上周我在拉斯维加斯的GRC Insider上做了一个关于三道防线的演讲，我突然发现了一个问题。

问题的第一个迹象是我演讲的题目，"三道统一防线：冒险，合规部和审计部互相交谈。"我和我的团队已经检查了很多次幻灯片，云购全球，数据分析法，我们错过了一个明显的错误。

第二个线索是这个图形-一个指导方针和白皮书的拼贴，用于帮助启用和指导三道防线。

标题有什么问题？

风险和合规职能被视为三道防线模型中的第二条防线。内部审计是第3行。我完全忽略了第一道防线，即风险由自己承担，应对措施由自己管理。三道防线必须是一个三方对话。

这张图怎么了？

在我的职业生涯中，有时我是第一道防线的经理。作为一名GRC专业人士，我在其他数百名一线经理的办公室工作过。坦白地说，我不记得在他们的办公室里看到过任何IIA、COSO、ISACA、FERMA或任何其他三线防御出版物。甚至在他们的垃圾桶里也没有。

那么，"所有权"是什么

我决定让这件事平息下来，问我的听众他们认为谁负责证明控制措施在三道防线概念中是有效的。

我解释说，如果"拥有"风险的运营经理负责管理这些风险，他们应该能够证明风险正在被管理。

我向观众解释了我的逻辑。一阵勉强的沉默。我没有把沉默当作同意。毕竟，如果管理者和风险所有者有责任告诉我们控制措施（或通常的风险应对措施）是有效的，那么审计师应该怎么做？那不是他们的工作吗？

你有第一道防线吗？

这里有一个简单的测试：

如果你的内部审计部门负责报告内部控制的有效性，那么你没有第一道防线。基本上，你的内部审计部门承担了这个角色。如果你的内部审计部门对第一道防线操作的风险和控制系统的质量和可靠性提供了保证，那么你就有可能拥有第一道防线。

审计师应该寻找什么？

如果内部审计师开始审计业务，企业信息化应用系统，他们的第一步应该是要求第一道防线总结内部控制系统的优缺点。如果第一道防线不能回答这个问题，你就没有第一道防线，淘客查询，第二道防线的存在也是值得怀疑的。

如何衡量绩效和报告什么

好消息是我能够解决（至少在我自己的心目中）两个我一直困惑的问题。其中一个问题是衡量每道防线的性能。另一个问题是每行应该报告什么。传统的三道防线模型在这两个问题上都是沉默的。

我的答案是：

第一道防线绩效的衡量标准：其完整、准确地报告与其目标相关的控制文档剩余风险信息的意愿和能力。从这个意义上讲，剩余风险信息是诸如缺陷、问题、事件、测试失败、损失事件等信息，这些信息将构成控制有效性意见的基础。在我职业生涯的这一章中，我开始倡导风险和控制自我评估，物联网平台，正是出于这一目的，现在我又回到了正轨。衡量第二道防线绩效的指标：分析和汇总第一道防线报告的能力，并对治理、风险和合规性进行战略管理，以实现战略和目标。衡量第三道防线的表现：随着时间的推移，关于风险和控制状况以及前两道防线的能力和承诺的可靠信息的质量和数量。

研究表明，三道防线的概念被广泛采用，尽管没有被广泛认为是有效的。

实际上，我相信它是革命性的，它的承诺还没有实现？你是否在你的组织中实施了三道防线？你看到过角色上有什么剧烈的变化吗？您是否制定了绩效评估和报告？

请与我分享你的经验。