经常会有学员在转岗为内控、合规、信息安全、风险管理、内审等管理岗位时,会来参加上海信息化培训中心举办的相关培训,如COBIT, CGEIT, CISA, CISM, ISO27001LA等,以适应并胜任新岗位的要求。学员们有个常见的问题是如何在新分管的内控、合规、信息安全、风险管理、内审等部门发挥更大更专业的作用,内控、合规、信息安全、风险管理、内审等部门之间的关系是怎么样的?
我们还有学员发现,为企业创造更多价值的敏捷、精益、DevOps 三剑客已经化身为最新版的SAFe 5.0规模化敏捷在大型五百强企业受到追捧,那么保护企业更多价值的治理、风控、合规 三忍者GRC在大型企业的最新发展情况是什么?
“ GRC(治理、风险、合规的缩写)具有在解决不确定性[风险管理]和诚信[合规]的同时可靠地实现目标[治理]的能力。”- 关于GRC的定义有很多,最喜欢短小简明的这句。
自2003年发布以来,在过去的17年中,全球无数大型组织都采用了“三道防线”模型,因为它以简单易懂生动形象的方式描述了风险管理和内部控制责任,让业务部门、内控部门、合规部门、信息安全部门、风险管理部门、内审部门明确知道自己所处的位置,所以广受欢迎。
就在刚刚,2020年7月下旬,内部审计师协IIA会发布了新版 “三道线模型“(Three Lines Model),通过更全面地理解风险,涵盖内控、协作、保证和问责制等因素,从而更好地反映业内对风险管理和治理原则的最新看法。新版三线模型旨在帮助组织确定最能帮助实现目标并促进强有力的治理和风险管理的结构和流程。
虽然原文通篇没有出现敏捷和数字化转型的词汇,但字里行间看的出来是受敏捷和数字化转型潮流的影响。
在以前的模型中,三道防线,分别是运营管理防线,风险和合规性监督防线以及内部审计防线三道防线,换句话说以管理控制为第一线,风险和控制监控为第二线,通过内部审计职能的独立保证为第三线。新模型在这些层次上进行了扩展,侧重于各线之间的合作和目标一致,从而带来了更有效的保证。
旧版三道防线模型的内在逻辑
每个组织都有努力实现的目标,但越来越频繁地出现对实现这些目标造成威胁的事件或情况。 所以组织必须识别、分析、定义和解决风险。组织可以决定接受某些风险,并减轻其它风险。 减轻这些风险的一种关键方法是通过设计和实施COSO内部控制–集成框架中概述的有效内部控制。 为了使团队了解各自在应对这些风险和控制措施中的作用,必须定义明确的责任。三道防线模型说明了如何在组织内分配和协调与风险和控制相关的特定职责。
三道防线模型(Three Lines of Defense,3LoD)通过明确角色和职责来增强对风险管理和控制的理解。该模型为实施结构以及各方分配的角色和职责提供了指导,以提高对风险和控制的有效管理。模型本身实际上是关于确保将风险所有权,风险促进/监督和风险保证这三个方面纳入系统的组织结构准则。三道防线被视为一种监督模型,旨在提供透明的监督职责分配,并要求个人(或团体)承担这些职责。
该模型的基本前提是,通过管理层和董事会的监督,组织内部需要三道防线才能有效地管理风险和控制。如果正确构造了这三条线而在覆盖范围没有缺口,则组织得到有效管理的可能性就会增加。
第一道防线:运营管理
第一道防线由对风险和控制具有日常所有权和管理权的一线和中线经理处理。该团队承担风险,并执行相应的控制措施,以提高实现组织目标的可能性。
第二道防线:内部监控和监督职能
第二道防线的建立是为了通过提供给第一线提供专业知识和监控来支持高级管理层,以确保适当地管理风险和控制措施。这是一种管理和监督功能,包括风险管理流程的各个方面。第二线职能可以开发、实施或修改组织的内部控制和风险流程。根据组织的规模和所处行业,第二线的组成可能会有很大差异。
管理控制和内部控制措施代表旧版模型的第一线,而第二线包括各种风险管理功能,包括财务控制、安全、风险管理、质量、检查和合规性。
