В 2013 году, обобщив мировой опыт эффективного ведения бизнеса, международный Институт внутренних аудиторов (The IIA) разработал и представил мировому бизнес сообществу модель «Трех линий защиты» (или “3LOD” – от “3 Lines of Defense”). Модель трех линий защиты проводит взаимосвязь между менеджментом, рисками и контролем.
На первый взгляд, данная модель ориентирована скорее на крупные компании. В представленной на рис. 1 и 2 модели присутствуют такие понятия, как совет директоров/комитет по аудиту, внутренний аудит, комплаенс-контроль.
В действительности, это обобщенная модель и ее применяют вне зависимости от масштабов бизнеса. Небольшие компании, как правило, адаптируют модель под свою деятельность и ограничиваются первой и второй линией. Третья линия защиты, а именно внутренний аудит, как отдельное структурное подразделение, создается, как правило, в масштабных компаниях со сложной иерархической структурой.
Как показано на рис.1 и 2 Модель 3LOD наглядно демонстрирует, что при условии разграничения соответствующих функций в структуре компании на всех уровнях управления, система внутреннего контроля и управления рисками помогает достигать цели организации, предотвращает и минимизирует нежелательные события (риски).
1-ая линия защиты (бизнес-функции) – означает линейное руководство, а также самоконтроль работников при выполнении операций, которые несут ответственность за оценку, регулирование и минимизацию рисков, а также за обеспечение эффективного функционирования системы внутреннего контроля.
Структурные подразделения выявляют риски по процессам, разрабатывают, внедряют и выполняют контрольные процедуры, в том числе предпринимают меры противодействия негативным событиям, тем самым создают первую защитную линию внутреннего контроля. По итогам проведенной работы, по контролю и рискам, формируется управленческая отчетность. Субъекты первой линии постоянно анализируют свою деятельность на предмет возникновения рисков, путем задаваемых вопросов: «Что может пойти не так?», «Что я еще не учел?», «С какими рисками мы сталкиваемся?», «Как можно добиться результатов, предотвращая возникновение рисковой ситуации?».
Успех защиты на первой линии во многом зависит от внутреннего желания персонала смотреть на выполняемую работу чуть более широко, чем сфера их специализации. Ведь оценивая надежность внутреннего контроля, мы отвечаем не только на вопрос – «что может случиться?», главное ответить на вопрос – «что сделано, чтобы не случилось?». Такой подход является основой внутреннего контроля. Каким путем достигается эффективность защиты на первой линии, рассмотрим в статье об обязательных элементах внутреннего контроля.
2-ая линия защиты (функции мониторинга) – это поддержка и постоянный мониторинг внедрения практики управления рисками, внутреннего контроля, соблюдения законодательства и административных правил, внутренних нормативных актов и расследования фактов недобросовестных действий. В зависимости от масштабов деятельности организации, вторая линия для крупных компаний, может состоять из специализированных подразделений внутренних контролеров и риск-менеджеров, таких как контрольно-ревизионный отдел, служба внутреннего контроля, подразделения контроля рисков и т.д. Компании меньшего масштаба, зачастую, выделяют ресурсы из имеющегося кадрового состава специалистов, имеющих опыт и разделяющих ценности организации, на совмещенную работу, а также пользуются услугами привлеченных лиц (аутсорсинг).
В компетенцию структурных единиц второй линии защиты обычно не входит ответственность за своевременное выявление и оценку рисков. Это функционал первой линии, однако аналитика угроз, а также консолидация информации по рискам и ее представление менеджменту является их прямой функцией. Если предположить, что компания имеет филиалы, или состоит из нескольких организаций, то координация и распространение практики и опыта по контролю и управлению рисками, также будет являться задачей специалистов второй линии. Между первой и второй линией должен быть налажен беспрепятственный обмен данными и четко распределены роли и обязанности по процессам управления рисками и внутреннего контроля.
3-я линия защиты (независимая функция) – предоставляет высшему руководству (как правило, совету директоров или комитету по аудиту) объективную информацию об эффективности управления рисками, и дает свою оценку надежности системы внутреннего контроля. Внутренний аудит проводит проверки процессов, по результатам которых подготавливает отчетность с выводами о контроле и рисках на первой и второй линиях. Объективность внутреннего аудита достигается путем разделения подчиненности. То есть административно, внутренний аудит подчиняется генеральному директору, а функционально, совету директоров. Как правило, назначение лица на должность руководителя службы внутреннего аудита также проводится Советом директоров. Службу внутреннего аудита могут себе позволить компании с достаточным количеством ресурсов.
Так в 208-ФЗ «Об акционерных обществах» статья 87.1. п.2. сказано: «Должностное лицо, ответственное за организацию и осуществление внутреннего аудита (руководитель структурного подразделения, ответственного за организацию и осуществление внутреннего аудита), назначается на должность и освобождается от должности на основании решения совета директоров (наблюдательного совета) публичного общества. Условия трудового договора с указанными лицами утверждаются советом директоров (наблюдательным советом) публичного общества.
4-ой линия защиты (внешний аудит) – контроль со стороны внешнего аудита. То есть, эта линия защиты, которая находится за рамками компетенций менеджмента, поэтому отображается за сплошной чертой на схеме. Серьезные недостатки системы внутреннего контроля, отмеченные в ходе аудиторской проверки, а также рекомендации по их устранению аудиторы отражают в аудиторских заключениях и информируют руководство проверяемого экономического субъекта.
На Рис. 3 и 4 – «Влияние системы внутреннего контроля на функционирование организации»[i] и «Концепция трех линий защиты», на примере хоккейного поля, представлена взаимосвязь между менеджментом, рисками, контролем, стратегией и достижением целей, то есть концепция Модели 3LOD.
[i] (права на изображение SAS Institute Inc.)
Основными причинами неэффективной и (или) ненадлежащей организации «Трех линий защиты» являются следующие:
- Отсутствие необходимой регламентации и методологии по системе внутреннего контроля и управления рисками.
- Слабое взаимодействие структурных единиц в части выявления рисков, разработки мер реагирования и мониторинга выявленных рисков.
- Отсутствие условий для выполнения систематического анализа процессов на предмет появления новых рисков и мониторинга уже имеющихся и т.д.
- Отсутствие компетенции или мотивации персонала в части выявления, разработки мер реагирования и мониторинга новых возникающих рисков.
Квалифицированное проектирование системы внутреннего контроля, качественная разработка методологии и регламентов, и их внедрение с учетом применения автоматизированных процедур, эффективно помогает организации в преодолении реальных и потенциальных препятствий и угроз на пути достижения бизнес-целей.