使用三道防线模型来管理风险
全面的风险管理框架需要组织所有领域的意识和投入,以确保充分的风险识别, 评估, 和监控. 许多方面共同努力,带来独特的技能, 实现结构化的方法来分配与流程相关的角色和职责是至关重要的. 缺乏这种方法可能会导致关于谁负责完成特定任务的持续争论.
达到必要的凝聚力, “三道防线模型”(今年早些时候由内部审计师协会发布的治理和风险管理的新模型)通过定义组织中风险管理的责任方和相关职责,提供了一种标准化和有效的方法. 进一步, 三道防线模型促进了风险所有权和更强的风险管理文化,同时消除了由多个功能管理风险时经常出现的低效率和重叠.
如果三道防线模型由于其结构而不适合特定的组织怎么办? 像行业和规模这样的因素不会抑制组织实现三道防线模型的能力,因为它有效管理风险的主要原则可以符合特定的标准.
实现方法
被区分为三个群体, 三道防线模型的主要目标是定义谁拥有和管理风险, 谁来监督风险, 谁提供独立的保证. 虽然在实践中,三道防线模型可能会有很多变化, 每条线的角色和职责大致如下:
第一行:业务流程所有者
由组织中执行日常操作的众多团队组成, 第一行主要负责识别和监控出现的风险. 大多数业务流程所有者天生就适合这个角色,因为控制被设计到他们反复使用的流程和系统中. 额外的职责包括指导政策和程序的发展,并确保活动与组织的使命和风险偏好的目标一致. 因为在第一线的个人基本上处于组织面临的风险的最前沿, 对他们来说,重要的是赋予他们有效规划和监测整体风险环境的责任和问责制.
第二行:合规/风险管理功能
因为管理风险通常是一个广泛的过程, 组织通常需要专门的法规遵循和/或风险管理功能作为第二行. 功能的具体命名因行业而异,但通常由组织构建,以确保第一行按预期运行. 在这个过程中, 第二行通过建立和交流公共风险管理分类法来支持第一行的风险和控制的所有权, 评估方法, 和标准/实践. 也, 他们负责主动监控高风险区域,以确定第一线实施的流程是否有效地工作,以遵守适用的规则和法规. 第二行总结分析结果的常见方法是在向流程中涉及的管理层和涉众重复报告中.
第三行:内部审计
一个组织在使用独立性和客观性的同时向高级管理层和董事会提供保证的能力对于实现其总体战略至关重要. 为了支持这项工作, 内部审计作为第三条线,通过评估第一和第二线实现风险管理和控制目标的方式. 确保组织正确识别和管理风险的有效方法是创建一个关注高风险领域的年度审计计划. 在跨组织执行基于风险的控制评估时,可以利用集成审计方法来评估业务和技术流程.
你的组织是否有一个有效的风险管理框架? 没有准备好应对威胁,这些威胁要么被视为不可能发生,要么在影响方面被低估,这是任何组织都不想面对的情况. 三道防线模型的采用和实现可能是确保从上到下全面管理风险所需的驱动因素.
了解更多或询问新万博app下载如何帮助您的组织实现这个治理和风险管理的新模型, 联系人: content@4ugod.com.