三道防线的概念是中国最早提出的?我把证据拿给你看
各位在我们之前的解读文章中已经了解到,国际内部审计协会(IIA)于2020年7月更新其在企业风险管理领域中有广泛影响力的三道防线模型(Three Lines of Defense,通常缩写为“3LOD”),将其“三道防线”改为了“三线”模型,最大的变化就是不再单纯强调“防”,而是从企业经营管理更平衡的角度谈“攻”与“防”。
这么多年来,“三道防线”的说法深入人心,因为其简单易懂的名字和清晰的职责划分被企业界特别是风险管理领域广泛推广和使用。
我们之前和大家交流过风险管理的起源,一条分支来自于实物资产安全的考虑,从安全管理与保险发展而来,另一条分支从货币资产安全,从会计控制、财务管理发展而来。
而内部审计中的风险管理,最开始也是属于第二条分支的一部分。所以我们看到的风险管理理论成果,也有很多是来自审计领域,比如IIA发布的三道防线模型,以及一系列从审计视角看风险管理的准则文件。
另外,IIA也是COSO组织的五大发起人之一,对COSO企业风险管理领域的最新成果掌握一手信息,这也直接导致了其在COSO发布最新风险管理框架两年后决定修订“三道防线”的模型。
只不过审计视角下的风险,都是从监督的角度提出的,而不是支持和赋能,这是和我们一、二道防线谈风险时的视角差异。
“三道防线”会不会退出历史舞台?
我个人认为不会,IIA也表示新模型不是取代之前的模型,而是给企业多了一个选择。
虽然新模型视角更平衡、更全面,但有些东西,片面才能深刻!
这些年来,全球的众多风险管理领域专家和从业者都在问同一个问题:
三道防线的提法是哪来的?
有人说:不是IIA提出来的吗?
IIA自己都不敢承认是它发明了三道防线的说法,只是在2013年参考了之前的表述将其进一步完善用立场公告的文件方式进行了发布。
有人说:好像是银行业先提出来的。
但是也找不到具体的出处。
有人说:好像是在军事领域借用来的。
据说,英国的金融时报(Financial Times)专门做过一个调研,想找到三道防线的出处,但是最后失败了。
只是认为这个概念是从金融领域发展起来的,但最早出处不明,没有找到和军事领域的直接关系。
这么多年来,全球专家对这个问题没有人给得出答案。
对于这么喜欢刨根问底、追求本源的疯控叔,更是一直在找这个问题的答案,借着新三线模型的发布,和大家分享一下调研成果。
三道防线的国际发展
一、IIA的模糊答案
当IIA被问及三道防线的概念最早什么时候出现的?
它没有给出准确答案,只是回答说在20多年前的英国金融服务领域首次出现。但并未给出具体文件和出处。这个答案和金融时报的调研结果是比较吻合的。
那这个英国金融服务领域到底指的是什么?
在2013年之前,英国金融管理是有一个监管机构的——英国金融服务监管局(FSA),隶属于英国财政部下。如果三道防线是在英国金融服务业发展而来,那么FSA是个绕不过去的机构。
金融时报的调研也表明了FSA是当时三道防线模型的主要支持者和推动者。
2013年4月,FSA已经被取消了,由FCA(金融市场行为监管局)和PRA(审慎监管局)代替。
On 1st April 2013, the Financial Services Authority ("FSA"), which regulates the entire financial industry in the UK, will cease to exist.
In its place will sit two new regulators: the Financial Conduct Authority ("FCA") and the Prudential Regulatory Authority ("PRA").
二、FSA的最早文件记载
幸好FSA的文件还可以检索到,最早由FSA文件记载的三道防线表述是什么时间呢?
目前可以找到的是2003年7月份的一份和银行业“操作风险管理”相关的文件:
B Governance and Operational Risk Management
B39 A number of firms had adopted a ‘three lines of defense’ approach, where business line management provided the first line, risk functions the second line, and internal audit a third line (each of which reported into different executive management).
B 治理和操作风险管理
B39 许多公司采用“三道防线”的方法,业务部门是第一道防线,风险职能是第二道防线,内部审计是第三道防线,他们分别汇报给不同的高管人员。
在本文件B章节的第39条,给出了三道防线的表述。
三、巴塞尔委员会(Basel)的答案
有一些专家认为三道防线的概念来自于巴塞尔银行监管委员会。
那么最早巴塞尔委员会最早提出的三道防线的概念是什么时候呢?
