內(nèi)控、風(fēng)險(xiǎn)、信息安全、合規(guī)常說的“三道防線”模型剛改版了

內(nèi)控、風(fēng)險(xiǎn)、信息安全、合規(guī)常說的“三道防線”模型剛改版了經(jīng)常會(huì)有學(xué)員在轉(zhuǎn)崗為內(nèi)控、合規(guī)、信息安全、風(fēng)險(xiǎn)管理、內(nèi)審等管理崗位時(shí)，會(huì)來參加上海信息化培訓(xùn)中心舉辦的相關(guān)培訓(xùn)，如COBIT,CGEIT,CISA,CISM,ISO27001LA等，以適應(yīng)并勝任新崗位的要求。學(xué)員們有個(gè)常見的問題是如何在新分管的內(nèi)控、合規(guī)、信息安全、風(fēng)險(xiǎn)管理、內(nèi)審等部門發(fā)揮更大更專業(yè)的作用，內(nèi)控、合規(guī)、信息安全、風(fēng)險(xiǎn)管理、內(nèi)審等部門之間的關(guān)系是怎么樣的？我們還有學(xué)員發(fā)現(xiàn)，為企業(yè)創(chuàng)造更多價(jià)值的敏捷、精益、DevOps三劍客已經(jīng)化身為最新版的SAFe5.0規(guī)?；艚菰诖笮臀灏?gòu)?qiáng)企業(yè)受到追捧，那么保護(hù)企業(yè)更多價(jià)值的治理、風(fēng)控、合規(guī)三忍者GRC在大型企業(yè)的最新發(fā)展情況是什么？“GRC（治理、風(fēng)險(xiǎn)、合規(guī)的縮寫）具有在解決不確定性[風(fēng)險(xiǎn)管理]和誠(chéng)信[合規(guī)]的同時(shí)可靠地實(shí)現(xiàn)目標(biāo)[治理]的能力。”-關(guān)于GRC的定義有很多，最喜歡短小簡(jiǎn)明的這句。自2003年發(fā)布以來，在過去的17年中，全球無(wú)數(shù)大型組織都采用了“三道防線”模型，因?yàn)樗院?jiǎn)單易懂生動(dòng)形象的方式描述了風(fēng)險(xiǎn)管理和內(nèi)部控制責(zé)任，讓業(yè)務(wù)部門、內(nèi)控部門、合規(guī)部門、信息安全部門、風(fēng)險(xiǎn)管理部門、內(nèi)審部門明確知道自己所處的位置，所以廣受歡迎。就在剛剛，2020年7月下旬，內(nèi)部審計(jì)師協(xié)IIA會(huì)發(fā)布了新版“三道線模型“（ThreeLinesModel)，通過更全面地理解風(fēng)險(xiǎn)，涵蓋內(nèi)控、協(xié)作、保證和問責(zé)制等因素，從而更好地反映業(yè)內(nèi)對(duì)風(fēng)險(xiǎn)管理和治理原則的最新看法。新版三線模型旨在幫助組織確定最能幫助實(shí)現(xiàn)目標(biāo)并促進(jìn)強(qiáng)有力的治理和風(fēng)險(xiǎn)管理的結(jié)構(gòu)和流程。雖然原文通篇沒有出現(xiàn)敏捷和數(shù)字化轉(zhuǎn)型的詞匯，但字里行間看的出來是受敏捷和數(shù)字化轉(zhuǎn)型潮流的影響。在以前的模型中，三道防線，分別是運(yùn)營(yíng)管理防線，風(fēng)險(xiǎn)和合規(guī)性監(jiān)督防線以及內(nèi)部審計(jì)防線三道防線，換句話說以管理控制為第一線，風(fēng)險(xiǎn)和控制監(jiān)控為第二線，通過內(nèi)部審計(jì)職能的獨(dú)立保證為第三線。新模型在這些層次上進(jìn)行了擴(kuò)展，側(cè)重于各線之間的合作和目標(biāo)一致，從而帶來了更有效的保證。舊版三道防線模型的內(nèi)在邏輯每個(gè)組織都有努力實(shí)現(xiàn)的目標(biāo)，但越來越頻繁地出現(xiàn)對(duì)實(shí)現(xiàn)這些目標(biāo)造成威脅的事件或情況。所以組織必須識(shí)別、分析、定義和解決風(fēng)險(xiǎn)。組織可以決定接受某些風(fēng)險(xiǎn)，并減輕其它風(fēng)險(xiǎn)。