內控、風險、信息安全、合規(guī)常說的“三道防線”模型剛改版了

內控、風險、信息安全、合規(guī)常說的“三道防線”模型剛改版了經常會有學員在轉崗為內控、合規(guī)、信息安全、風險管理、內審等管理崗位時，會來參加上海信息化培訓中心舉辦的相關培訓，如COBIT,CGEIT,CISA,CISM,ISO27001LA等，以適應并勝任新崗位的要求。學員們有個常見的問題是如何在新分管的內控、合規(guī)、信息安全、風險管理、內審等部門發(fā)揮更大更專業(yè)的作用，內控、合規(guī)、信息安全、風險管理、內審等部門之間的關系是怎么樣的？我們還有學員發(fā)現(xiàn)，為企業(yè)創(chuàng)造更多價值的敏捷、精益、DevOps三劍客已經化身為最新版的SAFe5.0規(guī)模化敏捷在大型五百強企業(yè)受到追捧，那么保護企業(yè)更多價值的治理、風控、合規(guī)三忍者GRC在大型企業(yè)的最新發(fā)展情況是什么？“GRC（治理、風險、合規(guī)的縮寫）具有在解決不確定性[風險管理]和誠信[合規(guī)]的同時可靠地實現(xiàn)目標[治理]的能力?！?關于GRC的定義有很多，最喜歡短小簡明的這句。自2003年發(fā)布以來，在過去的17年中，全球無數(shù)大型組織都采用了“三道防線”模型，因為它以簡單易懂生動形象的方式描述了風險管理和內部控制責任，讓業(yè)務部門、內控部門、合規(guī)部門、信息安全部門、風險管理部門、內審部門明確知道自己所處的位置，所以廣受歡迎。就在剛剛，2020年7月下旬，內部審計師協(xié)IIA會發(fā)布了新版“三道線模型“（ThreeLinesModel)，通過更全面地理解風險，涵蓋內控、協(xié)作、保證和問責制等因素，從而更好地反映業(yè)內對風險管理和治理原則的最新看法。新版三線模型旨在幫助組織確定最能幫助實現(xiàn)目標并促進強有力的治理和風險管理的結構和流程。雖然原文通篇沒有出現(xiàn)敏捷和數(shù)字化轉型的詞匯，但字里行間看的出來是受敏捷和數(shù)字化轉型潮流的影響。在以前的模型中，三道防線，分別是運營管理防線，風險和合規(guī)性監(jiān)督防線以及內部審計防線三道防線，換句話說以管理控制為第一線，風險和控制監(jiān)控為第二線，通過內部審計職能的獨立保證為第三線。新模型在這些層次上進行了擴展，側重于各線之間的合作和目標一致，從而帶來了更有效的保證。舊版三道防線模型的內在邏輯每個組織都有努力實現(xiàn)的目標，但越來越頻繁地出現(xiàn)對實現(xiàn)這些目標造成威脅的事件或情況。所以組織必須識別、分析、定義和解決風險。組織可以決定接受某些風險，并減輕其它風險。減輕這些風險的一種關鍵方法是通過設計和實施COSO內部控制–集成框架中概述的有效內部控制。為了使團隊了解各自在應對這些風險和控制措施中的作用，必須定義明確的責任。三道防線模型說明了如何在組織內分配和協(xié)調與風險和控制相關的特定職責。三道防線模型（ThreeLinesofDefense，3LoD）通過明確角色和職責來增強對風險管理和控制的理解。該模型為實施結構以及各方分配的角色和職責提供了指導，以提高對風險和控制的有效管理。模型本身實際上是關于確保將風險所有權，風險促進/監(jiān)督和風險保證這三個方面納入系統(tǒng)的組織結構準則。三道防線被視為一種監(jiān)督模型，旨在提供透明的監(jiān)督職責分配，并要求個人（或團體）承擔這些職責。該模型的基本前提是，通過管理層和董事會的監(jiān)督，組織內部需要三道防線才能有效地管理風險和控制。如果正確構造了這三條線而在覆蓋范圍沒有缺口，則組織得到有效管理的可能性就會增加。第一道防線：運營管理第一道防線由對風險和控制具有日常所有權和管理權的一線和中線經理處理。該團隊承擔風險，并執(zhí)行相應的控制措施，以提高實現(xiàn)組織目標的可能性。