二道线的职能发挥可以通过监督、建议、指导、测试、分析和报告与风险管理相关的事项进行体现,只要是对一道线职能提供了支持或挑战了其风险管理的做法,而且这些做法是管理层决策和行动不可或缺的,都是属于第二道线的职责,当然这些支持和挑战是聚焦和风险有关的事项,并不包含像一些日常的后台管理/共享服务职能,如人力资源、行政、后勤等。
第三道防线:内部审计
第三道防线向高级管理层和董事会保证第一和第二线的工作与预期一致。该团队是由内部审计师职能执行的保证职能。内部审计师通过采用系统的方法来评估和提高风险管理,控制和治理流程的有效性来实现其目标。他们最终确保组织内的独立性和专业性。第三道防线与前两道防线的主要区别在于组织的高度独立性和客观性。
旧版模型的争议
- 一直以来内部审计与检测和报告实际或潜在的错误和失败有关,谈论三道防线可以反映出典型的审计师希望最大程度地降低风险的愿望,而组织只有在承担适当风险水平的前提下才能成功。高管和董事会专注于需要承担风险的绩效,而专注于避免失败的风险管理活动充其量被视为一项合规活动。
- 之前旧版的三道防线( 3LoD)模型有争议之处在于,界限太过分立,没有抓住组织的风险和控制的协调和共同责任。该模型可能会造成风险经理和内部审计师在那里阻止运营经理过于冒险激进的做法,拖运营积极探索新业务的后腿,有可能加剧了部门间的对抗,丧失了高风险高收益的机会。
- 而且风险管理不能仅局限于防御。除了极少数情况下,仅靠防御就不会赢。您可能会冒着防守的风险,但是管理层从追求利润的角度对前锋更感兴趣,因为前锋进球。这使得风险管理部门与管理层的对话变得困难,因为他们将风险管理视为试图阻止他们探索商机的人,反之亦然。
- 风险管理不是为了避免失败。它应该是在考虑可能发生的情况,所有潜在的结果,然后做出明智的决定并采取适当的措施来改善结果,这是每天开展业务的一部分。
- 围绕风险管理的普遍做法都是将坏事减到最少。这导致无法与业务领导者联系并证明风险管理的价值。据调查,很少有高管认为组织中的风险管理对业务战略的执行具有积极作用。
- 旧模型看似层层防护,密不透风,但其实容易出现抓小放大,导致无法应对黑天鹅灰犀牛等大的危机。
- 关于内部审计,应从报告损失风险转变为就如何更好地经营业务向董事会和管理层提供建议,通过更有效的决策,风险管理和控制。
新版模型的变化
新版模型的变化是对以上这些争议的回应。风险归管理层所有,风险从业者的作用是帮助他们提供工具、流程、信息等,以便他们可以正确地选择适当数量的(不要太少也不要太多)风险。
话不多说,先上两张图,上图为2020新版“三线模型” (Three Lines Model),下图为2003旧版“三道防线”(Three Lines of Defense)。
我们需要一个更加积极的模型,并讨论运营管理,风险管理和内部审计如何协作以帮助组织成功与老版本比,最明显的一个变化是,模型的名字从“三道防线” (Three Lines of Defense) 改为“三线模型”(Three Lines Model),一字之差有什么深意?风险管理不只是防御,还有进攻(注意这里说的不是黑客攻防,更多指的是积极面对风险)。组织需要有效的结构和流程,以实现目标并支持强有力的治理和风险管理。新添加的功能使该框架可以在进攻和防御两方面进行操作,从而使组织可以更加主动地采取行动来实现其目标。
新版本着重在4大方面进行了优化:
- 采用基于合理有用原则的方法并调整模型以适应组织目标及所处环境。新模型强调了治理,治理机构角色,管理层以及一线和二线角色,三线角色,三线独立性,创造和保护价值有等六项原则。新模型基于原则的方法旨在为用户提供更大的灵活性
- 风险管理不只是防御,而是保护价值。组织需要有效的结构和流程,以实现目标并支持强有力的治理和风险管理。新添加的功能使该框架可以在进攻和防御两方面进行操作,从而使组织可以更加主动地采取行动来实现其目标。关于实现目标的过程,需要创造和保护价值。风险管理对“实现目标和创造价值,以及对“防御”和保护价值的事情都做出了贡献”。新版三道防线模型有利于在进攻和防守两个方面统筹管理风险,这有效解决了对传统三道防线的主要批评:仅立足于风险防范。
