2001之後,證監會、國資委、保監會相繼出臺規範性文件,從內控或風險管理的角度對“三道防線”的設置提出了明確要求。具體來說,證監會的規定與《指導原則》的規定相同,都是從內部控制的角度設置防線;SASAC和保監會從風險管理的角度對“三道防線”的設置提出了具體要求。需要指出的是,中國證監會、中國保監會和SASAC的規定不適用於商業銀行,中國保監會和SASAC的規定與商業銀行組織管理模式的實踐和傳統有很大不同。2008年,財政部、銀監會等五部委聯合發布了《企業內部控制基本規範》(以下簡稱《基本規範》)。雖然沒有明確提出“三道防線”的要求,但為商業銀行設置“三道防線”提供了新的思路和指引。與此同時,“三道防線”的主要防控對象也經歷了從“防案件”到“防風險”再到“防偏差”的兩次大演變。上世紀90年代初,我國金融系統案件頻發,“三角債”和虛假票據泛濫,危害金融秩序,影響金融穩定。為了控制案件高發,人民銀行發布了《指導原則》,要求建立“三道防線”,其主要目的是防控案件。隨著風險管理理論和實踐的發展,防控的對象也逐漸從“防案”發展到“防風險”。《基本規範》頒布後,企業內部控制被提升到國家戰略的高度,體現了五部委對內部控制的高度重視和深刻共識。就內部控制而言,“三道防線”旨在預防和控制經營管理活動與既定目標之間的偏差。當然,這裏的偏離與廣義風險在邏輯上是壹致的。因此,可以說商業銀行“三道防線”的防控對象是對既定目標的各種偏離,尤其是風險承受能力,包括狹義風險、欺詐和案件。這也是基本代碼的本質要求。