Меня немного смущает термин «менеджмент» в 3LM IIA. Может показаться, что рисками в компании занимаются в основном менеджеры, т.е. управленцы, или только фронт-офис.   Думаю, не буду противоречить идеям 3LM IIA, если скажу, что вообще все работники компании должны участвовать в работе с рисками.   Например, если абсолютно любой сотрудник обнаружит документ с грифом «Конфиденциально» в общем принтере, он должен:   - Понять, что это конфиденциальный документ и что он не должен здесь находиться, поскольку высока вероятность утечки содержащейся в нем информации. Это идентификация риска – один из основных этапов риск-менеджмента.   -  Сделать с этим документом то, что можно и нужно (передать кому надо) и не делать то, что нельзя (оставлять там же, выкидывать в мусор, читать, фотографировать и т.п.). Это тоже один из этапов управления рисками – реализация действий по их снижению.   Аналогично: любой сотрудник компании должен уметь идентифицировать риски нарушения коррупционных или этических норм. Примечательно, что это относится и к тем, кто выполняет функции второй и третьей линий. И даже к членам совета директоров.   Может быть, IIA не считает это функциями первой линии. Но важно, что именно рядовые сотрудники, а не их руководители («менеджмент») и тем более не комплаенс-менеджеры зачастую первыми узнают как о конкретных рисках в конкретных проектах, так и о тóм, что называют «сработавшим риском».   #управление_рисками