典型的三道防线组织架构图的图解

全新图解美军步兵单兵防御战术-20世纪50年代朝鲜战争，参战后前半年，三次战役还有穿插成功的案例，到了四次五次战役时就只有美军小部队穿插共军，而共军却无法重拾国内战争时期的故伎。

原因也是如此，缺少通讯设备，缺少技术人员，基层官兵素质差，纯靠多年战乱打下的战场感觉走。

碰到国军这样同一技术档次的对手，共军基层政治素质过硬，指挥结构紧凑自然占据机动优势；碰美军完全机械化而且完全现代化正规的指挥调度体系就完全没有作用了。

反而是美军穿插共军的结果。

所以后来大陆在苏联的帮助下实施正规化建设，这就是朝鲜的教训，信息时代也是如此。

有什么样的人，打什么样的仗，国民素质和军队建设联系是很紧密的。

条顿人对于世界历史的一大贡献就是：完善了拿破仑的统帅部（参谋本部）的功能。

建立了军官团制度，杀戮成了一门科学而离艺术越来越遥远。

这是区分旧式军队和现代军队组织形式的重大区别！（毛奇）朝鲜战争中前期PLA步兵素质优秀，在缺乏通讯器材的情况下屡次大胆实施穿插迂回，机动动作极其精妙。

但是必须清醒的认识到这些优秀的步兵军官和军人并不是现代化标准化训练带来的结果，而是长期战乱下养成的战场嗅觉所致。

美军连队战术动作，比如说建立阵地，是建立在条令，图上作业，受过训练的军官根据形式做出判断，然后自然有各级军士督促实施的基础上的。

抢占山头，火力配置等等，并且有分析，评估，总结的机制。

美军的防御工事一般来说是非常简陋的，临时性质的。

即使有几天甚至几个星期的时间来完善防御，美军的工事仍然显得非常简单，因为他们一般被认为是临时性的设施。

在美军的野战手册中，其实详尽地说明了工事堡垒以及障碍物的规格，结构。

但是在第二次世界大战的经验表明：对付一支轻装的，缺乏重炮，装甲车和空中优势的部队，根本没有必要建设坚固的纵深的防御工事，海军陆战队学会了挖日本人的狗洞（foxhole）——深挖的防御炮弹的散兵坑，能容纳一名士兵立姿战斗。

1949年出版的美军野战手册（US Army Field Manual）总结了第二次世界大战中的经验，详尽地介绍了从单兵掩体到碉堡到支援火气的布置以及壕堑防御系统。

风险管理的三道有效防线过去18 个月中，许多金融机构损失惨重。

人们将这种损失归咎于多种外因：如所有权结构及激励政策、评级机构、对某些产品缺乏有效的市场定价等等。

但在本文中，我们认为如果银行能够回归对一些基本环节的关注，特别是如果将有力的风险文化与三道有效防线进行结合，可以规避损失，事实上这已经在部分银行得到验证。

这三道防线由对风险具有敏锐判断力的人才所组成，是有效风险管理的核心。

1. 绪论当前的衰退主要源于美国金融市场：美联储的低息政策使整个美国经济中充斥着杠杆行为，尤其在消费贷款（特别是房贷）领域中。

祸因并非出于（缺乏）监管，而是出于次级信贷的过度扩张：如银行发放贷款额为抵押物价值105% 的贷款却未经信用审核。

通过将这些债务打包（如“ 担保债务凭证”或“按揭/资产担保证券”）并转售给包括其他银行在内的投资者，各种规模的银行均能因此解放其资产负债表，并再次投入此项业务。

这项举措得以持续进行的假设是：这种“安全的”抵押债务能带来持久的还款收益，换句话说，房地产市场会持续上扬。

通过评级机构的结果，许多（全球性的）机构也对此予以采信。

低息政策的第二个后果是银行的资产负债表呈现爆炸式增长。

而大量的资产收购也导致了不顾后果的杠杆行为：某些银行的债务资产比达到30:1 、40:1 甚至是100:1 。

根据近期对一些著名金融机构的访谈，我们得出这样的假设：造成这一切的元凶并非央行的低息资金、缺乏监管、或者风险的“复杂性”。

金融机构的职责本身就是对风险进行收集、定价、分解、去除关联、再次整合并进行定价。

因此，将这一切归咎于风险复杂性等于倒退到易货贸易的时代。

罪魁祸首实际上是一些大银行中混乱的治理结构、不良的激励体系以及糟糕透顶的风险管理。

随着美国房地产市场进入不可避免的萧条时期，以举债经营推动的增长开始转向下行。

对于初始债务发行者（或转售债务所有者）而言，资产价值已跌至贷款价值以下。

此外，“整合打包” 的主要目的之一就是建立一个低风险或风险分散化的资产包。

如何利用三道防线模型，使内部控制体系在企业落地为了解决这个问题，2015年，国际内部审计协会（IIA）联合COSO共同发布了一个文件LEVERAGING COSO ACROSS THE THREE LINES OF DEFENSE（如何在三道防线模型中使用COSO内控框架），这份文件我们和很多同仁分享过。