- 更清楚理解模型中所代表的角色和责任以及之间的关系,以实现更有效的协调、协作、问责制和目标。在新模型下,风险管理的角色和职责划分不再那么硬性分开,而是更具交互性,强调协作。在新模型中,为组织内的各种领导者明确定义了角色,包括董事会或理事机构的监督;管理和运营负责人,包括风险和合规(一线和二线角色);并通过内部审核获得独立保证(三线角色)。
- 采取措施,以确保活动和目标符合利益相关者的优先利益。
新版“三线模式”将组织的治理机构(例如董事会)提供了更加清晰的角色和职责,从而将其纳入分析框架之中。治理机构对组织进行检视监督,并对组织的利益相关者做出回应,将组织的利益与利益相关者的利益联系起来。治理机构建立治理机制并将职责授权给内部各条线,并创建组织的文化。内部审计职能由治理机构建立和并给予独立授权。
管理层直接领导为实现组织目标而采取的行动,同时也要密切关注风险并确保组织符合法律、法规和道德标准。管理层创建结构以确保组织的有效性,并管理内部控制以减轻风险。
内部审计职能向治理机构负责,并向理事机构和管理层提供客观的建议和报告,说明其职能的有效性。内部审计相对于管理层的独立性确保了内部审计在计划和执行工作中不受任何障碍和偏见,可以不受限制地获得所需的人员、资源和信息。它对治理机构负责。
新版三道线模型还强调了组织所有部门之间沟通与合作的重要性。报告指出,内部审计是独立的,但不是孤立的,因为职能部门需要从内部了解组织。当所有部门共同努力并协调其目标时,组织将有效运作并成功实现其目标。内部审计与管理层之间必须定期进行互动,以确保内部审计的工作是相关的,并与组织的战略和运营需求保持一致。通过内部审计的所有活动,内部审计将建立对组织的知识和了解,这有助于它作为可信赖的顾问和战略合作伙伴提供保证和建议。需要在管理层和内部审计的一线和二线角色之间进行协作和交流,以确保没有不必要的重复、重叠或空白盲区。
新版模型认识到第一线和第二线之间存在一定的流动性。旧版里很明确将安全、风险管理、治理、合规等部门放在第二道防线,而在新版里代之以原则各企业自行根据情况决定。这在实践中,更符合企业数字化转型和敏捷转型的实际工作需要;另一方面,也会给许多相关部门的人带来新的困惑。
模型基于六项原则
模型最大的变化是确定了新的三线模型所基于的六个关键原则: 原则1:组织的治理需要适当的结构和流程,通过诚信,领导和透明来实现问责制、行动和独立内部审计职能的保证。 原则2:管理机构的角色确保适当的结构和流程有效实施。 治理机构下放职责,并向管理层提供资源,以确保使组织目标与股东利益保持一致的有效结构。 原则3:管理层实现组织目标的责任包括一线和二线角色。其中第一线角色向客户交付产品和服务,并且包括支持职能的角色。二线角色为管理风险提供帮助。 原则4:内部审计执行保证的第三线角色,就治理和风险管理的充分性和有效性提供独立和客观的保证和建议。在此过程中,职能部门使用系统和严格的流程,将发现的结果报告给管理层,并促进持续改进。它可能会考虑其他内部和外部提供商的保证。 原则5:内部审计职能必须与管理层保持独立,并具有自由和访问权,以适当地执行审计以向治理机构负责,权威性和信誉至关重要。 原则6:当所有角色相互协调并符合利益相关者的优先利益时,它们共同为价值创造和保护做出贡献。
原则1:治理
组织的治理需要适当的组织结构和程序来实现:
- 治理结构对利益相关者负责,并体现诚信、领导力和透明度来检视整个组织;
- 通过基于风险的决策和资源分配,管理层采取行动(包括管理风险)以实现组织目标;
- 独立的内部审计职能提供确认和建议并推动持续改进。
原则2:治理层的角色
治理层确保:
- 建立适当的结构和程序,以实现有效治理;
组织目标和行动优先考虑利益相关者的利益。
治理层:
- 授权管理层履行职责并提供资源,以实现组织的目标,同时确保满足法律、法规和道德遵从要求;
建立和审查独立、客观和胜任的内部审计职能,使得在实现目标的过程中更加透明并增强信心。
原则3:管理层以及一道和二道线的角色
管理层负责实现组织目标,其责任涵盖一道线和二道线角色。一道线角色直接向客户提供产品和/或服务,并包括相关支持职能。二线角色协助一线更好的管理风险。
第一线和第二线角色可以合并或分开,某些第道线角色可以分配给相关专家,为第一线提供专业支持、监控和挑战其风险相关事项。二线角色可以专注于风险管理的特定目标,例如:遵守法律、法规和可接受的道德行为;内部控制;信息和技术安全;可持续性和质量保证。另外,二道线角色可能会承担更广泛的风险管理职责,例如企业风险管理(ERM)。但是,管理风险的责任仍然是第一道线的职责,并且属于管理层的管辖范围。
原则4:三线角色
内部审计为治理和风险管理的充分性和有效性提供独立和客观的确认和建议。它通过充分的应用系统、严格的程序、专业知识和洞察力来实现这一目标。它向管理层和治理层报告其发现,以促进和推动持续改进。在这个过程中,它还会考虑和使用其它内部或外部机构的确认结果。
原则5:三线的独立性
内部审计独立于管理层职能之外对于其客观性、权威性和可信度至关重要。可以通过以下方式实现:对治理层负责;为了完成其职责可以不受限制地访问相关人员、资源和数据;以及在计划和实施审计服务时不受偏见或干扰影响。
原则6:创造和保护价值
所有角色相互配合、协同一致并优先考虑利益相关者的利益时,它们就可以更好的创造和保护价值。协同一致是通过沟通、配合与协作实现的。这样可以确保基于风险决策所需信息的可靠性、一致性和透明度。
总结:平衡协调三道线,创造和保护价值
三线模型符合组织目标和所处环境要求时,才能发挥最大的功效。为了有效,每个组织应以适合其行业、规模、运营结构和风险管理方法的方式实施该模型。组织应敦促管理层设计与模型一致的治理结构,以使所有三道线都存在。这三道线应该具有相同的目标,同时应有分别的角色和职责,应自上而下保持统一口径。
每个组织都应明确定义与治理、风险和控制GRC相关的员工职责,以最大程度地减少控制和角色重复中的“盲区”。三道线模型为组织提供了一种有效的方法,通过阐明这些角色和职责来增强有关风险和控制的沟通。为了确保对职责有清晰的了解,组织可参考COSO的《内部控制-集成框架》来充分传达每个人的职责如何适合组织的整体风险和控制结构。
结构、职责与职能方面:管理层和组织治理机构负责确定组织结构和各项职责的分配。治理机构可以通过建立委员会来对特定领域的职责进行额外的监督,如审计、风险、财务、规划和薪酬委员会等。第一线的管理部门依然要承担与其业务相关的风险管理职责。各职能部门、团队、甚至是个人都可能承担第一、二线的相关职责。 第二线不受第一线(乃至高级管理层)的过度影响,保持一定的独立性,可根据需要建立一个第二线职能直接通向治理机构负责和汇报的通道。第二线的职能为第一线相关职能提供支持,提出合理质疑,并参与了管理层的决策及 其实施。第三线的显著特征就是保持相对于管理层的独立性。 监督和确认 方面: 组织治理机构依靠管理层(由第一、二线职能部门组成)、内部审计和其他部门的报告来履行 监督职责,并实现既定目标,从而履行对利益相关方所负的责任。 相互配合并保持一致:高效的组织治理要求对职责进行合理的分配,并通过相互合作和沟通,保持各项活动高度一致。 治理机构希望通过内部审计的确认,能够了解组织治理结构和流程的设计和运行是否符合期待。
英文版、中文版 文档都可在内部审计师协会IIA官网下载,下载链接https://global.theiia.org/about/about-internal-auditing/Pages/Three-Lines-Model.aspx
