GRC专业人士的基本策略类似于老式的打鼹鼠街机游戏，玩家用木槌将随机出现的玩具鼹鼠打回洞里。风险突然出现？打它！你觉得会有风险吗？用控制棒猛击它。无效控制？用行动计划来打击它！合规性问题？用政策来打击它！基于风险的审计范围？想想基于鼹鼠的审计宇宙！

当痣突然、不可预测、随机、自发地出现时，打痣法是完美的。对于GRC中的风险来说，云服务平台，这很少是正确的，但打鼹鼠思维占了上风。这在我们的业务和监管部门对业务风险和合规失败的反应中都很普遍。

不可靠的财务报告？打SOX！洗钱问题？打击反洗钱！它是被动的、倒退的、昂贵的和不必要的。当然，我们抱怨由此产生的监管和GRC的复杂性。

寻找痣巢，而不是痣

没有考虑到系统性问题，根本原因，或潜在条件或人类行为培养痣。当痣出现的时候就把它们打了。不停地打，直到他们离开，当然他们永远不会这样做。

没有成功的专业或商业纪律是这样工作的。

要停止打鼹鼠的方法，我们需要找到鼹鼠居住的地方，并在他们开始之前阻止他们。

这不是鼹鼠的问题，这是一个人的问题

在我看来，内部审计部门的职责是报告第一道防线和第二道防线报告的风险和控制信息的完整性和准确性。换句话说，大数据存储技术有哪些，他们是如何管理自己的痣的，他们有可能成功吗？

多年前，作为一家石油天然气公司的首席审计师，物联网是学什么的，我和我的员工实施了今天所谓的"三道防线"方法。

下面是一份实际报告的模型。这份报告非常简单，但却非常有力。它被用来向高级管理层和董事会审计委员会报告。这是我们使用的几种报告格式之一。

在出现问题之前先解决问题

由于我们的自我评估计划，公司的每个部门都使用了一种方法来识别、记录和评估他们的风险和控制措施。他们的评估报告副本已送交内部审计部。通常是文字报告，有时几页，有时是活页夹。我们有两种评分方法。

在桶形图中有几个部门的评分非常好。另一方面，一位部门负责人在临近最后期限的一个星期五下午坐下来，淘客网店推广平台，自己创建了一个铅笔列表，列出了他认为已经到位的控制措施。那个部门很突出。我们发现，如果业务经理不愿意或无法评估他们的风险和控制，他们很可能会有鼹鼠问题。我们想在鼹鼠出现之前阻止它们。

第三道防线的作用

企业提供的所有信息都是可审计的，可以核实的。我们的重点是首先在业务中建立风险和控制评估技能，然后对结果的可靠性提供保证。

作为CAE，我希望解释和解释自我评估的结果和报告信息的可靠性。管理层和董事会现在有了一个视角。我们给了他们一些杠杆。

我们测试了企业记录的信息。我们就控制设计的最佳实践进行了咨询。我们模拟了主要系统更改对实体级控制框架的影响。我们以竞争对手为基准。

当时，我们现有的技术并不存在。今天，我们有了GRC工具，将这一过程推进到比我们想象的更深入、更远的组织中。

我们的工作在Paul Makosz和我自己撰写的《文艺复兴的成熟期》中进行了描述，并于1990年12月在IA杂志上发表。显然，我们夸大了GRC职业变革的"成熟性"。

20年前，打鼹鼠的策略是情有可原的。今天，行业大数据分析，它们是不必要的、低效的、不可靠的和不可接受的。