減輕這些風(fēng)險(xiǎn)的一種關(guān)鍵方法是通過設(shè)計(jì)和實(shí)施COSO內(nèi)部控制–集成框架中概述的有效內(nèi)部控制。為了使團(tuán)隊(duì)了解各自在應(yīng)對(duì)這些風(fēng)險(xiǎn)和控制措施中的作用，必須定義明確的責(zé)任。三道防線模型說明了如何在組織內(nèi)分配和協(xié)調(diào)與風(fēng)險(xiǎn)和控制相關(guān)的特定職責(zé)。三道防線模型（ThreeLinesofDefense，3LoD）通過明確角色和職責(zé)來增強(qiáng)對(duì)風(fēng)險(xiǎn)管理和控制的理解。該模型為實(shí)施結(jié)構(gòu)以及各方分配的角色和職責(zé)提供了指導(dǎo)，以提高對(duì)風(fēng)險(xiǎn)和控制的有效管理。模型本身實(shí)際上是關(guān)于確保將風(fēng)險(xiǎn)所有權(quán)，風(fēng)險(xiǎn)促進(jìn)/監(jiān)督和風(fēng)險(xiǎn)保證這三個(gè)方面納入系統(tǒng)的組織結(jié)構(gòu)準(zhǔn)則。三道防線被視為一種監(jiān)督模型，旨在提供透明的監(jiān)督職責(zé)分配，并要求個(gè)人（或團(tuán)體）承擔(dān)這些職責(zé)。該模型的基本前提是，通過管理層和董事會(huì)的監(jiān)督，組織內(nèi)部需要三道防線才能有效地管理風(fēng)險(xiǎn)和控制。如果正確構(gòu)造了這三條線而在覆蓋范圍沒有缺口，則組織得到有效管理的可能性就會(huì)增加。第一道防線：運(yùn)營(yíng)管理第一道防線由對(duì)風(fēng)險(xiǎn)和控制具有日常所有權(quán)和管理權(quán)的一線和中線經(jīng)理處理。該團(tuán)隊(duì)承擔(dān)風(fēng)險(xiǎn)，并執(zhí)行相應(yīng)的控制措施，以提高實(shí)現(xiàn)組織目標(biāo)的可能性。第二道防線：內(nèi)部監(jiān)控和監(jiān)督職能第二道防線的建立是為了通過提供給第一線提供專業(yè)知識(shí)和監(jiān)控來支持高級(jí)管理層，以確保適當(dāng)?shù)毓芾盹L(fēng)險(xiǎn)和控制措施。這是一種管理和監(jiān)督功能，包括風(fēng)險(xiǎn)管理流程的各個(gè)方面。第二線職能可以開發(fā)、實(shí)施或修改組織的內(nèi)部控制和風(fēng)險(xiǎn)流程。根據(jù)組織的規(guī)模和所處行業(yè)，第二線的組成可能會(huì)有很大差異。管理控制和內(nèi)部控制措施代表舊版模型的第一線，而第二線包括各種風(fēng)險(xiǎn)管理功能，包括財(cái)務(wù)控制、安全、風(fēng)險(xiǎn)管理、質(zhì)量、檢查和合規(guī)性。二道線的職能發(fā)揮可以通過監(jiān)督、建議、指導(dǎo)、測(cè)試、分析和報(bào)告與風(fēng)險(xiǎn)管理相關(guān)的事項(xiàng)進(jìn)行體現(xiàn)，只要是對(duì)一道線職能提供了支持或挑戰(zhàn)了其風(fēng)險(xiǎn)管理的做法，而且這些做法是管理層決策和行動(dòng)不可或缺的，都是屬于第二道線的職責(zé)，當(dāng)然這些支持和挑戰(zhàn)是聚焦和風(fēng)險(xiǎn)有關(guān)的事項(xiàng)，并不包含像一些日常的后臺(tái)管理/共享服務(wù)職能，如人力資源、行政、后勤等。第三道防線：內(nèi)部審計(jì)第三道防線向高級(jí)管理層和董事會(huì)保證第一和第二線的工作與預(yù)期一致。該團(tuán)隊(duì)是由內(nèi)部審計(jì)師職能執(zhí)行的保證職能。內(nèi)部審計(jì)師通過采用系統(tǒng)的方法來評(píng)估和提高風(fēng)險(xiǎn)管理，控制和治理流程的有效性來實(shí)現(xiàn)其目標(biāo)。他們最終確保組織內(nèi)的獨(dú)立性和專業(yè)性。第三道防線與前兩道防線的主要區(qū)別在于組織的高度獨(dú)立性和客觀性。