运用三线防御模型进行风险管理

一个全面的风险管理框架需要组织所有领域的意识和投入,以确保充分的风险识别, 评估, 和监控. 许多人一起工作,并带来独特的技能, 实现分配与流程相关的角色和职责的结构化方法是至关重要的. 缺乏这种方法可能会导致一场关于谁负责完成具体任务的持续辩论.

达到必要的凝聚力, “三道防线模式”(Internal Auditors Institute今年早些时候发布的一种治理和风险管理的新模式)通过定义组织风险管理的责任方和相关职责,提供了一种标准化和有效的方法. 进一步, 三道防线模型促进了风险所有权和更强的风险管理文化,同时消除了由多个职能管理风险时经常发生的低效和重叠.

如果三道防线模型由于其结构而不适合特定的组织该怎么办?  行业和规模等因素并不会抑制组织实施三道防线模型的能力,因为它有效管理风险的主要原则可以符合特定的标准.

 

实现方法

被区分为三个群体, 三道防线模型的主要目标是定义谁拥有和管理风险, 负责风险, 谁提供独立的保证.  虽然在实践中,三道防线模型可能会有很多变化, 每行的角色和职责一般如下:

第一行:业务流程所有者

由多个团队组成,在一个组织中执行日常操作, 第一行主要负责识别和监控出现的风险.  大多数业务流程所有者天生适合这个角色,因为控制被设计到他们在循环的基础上使用的流程和系统中.  额外的职责包括指导政策和程序的发展,并确保活动与组织的使命和风险偏好的目标一致.  因为站在第一线的人基本上处于组织面临风险的最前沿, 重要的是要赋予他们责任和责任,以便有效地规划和监测整个风险环境.

第二行:合规/风险管理功能

因为管理风险通常是一个广泛的过程, 组织经常需要专门的法规遵循和/或风险管理功能作为第二行.  功能的具体命名将因行业而异,但通常由组织构造,以确保第一行按预期操作.  在这工作, 第二行通过建立和交流通用的风险管理分类法来支持第一行对风险和控制的所有权, 评估方法, 和标准/实践.  也, 他们负责主动监测高风险区域,以确定由一线实施的流程是否有效工作,以符合适用的规则和法规.  第二行总结此分析结果的常用方法是在向流程中涉及的管理人员和涉众重复报告中.

第三行:内部审计

一个组织在使用独立性和客观性的同时向高级管理人员和董事会提供保证的能力对实现其总体战略至关重要.  支持这一努力, 内部审计作为第三行,评估第一和第二行实现风险管理和控制目标的方式.  确保组织正确识别和管理风险的一种有效方法是制定以高风险领域为重点的年度审计计划.  在对整个组织的控制进行基于风险的评估时,可以利用集成审计方法来评估业务和技术流程.

贵组织是否有有效的风险管理框架?  没有一个组织愿意面对没有被视为可能性或在影响方面被低估的威胁.  采用和实施三道防线模型可能是必要的驱动因素,以确保风险从上到下的整体管理.

 

了解更多或者查询新万博app下载如何帮助您的组织实现治理和风险管理的新模型, 联系人: content@www.4ugod.com.

更多的 风险 & 它的风险咨询