第二道防線：內部監(jiān)控和監(jiān)督職能第二道防線的建立是為了通過提供給第一線提供專業(yè)知識和監(jiān)控來支持高級管理層，以確保適當?shù)毓芾盹L險和控制措施。這是一種管理和監(jiān)督功能，包括風險管理流程的各個方面。第二線職能可以開發(fā)、實施或修改組織的內部控制和風險流程。根據(jù)組織的規(guī)模和所處行業(yè)，第二線的組成可能會有很大差異。管理控制和內部控制措施代表舊版模型的第一線，而第二線包括各種風險管理功能，包括財務控制、安全、風險管理、質量、檢查和合規(guī)性。二道線的職能發(fā)揮可以通過監(jiān)督、建議、指導、測試、分析和報告與風險管理相關的事項進行體現(xiàn)，只要是對一道線職能提供了支持或挑戰(zhàn)了其風險管理的做法，而且這些做法是管理層決策和行動不可或缺的，都是屬于第二道線的職責，當然這些支持和挑戰(zhàn)是聚焦和風險有關的事項，并不包含像一些日常的后臺管理/共享服務職能，如人力資源、行政、后勤等。第三道防線：內部審計第三道防線向高級管理層和董事會保證第一和第二線的工作與預期一致。該團隊是由內部審計師職能執(zhí)行的保證職能。內部審計師通過采用系統(tǒng)的方法來評估和提高風險管理，控制和治理流程的有效性來實現(xiàn)其目標。他們最終確保組織內的獨立性和專業(yè)性。第三道防線與前兩道防線的主要區(qū)別在于組織的高度獨立性和客觀性。舊版模型的爭議一直以來內部審計與檢測和報告實際或潛在的錯誤和失敗有關，談論三道防線可以反映出典型的審計師希望最大程度地降低風險的愿望，而組織只有在承擔適當風險水平的前提下才能成功。高管和董事會專注于需要承擔風險的績效，而專注于避免失敗的風險管理活動充其量被視為一項合規(guī)活動。之前舊版的三道防線（3LoD）模型有爭議之處在于，界限太過分立，沒有抓住組織的風險和控制的協(xié)調和共同責任。該模型可能會造成風險經理和內部審計師在那里阻止運營經理過于冒險激進的做法，拖運營積極探索新業(yè)務的后腿，有可能加劇了部門間的對抗，喪失了高風險高收益的機會。而且風險管理不能僅局限于防御。除了極少數(shù)情況下，僅靠防御就不會贏。您可能會冒著防守的風險，但是管理層從追求利潤的角度對前鋒更感興趣，因為前鋒進球。這使得風險管理部門與管理層的對話變得困難，因為他們將風險管理視為試圖阻止他們探索商機的人，反之亦然。風險管理不是為了避免失敗。它應該是在考慮可能發(fā)生的情況，所有潛在的結果，然后做出明智的決定并采取適當?shù)拇胧﹣砀纳平Y果，這是每天開展業(yè)務的一部分。圍繞風險管理的普遍做法都是將壞事減到最少。這導致無法與業(yè)務領導者聯(lián)系并證明風險管理的價值。據(jù)調查，很少有高管認為組織中的風險管理對業(yè)務戰(zhàn)略的執(zhí)行具有積極作用。舊模型看似層層防護，密不透風，但其實容易出現(xiàn)抓小放大，導致無法應對黑天鵝灰犀牛等大的危機。關于內部審計，應從報告損失風險轉變?yōu)榫腿绾胃玫亟洜I業(yè)務向董事會和管理層提供建議，通過更有效的決策，風險管理和控制。新版模型的變化新版模型的變化是對以上這些爭議的回應。風險歸管理層所有，風險從業(yè)者的作用是幫助他們提供工具、流程、信息等，以便他們可以正確地選擇適當數(shù)量的（不要太少也不要太多）風險。話不多說，先上兩張圖，上圖為2020新版“三線模型”（ThreeLinesModel），下圖為2003舊版“三道防線”（ThreeLinesofDefense）。我們需要一個更加積極的模型，并討論運營管理，風險管理和內部審計如何協(xié)作以幫助組織成功與老版本比，最明顯的一個變化是，模型的名字從“三道防線”（ThreeLinesofDefense）改為“三線模型”（ThreeLinesModel），一字之差有什么深意？