舊版模型的爭(zhēng)議一直以來內(nèi)部審計(jì)與檢測(cè)和報(bào)告實(shí)際或潛在的錯(cuò)誤和失敗有關(guān)，談?wù)撊婪谰€可以反映出典型的審計(jì)師希望最大程度地降低風(fēng)險(xiǎn)的愿望，而組織只有在承擔(dān)適當(dāng)風(fēng)險(xiǎn)水平的前提下才能成功。高管和董事會(huì)專注于需要承擔(dān)風(fēng)險(xiǎn)的績(jī)效，而專注于避免失敗的風(fēng)險(xiǎn)管理活動(dòng)充其量被視為一項(xiàng)合規(guī)活動(dòng)。之前舊版的三道防線（3LoD）模型有爭(zhēng)議之處在于，界限太過分立，沒有抓住組織的風(fēng)險(xiǎn)和控制的協(xié)調(diào)和共同責(zé)任。該模型可能會(huì)造成風(fēng)險(xiǎn)經(jīng)理和內(nèi)部審計(jì)師在那里阻止運(yùn)營(yíng)經(jīng)理過于冒險(xiǎn)激進(jìn)的做法，拖運(yùn)營(yíng)積極探索新業(yè)務(wù)的后腿，有可能加劇了部門間的對(duì)抗，喪失了高風(fēng)險(xiǎn)高收益的機(jī)會(huì)。而且風(fēng)險(xiǎn)管理不能僅局限于防御。除了極少數(shù)情況下，僅靠防御就不會(huì)贏。您可能會(huì)冒著防守的風(fēng)險(xiǎn)，但是管理層從追求利潤(rùn)的角度對(duì)前鋒更感興趣，因?yàn)榍颁h進(jìn)球。這使得風(fēng)險(xiǎn)管理部門與管理層的對(duì)話變得困難，因?yàn)樗麄儗L(fēng)險(xiǎn)管理視為試圖阻止他們探索商機(jī)的人，反之亦然。風(fēng)險(xiǎn)管理不是為了避免失敗。它應(yīng)該是在考慮可能發(fā)生的情況，所有潛在的結(jié)果，然后做出明智的決定并采取適當(dāng)?shù)拇胧﹣砀纳平Y(jié)果，這是每天開展業(yè)務(wù)的一部分。圍繞風(fēng)險(xiǎn)管理的普遍做法都是將壞事減到最少。這導(dǎo)致無(wú)法與業(yè)務(wù)領(lǐng)導(dǎo)者聯(lián)系并證明風(fēng)險(xiǎn)管理的價(jià)值。據(jù)調(diào)查，很少有高管認(rèn)為組織中的風(fēng)險(xiǎn)管理對(duì)業(yè)務(wù)戰(zhàn)略的執(zhí)行具有積極作用。舊模型看似層層防護(hù)，密不透風(fēng)，但其實(shí)容易出現(xiàn)抓小放大，導(dǎo)致無(wú)法應(yīng)對(duì)黑天鵝灰犀牛等大的危機(jī)。關(guān)于內(nèi)部審計(jì)，應(yīng)從報(bào)告損失風(fēng)險(xiǎn)轉(zhuǎn)變?yōu)榫腿绾胃玫亟?jīng)營(yíng)業(yè)務(wù)向董事會(huì)和管理層提供建議，通過更有效的決策，風(fēng)險(xiǎn)管理和控制。新版模型的變化新版模型的變化是對(duì)以上這些爭(zhēng)議的回應(yīng)。風(fēng)險(xiǎn)歸管理層所有，風(fēng)險(xiǎn)從業(yè)者的作用是幫助他們提供工具、流程、信息等，以便他們可以正確地選擇適當(dāng)數(shù)量的（不要太少也不要太多）風(fēng)險(xiǎn)。話不多說，先上兩張圖，上圖為2020新版“三線模型”（ThreeLinesModel），下圖為2003舊版“三道防線”（ThreeLinesofDefense）。我們需要一個(gè)更加積極的模型，并討論運(yùn)營(yíng)管理，風(fēng)險(xiǎn)管理和內(nèi)部審計(jì)如何協(xié)作以幫助組織成功與老版本比，最明顯的一個(gè)變化是，模型的名字從“三道防線”（ThreeLinesofDefense）改為“三線模型”（ThreeLinesModel），一字之差有什么深意？風(fēng)險(xiǎn)管理不只是防御，還有進(jìn)攻（注意這里說的不是黑客攻防，更多指的是積極面對(duì)風(fēng)險(xiǎn)）。