請說明銀行內部控制三道防線之意義與功能

第一章   總則

中華民國銀行商業同業公會全國聯合會為有效協助銀行完善內部控制制度
及強健企業體質，推動內部控制三道防線理念之落實，特訂定本守則。
銀行關於內部控制三道防線架構之建立，應依本守則辦理。

銀行應建立內部控制三道防線架構，明確釐清三道防線之權責範圍，以利
各單位了解其各自在銀行整體風險及控制架構所扮演之角色功能，加強風
險管理及內部控制工作的溝通協調，三道防線各司其職。

第二章   內部控制三道防線理念

銀行各單位就其功能及業務範圍，承擔各自日常事務所產生的風險，謂第
一道防線，其應該負責辨識及管理風險，針對該風險特性設計並執行有效
的內部控制程序以涵蓋所有相關之營運活動。

第二道防線係獨立於第一道防線且非為第三道防線的其他功能及單位，依
其特性協助及監督第一道防線辨識及管理風險。第二道防線包含風險管理
、法令遵循及其他專職單位，其就各主要風險類別負責銀行整體風險管理
政策之訂定、監督整體風險承擔能力及承受風險現況、並向董（理）事會
或高階管理階層報告風險控管情形。

第三道防線係內部稽核單位，應以獨立超然之精神，執行稽核業務，協助
董（理）事會及高階管理階層查核與評估風險管理及內部控制制度是否有
效運作，包含評估第一道及第二道防線進行風險監控之有效性，並適時提
供改進建議，以合理確保內部控制制度得以持續有效實施及作為檢討修正
內部控制制度之依據。

銀行的董（理）事會及高階管理階層應積極協助及指導三道防線之建立，
清楚界定各道防線之角色功能及權責。
管理階層建立三道防線架構時，應考量各銀行活動的性質、大小、複雜程
度及風險狀況進行調整，但其調整需能確保三道防線之有效性。
董（理）事會及高階管理階層應持續確保組織架構符合三道防線原則，督
導該架構之有效運作，並對其有效性負最終之責任。

第三章   三道防線之角色與功能

第一道防線負責及持續管理營運活動所產生的相關風險，包含下列各款：
一、辨識、評估、控制及降低營運活動所產生的風險，確保營運活動與銀
    行目標及任務一致。
二、第一道防線應將風險控制在其單位可承擔之範圍內，依需要向第二道
    防線報導其曝險狀況。
三、建立內部控制程序。
四、執行風險管理程序並維持有效的內部控制。
五、當流程及控制程序不足時，應立即提出改善計畫。
第一道防線應定期或不定期就前項內容辦理自我評估，以確保風險有被適
當控管。

第二道防線的功能係在訂定整體政策及建立管理制度，協助及監督第一道
防線管理風險與自我評估執行情形。依照不同的功能性質，第二道防線之
權責包含協助辨識及衡量風險、定義風險管理角色及責任、提供風險管理
架構及定期將風險管理結果呈報高階管理階層。說明如下：
一、風險管理單位負責建立獨立有效的風險管理機制，以評估及監督整體
    風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序
    遵循情形。
二、法令遵循單位負責法令遵循制度之規劃、管理及執行，訂定法令遵循
    之評估內容與程序，並督導各單位定期辦理法令遵循自行評估及綜理
    法令遵循事務。
三、其他專職單位，包含但不限於財務控制、人力資源、法務等。

內部稽核單位係第三道防線，負責查核與評估第一道及第二道防線所設計
並執行之內部控制與風險管理制度之有效性，並適時提供改進建議。

第四章   三道防線間之協調

各銀行的組織架構雖然不盡相同，惟仍須依風險管理及控制架構中各道防
線所扮演之角色功能進行協調，運作之原則如下：
一、風險管理及控制流程的建構應遵循三道防線模式。
二、各道防線均應本於其角色定位及職掌，確實執行及管理相關業務。
三、各道防線應互相協調，以促進效果及效率。
四、各道防線之風險管理及控制功能運作結果，應互相分享知識與資訊，
    以協助所有功能更有效完成其職責。

第五章   附則

本守則經本會理事會通過，並報請金融監督管理委員會核備後施行；修正
時亦同。

勤業眾信風險管理諮詢 (股) 公司 / 張益紳執行副總經理、徐潔茹協理

近年來金融監理日趨嚴謹，金融機構於風險管理、法律遵循及內部控制需投入的成本及心力日增，惟國內外金融機構因人員舞弊、外部欺詐或內部控制失當等原因而蒙受損失，或受主管機關裁罰事件依然頻仍。

