根据Gartner, Inc.的说法,组织目前的风险治理方法不足以解决组织目前面临的复杂风险环境。的新型冠状病毒肺炎大流行只是最近一系列风险事件中最新的一起,这些事件表明组织没有正确设置来管理风险,尤其是快速变化的风险。
Gartner的研究显示,87%的审计部门表示,他们的组织使用“三道防线”(3LOD)模型进行风险治理。该模型指出,线路管理应作为第一道防线,识别风险并实施控制。风险和保证职能,如法律、合规和企业风险管理(ERM),应作为第二线,监督和监测风险管理流程。最后,内部审计应作为第三条线,对控制和风险管理的有效性进行鸟瞰。
高德纳审计与风险实践研究副总裁兼研究员马尔科姆·默里说:“对冠状病毒大流行的应对是3LOD和传统风险治理效果不佳的一个完美例子。”“传统方法之所以失败,是因为它们无法有效应对快速变化和相互关联的风险。大流行是一种快速发展的风险类型,需要建立动态风险治理(DRG)机制。”
默里先生说:“冠状病毒大流行表明,为什么组织需要一种新的方法来管理他们在当今世界面临的许多复杂风险。”采用DRG原则有助于组织确保他们对不同类型的风险有适当的治理,有正确类型的风险管理活动和正确的人员参与。”
动态风险治理
DRG的有效性是在Gartner对200多个组织的调查中衡量的,该调查着眼于传统或动态的风险管理方法是否会导致更好的风险管理行为和更好的风险结果。DRG的三个支柱分别增加了高质量风险管理行为的发生:
·风险量身定制的治理(增长18%)
治理模型应该取决于风险的速度、组织的风险容忍度和内部约束,而不是依赖于一刀切的审查级别,比如对所有风险的集中监督或基于行业规范的模型。公司领导应该在这里有最后的发言权,因为治理模式应该基于公司战略来确定。将这一权力交给高级管理层而不是董事会和保证职能的一个好处是反应更快。这些高管可以采取更快的行动。
·基于活动的风险治理(增加22%)
这意味着摒弃只有一线人才拥有所有风险活动的想法,并为风险管理任务分配责任,而不考虑一线/二线/三线之间的界限。高级管理层——而不是保证职能——应该决定由谁来决定特定风险的任务所有者。对于某些风险,每个活动由哪个确切的职能部门负责并不重要——只要分配了具体的责任。
·数字优先风险治理(增长18%)
这意味着在创建风险治理框架时考虑数字解决方案,而不是事后才考虑。例如,如果风险管理的大部分可以自动化,那么需要涉及的功能就会更少。
在具体审视与冠状病毒大流行相关的风险时,采用DRG原则有利于应对风险的所有三个阶段——应对、恢复和恢复。对于第一阶段,采用DRG意味着快速确定高级管理层中谁应该拥有风险治理,并快速建立一个考虑风险快速发展的初始治理模型。这意味着为风险的这一阶段确定关键的风险管理活动,并为这些活动向适当的各方分配明确的责任。
在随后的阶段,当注意力转向恢复和恢复时,应用DRG原则允许组织定期重新审视风险是否以正确的方式进行管理。一旦对风险的路径有了更多的可见性,就可以添加额外的风险管理活动,例如添加对监控风险和评估长期影响的重点。
默里先生说:“这不仅关乎风险管理人员,还关乎董事会和高级管理人员将风险治理作为一项关键考虑因素,以使组织在应对快速出现的风险(如冠状病毒)时更具弹性。”“DRG方法同样适用于数字化带来的许多快速出现的风险。”
Gartner的客户可以访问完整的研究报告动态风险治理是新的风险指令并在网站上找到更多信息和下载各种相关资源Gartner的审计领导委员会主页。
非客户端可以在冠状病毒资源中心.
关于高德纳审计领导委员会
高德纳审计领导委员会(Gartner Audit Leadership Council)帮助内部审计领导及其团队制定审计计划,以推动结果,加强部门技能和技术能力,并最大限度地减少风险。欲知详情,请浏览//www.ownfullhouse.com/en/risk-audit/audit-leaders.