組織需要有效的結(jié)構(gòu)和流程，以實(shí)現(xiàn)目標(biāo)并支持強(qiáng)有力的治理和風(fēng)險(xiǎn)管理。新添加的功能使該框架可以在進(jìn)攻和防御兩方面進(jìn)行操作，從而使組織可以更加主動(dòng)地采取行動(dòng)來實(shí)現(xiàn)其目標(biāo)。新版本著重在4大方面進(jìn)行了優(yōu)化：采用基于合理有用原則的方法并調(diào)整模型以適應(yīng)組織目標(biāo)及所處環(huán)境。新模型強(qiáng)調(diào)了治理，治理機(jī)構(gòu)角色，管理層以及一線和二線角色，三線角色，三線獨(dú)立性，創(chuàng)造和保護(hù)價(jià)值有等六項(xiàng)原則。新模型基于原則的方法旨在為用戶提供更大的靈活性風(fēng)險(xiǎn)管理不只是防御，而是保護(hù)價(jià)值。組織需要有效的結(jié)構(gòu)和流程，以實(shí)現(xiàn)目標(biāo)并支持強(qiáng)有力的治理和風(fēng)險(xiǎn)管理。新添加的功能使該框架可以在進(jìn)攻和防御兩方面進(jìn)行操作，從而使組織可以更加主動(dòng)地采取行動(dòng)來實(shí)現(xiàn)其目標(biāo)。關(guān)于實(shí)現(xiàn)目標(biāo)的過程，需要?jiǎng)?chuàng)造和保護(hù)價(jià)值。風(fēng)險(xiǎn)管理對(duì)“實(shí)現(xiàn)目標(biāo)和創(chuàng)造價(jià)值，以及對(duì)“防御”和保護(hù)價(jià)值的事情都做出了貢獻(xiàn)”。新版三道防線模型有利于在進(jìn)攻和防守兩個(gè)方面統(tǒng)籌管理風(fēng)險(xiǎn)，這有效解決了對(duì)傳統(tǒng)三道防線的主要批評(píng)：僅立足于風(fēng)險(xiǎn)防范。更清楚理解模型中所代表的角色和責(zé)任以及之間的關(guān)系，以實(shí)現(xiàn)更有效的協(xié)調(diào)、協(xié)作、問責(zé)制和目標(biāo)。在新模型下，風(fēng)險(xiǎn)管理的角色和職責(zé)劃分不再那么硬性分開，而是更具交互性，強(qiáng)調(diào)協(xié)作。在新模型中，為組織內(nèi)的各種領(lǐng)導(dǎo)者明確定義了角色，包括董事會(huì)或理事機(jī)構(gòu)的監(jiān)督；管理和運(yùn)營(yíng)負(fù)責(zé)人，包括風(fēng)險(xiǎn)和合規(guī)（一線和二線角色）；并通過內(nèi)部審核獲得獨(dú)立保證（三線角色）。采取措施，以確保活動(dòng)和目標(biāo)符合利益相關(guān)者的優(yōu)先利益。新版“三線模式”將組織的治理機(jī)構(gòu)（例如董事會(huì)）提供了更加清晰的角色和職責(zé)，從而將其納入分析框架之中。治理機(jī)構(gòu)對(duì)組織進(jìn)行檢視監(jiān)督，并對(duì)組織的利益相關(guān)者做出回應(yīng)，將組織的利益與利益相關(guān)者的利益聯(lián)系起來。治理機(jī)構(gòu)建立治理機(jī)制并將職責(zé)授權(quán)給內(nèi)部各條線，并創(chuàng)建組織的文化。內(nèi)部審計(jì)職能由治理機(jī)構(gòu)建立和并給予獨(dú)立授權(quán)。管理層直接領(lǐng)導(dǎo)為實(shí)現(xiàn)組織目標(biāo)而采取的行動(dòng)，同時(shí)也要密切關(guān)注風(fēng)險(xiǎn)并確保組織符合法律、法規(guī)和道德標(biāo)準(zhǔn)。管理層創(chuàng)建結(jié)構(gòu)以確保組織的有效性，并管理內(nèi)部控制以減輕風(fēng)險(xiǎn)。內(nèi)部審計(jì)職能向治理機(jī)構(gòu)負(fù)責(zé)，并向理事機(jī)構(gòu)和管理層提供客觀的建議和報(bào)告，說明其職能的有效性。