風險管理不只是防御，還有進攻（注意這里說的不是黑客攻防，更多指的是積極面對風險）。組織需要有效的結構和流程，以實現(xiàn)目標并支持強有力的治理和風險管理。新添加的功能使該框架可以在進攻和防御兩方面進行操作，從而使組織可以更加主動地采取行動來實現(xiàn)其目標。新版本著重在4大方面進行了優(yōu)化：采用基于合理有用原則的方法并調整模型以適應組織目標及所處環(huán)境。新模型強調了治理，治理機構角色，管理層以及一線和二線角色，三線角色，三線獨立性，創(chuàng)造和保護價值有等六項原則。新模型基于原則的方法旨在為用戶提供更大的靈活性風險管理不只是防御，而是保護價值。組織需要有效的結構和流程，以實現(xiàn)目標并支持強有力的治理和風險管理。新添加的功能使該框架可以在進攻和防御兩方面進行操作，從而使組織可以更加主動地采取行動來實現(xiàn)其目標。關于實現(xiàn)目標的過程，需要創(chuàng)造和保護價值。風險管理對“實現(xiàn)目標和創(chuàng)造價值，以及對“防御”和保護價值的事情都做出了貢獻”。新版三道防線模型有利于在進攻和防守兩個方面統(tǒng)籌管理風險，這有效解決了對傳統(tǒng)三道防線的主要批評：僅立足于風險防范。更清楚理解模型中所代表的角色和責任以及之間的關系，以實現(xiàn)更有效的協(xié)調、協(xié)作、問責制和目標。在新模型下，風險管理的角色和職責劃分不再那么硬性分開，而是更具交互性，強調協(xié)作。在新模型中，為組織內的各種領導者明確定義了角色，包括董事會或理事機構的監(jiān)督；管理和運營負責人，包括風險和合規(guī)（一線和二線角色）；并通過內部審核獲得獨立保證（三線角色）。采取措施，以確保活動和目標符合利益相關者的優(yōu)先利益。新版“三線模式”將組織的治理機構（例如董事會）提供了更加清晰的角色和職責，從而將其納入分析框架之中。治理機構對組織進行檢視監(jiān)督，并對組織的利益相關者做出回應，將組織的利益與利益相關者的利益聯(lián)系起來。治理機構建立治理機制并將職責授權給內部各條線，并創(chuàng)建組織的文化。內部審計職能由治理機構建立和并給予獨立授權。管理層直接領導為實現(xiàn)組織目標而采取的行動，同時也要密切關注風險并確保組織符合法律、法規(guī)和道德標準。管理層創(chuàng)建結構以確保組織的有效性，并管理內部控制以減輕風險。內部審計職能向治理機構負責，并向理事機構和管理層提供客觀的建議和報告，說明其職能的有效性。內部審計相對于管理層的獨立性確保了內部審計在計劃和執(zhí)行工作中不受任何障礙和偏見，可以不受限制地獲得所需的人員、資源和信息。它對治理機構負責。新版三道線模型還強調了組織所有部門之間溝通與合作的重要性。報告指出，內部審計是獨立的，但不是孤立的，因為職能部門需要從內部了解組織。當所有部門共同努力并協(xié)調其目標時，組織將有效運作并成功實現(xiàn)其目標。內部審計與管理層之間必須定期進行互動，以確保內部審計的工作是相關的，并與組織的戰(zhàn)略和運營需求保持一致。通過內部審計的所有活動，內部審計將建立對組織的知識和了解，這有助于它作為可信賴的顧問和戰(zhàn)略合作伙伴提供保證和建議。需要在管理層和內部審計的一線和二線角色之間進行協(xié)作和交流，以確保沒有不必要的重復、重疊或空白盲區(qū)。新版模型認識到第一線和第二線之間存在一定的流動性。舊版里很明確將安全、風險管理、治理、合規(guī)等部門放在第二道防線，而在新版里代之以原則各企業(yè)自行根據(jù)情況決定。這在實踐中，更符合企業(yè)數(shù)字化轉型和敏捷轉型的實際工作需要；另一方面，也會給許多相關部門的人帶來新的困惑。模型基于六項原則模型最大的變化是確定了新的三線模型所基于的六個關鍵原則：原則1：組織的治理需要適當?shù)慕Y構和流程，通過誠信，領導和透明來實現(xiàn)問責制、行動和獨立內部審計職能的保證。