2013年1月,国际内部审计师协会(IIA)发布《有效风险管理与控制的三道防线》,提出为了进行有效的风险管理与控制,组织应当搭建三道防线,并说明了这三道防线的组成、角色、职责、运作与协调等。 第一道防线是企业经营管理中和外部市场接触最前台的核心业务部门,包括产品、销售、采购等。第一道防线强调在业务运作过程中控制风险,是最重要的防线,也是风险管理第一责任机构。 第二道防线是协助一线核心业务部门进行风险管控的职能部门,包括法务、合规、财务、人力、质量、安全等。第二道防线是帮助第一道防线建立起和风险管理与控制相适宜的业务流程及风险控制,通过对第一道防线的风险控制进行赋能,使业务运作过程中的主要风险能够在第一道防线上得到适宜地控制。 第三道防线是独立监督和审计部门,即内部审计部门,部分企业还包括纪检和监察职能。第三道防线具有足够的独立性和客观性,对企业的风险管理与控制结果进行独立评估,帮助第一道防线、第二道防线修补漏洞。 通俗理解就是第一道防线在业务过程中进行风险控制,第二道防线通过风险管理来评估第一道防线中存在的风险,第三道防线通过审计来评估第一道防线、第二道防线中存在的风险。三道防线以风险为核心,以不同的视角与手段进行层层控制,以达到控制风险的目的。 新模型增加了治理层,授权管理层履行职责并提供资源,以实现组织的目标,同时确保满足法律、法规和道德遵从要求;并建立和审查独立、客观和胜任的内部审计职能,使得在实现目标的过程中更加透明并增强信心。治理结构与风险管理相辅相成、相互影响,治理层为风险管理提供清晰的目标以及足够的资源支持,管理层与治理层协同一致并优先考虑利益相关者的利益。 与之前的版本相比,新版三线模型最大的不同在于将第一道防线和第二道防线放在了一起了。第一道防线与第三道防线定位变化不大,而第二道防线处于中间位置更加灵活了,向前需要更懂业务使风险管理工作嵌入到业务过程,向后侧重风险监督检查为第三道防线打前站,发挥类似于“审计前置化”的作用,做到风险早发现、早控制,提高业务抗风险能力的同时,促进业务竞争力的提升。 |
|