图：三道防线模型关于三道防线的概念，相信从业者早有耳闻，特别是内部审计工作者，因为IIA早有相关报告和资料介绍三道防线的概念，这次和COSO内控框架的结合，旨在将三道防线的职能和内控的要素、原则进行关联，更好的利用COSO的内控框架充实三道防线的工作内容，也使COSO的内控框架更好的被落地实施。

今天，把这篇文章的观点和大家介绍一下。

一、董事会及高级管理层虽然董事会和高级管理层不属于三道防线中的任何一道，但他们的作用却是不可或缺的，在董事会的监督下，高级管理层负责内部控制的建立、改进和评价。

董事会和高级管理层负责设立组织目标，规划实现这些目标的战略，并建立治理结构来更好地管理风险。

高级管理层对第一和第二道防线的活动负有最终责任。

董事会和高级管理层对组织的控制环境负有主要责任，所以内控框架和董事会及高级管理层的对照关系如下图所示。

图：董事会及高级管理层的内控职责二、第一道防线：运营管理三道防线模型中的第一道防线主要由业务前台和中台负责日常风险管控工作。

运营经理设计并实施组织的控制和风险管理流程。

这些包括内部控制流程，旨在识别和评估重大风险，执行计划的活动，关注存在缺陷的流程，应对控制失效，并与活动的主要利益相关者沟通。

运营经理必须有足够的技能，以使其能够在他们的运营领域内完成这些任务。

高级管理层对所有的一道防线活动负有全面责任。

对于某些高风险领域，高级管理人员也可以直接监督前台和中台管理，甚至亲自执行一定程度的一道防线职责。

第一道防线主要对应着框架中的风险评估、控制活动和信息沟通部分，对于运营管理者，还包括监控活动部分，如下图所示。

银行风险管理三道防线“三道防线”是商业银行全面加强风险管理，完善内部控制架构的重要措施。

经过多年的不断实践，越来越多的商业银行开始逐渐理解并接受“三道防线”是风险管控体系的最佳实践。

“三道防线”的定义及其改善空间明确“三道防线”的责任主体各家银行对“三道防线”的理解不尽相同，根据不同防线定位，明确各道防线的职责以及明确各道防线履职的途径要与银行的经营发展战略、业务流程、产品创新和日常管理相结合。

一是做实以业务经办部门和业务经办行为主体的第一道防线。

业务经办部门和经办行处于业务流程的最前端，直接面对市场和客户，同时承担业务发展职责和直接管理风险的第一责任。

二是做实以业务管理部门、风险管理部门和合规部门为主体的第二道防线。

要将第二道防线的风险管理关口前移，要实现前瞻设计、全流程参与、扁平化作业和尽职监督。

三是做实以审计、监察等部门为主体的第三道防线。

提升第三道防线的再评估能力，提高再监督的权威性和严肃追责，督促第一、二道防线尽职履则。

提升“三道防线”的履职能力要保证最前真个牢靠性。

一是要提升能力，强化责任。

要通过培训，提升第一道防线即一线岗亭人员的业务经营水平，同时提升其风险识别和管理能力，提高调查的全面性、生意业务的真实性和操作的合规性，强化全员风险管理意识和责任意识。

二是要健全岗亭制约。

第一道防线应设置风险管理的部门或岗亭，发挥第一道防线面对市场和客户的风险识别、控制和岗亭制约作用，并建立双线报告机制。

三是要强化自律检查。

提升第一道防线的风险自评、自控、自查和自纠能力，切实把好第一道关口。

风险管理要做到尽职尽力。

一是提升风险管理的兼顾力。

风险管理部门作为全面风险管理的抓总部门，要兼顾全行风险管理工作，强化对全行风险管理的设计、指点和监督，并展开全行风险识别、计量、监测和控制工作；要建立风险管理部门的双线报告制度和垂直为主的考核机制，提升风险管理的独立性；要发挥合规部门在风险管理政策落实方面的兼顾监督、检查和内控评价职能，确保内部控制措施的有效性。