內(nèi)部審計(jì)相對(duì)于管理層的獨(dú)立性確保了內(nèi)部審計(jì)在計(jì)劃和執(zhí)行工作中不受任何障礙和偏見，可以不受限制地獲得所需的人員、資源和信息。它對(duì)治理機(jī)構(gòu)負(fù)責(zé)。新版三道線模型還強(qiáng)調(diào)了組織所有部門之間溝通與合作的重要性。報(bào)告指出，內(nèi)部審計(jì)是獨(dú)立的，但不是孤立的，因?yàn)槁毮懿块T需要從內(nèi)部了解組織。當(dāng)所有部門共同努力并協(xié)調(diào)其目標(biāo)時(shí)，組織將有效運(yùn)作并成功實(shí)現(xiàn)其目標(biāo)。內(nèi)部審計(jì)與管理層之間必須定期進(jìn)行互動(dòng)，以確保內(nèi)部審計(jì)的工作是相關(guān)的，并與組織的戰(zhàn)略和運(yùn)營(yíng)需求保持一致。通過內(nèi)部審計(jì)的所有活動(dòng)，內(nèi)部審計(jì)將建立對(duì)組織的知識(shí)和了解，這有助于它作為可信賴的顧問和戰(zhàn)略合作伙伴提供保證和建議。需要在管理層和內(nèi)部審計(jì)的一線和二線角色之間進(jìn)行協(xié)作和交流，以確保沒有不必要的重復(fù)、重疊或空白盲區(qū)。新版模型認(rèn)識(shí)到第一線和第二線之間存在一定的流動(dòng)性。舊版里很明確將安全、風(fēng)險(xiǎn)管理、治理、合規(guī)等部門放在第二道防線，而在新版里代之以原則各企業(yè)自行根據(jù)情況決定。這在實(shí)踐中，更符合企業(yè)數(shù)字化轉(zhuǎn)型和敏捷轉(zhuǎn)型的實(shí)際工作需要；另一方面，也會(huì)給許多相關(guān)部門的人帶來新的困惑。模型基于六項(xiàng)原則模型最大的變化是確定了新的三線模型所基于的六個(gè)關(guān)鍵原則：原則1：組織的治理需要適當(dāng)?shù)慕Y(jié)構(gòu)和流程，通過誠(chéng)信，領(lǐng)導(dǎo)和透明來實(shí)現(xiàn)問責(zé)制、行動(dòng)和獨(dú)立內(nèi)部審計(jì)職能的保證。原則2：管理機(jī)構(gòu)的角色確保適當(dāng)?shù)慕Y(jié)構(gòu)和流程有效實(shí)施。治理機(jī)構(gòu)下放職責(zé)，并向管理層提供資源，以確保使組織目標(biāo)與股東利益保持一致的有效結(jié)構(gòu)。原則3：管理層實(shí)現(xiàn)組織目標(biāo)的責(zé)任包括一線和二線角色。其中第一線角色向客戶交付產(chǎn)品和服務(wù)，并且包括支持職能的角色。二線角色為管理風(fēng)險(xiǎn)提供幫助。原則4：內(nèi)部審計(jì)執(zhí)行保證的第三線角色，就治理和風(fēng)險(xiǎn)管理的充分性和有效性提供獨(dú)立和客觀的保證和建議。在此過程中，職能部門使用系統(tǒng)和嚴(yán)格的流程，將發(fā)現(xiàn)的結(jié)果報(bào)告給管理層，并促進(jìn)持續(xù)改進(jìn)。它可能會(huì)考慮其他內(nèi)部和外部提供商的保證。原則5：內(nèi)部審計(jì)職能必須與管理層保持獨(dú)立，并具有自由和訪問權(quán)，以適當(dāng)?shù)貓?zhí)行審計(jì)以向治理機(jī)構(gòu)負(fù)責(zé)，權(quán)威性和信譽(yù)至關(guān)重要。原則6：當(dāng)所有角色相互協(xié)調(diào)并符合利益相關(guān)者的優(yōu)先利益時(shí)，它們共同為價(jià)值創(chuàng)造和保護(hù)做出貢獻(xiàn)。原則1：治理組織的治理需要適當(dāng)?shù)慕M織結(jié)構(gòu)和程序來實(shí)現(xiàn)：治理結(jié)構(gòu)對(duì)利益相關(guān)者負(fù)責(zé)，并體現(xiàn)誠(chéng)信、領(lǐng)導(dǎo)力和透明度來檢視整個(gè)組織；通過基于風(fēng)險(xiǎn)的決策和資源分配，管理層采取行動(dòng)（包括管理風(fēng)險(xiǎn)）以實(shí)現(xiàn)組織目標(biāo)；獨(dú)立的內(nèi)部審計(jì)職能提供確認(rèn)和建議并推動(dòng)持續(xù)改進(jìn)。