典型的三道防线组织架构图的图解

全新图解美军步兵单兵防御战术-20世纪50年代朝鲜战争，参战后前半年，三次战役还有穿插成功的案例，到了四次五次战役时就只有美军小部队穿插共军，而共军却无法重拾国内战争时期的故伎。

原因也是如此，缺少通讯设备，缺少技术人员，基层官兵素质差，纯靠多年战乱打下的战场感觉走。

碰到国军这样同一技术档次的对手，共军基层政治素质过硬，指挥结构紧凑自然占据机动优势；碰美军完全机械化而且完全现代化正规的指挥调度体系就完全没有作用了。

反而是美军穿插共军的结果。

所以后来大陆在苏联的帮助下实施正规化建设，这就是朝鲜的教训，信息时代也是如此。

有什么样的人，打什么样的仗，国民素质和军队建设联系是很紧密的。

条顿人对于世界历史的一大贡献就是：完善了拿破仑的统帅部（参谋本部）的功能。

建立了军官团制度，杀戮成了一门科学而离艺术越来越遥远。

这是区分旧式军队和现代军队组织形式的重大区别！（毛奇）朝鲜战争中前期PLA步兵素质优秀，在缺乏通讯器材的情况下屡次大胆实施穿插迂回，机动动作极其精妙。

但是必须清醒的认识到这些优秀的步兵军官和军人并不是现代化标准化训练带来的结果，而是长期战乱下养成的战场嗅觉所致。

美军连队战术动作，比如说建立阵地，是建立在条令，图上作业，受过训练的军官根据形式做出判断，然后自然有各级军士督促实施的基础上的。

抢占山头，火力配置等等，并且有分析，评估，总结的机制。

美军的防御工事一般来说是非常简陋的，临时性质的。

即使有几天甚至几个星期的时间来完善防御，美军的工事仍然显得非常简单，因为他们一般被认为是临时性的设施。

在美军的野战手册中，其实详尽地说明了工事堡垒以及障碍物的规格，结构。

但是在第二次世界大战的经验表明：对付一支轻装的，缺乏重炮，装甲车和空中优势的部队，根本没有必要建设坚固的纵深的防御工事，海军陆战队学会了挖日本人的狗洞（foxhole）——深挖的防御炮弹的散兵坑，能容纳一名士兵立姿战斗。

1949年出版的美军野战手册（US Army Field Manual）总结了第二次世界大战中的经验，详尽地介绍了从单兵掩体到碉堡到支援火气的布置以及壕堑防御系统。

