,欢迎光临!退出
加入收藏设为首页请您留言
您当前位置:网站首页 >> 风险研究 >> 公司治理 >> 一个目标,三道防线

一个目标,三道防线

2020-03-11 09:53:12 来源:风控网 浏览:150
内容提要:中国际内部审计师协会在这两个文件阐明了当今商业活动中潜在风险的种类和复杂性。文件将风险管理和风险控制模型划分为三个层次:运营和管理、风险和合规性管理、内部控制和内部审计。

早在2013年,IIA发布了《有效风险管控的三道防线》和针对内部控制的立场文件。中国际内部审计师协会在这两个文件阐明了当今商业活动中潜在风险的种类和复杂性。文件将风险管理和风险控制模型划分为三个层次:运营和管理、风险和合规性管理、内部控制和内部审计。
 
直至今日,这一模型已经被世界各地广泛采纳。
 
风险管控三条防线讨论的内容涉及组织的各个部门和岗位,部门包括:各业务部门、风险管理委员会、主要风控部门、内审部门、审计委员会和董事会。岗位包括:内部审计师、风向管理专家、法务人员、欺诈调查专员和其他风险和内控方面的专家。它能够帮助组织揭露风险并持续关注各部门是否有超越该防线的行为。这一模型适用于任何规模和层次的企业,同时也可以帮助那些还没有建立系统的风险管理制度的企业,帮助它们在风险管理中查漏补缺并尽可能地避免职能相互覆盖。其实质是以企业各级岗位和职责为前提,对风险管理的责任进行划分,当三道防线都能有效地履行其风险管理职责时,企业就能实现整体风险管理的战略目标。
 
根据国际内部审计师协会研究基金会(IIARF)建立的全球内部审计核心知识体系(CBOK)中的调查,在参与样本中,55%的上市企业正采用这一模型,43%的公共部门和41%的事业单位使用这一模型,另外,40%的私人企业(包括金融企业)正采用这一模型。

微助点编辑器
01
Focus
三道防线的具体划分:
第一道防线:企业的运营和管理。由谁负责:业务和流程负责人。职责:对组织运营和管理过程中的风险进行控制。

第二道防线:企业的风险管理和合规性管理。由谁负责:企业风险管理委员会或风险管理的主管部门。职责:塑造良好的风向管理环境,从整体层面把握企业风险管理目标,并监督和促进业务和营运层面风险管理的有效进行。

第三道防线:内部控制和内部审计。由谁负责:审计委员会或内审部门。职责:对企业重点风险管理和控制出具进行独立的审计并出具审计报告,对企业风险管理和控制的监督应独立于业务层面的风险管理。

文件认为目前组织应不断升级自身的风险管理和内部控制,并提供了一套系统性方法来加强风险管理和内部控制之间联系,而加强第二道和第三道防线之间联系的前提是要明确二者各自的基本职能以及在组织内部担当的角色。
02
Focus
第二道防线和第三道防线之间的界限:
由于金融企业本身的监管要求比较高,可以预见,金融企业将会更多的采纳这一模型来控制风险。不出意料,78%的金融企业管理者回应称他们的公司正在将内部审计作为风险控制的第三道防线,然而3%的回应者却称他们的公司将内部控制作为风险控制的第二道防线,更有10%的回应者认为第二道防线和第三道防线之间的区别并不明显。

voices
全球内部审计核心知识体系的报告,对金融服务行业第三道防线的是这样解释的:“金融机构的内部审计师们应致力于帮助其他两道防线更为有效的在风险管控中发挥应有的作用。”内部审计这一防线对前两条防线起到推动、监督和评价的作用。其和第一二道防线的区别是审计委员会或内审部门的风险管控结果可以直接向董事会报告,具备高度的组织独立性和客观性。当然,在一些规模较小的企业,第二条防线和第三条防线之间的界限可能并不清晰。
 
作为美国派克维尔市社区信托银行的首席审计官和首席风控官,史蒂芬·詹姆森很明白内部审计这一防线在风险管控中所面临的挑战。“在我所在的单位,内部审计的独立性是由审计委员会和董事会共同保障的,他们用文件规范了内审的独立性,并定期进行审核,审计委管会和董事会正式批准了内部审计的风险管控作用并保证了我这两个角色(内审和风控)能同时顺利开展工作。”
 
风险管理方面的作家西戈认为“三道防线应当是灵活的,它应根据组织规模、结构和复杂性的不断变化而变化。”她告诉读者“不管组织如何具体实施这三道防线,必须确保每一层防御都围绕着组织的风险管理目标,同时避免三道防线之间相互重复,相互覆盖。”

发表评论
网名:
评论:
验证:
共有0人对本文发表评论查看所有评论(网友评论仅供表达个人看法,并不表明本站同意其观点或证实其描述)
赞助商链接
关于我们 - 联系我们 - 免责申明 - 人才招聘 - 战略合作