我的同事Thomas Frenehard已经对三线模型的IIA更新做了一个很好的概述，我想添加一些我自己的重叠想法。

我饶有兴趣地看了更新后的三线模型图-我喜欢它显示的内容-当我开始阅读一些术语和6个原则时，我有一种感觉第一点是他们从模特的名字中去掉了防御这个词。毫无疑问，我们要向全世界宣告，如何做淘客，GRC流程需要被认可为一个能够通过协作、沟通、责任、敏捷性、弹性和最终保证来培养和提升业务价值的流程。对企业来说，这不仅仅是一种防御性的"价值保护者"成本。

关于三道防线模型的缺陷，已经有过几次讨论，一些贡献者可能会对该模型为什么不能很好地工作感到非常激动。我想知道更新后的模型是否能减轻他们的反对意见？

南非King IV指南中还定义了其他模式，如五线保证或组合保证。

组合保证的概念是将所有保证角色参与者纳入其中，强调保证是关于拥有充分有效的控制环境，数据分析怎么做，加强报告的完整性，更好地决策。King IV要求审计委员会确保实施组合鉴证模式能够将不同鉴证业务的鉴证活动进行组合、协调和协调。

对我来说，三行还是五行是一个语义点。我不认为三线模型是这样设计的，但我可以凭良心将每一条King IV 5线方法映射到更新后的IIA 3线模型。对我来说，物联网协议，最关键的是组织要认识到这些责任和活动，培训和帮助他们的员工，最重要的是让他们相互沟通。这才是真正的价值增值。

我一直认为，如果没有"中间执行"即管理，风险文化的"基调"分布是不可能的。我看到新的IIA模式的行动责任领域——（包括管理风险）由管理层实现组织目标——很好地反映了这一点。

这与目前正在讨论的一个话题有关：将风险管理直接嵌入日常业务运营的自然流中。因此，不仅仅是每月/每季度召开一次风险管理会议，就其性质而言，会在业务和风险职能部门之间产生现有的摩擦。

巧合的是，几周前我阅读了最近发布的OCEG 2020 GRC到期报告，从中得出了一些有趣的观察结果，强化了整合不良带来的不利影响。

OCEG 2020 GRC成熟度报告

上图中，由于缺乏整合而导致的前两大负面影响中的高百分比（74%，60%）清楚地证明了风险管理的好处没有得到充分利用，收集的信息质量普遍较高没有有效地进入董事会的决策表或跨组织。

下面的数字进一步强调了这一点

OCEG 2020 GRC成熟度报告

取消勾选"获取有关风险和合规性的充分信息，用于确定成功实现目标"这一短语可能值得一试博士论文或至少3篇，至少涵盖分析和数据表示方法、组织行为和人类心理学。

但我真的认为我们（我指的是风险专业人士——虽然我不是真正的，我更多的是一个风险旁观者（在GRC软件中工作）有责任诚实地重新审视我们如何提供风险信息供员工、决策者和外部利益相关者使用。我不认为风险概率曲线的答案&例如蒙特卡罗（montecarlo）就足够了。

别误会，我认为这是一个很好的工具和方法，从单一价值的风险评估转向概率的评估。在某种风险承受能力的情况下，哪种方法更适合于将目标的实现程度与实现目标的资源进行优先排序。

我个人认为蒙特卡罗目前更适合于金融服务，因为他们拥有大量的数据，他们的业务性质有助于进行深入的数值分析。这对非金融行业和操作风险管理并没有真正的帮助。尽管我认为这是一种可以成功和有益地进一步发展的方法。但我的主要保留意见是，它仍然只是另一种工具。我认为，整合和沟通的障碍与其说是所使用的工具，不如说是信息的呈现和沟通方式。

OCEG 2020 GRC成熟度报告

我建议我们有责任重新审视我们作为风险专业人士如何与客户打交道。更新后的三线模式是一个很好的推动力，偶然的时机，有讨论。一些国际投资协定措辞和原则的转变，第1行和第2行与管理层（和目标）以及管理机构之间更直接的联系，向我发出了一个邀请，要求风险职能部门多说话，在业务中"内部"，而不是"他们"。这才是真正的综合风险管理。我在这里并没有引用任何分析师的定义，而是使用英语词汇来描述企业的运营，并将企业中的风险作为正常的业务内容来相互交流。

我希望这能让更多的组织从上图中的顶部栏移到底部栏。我将"跟踪可能触发控制变更需求的变更"作为一个指标，表明更广泛的活动可以被认为是有益的，数据中心解决方案，例如风险重新评估以及对过程和目标的影响。

如果充分实施，是我所看到的更新后的三线模型将培育。