准、流程和要求,以实现风险控制的一致性和有效性。就第一道防线的执行情况进行专业化的检查、验证、审核(决策)、监督。建立内部控制和操作风险管理信息收集、分析和报告制度,评估和监控一道防线内部控制和操作风险状况,对其工作提供指导。第二道防线不是替代第一道防线,而是对第一道防线实施检查、监督和指导,确保第一道防线内部控制的有效性,同时为第三道防线开展再检查、再监督和内部控制评价提供基础。稽核(或其他内审)部门构成第三道防线。稽核部门通过系统化、规范化的方式,审查评价经营活动、风险管理、内部控制和公司治理的适当性和有效性,目标是协助董事会和管理层履行职责,保证国家有关经济金融法律法规、方针政策、监管部门规章的贯彻执行,改善组织运营、有效控制风险、增加公司价值。