风险管理的三道有效防线过去18 个月中，许多金融机构损失惨重。

人们将这种损失归咎于多种外因：如所有权结构及激励政策、评级机构、对某些产品缺乏有效的市场定价等等。

但在本文中，我们认为如果银行能够回归对一些基本环节的关注，特别是如果将有力的风险文化与三道有效防线进行结合，可以规避损失，事实上这已经在部分银行得到验证。

这三道防线由对风险具有敏锐判断力的人才所组成，是有效风险管理的核心。

1. 绪论当前的衰退主要源于美国金融市场：美联储的低息政策使整个美国经济中充斥着杠杆行为，尤其在消费贷款（特别是房贷）领域中。

祸因并非出于（缺乏）监管，而是出于次级信贷的过度扩张：如银行发放贷款额为抵押物价值105% 的贷款却未经信用审核。

通过将这些债务打包（如“ 担保债务凭证”或“按揭/资产担保证券”）并转售给包括其他银行在内的投资者，各种规模的银行均能因此解放其资产负债表，并再次投入此项业务。

这项举措得以持续进行的假设是：这种“安全的”抵押债务能带来持久的还款收益，换句话说，房地产市场会持续上扬。

通过评级机构的结果，许多（全球性的）机构也对此予以采信。

低息政策的第二个后果是银行的资产负债表呈现爆炸式增长。

而大量的资产收购也导致了不顾后果的杠杆行为：某些银行的债务资产比达到30:1 、40:1 甚至是100:1 。

根据近期对一些著名金融机构的访谈，我们得出这样的假设：造成这一切的元凶并非央行的低息资金、缺乏监管、或者风险的“复杂性”。

金融机构的职责本身就是对风险进行收集、定价、分解、去除关联、再次整合并进行定价。

因此，将这一切归咎于风险复杂性等于倒退到易货贸易的时代。

罪魁祸首实际上是一些大银行中混乱的治理结构、不良的激励体系以及糟糕透顶的风险管理。

随着美国房地产市场进入不可避免的萧条时期，以举债经营推动的增长开始转向下行。

对于初始债务发行者（或转售债务所有者）而言，资产价值已跌至贷款价值以下。

此外，“整合打包” 的主要目的之一就是建立一个低风险或风险分散化的资产包。

如何利用三道防线模型，使内部控制体系在企业落地为了解决这个问题，2015年，国际内部审计协会（IIA）联合COSO共同发布了一个文件LEVERAGING COSO ACROSS THE THREE LINES OF DEFENSE（如何在三道防线模型中使用COSO内控框架），这份文件我们和很多同仁分享过。

图：三道防线模型关于三道防线的概念，相信从业者早有耳闻，特别是内部审计工作者，因为IIA早有相关报告和资料介绍三道防线的概念，这次和COSO内控框架的结合，旨在将三道防线的职能和内控的要素、原则进行关联，更好的利用COSO的内控框架充实三道防线的工作内容，也使COSO的内控框架更好的被落地实施。

今天，把这篇文章的观点和大家介绍一下。

一、董事会及高级管理层虽然董事会和高级管理层不属于三道防线中的任何一道，但他们的作用却是不可或缺的，在董事会的监督下，高级管理层负责内部控制的建立、改进和评价。

董事会和高级管理层负责设立组织目标，规划实现这些目标的战略，并建立治理结构来更好地管理风险。

高级管理层对第一和第二道防线的活动负有最终责任。

董事会和高级管理层对组织的控制环境负有主要责任，所以内控框架和董事会及高级管理层的对照关系如下图所示。

图：董事会及高级管理层的内控职责二、第一道防线：运营管理三道防线模型中的第一道防线主要由业务前台和中台负责日常风险管控工作。

运营经理设计并实施组织的控制和风险管理流程。

这些包括内部控制流程，旨在识别和评估重大风险，执行计划的活动，关注存在缺陷的流程，应对控制失效，并与活动的主要利益相关者沟通。

运营经理必须有足够的技能，以使其能够在他们的运营领域内完成这些任务。

高级管理层对所有的一道防线活动负有全面责任。

对于某些高风险领域，高级管理人员也可以直接监督前台和中台管理，甚至亲自执行一定程度的一道防线职责。

第一道防线主要对应着框架中的风险评估、控制活动和信息沟通部分，对于运营管理者，还包括监控活动部分，如下图所示。

银行风险管理三道防线“三道防线”是商业银行全面加强风险管理，完善内部控制架构的重要措施。

经过多年的不断实践，越来越多的商业银行开始逐渐理解并接受“三道防线”是风险管控体系的最佳实践。

“三道防线”的定义及其改善空间明确“三道防线”的责任主体各家银行对“三道防线”的理解不尽相同，根据不同防线定位，明确各道防线的职责以及明确各道防线履职的途径要与银行的经营发展战略、业务流程、产品创新和日常管理相结合。

一是做实以业务经办部门和业务经办行为主体的第一道防线。

业务经办部门和经办行处于业务流程的最前端，直接面对市场和客户，同时承担业务发展职责和直接管理风险的第一责任。

二是做实以业务管理部门、风险管理部门和合规部门为主体的第二道防线。

要将第二道防线的风险管理关口前移，要实现前瞻设计、全流程参与、扁平化作业和尽职监督。

三是做实以审计、监察等部门为主体的第三道防线。

提升第三道防线的再评估能力，提高再监督的权威性和严肃追责，督促第一、二道防线尽职履则。

提升“三道防线”的履职能力要保证最前真个牢靠性。

一是要提升能力，强化责任。

要通过培训，提升第一道防线即一线岗亭人员的业务经营水平，同时提升其风险识别和管理能力，提高调查的全面性、生意业务的真实性和操作的合规性，强化全员风险管理意识和责任意识。

二是要健全岗亭制约。

第一道防线应设置风险管理的部门或岗亭，发挥第一道防线面对市场和客户的风险识别、控制和岗亭制约作用，并建立双线报告机制。

三是要强化自律检查。

提升第一道防线的风险自评、自控、自查和自纠能力，切实把好第一道关口。

风险管理要做到尽职尽力。

一是提升风险管理的兼顾力。

风险管理部门作为全面风险管理的抓总部门，要兼顾全行风险管理工作，强化对全行风险管理的设计、指点和监督，并展开全行风险识别、计量、监测和控制工作；要建立风险管理部门的双线报告制度和垂直为主的考核机制，提升风险管理的独立性；要发挥合规部门在风险管理政策落实方面的兼顾监督、检查和内控评价职能，确保内部控制措施的有效性。