原則2：治理層的角色治理層確保：建立適當(dāng)?shù)慕Y(jié)構(gòu)和程序，以實(shí)現(xiàn)有效治理；組織目標(biāo)和行動(dòng)優(yōu)先考慮利益相關(guān)者的利益。治理層：授權(quán)管理層履行職責(zé)并提供資源，以實(shí)現(xiàn)組織的目標(biāo)，同時(shí)確保滿足法律、法規(guī)和道德遵從要求；建立和審查獨(dú)立、客觀和勝任的內(nèi)部審計(jì)職能，使得在實(shí)現(xiàn)目標(biāo)的過程中更加透明并增強(qiáng)信心。原則3：管理層以及一道和二道線的角色管理層負(fù)責(zé)實(shí)現(xiàn)組織目標(biāo)，其責(zé)任涵蓋一道線和二道線角色。一道線角色直接向客戶提供產(chǎn)品和/或服務(wù)，并包括相關(guān)支持職能。二線角色協(xié)助一線更好的管理風(fēng)險(xiǎn)。第一線和第二線角色可以合并或分開，某些第道線角色可以分配給相關(guān)專家，為第一線提供專業(yè)支持、監(jiān)控和挑戰(zhàn)其風(fēng)險(xiǎn)相關(guān)事項(xiàng)。二線角色可以專注于風(fēng)險(xiǎn)管理的特定目標(biāo)，例如：遵守法律、法規(guī)和可接受的道德行為；內(nèi)部控制；信息和技術(shù)安全；可持續(xù)性和質(zhì)量保證。另外，二道線角色可能會(huì)承擔(dān)更廣泛的風(fēng)險(xiǎn)管理職責(zé)，例如企業(yè)風(fēng)險(xiǎn)管理（ERM）。但是，管理風(fēng)險(xiǎn)的責(zé)任仍然是第一道線的職責(zé)，并且屬于管理層的管轄范圍。原則4：三線角色內(nèi)部審計(jì)為治理和風(fēng)險(xiǎn)管理的充分性和有效性提供獨(dú)立和客觀的確認(rèn)和建議。它通過充分的應(yīng)用系統(tǒng)、嚴(yán)格的程序、專業(yè)知識(shí)和洞察力來實(shí)現(xiàn)這一目標(biāo)。它向管理層和治理層報(bào)告其發(fā)現(xiàn)，以促進(jìn)和推動(dòng)持續(xù)改進(jìn)。在這個(gè)過程中，它還會(huì)考慮和使用其它內(nèi)部或外部機(jī)構(gòu)的確認(rèn)結(jié)果。原則5：三線的獨(dú)立性內(nèi)部審計(jì)獨(dú)立于管理層職能之外對(duì)于其客觀性、權(quán)威性和可信度至關(guān)重要。可以通過以下方式實(shí)現(xiàn)：對(duì)治理層負(fù)責(zé)；為了完成其職責(zé)可以不受限制地訪問相關(guān)人員、資源和數(shù)據(jù)；以及在計(jì)劃和實(shí)施審計(jì)服務(wù)時(shí)不受偏見或干擾影響。原則6：創(chuàng)造和保護(hù)價(jià)值所有角色相互配合、協(xié)同一致并優(yōu)先考慮利益相關(guān)者的利益時(shí)，它們就可以更好的創(chuàng)造和保護(hù)價(jià)值。協(xié)同一致是通過溝通、配合與協(xié)作實(shí)現(xiàn)的。這樣可以確?；陲L(fēng)險(xiǎn)決策所需信息的可靠性、一致性和透明度?？偨Y(jié)：平衡協(xié)調(diào)三道線，創(chuàng)造和保護(hù)價(jià)值三線模型符合組織目標(biāo)和所處環(huán)境要求時(shí)，才能發(fā)揮最大的功效。為了有效，每個(gè)組織應(yīng)以適合其行業(yè)、規(guī)模、運(yùn)營(yíng)結(jié)構(gòu)和風(fēng)險(xiǎn)管理方法的方式實(shí)施該模型。組織應(yīng)敦促管理層設(shè)計(jì)與模型一致的治理結(jié)構(gòu)，以使所有三道線都存在。這三道線應(yīng)該具有