OpiniePunkt Widzenia

Trzy linie … ale czego?

Czy zmiana nazwy powszechnie przyjętego mechanizmu zarządzania ryzykiem poprawi sytuację?

Ważne
  • Czy zamiana "Trzech Linii Obrony" na "Trzy Linie" i 3 rodzaje ról pomoże organizacjom skuteczniej zarządzać ryzykiem? Można mieć co do tego spore wątpliwości

Niniejszy wpis stanowi uzupełnienie – komentarz do zmian modelu Trzech Linii Obrony (3LOD) opisanych w artykule „„Obrona” się nie sprawdziła.

Czy te zmiany wpłyną pozytywnie na skuteczność zarządzania ryzykiem w podmiotach gospodarczych a także w instytucjach i jednostkach administracji publicznej? Czy to tylko makijaż, który zapewnia organizacjom dobre samopoczucie i ułatwia sporządzanie sprawozdań i raportów dostarczając „wsadu” o strukturze zarządzania ryzykiem?

Popatrzmy najpierw na …

Kilka przykładów

| Firma z sektora paliwowego

| Firma produkcyjna #1

| Firma produkcyjna #2

| Firma z sektora IT

    Nie jest trudno zauważyć, że firmy mniej lub bardziej odmiennie interpretują Model 3LOD przypisując w różny sposób i w różnym zakresie odpowiedzialność za zarządzanie ryzykiem funkcjom i rolom ulokowanym w poszczególnych liniach obrony. O ile w przypadku III linii Obrony panuje zgoda co do tego, że jest to pole do popisu jednostek audytu wewnętrznego o tyle w przypadku pozostałych Linii (I i II) zakres odpowiedzialności nieco się różni.

    I jeszcze jedno, w powyższych przypadkach brak jest wskazania miejsca zarządów spółek – tak jakby zarządy wyłączone były ze wspólnego dzieła jakim jest zarządzanie (dobrze, obrona przed) ryzykiem.

    Firmy podkreślają swoją odrębność i starają się wyróżnić. A jednocześnie zmuszane są lub ochoczo i bez refleksji akumulują ogólne rozwiązania.

    Tak się szczęśliwie złożyło, że w lecie bieżącego roku, Federacja Europejskich Stowarzyszeń Zarządzania Ryzykiem (Federation of European Risk Management Associations) opublikowała wyniki  badania ankietowego przeprowadzonego wśród osób  zawodowo zajmujących się ryzykiem a zatytułowany „FERMA European Risk Manager Report 2020”. Część 5 Raportu poświęcona jest ocenie pozycji menedżerów ryzyka i relacji pomiędzy funkcją zarządzania ryzykiem (tzw. Druga Linia Obrony wg modelu IIA) a funkcjami z pozostałych Linii. Wyniki dają sporo do myślenia.

    Relacje z I Linią Obrony, czyli z obszarem operacyjnym

    Najwięcej respondentów oceniło jako „regularną, bliską współpracę opartą na jasnych zasadach” relację z funkcjami operacyjnymi, finansowymi i prawniczymi (w granicach 53 do 55%).

    Najmniej tak pozytywnych ocen zgromadziły relacje z jednostkami odpowiedzialnymi za inwestycje i relacje inwestorskie, fuzje i przejęcia oraz … CSR: 20 do 24%.

    W odniesieniu do tych relacji najwięcej jest opinii wskazujących na „brak jakichkolwiek relacji (współpracy) i zaangażowania”: 29 do 38%.

    Najwięcej wskazań określanych jako „okazjonalna współpraca” dotyczyło relacji  funkcji zarządzania ryzykiem z takimi obszarami jak:  IT, planowanie strategiczne, HR i CSR (odpowiednio: 41%, 41%, 47% i 46%).

    Relacje z pozostałymi funkcjami  II Linii Obrony

    Tutaj najlepsze relacje osoby zajmujące się stricte zarządzaniem ryzykiem wskazały na Bezpieczeństwo IT, jednostki kontroli wewnętrznej oraz szeroko rozumianego bezpieczeństwa (security / safety): 45 – 40%. Najlepsze oznacza „regularną, bliską współpracę”.

    Najgorsze oceny zebrały relacje z obszarem zapewnienia jakości: 27% respondentów stwierdziło, że „nie ma współpracy i zaangażowania”.

    Jako „okazjonalną współpracę” najczęściej wskazywano w odniesieniu do  jakości i bezpieczeństwa (również IT):  39 – 36%.

    Relacje z III Linią Obrony, czyli z audytem wewnętrznym i otoczeniem

    45% respondentów wskazało, że relacje z audytem wewnętrznym są oparte na „regularnej, bliskiej współpracy”

    W przypadku audytu zewnętrznego oraz podmiotów nadzoru (w tym podmiotów regulujących działalność sektora / branży) pozytywne oceny (relacji) nie przekraczają 28%.

    Najgorzej oceniono relacje z regulatorami oraz podmiotami tzw. 3-ciej strony nadzoru (zapewnienia): 40-41% wskazań dotyczących „braku współpracy”.

    Cóż, chyba z wyników tego badania nie mogą być zadowoleni autorzy Modelu Trzech Linii Obrony. Dlaczego? Zarządzanie ryzykiem nie jest działalnością jednoosobową; musi się opierać na współpracy wszystkich jednostek organizacyjnych firm i instytucji – dowolnej branży i sektora. Jeżeli zaś – jak wynika z Raportu – pozytywne oceny współpracy (relacji) nie przekraczają 55% to znaczy, że zarządzanie ryzykiem nie jest – generalnie rzecz ujmując – doskonałe; jest  … obarczone sporym ryzykiem. Być może to też jest jedną z przyczyn próby aktualizacji Modelu 3LOD. Ale czy Trzy Linie (ale już nie obrony) poprawią sytuację? Wątpimy.

    Przy okazji zachęcamy Czytelników do zapoznania się z treścią owego Raportu – można wyciągnąć z tego badania wiele  wniosków. I uwaga końcowa: w badaniu nie uczestniczyli respondenci z Polski a ponad 76% głosów (na ponad 700 wypełnionych ankiet) pochodziło z tzw. krajów Europy Zachodniej.

    Marzenia autorów Modelu 3LOD o jego skuteczności niestety są brutalnie niweczone przez życie a precyzyjniej rzecz ujmując: przez samych menedżerów i to z najwyższych pięter struktur zarządzania. Firma ORX (Operational Riskdata eXchange Association) publikuje regularnie dane dotyczące strat operacyjnych. I tak, w czerwcu 2020 roku, na liście 5 podmiotów z największymi stratami z tytułu zdarzeń operacyjnych znalazły się 4 banki i jedna firma ubezpieczeniowa. Największe straty, ponad 107 mln USD, poniósł szwedzki bank (SEB) z tytułu kar nałożonych za zakazane praktyki. Najmniejsze – w tym gronie – straty poniósł Commerzbank w Wielkiej Brytanii – „tylko” 47,7 mln USD. Również z tytułu zakazanych praktyk.

    No i tu tkwi problem: w tych pomiotach są sztaby ludzi pełniących funkcje w ramach I, II i III Linii Obrony. Czy to coś dało? Czy uchroniło owe instytucje przed stratami?

    Editor

    In rebus prosperis et ad voluntatem nostram fluentibus superbiam magnopere, fastidium arrogantiamque fugiamus.>>>W sytuacjach pomyślnych i gdy wszystko dzieje się według naszej woli, wystrzegajmy się pychy, zuchwalstwa i buty.

    Powiązane artykuły

    Back to top button