“11月3日，被誉为天空之吻的神州八号和天宫一号的成功对接，是我国航天技术的飞跃，更是航天人一次成功的风险控制。

”上海会计学会会长汤云为用一个又一个案例生动地讲解着风险控制的重要性。

如何设置内控流程才能把风险管控在可承受的范围内？这正是企业目前关注的话题。

在汤云为看来，风险控制的一道道程序类似一张张瑞士奶酪，尽管每张都有不同的小漏洞，但重要的是环环层叠到一起不让风险漏出去。

这对内控流程设置提出很高要求，实际上也是要求企业在原先的内部控制结构框架上向企业风险管理转变。

“如果没有良好的公司治理结构，内控设置的流程再多，实际效果仍然存有缺陷。

”汤云为强调。

事实上，企业风险管理的框架是由一个基础、三道防线来构架的。

这个基础指的是良好的公司治理结构；三道防线分别是业务部门、风险管理职能部门及内部审计部门。

汤云为认为，企业日常业务经常面临各种风险，业务部门是企业的前线，因此必须把的手段融入到业务单位的工作和流程中，才能建立好防范风险的第一道防线。

这也是内控流程层面上的重要问题。

第二道防线是风险管理职能部门。

这在过去企业中并不常见的，后来在监管部门的要求下，才有越来越多的企业开始建立风险管理委员会。

汤云为说：“第二道防线在业务部门之上建立一个更高层次的风险管理功能———风险管理委员会，它的工作是要确保企业风险管理得到落实，并对相关工作做出持续性监控。

它的职责包括对各类业务单位的风险进行组合性管理，负责风险信息的披露，协助业务单位进行内控、预警系统管理等。

”企业对第三道防线非常熟悉，即审计委员会或内部审计部。

“第三道防线是我们内控制度得到执行的最重要部门，这个部门应该配备足够的人力，使其具有一定的独立性和权威性。

”汤云为特别强调说。

现代企业建立风险管理系统是生存之道，而不是一种可做可不做的选择。

外部环境变幻莫测，风险也随之变化，企业应该按照内控的影响程度和发生的可能性进行排序，把对风险的考虑融入到企业的内控决策流程内。

风险管理的三道防线尽管许多银行在风险管理工具及流程上曾进行过大量的投入，但在次贷危机中，它们的风险控制却形同虚设。

其实，如果银行能够回归到一些基本环节，特别是将有力的风险文化与三道有效防线相结合，本可有效地规避损失文·柯安德(Andrew Cainey)过去18个月以来，许多金融机构损失惨重。

人们将这种损失归咎于多种外因，如所有权结构与激励政策、评级机构、对某些产品缺乏有效的市场定价等。

其实，如果银行能够回归到一些基本环节，特别是将有力的风险文化与三道有效防线相结合，本可有效地规避损失，事实上这已经在部分银行得到了验证。

这三道防线(见100页图1)由对风险具有敏锐判断力的人所组成，是有效风险管理的核心。

风险管理的失败当前的衰退主要源于美国金融市场：美联储的低息政策使整个美国经济中充斥着杠杆行为，尤其在消费贷款(特别是房贷)领域中。

祸因并非出于监管缺失，而是出于次级信贷的过度扩张。

例如，银行发放贷款额为抵押物价值105%的贷款，却未经信用审核。

通过将这些债务打包并转售给包括其他银行在内的投资者，各种规模的银行均能因此解放其资产负债表，并再次投入此项业务。

这项举措得以持续进行的假设是：这种“安全的”抵押债务能够带来持久的还款收益。

换句话说，房地产市场会持续上扬。

通过评级机构的评定结果，许多全球性的机构也对此予以采信。

低息政策的第二个后果是银行的资产负债表呈现爆炸式增长，而大量的资产收购也导致了不顾后果的杠杆行为：某些银行的债务资产比达到30:1 、40:1 甚至100:1 。

