虽然这三道防线作为实施治理、风险和合规方面最佳实践的广泛框架正在取得进展，大数据数据，但批评者认为，这是老生常谈，在许多公司已经存在。我认为他们严重低估了所需要的东西。这是一个看似简单却有着深刻含义的概念。看看表面之下。

一切都在控制之中吗？

任何曾经坐在审计委员会面前的首席审计师都会被问到这个问题。当然，高防云服务器，这是意料之中的，典型的答案是"是"，但有一些条件，这取决于首席审计师的智慧或勇气。

但在三道防线中，首席审计师的正确答案是，"不要问我。那不是我的工作！"

在"三道防线"框架中，运营管理层负责管理业务中的风险。

如果他们真正负责管理运营中的风险，他们肯定必须负责证明风险得到管理，控制措施有效。如果他们不能或不愿意，一个为他们做这件事的审计长是个傻瓜。如果首席审计师愿意回答这个问题，那么他/她就成了第一道防线。

作为首席审计师，我确实回答了这个问题。但我很快发现自己完全没有理由这么做，于是开发了一些工具来促进企业的风险和控制自我评估？

评估风险和控制的知识、技能和工具应由第二道防线协调。他们的工作是确保所产生的信息在整个组织中是一致的和完整的。运营经理必须遵循标准、可靠的方法。如果运营经理不知道企业希望他们评估和报告风险和控制管理，那么企业就没有第二道防线。

实际上，我发现他们可能已经使用了质量、安全或可持续性框架，并且知道如何将这些框架和工具应用于其他运营管理风险、合规和控制。但第二道防线的职责是提供指导和建议，手机自助建站，以实现整个组织的质量和一致性，并汇总信息。

以我的经验，运营经理比任何审计师都更详细地了解其运营中风险和控制的细微差别。如果你问他们，他们会告诉你。

如果他们不知道或不愿意透露他们的风险和控制的状态问题、担忧和事件，企业应用系统，你就没有有效的风险和控制管理。第一道防线的质量完全取决于其披露的质量和完整性。没有其他答案。

问首席审计师什么

作为第三道防线，首席审计师起着至关重要的作用。只是不能直接对风险和控制发表意见。他们应该问的问题是，"我们（董事会或高级管理层）从第一行和第二行获得的信息是否完整、相关和可靠？你怎么知道的？你还有什么可以分享的见解吗？

事实上，外部审计师也会被问及财务报表的问题。

如果你的首席审计师不能回答这个问题，你就没有第三道防线。就这么简单。

在奥兰多的SapphireNow和维也纳的GRC2016了解更多

有关三道防线的更多信息，请阅读本系列的其他博客，企业信息软件，并于5月17日至19日在奥兰多的SapphireNow加入我：

5月17日至19日：演示站将在展会期间开放5月19日，星期四：互动会议，"应用"三道防线"以支持您的战略成功"

我也将在6月20日至22日在维也纳举行的SAPInder GRC2016会议上发言。5月6日前登记，享受早起优惠。