原則2：管理機構的角色確保適當?shù)慕Y構和流程有效實施。治理機構下放職責，并向管理層提供資源，以確保使組織目標與股東利益保持一致的有效結構。原則3：管理層實現(xiàn)組織目標的責任包括一線和二線角色。其中第一線角色向客戶交付產品和服務，并且包括支持職能的角色。二線角色為管理風險提供幫助。原則4：內部審計執(zhí)行保證的第三線角色，就治理和風險管理的充分性和有效性提供獨立和客觀的保證和建議。在此過程中，職能部門使用系統(tǒng)和嚴格的流程，將發(fā)現(xiàn)的結果報告給管理層，并促進持續(xù)改進。它可能會考慮其他內部和外部提供商的保證。原則5：內部審計職能必須與管理層保持獨立，并具有自由和訪問權，以適當?shù)貓?zhí)行審計以向治理機構負責，權威性和信譽至關重要。原則6：當所有角色相互協(xié)調并符合利益相關者的優(yōu)先利益時，它們共同為價值創(chuàng)造和保護做出貢獻。原則1：治理組織的治理需要適當?shù)慕M織結構和程序來實現(xiàn)：治理結構對利益相關者負責，并體現(xiàn)誠信、領導力和透明度來檢視整個組織；通過基于風險的決策和資源分配，管理層采取行動（包括管理風險）以實現(xiàn)組織目標；獨立的內部審計職能提供確認和建議并推動持續(xù)改進。原則2：治理層的角色治理層確保：建立適當?shù)慕Y構和程序，以實現(xiàn)有效治理；組織目標和行動優(yōu)先考慮利益相關者的利益。治理層：授權管理層履行職責并提供資源，以實現(xiàn)組織的目標，同時確保滿足法律、法規(guī)和道德遵從要求；建立和審查獨立、客觀和勝任的內部審計職能，使得在實現(xiàn)目標的過程中更加透明并增強信心。原則3：管理層以及一道和二道線的角色管理層負責實現(xiàn)組織目標，其責任涵蓋一道線和二道線角色。一道線角色直接向客戶提供產品和/或服務，并包括相關支持職能。二線角色協(xié)助一線更好的管理風險。第一線和第二線角色可以合并或分開，某些第道線角色可以分配給相關專家，為第一線提供專業(yè)支持、監(jiān)控和挑戰(zhàn)其風險相關事項。二線角色可以專注于風險管理的特定目標，例如：遵守法律、法規(guī)和可接受的道德行為；內部控制；信息和技術安全；可持續(xù)性和質量保證。另外，二道線角色可能會承擔更廣泛的風險管理職責，例如企業(yè)風險管理（ERM）。但是，管理風險的責任仍然是第一道線的職責，并且屬于管理層的管轄范圍。原則4：三線角色內部審計為治理和風險管理的充分性和有效性提供獨立和客觀的確認和建議。它通過充分的應用系統(tǒng)、嚴格的程序、專業(yè)知識和洞察力來實現(xiàn)這一目標。它向管理層和治理層報告其發(fā)現(xiàn)，以促進和推動持續(xù)改進。在這個過程中，它還會考慮和使用其它內部或外部機構的確認結果。原則5：三線的獨立性內部審計獨立于管理層職能之外對于其客觀性、權威性和可信度至關重要。可以通過以下方式實現(xiàn)：對治理層負責；為了完成其職責可以不受限制地訪問相關人員、資源和數(shù)據(jù)；以及在計劃和實施審計服務時不受偏見或干擾影響。原則6：創(chuàng)造和保護價值所有角色相互配合、協(xié)同一致并優(yōu)先考慮利益相關者的利益時，它們就可以更好的創(chuàng)造和保護價值。協(xié)同一致是通過溝通、配合與協(xié)作實現(xiàn)的。這樣可以確保基于風險決策所需信息的可靠性、一致性和透明度?？偨Y：平衡協(xié)調三道線，創(chuàng)造和保護價值三線模型符合組織目標和所處環(huán)境要求時，才能發(fā)揮最大的功效。為了有效，每個組織應以適合其行業(yè)、規(guī)模、運營結構和風險管理方法的方式實施該模型。組織應敦促管理層設計與模型一致的治理結構，以使所有三道線都存在。這三道線應該具有