不过，根据近期对一些著名金融机构的访谈可以发现，造成这一切的元凶并非美国央行的低息政策、监管缺失，或者风险的“复杂性”。

金融机构的职责本身就是对风险进行收集、定价、分解、去除关联、再次整合并进行定价。

因此，将这一切归咎于风险复杂性等于倒退到易货贸易的时代。

罪魁祸首实际上是一些大银行中混乱的治理结构、不良的激励体系以及糟糕透顶的风险管理。

风险管理“三道防线”含义已变！COSO风险管理框架“应为两道防线"2018-06-09 12:38近期业内都在热议COSO风险管理框架“三道防线”新解等相关事宜，而我认为“应为两道防线，并非三道防线”。

之前一直对“三道防线”的提法多少有些疑惑，总觉得哪里不太明白，这次新解以及业内各位专家的热议倒是让我清醒了一些。

虽然国际、国内都在提“三道防线”的观点，但我仍有不同的看法。

一、风险管理“三道防线”的概念一谈到企业风险管理的“三道防线”概念。

我们就会想到前些年企业进行全面风险管理体系建设时，经常提起的在组织机构层面建立企业风险管理的“三道防线”的做法，即企业的业务部门作为前端部门是风险管理的第一道防线；企业风险管理职能机构作为风险管理的第二道防线；企业的内部审计职能机构作为风险管理的第三道防线。

下图是前些年我们对典型的三道防线组织架构图的理解。

在国际上，也有跟国内“三道防线”提法相对应的概念，即Three Lines of Defense，也可以直译为三道防线。

即第一道防线是Risk Owner (风险所有方），也是指业务单元或部门；第二道防线是Risk Management (风险管理）, 前些年在风险管理理论还不太成熟时，也有称第二道防线是Risk Control and Compliance(风险控制与合规）；第三道防线是Risk Assurance（风险保证），主要是指内部审计部门。

一、对新版COSO风险管理框架中的“三道防线”的质疑新版COSO风险管理框架在附录中阐述了对于三道防线的概念，其中提到了风险管理责任落实的第一道防线是：核心业务部门（Core Business）；第二道防线是：支持职能部门（Supporting Function）；第三道防线是：保证职能部门（Assurance Function）。

核心业务部门：即企业的业务部门，作为风险管理的第一责任机构；支持职能部门：包括法务、合规、财务、人力、质量、安全等，所有可以协助一线核心业务部门进行风险管控的职能，都应该属于支持职能部门，即第二道防线；保证职能部门：主要指的是审计、监察部门，即第三道防线；以上就是新版框架中的内容。

审计、内控、风险管理三者之间的关系标风险管理侧重的是“可能性”。

因此，风险管理应该是最早的环节，从企业整体评估风险状况，找到应对策略。

这其中，又可分为不可控风险和可控风险。

不可控风险通常通过风险转移、保险、风险接受等方式进行应对；可控的风险通常通过内部控制手段进行应对。

所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。

那内控执行的效果如何，就通过审计来检查。

审计检查完后有一些发现问题，可能是最早风险评估环节就没考虑到的，那么审计发现问题又回过头来指导风险管理的完善。

所负责部门，每个企业都不太一样。

有的是分设三个部门：风险管理部、内控部、审计部。

也有的将这几块自由排列组合，也有放到一个部门的，甚至放到财务部底下的都有。

风险管理——>内部控制——>风险控制内部审计是内部控制的重要手段。

内部控制和内部审计的互动共进，有效提升公司治理效率。

内部控制是内部审计的“风向标”，内部审计是内部控制的“测试仪”。

三者的本质都是为了控制好风险。

三者区别是：1.内控是让你好好开车别撞人，也别开到沟里去，它是一切风险管理的基础，特别是治理层面的内部控制。

2.风险管理是一个更广的含义，不仅仅是不撞人、不翻车，更要保证方向是对的，速度是合适的，开车的方式是可持续的，还要保证尽量不被别人撞，万一被撞要能扛得住……3.风险管理包括内部控制，但他们都不是一个部门的事情，是一个组织行为。

