管理战略和运营风险

了解如何使用不同的 Diligent One 应用程序来管理战略和运营风险，这些应用程序之间存在什么关系，以及应用程序如何支持三道防线。

战略应用程序

战略应用程序用于企业风险管理（ERM)，企业风险管理计划为组织平衡风险和机会提供了必要的洞察，以改善业务绩效，更经济地实现其战略目标。

项目

项目应用程序（包含项目应用程序和框架应用程序等）用于运营风险管理（ORM），ORM为组织提供必要的保障，使得现有的控制措施得到适当的设计和有效的运作，且风险得到适当缓解。

连接

项目应用程序中的目标（也称为控制目标）、环节或周期与战略应用程序中的战略风险相关。

下图说明了这一关联，并显示了哪些信息汇集回至战略风险。

• 如果您将项目目标关联到战略风险，则会汇总单个项目的信息。
• 如果您将框架目标关联到战略风险，则通常会汇总多个项目的信息。

与项目目标相关联的战略风险

被链接到框架目标的战略风险

工作流

下图说明了在战略应用程序中工作的风险管理团队和在项目应用程序和框架应用程序中工作的保障团队之间可以进行的工作流。

风险管理团队可以使用一套通用的评估标准评估固有风险，并与保障团队合作，定义和实施措施以降低风险和评估残留风险。可从项目应用程序和框架应用程序将测试结果汇总到战略应用程序中的战略风险评估，以进行报告，并能够在战略层面查看风险和项目结果的仪表盘。

基本示例

其他组成部分和关系

下图说明了战略、结果、项目、框架和合规地图应用程序中不同组成部分之间的关系。每组组成部分与特定团队或防线的职能一致。

识别战略风险和定义风险偏好（董事会/审计）

董事会使用战略应用程序，首先设置风险概况，并识别战略风险。董事会可以使用战略应用程序来定义组织的风险偏好，并将其与企业风险管理计划的战略保持一致。

定义风险处理和测试控制（内部审计）

一旦确定了组织的战略风险和目标，则内部审计可以使用项目应用程序和框架应用程序制定计划并采取措施来减轻风险。

内部审计定义了风险处理，测试现有控制的设计（通过排查）和操作有效性（通过测试），并在适用的情况下注意任何问题。随着控制得以通过，项目、框架和战略应用程序中的保障分数提高。如果控制的任何一次排查或测试轮失败，则控制被标记为“失败”，并从整体保障分数中减去。

可以将框架设置为用于管理跨多个项目的常见控制的中央存储库，并将这些控制导入到相关项目中进行单独测试。您也可以在其中一个项目中进行更改，并将更改同步回框架。

确保符合要求（合规团队）

为了展示组织遵守与业务相关的规范，合规团队可以创建合规地图，以将框架控制映射到要求。

一旦将框架控制映射到要求，与框架相关的多个项目的测试结果和问题被汇总至合规地图，以便合规团队可以：

• 识别缺口
• 优先处理问题
• 跟踪合规进度

随着控制的通过，合规保障增加。如果控制的任何一次排查或测试轮失败，则控制被标记为“失败”，并从保障分数中减去。

高级示例