例如：疑似洗錢交易調查未盡確實而遭重大裁罰、聯貸案徵授信作業及貸後管理不當、未對具實質影響力的海外公司建置並執行適當資訊作業程序等。

金融機構除被處以罰鍰或停止該項業務經營外，亦對金融機構的營運績效及形象聲譽造成負面影響。

內部控制並非單一單位的責任，董事會、監察人或審計委員會及管理階層應帶領金融機構建立良好的風險管理意識及內部控制文化，金融機構各單位均有相應的角色功能、權責分工及分層呈報流程，管理階層可依三道防線回饋訊息及對主客觀環境變化進行適當調整，以健全內部控制環境，避免因權責模糊而造成內部控制的弱點。

第一道防線是最直接面對風險的人員，也是三道防線中可防範風險於未然的守門員，故應增加第一道防線對於內部控制及風險管理的知識與能力，以於面臨風險情況時，可快速做出正確判斷。

例如：銀行行員協助客戶辦理存提款業務時，發現客戶經常替代他人存提大筆款項出入特定帳戶，即應依規定向法務部調查局申報該筆交易為疑似洗錢交易，惟如行員基於業務考量或雖認為客戶有疑似洗錢可能卻礙於與客戶關係，未向法務部調查局申報，行員除可能成為洗錢幫兇之外，銀行也可能因此項缺失受主管機關裁罰並影響形象聲譽。

故為使第一道防線發揮最大效益，除有賴人員對於內部控制制度的認知及了解，金融機構也應定期辦理相關教育訓練，以提升人員的內部控制意識及判斷能力，並應教導人員面對客戶時，應秉持業務考量及內部控制的平衡點。

第二道防線包含風險管理及法令遵循等單位，其於得知內部控制缺失時，常常已是缺失事件發生後，且也有可能因缺乏足夠權限向第一道防線調閱詳細資料或進行查核的緣故，錯失防範該事件擴大或再次發生的可能性。

此時第二道防線應加強與第一道防線的溝通及與第三道防線的合作，深化對業務的瞭解並由具查核權的稽核單位視實際需求進行調查，以達防微杜漸之效。

第三道防線為內部稽核單位因應金融監理趨嚴、業務型態逐漸轉變及消費者保護意識抬頭，稽核人員的專業知識須因應業務及科技發展而提升，並應逐漸由事後偵測錯誤及糾正，轉型為事前預防性監理，以發掘及預防各種可能發生的重要風險，金融監督管理委員會也鼓勵銀行業建立風險導向內部稽核制度以提升內部稽核執行效益，使金融機構的稽核資源做最有效的配置，聚焦於重要風險並加強查核深度，以使銀行業完善內部控制制度。

強化內部控制並實施公司治理，不僅是為了符合相關法令規範，也是金融機構應上下共守的內控程序及永續經營重要關鍵，唯有建立良好的內部控制環境與具風險意識的企業文化，內部控制的三道防線各司其職並互相溝通合作，方可健全金融機構的營運體質、降低營運活動可能發生的風險並提升經營績效。

（本文已刊登於 2018-03-30 經濟日報 A15 經營管理版）

出自 MBA智库百科(https://wiki.mbalib.com/)

目錄

• 1 什麼是是三道防線
• 2 三道防線的發展
• 3 三道防線的必要性
• 4 三道防線如何設置

什麼是是三道防線

三道防線是商業銀行設置的，已無明確的監管要求。但是，經營管理中各項活動對既定目標的偏離和偏差無時不有、無處不在，不但可能形成風險、造成損失，還可能釀成刑事案件，甚至導致商業銀行破產。三道防線：預防性風險管理；存款保險制度；緊急救援制度。

三道防線的發展

1997年，人民銀行發佈了《加強金融機構內部控制的指導原則》（下稱《指導原則》），要求金融機構建立完善的內部控制制度，設立順序遞進的三道監控防線：即一線崗位監督、部門崗位制衡以及監督部門監控等三道防線。2002年，《指導原則》被廢止。此後人民銀行、銀監會規範性文件未再對“三道防線”進行規定。

2001年以後，證監會、國資委和保監會先後發佈規範性文件，從內部控制或者風險管理角度對“三道防線”設置提出了明確要求。具體而言，證監會規定與《指導原則》的思路相同，都是從內部控制的角度設置防線；國資委和保監會則是從風險管理的角度提出“三道防線”設置的具體要求。需要指出的是，證監會、保監會及國資委的規定均不適用於商業銀行，而且保監會、國資委的規定又與商業銀行的實踐和組織管理模式的傳統存在很大的差異。2008年，財政部、銀監會等五部委聯合發佈了《企業內部控制基本規範》（下稱《基本規範》），雖未明確提出“三道防線”的要求，但為商業銀行設置“三道防線”提供了新的思路和指南。