4.审计是风险管理的一种手段，也是内控要素中监督要素的一种体现。

是风险管理工作具体落地的方式，和之前的两个不在一个层面上。

实务中全面的应用到了风险、内控与审计三个概念的，主要是银行业及部分工业企业（如核电、采矿、化工等）。

其他企业中实际上真正界定了这三个概念并付诸实施的其实很少。

以下只针对银行业有些皮毛理解，如下：对于银行来说，三道防线的概念可以清晰的把风险、内控与审计联系起来。

三道防线示意图风险管理，是一个相对宏观的概念，对于银行来说，也可以说是经营的本质。

对风险管理“三道防线”模式的分析和运用建议金俊峰（中国农业银行风险管理部）风险管理组织体系的构建是商业银行实行全面风险管理的基础和重要保障。

本文分析了国际大型银行构造风险管理组织体系普遍采用的风险管理“三道防线”（three lines of defence）模式，并根据农业银行目前的组织结构设置，对农业银行如何构造全面风险管理组织体系的提出了初步建议1。

一、“三道防线”模式的概念“管理当局所面临的最为重要的挑战之一是确定所在的主体在为创造价值而奋斗的同时，准备承受和实际承受了多大的风险”2。

其中，“准备承受”是属于风险偏好（risk appetite）的议题，由主体的董事会主观、事先确定。

“实际承受”则是主体通过风险管理组织体系的构建，实现对主体各项活动所承担风险的识别、评估、应对、控制、监控等风险管理行为，最终使实际承受的风险与准备承受的风险相一致，从而为主体创造价值、实现主体目标提供合理保证。

国际大型银行普遍将风险管理“三道防线”模式与“业务单元制”3组织架构和“流程银行”4建设相结合，构建全面风险管理组织体系。

风险管理“三道防线”模式已被国际大型银行证明行之有效，并逐渐被其它非银行类大型企业广泛采用5。

尤其是自2007年由美国次贷危机引发的全球金融危机以来，各国际大型银行围绕“三道防线”模式进一步加强风险管理组织体系的建设。

所谓风险管理的“三道防线”模式，指的是在主体内部构造出三支对风险管理承担不同职责的团队（业务团队、风险管理团队、内部审计团队），相互之间协调配合，分工协作，并通过独立、有效地监控，提高主体的风险管理有效性。

“三道防线”的模式构建了一个风险管理体系监督架构，充分体现了风险管理的全员性、全面性、独立性、专业性和垂直性。

在国际大型银行发布的年度报告中，一般均明确指出其按照“三道防线”模式构建风险管理框架。

如美国银行（Bank of America）在其2008年度报告指出：美国银行围绕“三道防线”，即业务线（lines of business）、职能部门（enterprise functions）和审计(corporate audit)来设计风险控制流程和方法6。

电力系统三道防线
HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】
电力系统三道防线：
第一道防线：由继电保护装置快速切除故障元件，最直接最有效地保证电力系统暂态稳定；
第二道防线：采用稳定控制装置及切机、切负荷等措施，确保在发生大扰动情况下电力系统的稳定性；
第三道防线：当电力系统遇到多重严重故障而稳定破坏时，依靠失步解列装置将失步的电网解列，并由频率及电压紧急控制装置保持解列后两部分电网功率的平衡，防止事故扩大、防止大面积停电。

第一道防线：快速可靠的继电保护、有效的预防性控制措施，确保电网在发生常见的单一故障时保持电网稳定运行和电网的正常供电；
第二道防线：采用稳定控制装置及切机、切负荷等紧急控制措施，确保电网在发生概率较低的严重故障时能继续保持稳定运行；
第三道防线：设置失步解列、频率及电压紧急控制装置，当电网遇到概率很低的多重严重事故而稳定破坏时，依靠这些装置防止事故扩大，防止大面积停电。

如何利用三道防线模型，使内部控制体系在企业落地最近，我们将COSO在2013年发布的更新版内部控制体系做了系列的解读，对内部控制框架的5个要素、17项原则也做了概要性的介绍。

但是，这里有一个问题，就是内部控制体系如何落地，内部控制体系如何与企业的管理职能对接？这是一个非常重要的问题，在COSO的框架里并没有给出答案。

在框架的附录B中，谈到了内部控制的角色与职责，里面提到了一个关于三道防线的概念，如果大家记得2017年我们给大家解读COSO企业风险管理框架时，有一篇文章专门介绍了三道防线的概念——风险管理三道防线含义已变，另外我们还有其他好几篇介绍三道防线的内容。

但是，内控框架附录B中的角色与职责的描述，并没有解决角色与职责同内部控制要素之间的对应关系，企业到底谁来执行内部控制的哪些工作没有明确阐述。

为了解决这个问题，2015年，国际内部审计协会（IIA）联合COSO共同发布了一个文件LEVERAGING COSO ACROSS THE THREE LINES OF DEFENSE（如何在三道防线模型中使用COSO内控框架），这份文件我们和很多同仁分享过。

