企业在运作中时常面临着新的威胁,或是忽略了潜在风险,为了确保在商业环境中稳定发展,企业必须建立敏捷、灵活的风险评估管理。风险管理的过程是积极且具防御性,敏捷的预测能为长远成功的转变做足准备;灵活的评估管理过程,使企业能够缓减事件的发生并持续朝着目标迈进。
三道防线有效实践风险评估
根据美国内部审计师协会(IIA)的立场文件:「三道防线的模式提供了一种简单而有效的方式,透过确认角色和责任来加强风险管理与控制的沟通。这适合运用在任何规模企业的新想法,将有助于确保持续、有效的风险管理。」我们来进一步了解这三道防线。
第一道防线:营运管理
在营运管理原则下,因应系统运作和流程而制定出的一套控制管理,该控制管理须确保内部运作符合法规,同时突显流程缺陷和潜在风险,因此,控制管理具有充分的管理和监督权。在此前提之下,营运管理自然成为第一道防线。
作为第一道防线,营运经理面对「拥有和管理」风险。他们须负责维护内部控制,并负责执行日常的风险和控制程序。管理层还需确认、评估、控制和减轻风险,对内部政策及程序的制定和实施进行指导,确保所进行的活动与目标一致。他们同时还须负责执行矫正措施来解决流程和控制缺陷。
第二道防线:风险管理和遵守法规职责
为了确保第一道防线设计正确、到位并按预期进行,管理层建立风险管理和遵守法规职责来监控第一道防线,第二道防线的职责均有一定程度的独立性且具管理功能。此外,可直接介入修改和发展内部控制和风险系统,但不能就风险管理和内部控制向董事会、机构高层提供独立分析。具体职责因机构和行业而异,但在第二道防线中的典型职责如下:
风险管理:
借由营运管理来促进和监督有效风险管理方法的实施,协助风险负责人确认可能承受风险,整合并报告整个企业的风险相关讯息。
虑到公司的风险胃纳(即为了追求一目标或愿景之公司或个体,在较为广阔基础下,考虑且愿意接受的风险),协助风险负责人进行风险评估。
遵守法规:
监控未遵守适用法律和法规的风险。
为确保符合法规,向第一道防线提供必要协助及讯息。
向管理层和董事会报告公司合规状况。
第三道防线:内部审核
内部审核人员向董事会和最高管理层提供全面的保证。第三道防线为内部治理、风险管理和内部控制提供有效保证,这包括评估第一道防线和第二道防线为达成风险管理和控制目标的方式与方法,以及风险管理和内部控制框架的所有要素(内部控制环境、风险识别,风险评估等)。
善用软体加强风险管理三道防线的效能
为了加强企业内部的协作性,使资讯更流通、数据更准确,匡腾健康与安全管理软体拥有协助每条防线的具体作法。
第一道防线
匡腾风险评估软体协助营运经理查看企业所有风险,以及风险与控制之间的关系。软体依作业流程来制定步骤,并设定每个步骤的多种危险类型,同时,在每项任务里详细记录频率(每日、每周、每月等)位置及处理单位以利内部控制评估。此外,风险评估搭配企业软体平台进行矫正措施及预防措施,并追踪其改善状况。
第二道防线
风险评估软体促进第一道和第二道防线之间的协作和资讯共享。以风险矩阵图和其他工具对潜在风险进行优先排序,透过仪表板和报告显示最高级别的风险。最后,利用隶属于同一企业整合平台的法规与流程软体功能,确保每项任务及步骤均符合法规规范。
第三道防线
综合性的企业软体解决方案包括风险管理、合规性、矫正计画。为了使内部审核人员工作更加顺利,检查审核软体有助于规范企业内的所有稽核流程,自动化、集中化管理所有工作,加强内部审核人员之间的协作性。更重要的,透过一个通用的企业平台,内部审核人员可以获得整个企业使用的风险和合规讯息,有利于评估其他两道防线的有效性。
透过匡腾管理软体来加强风险管理的三道防线,消除三道防线之间的隔阂并加强其合作性,为所面对的危机及风险做充分的准备,匡腾风险管理软体有助于实现这目标,让企业发展更为稳定。