“11月3日，被誉为天空之吻的神州八号和天宫一号的成功对接，是我国航天技术的飞跃，更是航天人一次成功的风险控制。

”上海会计学会会长汤云为用一个又一个案例生动地讲解着风险控制的重要性。

如何设置内控流程才能把风险管控在可承受的范围内？这正是企业目前关注的话题。

在汤云为看来，风险控制的一道道程序类似一张张瑞士奶酪，尽管每张都有不同的小漏洞，但重要的是环环层叠到一起不让风险漏出去。

这对内控流程设置提出很高要求，实际上也是要求企业在原先的内部控制结构框架上向企业风险管理转变。

“如果没有良好的公司治理结构，内控设置的流程再多，实际效果仍然存有缺陷。

”汤云为强调。

事实上，企业风险管理的框架是由一个基础、三道防线来构架的。

这个基础指的是良好的公司治理结构；三道防线分别是业务部门、风险管理职能部门及内部审计部门。

汤云为认为，企业日常业务经常面临各种风险，业务部门是企业的前线，因此必须把的手段融入到业务单位的工作和流程中，才能建立好防范风险的第一道防线。

这也是内控流程层面上的重要问题。

第二道防线是风险管理职能部门。

这在过去企业中并不常见的，后来在监管部门的要求下，才有越来越多的企业开始建立风险管理委员会。

汤云为说：“第二道防线在业务部门之上建立一个更高层次的风险管理功能———风险管理委员会，它的工作是要确保企业风险管理得到落实，并对相关工作做出持续性监控。

它的职责包括对各类业务单位的风险进行组合性管理，负责风险信息的披露，协助业务单位进行内控、预警系统管理等。

”企业对第三道防线非常熟悉，即审计委员会或内部审计部。

“第三道防线是我们内控制度得到执行的最重要部门，这个部门应该配备足够的人力，使其具有一定的独立性和权威性。

”汤云为特别强调说。

现代企业建立风险管理系统是生存之道，而不是一种可做可不做的选择。

外部环境变幻莫测，风险也随之变化，企业应该按照内控的影响程度和发生的可能性进行排序，把对风险的考虑融入到企业的内控决策流程内。

风险管理的三道防线尽管许多银行在风险管理工具及流程上曾进行过大量的投入，但在次贷危机中，它们的风险控制却形同虚设。

其实，如果银行能够回归到一些基本环节，特别是将有力的风险文化与三道有效防线相结合，本可有效地规避损失文·柯安德(Andrew Cainey)过去18个月以来，许多金融机构损失惨重。

人们将这种损失归咎于多种外因，如所有权结构与激励政策、评级机构、对某些产品缺乏有效的市场定价等。

其实，如果银行能够回归到一些基本环节，特别是将有力的风险文化与三道有效防线相结合，本可有效地规避损失，事实上这已经在部分银行得到了验证。

这三道防线(见100页图1)由对风险具有敏锐判断力的人所组成，是有效风险管理的核心。

风险管理的失败当前的衰退主要源于美国金融市场：美联储的低息政策使整个美国经济中充斥着杠杆行为，尤其在消费贷款(特别是房贷)领域中。

祸因并非出于监管缺失，而是出于次级信贷的过度扩张。

例如，银行发放贷款额为抵押物价值105%的贷款，却未经信用审核。

通过将这些债务打包并转售给包括其他银行在内的投资者，各种规模的银行均能因此解放其资产负债表，并再次投入此项业务。

这项举措得以持续进行的假设是：这种“安全的”抵押债务能够带来持久的还款收益。

换句话说，房地产市场会持续上扬。

通过评级机构的评定结果，许多全球性的机构也对此予以采信。

低息政策的第二个后果是银行的资产负债表呈现爆炸式增长，而大量的资产收购也导致了不顾后果的杠杆行为：某些银行的债务资产比达到30:1 、40:1 甚至100:1 。

不过，根据近期对一些著名金融机构的访谈可以发现，造成这一切的元凶并非美国央行的低息政策、监管缺失，或者风险的“复杂性”。

金融机构的职责本身就是对风险进行收集、定价、分解、去除关联、再次整合并进行定价。

因此，将这一切归咎于风险复杂性等于倒退到易货贸易的时代。

罪魁祸首实际上是一些大银行中混乱的治理结构、不良的激励体系以及糟糕透顶的风险管理。