图：三道防线模型关于三道防线的概念，相信从业者早有耳闻，特别是内部审计工作者，因为IIA早有相关报告和资料介绍三道防线的概念，这次和COSO内控框架的结合，旨在将三道防线的职能和内控的要素、原则进行关联，更好的利用COSO的内控框架充实三道防线的工作内容，也使COSO的内控框架更好的被落地实施。

今天，把这篇文章的观点和大家介绍一下。

一、董事会及高级管理层虽然董事会和高级管理层不属于三道防线中的任何一道，但他们的作用却是不可或缺的，在董事会的监督下，高级管理层负责内部控制的建立、改进和评价。

董事会和高级管理层负责设立组织目标，规划实现这些目标的战略，并建立治理结构来更好地管理风险。

高级管理层对第一和第二道防线的活动负有最终责任。

董事会和高级管理层对组织的控制环境负有主要责任，所以内控框架和董事会及高级管理层的对照关系如下图所示。

金轩商业中心（南开区老城厢13#地项目）二期工程
消防安全管理组织机构框架图
职责：1、指挥组：由组长负责统一协调各小组工作，副队长具体实施指挥，使
各消防施救工作能有条不紊的进行。

2、灭火、抢险组：险情发生时，在第一时间内赶赴失火现场利用现有灭火器材灭火。

3、施救组：对受伤员工进行紧急救治，并在最短时间内送医院。

4、联络组：在险情发生时，负责和当地消防机构与医疗机构取得联系。

5、疏散组：负责在险情发生时，引导员工离到安全检查地带。

医疗急救电话：120 消防报警电话：119
核准：
制订人：。

重磅！IIA发布风险管理的新“三道防线”模型IIA 三道防线模型写在最前的致敬因为我工作草率，上一版翻译中出现了不少问题。

感谢“蜗牛”盆友给我的细心指正。

我重新校对了词句，同时为了便于大家整理，我删掉了花哨的格式。

把此文章完整地呈现给大家。

谢谢！介绍组织是一项人类的事业，它在一个越来越不确定、复杂、相互关联和不稳定的世界中运作。

组织通常有多个利益相关者，他们的利益不同，多变，有时甚至相互竞争。

利益相关者将组织监督委托给一个管理机构(治理结构)，而管理机构又将资源和权力委托给管理者，以采取适当的行动，包括管理风险。

由于这些原因以及更多的其他原因，组织需要有效的结构和过程来实现目标，同时支持强有力的治理和风险管理。

由于治理机构收到管理层关于活动、结果和预测的报告，治理层和管理层都依赖内部审计职能，就所有事项提供独立、客观的保证和建议，并促进创新和改进。

治理机构最终对治理负责，治理通过治理机构的行为以及管理层、内部审计职能来实现。

三道防线模型可帮助组织确定最能帮助实现目标并促进强有力的治理和风险管理的结构和流程。

该模型适用于所有组织，并通过以下方式进行了优化：采用基于下述原理的方法，并对模型进行调整以适合组织的目标和情况。

专注于风险管理对实现目标，“保护”和“管理”对实现价值做出了贡献。

清楚了解模型中代表的角色和职责以及它们之间的关系。

采取措施以确保活动和目标与利益相关者的优先利益保持一致。

三道防线模型的原理原理1：治理组织的治理需要适当的结构和流程来实现：治理结构对利益相关者负责，并以诚实，领导和透明的方式监督组织。

通过基于风险的决策和资源利用，管理层采取行动（包括管理风险）以实现组织目标。

独立的内部审计职能提供的保证和建议，旨在通过清晰的询问和有见地的交流来提供确定性结论和对组织的信心，并促进和促进持续改进。

原理2：治理结构的作用治理结构确保作用：建立适当的结构和流程，以实现有效治理。

组织目标和活动符合利益相关者的优先利益。

IIA发布更新版“三道防线”模型，三道防线即将退出历史舞台2020年7月，国际内部审计协会（IIA）更新了其富有影响力的三道防线模型(Three Lines of Defense，通常缩写为“3LOD”)，原三道防线的模型发布于2013年1月。

