企業在運作中時常面臨著新的威脅,或是忽略了潛在風險,為了確保在商業環境中穩定發展,企業必須建立敏捷、靈活的風險評估管理。風險管理的過程是積極且具防禦性,敏捷的預測能為長遠成功的轉變做足準備;靈活的評估管理過程,使企業能夠緩減事件的發生並持續朝著目標邁進。

三道防線有效實踐風險評估

根據美國內部審計師協會(IIA)的立場文件:「三道防線的模式提供了一種簡單而有效的方式,透過確認角色和責任來加強風險管理與控制的溝通。這適合運用在任何規模企業的新想法,將有助於確保持續、有效的風險管理。」我們來進一步瞭解這三道防線。

第一道防線:營運管理

在營運管理原則下,因應系統運作和流程而制定出的一套控制管理,該控制管理須確保內部運作符合法規,同時突顯流程缺陷和潛在風險,因此,控制管理具有充分的管理和監督權。在此前提之下,營運管理自然成為第一道防線。
作為第一道防線,營運經理面對「擁有和管理」風險。他們須負責維護內部控制,並負責執行日常的風險和控制程序。管理層還需確認、評估、控制和減輕風險,對內部政策及程序的制定和實施進行指導,確保所進行的活動與目標一致。他們同時還須負責執行矯正措施來解決流程和控制缺陷。

第二道防線:風險管理和遵守法規職責

為了確保第一道防線設計正確、到位並按預期進行,管理層建立風險管理和遵守法規職責來監控第一道防線,第二道防線的職責均有一定程度的獨立性且具管理功能。此外,可直接介入修改和發展內部控制和風險系統,但不能就風險管理和內部控制向董事會、機構高層提供獨立分析。具體職責因機構和行業而異,但在第二道防線中的典型職責如下:

風險管理:

  • 藉由營運管理來促進和監督有效風險管理方法的實施,協助風險負責人確認可能承受風險,整合並報告整個企業的風險相關訊息。
  • 慮到公司的風險胃納(即為了追求一目標或願景之公司或個體,在較為廣闊基礎下,考慮且願意接受的風險),協助風險負責人進行風險評估。

遵守法規:

  • 監控未遵守適用法律和法規的風險。
  • 為確保符合法規,向第一道防線提供必要協助及訊息。
  • 向管理層和董事會報告公司合規狀況。

第三道防線:內部審核

內部審核人員向董事會和最高管理層提供全面的保證。第三道防線為內部治理、風險管理和內部控制提供有效保證,這包括評估第一道防線和第二道防線為達成風險管理和控制目標的方式與方法,以及風險管理和內部控制框架的所有要素(內部控制環境、風險識別,風險評估等)。

善用軟體加強風險管理三道防線的效能

為了加強企業內部的協作性,使資訊更流通、數據更準確,匡騰環安衛軟體擁有協助每條防線的具體作法。

  • 第一道防線

    匡騰風險評估軟體協助營運經理查看企業所有風險,以及風險與控制之間的關係。軟體依作業流程來制定步驟,並設定每個步驟的多種危險類型,同時,在每項任務裡詳細記錄頻率(每日、每週、每月等)位置及處理單位以利內部控制評估。此外,風險評估搭配企業版檢查管理軟體平台進行矯正措施及預防措施,並追蹤其改善狀況。
  • 第二道防線

    風險評估軟體促進第一道和第二道防線之間的協作和資訊共享。以風險矩陣圖和其他工具對潛在風險進行優先排序,透過儀表板和報告顯示最高級別的風險。最後,利用隸屬於同一企業整合平台的法規與流程軟體功能,確保每項任務及步驟均符合法規規範。
  • 第三道防線

    綜合性的企業軟體解決方案包括風險管理、合規性、矯正計畫。為了使內部審核人員工作更加順利,檢查軟體有助於規範企業內的所有稽核流程,自動化、集中化管理所有工作,加強內部審核人員之間的協作性。更重要的,透過一個通用的企業平台,內部審核人員可以獲得整個企業使用的風險和合規訊息,有利於評估其他兩道防線的有效性。。

透過匡騰管理軟體來加強風險管理的三道防線,消除三道防線之間的隔閡並加強其合作性,為所面對的危機及風險做充分的準備,匡騰風險管理軟體有助於實現這目標,讓企業發展更為穩定。

文章參考:
THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL (January 2013)
Jean-Grégoire Manoukian. (March 2, 2017) STRENGTHENING THE 3 LINES OF DEFENSE WITH RISK MANAGEMENT SOFTWARE. Enablon Insights. Retrieved February 08, 2018,  from https://enablon.com/blog/2017/03/02/3-lines-of-defense-risk-management-software

延伸閱讀:

運用傷害和疾病報告作為成功衡量標準的風險