- Instytut Audytorów Wewnętrznych (IIA) poinformował o modyfikacji popularnego modelu 3LOD - "Three Lines of Defence" czyli Trzech Linii Obrony jako elementu składowego systemu zarządzania ryzykiem
Rok temu, podczas konferencji zorganizowanej przez Komisję Europejską w Brukseli, prof. Flemming Ruud z Uniwersytetu w St. Gallen oraz z Norweskiej Szkoły Biznesu w Oslo w swojej prezentacji zatytułowanej „Reflections on the Three Lines of Defense” zapowiedział zmianę słynnego modelu „3 Linii Obrony” w ramach systemu zarządzania ryzykiem.
Według niego, główne cele przeglądu i aktualizacji modelu to:
– uelastycznienie modelu pozwalające na łatwiejsze wdrożenie przez małe i średnie przedsiębiorstwa
– poprawa współpracy między poszczególnymi liniami, aż do „zacierania podziału między liniami”
– promowanie proaktywnego podejścia do zarządzania ryzykiem m.in. poprzez wyeliminowanie „obronnego” charakteru zarządzania ryzykiem.
I tak się stało. W lipcu bieżącego roku Instytut Audytorów Wewnętrznych (The IIA) poinformował, że rezygnuje z – propagowanej przez lata – koncepcji tzw. Trzech Linii Obrony. No, może nie rezygnuje ale modyfikuje swoją koncepcję.
Skąd w ogóle wzięły się te słynne „3 Linie Obrony”
We wrześniu 2010 roku dwie organizacje: ECIIA (European Confederation of Institutes of Internal Auditing) oraz FERMA (Federation of European Risk Management Associations) opublikowały wytyczne zatytułowane “Guidance on the 8th EU Company Law Directive article 41” zawierające koncepcję tzw. 3 linii obrony w ramach systemu zarządzania ryzykiem. To nie był skomplikowany model:
Pierwsza linia obrony
Zarządzanie operacyjne: własność ryzyka, odpowiedzialność i rozliczalność za ocenę, kontrolowanie i ograniczanie ryzyka wraz z utrzymaniem efektywności mechanizmów kontroli wewnętrznej.
Druga linia obrony
Obejmuje trzy elementy:
– Funkcję zarządzania ryzykiem, wspierającą i monitorującą wdrażanie skutecznych praktyk zarządzania ryzykiem w obszarach operacyjnych a także wspomagającą właścicieli ryzyka w określaniu docelowej ekspozycji na ryzyko i ujawnianiu właściwych informacji odnoszących się do ryzyka.
– Funkcję monitorowania ryzyka niezgodności z odpowiednimi przepisami prawa i regulacjami oraz regulacjami wewnętrznymi.
– Inne funkcje monitorowania takich obszarów jak: zdrowie i bezpieczeństwo, łańcuch dostaw, ochrona środowiska a także zapewnienie jakości.
Trzecia linia obrony
Funkcja audytu wewnętrznego: usługi oceny skuteczności oceny i zarządzania ryzykiem przez organizację, w tym oceny funkcjonowania pierwszej i drugiej linii obrony.
Kilka lat później, w styczniu 2013 roku, Instytut Audytorów Wewnętrznych (IIA) niejako potwierdził ten model, publikując dokument zatytułowany: “The three lines of defense in effective risk management and control” – nieco modyfikując dotychczasowy model „trzech linii”, niejako traktując audyt zewnętrzny i regulatorów jako odpowiednio IV i V Linię Obrony:
Jak „3 linie” znalazły się w Polsce?
Pierwsze, nieformalne zalecenia, mające charakter „dobrych praktyk” pojawiły wkrótce po opublikowaniu Modelu 3LOD przez IIA. Między innymi Polska Izba Ubezpieczeń w swojej publikacji wskazywała i zachęcała podmioty członkowskie do wdrożenia Modelu 3LOD.
W 2017 roku, w treści Rozporządzenia Ministra Rozwoju i Finansów z dnia 6 marca, w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach … zapisano co następuje:
- 3. 1. Funkcjonujące w banku system zarządzania ryzykiem i system kontroli wewnętrznej są zorganizowane w banku na trzech niezależnych poziomach.
2. Na pierwszy poziom składa się zarządzanie ryzykiem w działalności operacyjnej banku.
3. Na drugi poziom składa się co najmniej:
1) zarządzanie ryzykiem przez pracowników na specjalnie powoływanych do tego stanowiskach lub w komórkach organizacyjnych, niezależnie od zarządzania ryzykiem, o którym mowa w ust. 2;
2) działalność komórki do spraw zgodności.