前一段时间，我们和大家介绍了2015年IIA联合COSO发布的一个三道防线和内控框架结合的文件，里面列示了之前的三道防线模型（如下图）：2013年版三道防线模型这些年来，在企业风险管理领域，“三道防线”的说法可谓深入人心，因为其和具体职能结合，大家比较容易理解和接受。

但是，就如我们之前所说，今天的风险不能一味的“防”，还需要加以利用，所以，三道防线的局限性也不言而喻。

新版的三道防线理论这次的更新变换了说法，将三道防线模型改为“三道线”模型（Three Lines Model，或译为“三线”模型），去掉了“防”字，这是否意味着“三道防线”自此退出了历史舞台？一、三道防线模型更新背景IIA为什么要更新这个模型，新的模型与之前的模型做了哪些改变呢？首先，IIA表示我们处在一个越来越不确定、复杂多变、相互交织和不稳定的世界。

同时，由于每个组织涉及多个利益相关方，其诉求多样，有的甚至相互冲突。

在这样的背景下，对治理层（治理机构）和管理层想要顺利实现组织的目标提出了新的挑战，组织需要设定强有力的治理和风险管理结构和程序来保障组织目标的实现，特别是内部审计对于管理活动提供的独立、客观的确认和建议等职能的发挥。

与老版本比，新版本做了6个方面的变化：1、模型的名字由“三道防线”变更为“三道线”模型；2、采用了基于“原则”的呈现方式，并以实现组织目标为最终目的对模型进行了调整；基于原则的呈现方式我们并不陌生，自从COSO 2013年的内部控制框架采用通行的“要素+原则”的方式编写之后，2017年又以此方式更新了其企业风险管理框架。

3、新模型更多的关注了治理层，包含组织的总体治理情况，不仅限于风险管理；4、除了之前熟知的风险管理对于防范风险和保护价值的作用之外，本文件提升了风险管理对实现目标和创造价值的贡献；5、论述了三道防线中各角色和职责以及他们之间的交互关系；6、体现了不同优先程度利益相关者的诉求，并确保组织目标和管控措施与其诉求保持一致。

风险管理的三道有效防线过去18 个月中，许多金融机构缺失惨重。

人们将这种缺失归咎于多种外因：如所有权结构及鼓舞政策、评级机构、对某些产品缺乏有效的市场定价等等。

但在本文中，我们认为假如银行能够回来对一些差不多环节的关注，专门是假如将有力的风险文化与三道有效防线进行结合，能够规避缺失，事实上这差不多在部分银行得到验证。

这三道防线由对风险具有敏捷判定力的人才所组成，是有效风险治理的核心。

1. 绪论当前的衰退要紧源于美国金融市场：美联储的低息政策使整个美国经济中充斥着杠杆行为，专门在消费贷款（专门是房贷）领域中。

祸因并非出于（缺乏）监管，而是出于次级信贷的过度扩张：如银行发放贷款额为抵押物价值105% 的贷款却未经信用审核。

通过将这些债务打包（如“ 担保债务凭证”或“按揭/资产担保证券”）并转售给包括其他银行在内的投资者，各种规模的银行均能因此解放其资产负债表，并再次投入此项业务。

这项举措得以连续进行的假设是：这种“安全的”抵押债务能带来持久的还款收益，换句话说，房地产市场会连续上扬。

通过评级机构的结果，许多（全球性的）机构也对此予以采信。

低息政策的第二个后果是银行的资产负债表出现爆炸式增长。

而大量的资产收购也导致了不顾后果的杠杆行为：某些银行的债务资产比达到30:1 、40:1 甚至是100:1 。

依照近期对一些闻名金融机构的访谈，我们得出如此的假设：造成这一切的元凶并非央行的低息资金、缺乏监管、或者风险的“复杂性”。

金融机构的职责本身确实是对风险进行收集、定价、分解、去除关联、再次整合并进行定价。

因此，将这一切归咎于风险复杂性等于倒退到易货贸易的时代。

罪魁祸首实际上是一些大银行中纷乱的治理结构、不良的鼓舞体系以及糟糕透顶的风险治理。

随着美国房地产市场进入不可幸免的萧条时期，以举债经营推动的增长开始转向下行。

关于初始债务发行者（或转售债务所有者）而言，资产价值已跌至贷款价值以下。

此外，“整合打包” 的要紧目的之一确实是建立一个低风险或风险分散化的资产包。