是在2011年6月,同样是针对银行业操作风险管理的文件。
Principles for the management of operational risk
13 Common industry practice for sound operational risk governance often relies on three lines of defence – (i) business line management, (ii) an independent corporate operational risk management function and (iii) an independent review.
操作风险管理原则
13 从行业实践来看,良好的操作风险治理经常使用三道防线模式,1)业务职能;2)操作风险管理职能;3)独立评估。
在其表述操作风险管理原则中的第13条中,谈及了三道防线的模式。
还有一些专家(如J.Reason)希望从安全管理领域的多层防护(不是lines,而是layers)概念,推导出三道防线的出处,但是由于过于牵强,表述不清晰,并不能算数。
当然IIA在2013年发布三道防线模型以及COSO在2013年更新内控框架、2017年更新企业风险管理框架中都引用了三道防线的概念,这都是后来的事了。
这就是国际上目前可以找到的早期三道防线的文件记载。
三道防线的中国发展
四、国资委的央企指引
三道防线在中国的发展,引起大家广泛注意和认知的是国务院国资委2006年6月发布的《中央企业全面风险管理指引》:
其中第十条明确规定:
第十条 企业开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线,即
各有关职能部门和业务单位为第一道防线;
风险管理职能部门和董事会下设的风险管理委员会为第二道防线;
内部审计部门和董事会下设的审计委员会为第三道防线。
我们前些年协助大量央企从集团层面建立全面风险管理体系,组织结构的设计就是根据此三道防线的要求进行的,三道防线作为风险管理体系的一个要求,被广大企业接受。
这比IIA的三道防线立场报告发布早了7年。
而这,并不是国内最早的对于三道防线的文件记载。
五、证监会内控指引
在2008年财政部联合五部委统一发布《企业内部控制基本规范》之前,各部委和交易所已经发布了自己的内部控制要求文件。
比如,2003年12月,证监会发布的《证券公司内部控制指引》。
其中第十三条明确规定:
第十三条 证券公司应建立清晰合理的组织结构,依据所处环境和自身经营特点设立严密有效的三道业务监控防线:
(一)建立重要一线岗位双人、双职、双责为基础的第一道防线,并加强对单人单岗业务的监控。与资金、有价证券、重要空白凭证、业务合同、印章等直接接触的岗位和涉及信息系统安全的岗位,应当实行双人负责制。
(二)建立相关部门、相关岗位之间相互制衡、监督的第二道防线。不同部门应有明确的职责分工,不相容职务应适当分离。
(三)建立独立的监督检查部门对各项业务、各部门、各分支机构、各岗位全面实施监控、检查和反馈的第三道防线。
这个文件和英国FSA发布的记载文件同一年,稍晚了几个月。
六、央行的绝杀文件
在寻找三道防线出处的时候,我们惊喜的找到了一份上个世纪末1997年5月中国人民银行发布的一份文件,关于《加强金融机构内部控制的指导原则》(2007年已废止)。
其中,第十六条明确表明了建立“三道防线”的要求。
第十六条 金融机构要设立顺序递进的三道监控防线,建立完善内部控制制度。
(一)……
(二)建立一线岗位双人、双职、双责为基础的第一道监控防线。属于单人单岗处理业务的,必须有相应的后续监督机制。
(三)建立相关部门、相关岗位之间相互监督制约的工作程序作为第二道监控防线。要建立业务文件在相关部门和相关岗位之间传递的标准,明确文件签字的授权。
(四)建立以内部监督部门对各岗位、各部门各项业务全面实施监督反馈的第三道防线。
2003年证监会的文件其实是对这份文件的继承。
1997年,这个时间足够早了,比FSA文件足足早了6年,在互联网刚刚兴起的年代,能保存这份文件实属不易。
至此,我们是否可以下结论:“三道防线”的概念首次出现在中国?
在国际交流和翻译中被带入到了国际上,这种概率是存在的。如果有国际专家对这个结论不同意,按照“谁反对、谁举证”的原则,需要拿出早于1997年的确凿记载文件。
我在解读新版三道防线的文章后面提到了关于增强中国在国际学术和研究机构中影响力的观点,有些研究,我们要积极参与,有些成果,我们要敢于发声。
这属于软实力的体现,有时比硬实力的对撞影响力更大,也算是我们风险管理理论自信的一部分吧。
三道防线以往相关文章,供参考:
注:三线模型原文获取方式,公众号平台发送“IIA2020”或“IIA2020cn”获取英文或中文下载链接。
精华汇总