4. Na trzeci poziom składa się działalność komórki audytu wewnętrznego
Nie użyto tutaj wprawdzie sformułowania „3 linie obrony” (choć podział na 3 poziomy odpowiada Modelowi 3 linii Obrony) ale już w pochodzącej z kwietnia tego samego roku (2017) roku publikacji Komisji Nadzoru Finansowego (KNF) zatytułowanej „Rekomendacja H dotycząca systemu kontroli wewnętrznej w bankach” pojawiły się zapisy wprost przywołujące Model 3 Linii Obrony:
Trzy linie obrony – funkcjonujący w banku system zarządzania ryzykiem i system kontroli -wewnętrznej zorganizowane w banku na trzech, niezależnych poziomach, o których mowa w §3 rozporządzenia, gdzie:
– na pierwszą linię obrony składa się zarządzanie ryzykiem w działalności operacyjnej banku,
– na drugą linię obrony składa się co najmniej zarządzanie ryzykiem przez pracowników na specjalnie powoływanych do tego stanowiskach lub w komórkach organizacyjnych, niezależnie od zarządzania ryzykiem na pierwszej linii obrony oraz działalność komórki do spraw zgodności,
– na trzecią linię obrony składa się działalność komórki audytu wewnętrznego.
Nie da się ukryć, że rozwój mechanizmów zarządzania ryzykiem najszybciej odbywa się w instytucjach finansowych stąd pozostałe sektory i branże powielają – czasami modyfikując – rozwiązania przyjmowane w sektorze finansowym.
Tak się też stało z samorządami. W 2017 roku Ministerstwo Finansów „zachęciło” samorządy do wdrażania Modelu 3LOD.
Podobnie, w oficjalnych publikacjach podmiotów gospodarczych z różnych sektorów i branż możemy spotkać zapisy wskazujące na wdrożenie Modelu 3LOD.
Zmiana
W lipcu bieżącego roku, IIA opublikowało dokument: „The IIA’S three lines model. An update of the Three Lines of Defense”.
Od teraz, model zmienia nazwę; zamiast “trzech linii obrony” mamy “trzy linie”.
Nie ma już zatem 3 Linii Obrony. Są 3 linie (zarządzania? sterowania?) i trzy rodzaje ról: pierwszo-, drugo- i trzecioplanowe.
Role pierwszoplanowe
Ich odpowiedzialnością jest:
- Przewodzenie i kierowanie działaniami (obejmującymi zarządzanie ryzykiem) oraz wykorzystaniem zasobów służących osiąganiu celów.
- Utrzymanie ciągłego dialogu z organami nadzorczymi oraz realizacja sprawozdawczości dotyczącej realizacji planów i wyników w odniesieniu do celów organizacji; jak również w sprawach dotyczących ryzyka.
- Ustalenie i utrzymanie właściwych struktur i procesów zarządzania działalnością operacyjną i ryzykiem oraz kontroli wewnętrznej.
- Zapewnienie zgodności z prawem, wymaganiami regulatorów oraz oczekiwaniami w zakresie etyki.
Role drugoplanowe
Odpowiedzialność tych ról obejmuje:
- Ekspertyzy, wsparcie, monitorowanie …. jak w dotychczasowym modelu Trzech Linii Obrony, a w tym podejmowanie wyzwań dotyczących:
– projektowanie, wdrażanie i doskonalenie praktyk zarządzania ryzykiem
– osiąganie celów zarządzania ryzykiem, w tym: zgodności z prawem i regulacjami, akceptowalnego etycznie zachowania, kontroli wewnętrznej, bezpieczeństwa IT, jakości i ciągłości działania. - Analizy i raporty dotyczące adekwatności i skuteczności zarządzania ryzykiem i kontroli wewnętrznej
Role trzecioplanowe
To role, których zadaniem jest niezależne i obiektywne zapewnienie oraz doradztwo w zakresie adekwatności i skuteczności zarządzania ryzykiem i kontroli wewnętrznej.
Czy te zmiany pozytywnie wpłyną na skuteczność mechanizmów zarządzania ryzykiem w firmach i instytucjach? Napisaliśmy o tym w artykule „Trzy linie … ale czego” – w strefie >Punkt Widzenia<.
Zainteresowanych informujemy, że zostało opublikowane polskie tłumaczenie „The IIA’S three lines model. An update of the Three Lines of Defense”. Żeby dotrzeć do tej publikacji, wystarczy wpisać w przeglądarce internetowej :
“Wprowadzony przez IIA model trzech linii. Aktualizacja trzech linii obrony”