三道防線的必要性

目前，對商業銀行如何設置“三道防線”，已無明確的監管要求。但是，經營管理中各項活動對既定目標的偏離和偏差無時不有、無處不在，不但可能形成風險、造成損失，還可能釀成刑事案件，甚至導致商業銀行破產。加之，經濟金融形勢風雲變幻，商業銀行經營管理風險日趨複雜多樣，案件防控壓力不斷加大。設置內部控制防線已經成為商業銀行實現企業目標和強化內控管理的客觀需要，其目的就是保證經營管理按計劃進行並及時糾正各種重要偏差，防控風險，遏制舞弊、杜絕案件。

實踐中，各家商業銀行基於對三道防線的不同理解，設置了不同的防線。由於合理配置有限的資源是企業管理永恆的主題，內部控制“防線”的設置應當權衡實施成本與預期效益。在商業銀行經營管理中，哪些環節偏差頻率高、風險危害大就應該在哪裡設置防線。商業銀行的管理和控制圍繞著業務經營展開，因此，筆者認為，只有從商業銀行業務流程角度出發設置“三道防線”才能夠最有效地防控經營管理中存在的偏差和風險。

三道防線如何設置

按照業務流程，商業銀行應當設置如下“三道防線”：

一道防線

無論是監管部門的規定，還是商業銀行的管理實踐，均將直接進行業務操作，面向客戶提供產品和服務的一線崗位、機構作為內部控制最前沿的第一道“防線”。通過建立營業機構不同崗位各司其職、各負其責、相互制約的工作機制，形成由“自我約束”和“不相容職務分離”控制作業偏差的“第一道防線”。例如臨櫃業務人員操作必須遵循的“會計憑證，嚴格審核”、“重要業務，授權控制”等操作原則。

二道防線

由於委托代理中存在信息不對稱，“一道防線”的自我約束和崗位制約可能因內部人的串通而流於形式。為此，各商業銀行還設置了內控“第二道防線”。各職能部門的“自我約束”與“盡職監督”控制，是商業銀行的“第二道防線”。

“盡職監督”的概念是農業銀行在實踐中提出的，是指各級機構職能部門按照職責分工，對同級職能部門及下級對口部門相關經營管理活動進行監測、檢查、督導和糾偏的管理行為。具體而言，就是各部門將本條線及相關同級職能部門的實際工作情況與目標、計劃、標準進行比較分析，採取措施糾正偏差，以實現發展目標的管理活動。盡職監督是第二道防線的主體。

三道防線

由於商業銀行具有經營多元化和組織層級制的特點，各分支機構、部門的多元利益並存，更易出現因本位主義使經營管理活動偏離戰略目標和整體目標的問題。因此，需要對職能部門的自我約束和盡職監督進行監督。

首先，根據《基本規範》設立的內控管理部門作為組織協調內部控制建立和實施的專門機構，負責協調、推動和監督各職能部門盡職監督職責的履行。第二，內部審計部門作為商業銀行的內設機構，按照《基本規範》的要求，對內部控制的有效性進行監督檢查，以使董事會和高管層把握銀行整體的內部控制狀況和高風險領域；發現內部控制重大缺陷直接向董事會及其審計委員會、監事會報告。第三，監察部門對各級機構及人員執行制度、廉潔自律、履職效能實施監察；保衛部門負責刑事案件的查處。以上部門共同實現對第一道防線和第二道防線的事後監督、控制職責。從這個意義上講，可以將內控管理部門的協調監督，內部審計部門的再監督，連同監察部門、保衛部門履行的事後監督作為商業銀行業務流程控制的“第三道防線”。

商業銀行“三道防線”作為內部控制的組織體系，旨在糾正偏差、防控風險。商業銀行要基業長青，必需立足長遠，考量預期收益與當期成本，有目的、有重點的設置內控防線。同時，內部控制是一個過程，作用於業務流程的“三道防線”彼此不是孤立設置相互替代的，而是互為補充、相互強化的系統。必鬚髮揮業務流程中三道防線的系統合力，形成糾錯防弊的機制性保障，才能有效控制偏差和風險，進而夯實管理基礎、提升經營效率。