Over my nearly 14 years at DTCC, 我见证了“三道防线”模型的发展和壮大. In simple terms, 三道防线通过定义不同领域的角色和职责以及这些不同领域之间的关系,为组织内的风险管理和内部控制提供了结构.
The Three Lines of Defense
1st - Management
2nd -风险管理和合规
3rd - Internal Audit
在我的vnsr威尼斯城官网登入职业生涯中,我有机会在这三个领域工作, 所以我觉得我既能认同又能同情每一句台词…….甚至和他们中最优秀的人一起“探索”不断发展的“三道防线”概念.
Recently, 我有机会在军事革命内部审计研讨会上发言,主题是“跨越三道防线的有意灵活性”. During the session, 我的小组成员和我讨论了影响组织如何围绕三道防线继续发展其实践的战略计划和新兴趋势.
以下是我对如何加强跨部门合作的要点.
第一道防线——管理
一位小组成员提到,最新的行业建议是,大多数控制测试应该从第三道防线转移到第一道防线. 结果导致所有三道防线测试一切, 导致重复测试,最终导致三线模型效率低下.
In theory, 我认为将测试转移到一线是有意义的, 因为他们自己承担风险,并且在他们的业务中拥有最好的专业知识. 然而,两大挑战使得这一转变并非易事. First, 第三线需要保持他们的独立性(“信任但要验证”),不能仅仅依赖于第一线测试的结果. 第二,第一线必须建立测试专业知识.
我还认为,对单行测试的依赖, while efficient, may not be the most effective. In any line, 测试自己的过程可能会有偏见——你会对结果进行合理化,并开始习惯结果. 你可能会失去对错误率的敏感度,结果开始变成“白噪音”.” To avoid this, 我认为你需要改变一些事情,甚至改变测试人员,或者让其他人从不同的角度来进行测试.
第二道防线——风险管理和合规
对于第二道防线,测试需求和实践因组而异. In Compliance at DTCC, 我们有一个独立的测试团队,对我们的合规流程进行测试, 企业级控制相关的法规需求, 以及特定于流程或业务的一致性遵从团队推荐的控制.
合规部门还与法务部门和业务部门密切合作,以实施一种新的针对性测试形式,该测试采用了一种深入的方法来挑战特定于单一法规的流程和控制. 不同级别的测试和透视图旨在从不同的角度评估风险和测试控制, testing not only compliance, but assumptions and design.
第三道防线——内部审计
在DTCC开始从事内部审计工作, 我一直很欣赏他们所做的工作——他们必须在没有进入业务的情况下充分了解业务,在没有陷入“抓到你”模式的情况下保持独立. 在我的职业生涯中,最有效的讨论一直是那些关注风险的讨论. 我认为被审计方和审计师之间最好的关系是允许讨论的关系, having opinions, 并挑战“好是什么样子”.”
The evolution of collaboration
如果我们说同一种语言会有帮助, 对过程有共同的理解, 风险和控制(PRC)分类, 以及各种基本因素的定义, 例如事件和问题评级, and regulatory requirements. At DTCC, the build out of our Governance, 风险和控制(GRC)相关流程加强了所有三条线之间的关系.