提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》
免费试用
400-811-3777

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创
    申请试用
      热门阅读
      1

      数字医学与健康大会DMHC——美创与您相约古都金陵

      2025-08-12

       2

      美创科技打造县域医疗灾备新标杆|神木市医院 HIS 系统数据库分钟级切换演练实录

      2025-07-02

       3

      百万罚单警示!DCAS助力金融机构筑牢数据安全防线,实现监管合规

      2025-06-20

       4

      2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

      2025-02-07

       5

      美创用户专访 | 精细化管理:医疗行业数据分类分级的策略与实践

      2025-01-10
      相关文章

      数智医疗 安全护航|美创亮相2025数字医学与健康大会(DMHC)

      2025-08-25

      中国医师节|致敬每一位中国医护工作者

      2025-08-19

      捷报频传 | 美创智能数据安全分类分级平台获“2025年网络安全优秀创新成果大赛”优胜奖!

      2025-08-14

      数字医学与健康大会DMHC——美创与您相约古都金陵

      2025-08-12

      「月」读美创|标准筑基、行业引领、产业赋能

      2025-08-11
      金融行业“三道防线”探讨和风险治理的困境
      发布时间:2020-04-29 阅读次数: 1788 次

      三道防线是金融行业主流的风险管理术语。1997年中国人民银行发布《加强金融机构的内部控制的指导原则》(下称《指导原则》),首次提出三道防线管理体系,即:一线岗位监督、部门岗位制衡以及监督部门监控等三道防线。此后,保监会,证监会陆续发布了类似的三道防线用来指导券商和保险的风险管理。



      虽然,人民银行和银监会在2002年废止《指导原则》之后,没有再在总体指导上明确提出三道防线。《商业银行信息科技风险管理指引》也没有明确提出三道防线的说法,但其内核和三道防线却一脉相承。



      《指导原则》的三道防线描述
      (一)、建立一线岗位双人、双职、双责为基础的第一道监控防线。属于单人单岗处理业务的,必须有相应的后续监督机制。

      (二)、建立相关部门、相关岗位之间相互监督制约的工作程序作为第二道监控防线。要建立业务文件在相关部门和相关岗位之间传递的标准,明确文件签字的授权。

      (三)、建立以内部监督部门对各岗位、各部门各项业务全面实施监督反馈的第三道防线。内部监督部门作为对业务的事后监督机构,必须独立地监督各项业务活动,同时及时将检查评价的结果反馈给最高管理层。




      保险公司合规管理办法》的三道防线描述

      ▷ 第二十条保险公司应当建立三道防线的合规管理框架,确保三道防线各司其职、协调配合,有效参与合规管理,形成合规管理的合力。

      ▷ 第二十一条保险公司各部门和分支机构履行合规管理的第一道防线职责,对其职责范围内的合规管理负有直接和第一位的责任。保险公司各部门和分支机构应当主动进行日常的合规管控,定期进行合规自查,并向合规管理部门或者合规岗位提供合规风险信息或者风险点,支持并配合合规管理部门或者合规岗位的合规风险监测和评估。

      ▷ 第二十二条保险公司合规管理部门和合规岗位履行合规管理的第二道防线职责。合规管理部门和合规岗位应当按照本办法第十六条规定的职责,向公司各部门和分支机构的业务活动提供合规支持,组织、协调、监督各部门和分支机构开展合规管理各项工作。

      ▷ 第二十三条保险公司内部审计部门履行合规管理的第三道防线职责,定期对公司的合规管理情况进行独立审计。

      ▷ 第二十四条保险公司应当在合规管理部门与内部审计部门之间建立明确的合作和信息交流机制。内部审计部门在审计结束后,应当将审计情况和结论通报合规管理部门;合规管理部门也可以根据合规风险的监测情况主动向内部审计部门提出开展审计工作的建议。




      《证券公司投资银行类业务内部控制指引》的三道防线描述:

      第七条、证券公司应当构建清晰、合理的投资银行类业务内部控制组织架构,建立分工合理、权责明确、相互制衡、有效监督的三道内部控制防线:

       (一)、项目组、业务部门为内部控制的第一道防线,项目组应当诚实守信、勤勉尽责开展执业活动,业务部门应当加强对业务人员的管理,确保其规范执业。

       (二)、质量控制为内部控制的第二道防线,应当对投资银行类业务风险实施过程管理和控制,及时发现、制止和纠正项目执行过程中的问题。

       (三)、内核、合规、风险管理等部门或机构为内部控制的第三道防线,应当通过介入主要业务环节、把控关键风险节点,实现公司层面对投资银行类业务风险的整体管控。

             

      事前、事中、事后是风险管理的三道防线,在这点上几乎每个机构、每个层面都达成了共识。但如何定义事前、事中、事后,在不同机构中体现出了不同的理解和执行。无论是人民银行指导原则,还是保监会、证监会三道防线,很明显的可以发现风险评估缺失或者风险管理后置的问题。

      风险评估和治理是安全的起点,这应该是任何风险管理和安全管控的出发点。风险评估承接企业经营战略和目标,指导在日常运营中安全和风险如何进行保护、检测、响应和恢复,起到企业经营战略目标和具体落地控制之间承上启下的作用。显然,风险评估应该是事前这道防线的核心内容。

      但在商业银行、保险和证券等金融机构三道防线指导中都有意无意回避了这个问题。风险评估异常艰难,主要困难在于风险管理部门要领会最高管理层或者董事会的意图。这个过程在实践中极有可能是“鸡同鸭讲”的过程,非常痛苦且无效。金融机构的主营业务是经营风险,风险评估是其每分每秒在进行的日常事务。如果连金融机构都可能无法很好的做出安全风险评估,何况其他机构。

      基于上述分析,在风险评估支撑下的三道防线应该是如下进行的:


      0
      1
       第一道防线

      风险管理部门评估风险,形成规避风险的各种原则和规章制度以及具体落地措施,形成合规依据。具体落地措施由风险管理部门和合规管理部门共同制定。

      0
      2
       第二道防线

      一线业务部门依据规章制度和具体落地措施,日常贯彻执行。合规和稽核管理部门及时检查落实业务部门是否落实合规,发现合规中的障碍,及时改进合规措施。

      0
      3
       第三道防线

      审计部门定期对业务执行进行专项或者全面审计,检查和发现合规漏洞以及潜在可能存在风险。第三道防线和第一道防线形成反馈闭环。


      《商业银行信息科技风险管理指引》虽然没有明确提出三道防线,但以信息科技治理,风险管理部门和审计部门承担的三道防线相对比较接近风控、合规、审计的三道防线。要实现风控、合规、审计三道防线,必须解决风险评估的问题。要解决风险评估,必须要解决“鸡同鸭讲“的问题。也许风险管理需要改变思路,不要让董事会做指导,而是让董事会做选择题。

            


      参考资料:

      `1`. 《加强金融机构的内部控制的指导原则》(银发〔1997〕199号)

      `2`.《保险公司合规管理办法》(保监发〔2016〕116号)

      `3`.《证券公司投资银行类业务内部控制指引》 (证监会公告〔2018〕6号)

      `4`.《商业银行信息科技风险管理指引》(银监发〔2009〕19号)



      转自杭州美创科技有限公司公众号,如需二次转载,请联系marketing@mchz.com.cn

      上一条:防火墙国家标准发布 | 美创科技承担数据库防火墙标准工作
      下一条:首都网络安全日回顾美创科技数据安全进阶之路
      返回
      关注或联系美创
      官方订阅号 官方订阅号
      官方服务号 官方服务号
      第59号 第59号
      服务热线:400-811-3777
      商务合作:marketing@mchz.com.cn
      友情链接 中央网信办 公安部 工信部 CNCERT 中国信通院 中国软件测评中心 国家工业信息安全发展研究中心 赛迪研究院
      Copyright © 2024 杭州美创科技股份有限公司 All rights reserved.
      浙公网安备 33010502006954号 浙ICP备12021012号-1 网站地图 网站声明及隐私保护政策
      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部