Ревизираният модел на трите линии на защита – стъпка в правилната посока

08 август 2020

На фона на бързо променящите се социално-икономически условия, безпрецедентните нови рискове и нарастващата сложност на организациите, Институтът за вътрешни одитори (IIA) обяви това лято важна актуализация на своя широко приет от години „Модел на трите линии на защита“. Залозите при функционирането на ефективна вътрешна система за управление и контрол са твърде големи, като провалът може да доведе до сериозни загуби за бизнеса. Всъщност, големите корпоративни скандали, които наблюдаваме, винаги са предизвикани от недостатък във вътрешната система за управление и контрол.

Моделът представлява и връзката между корпоративното управление (corporate governance) и съответствието (compliance). Той е задължителен за финансовите институции и е залегнал в Европейското законодателство под формата на правила за вътрешен контрол – по специално в Директива 2009/138/ЕО относно започването и упражняването на застрахователна и презастрахователна дейност (Платежоспособност II), както и в Насоките относно вътрешното управление (EBA/GL/2017/11) на Европейския Банков орган, в момента в процес на ревизия съгласно V Директива за капиталовите изисквания (CRD V) и Директива 2019/2034 относно пруденциалния надзор върху инвестиционните посредници.

Промяната започва с името – моделът вече ще се нарича “Три линии“, за да се наблегне на проактивното управление на риска, а не непременно на пасивното редуциране на рисковете. По този начин всяка организация маже да „реши“ да поеме определена степен на риск, за да посрещне своите цели (поемайки отговорност за това). Всъщност идеята е, че доброто корпоративно управление насърчава действия за постигане на целите на организацията – създаване на стойност, устойчивост и растеж.

Новият модел променя имплицитното мислене при сляпото съответствие: „Ако сме взели мерки за редуциране на комплайънс рисковете, няма опасност от налагане на санкция от страна на регулатора, следователно – може да правим, каквото си искаме“. Напротив, всички вътрешни функции – оперативно ръководство, комплайънс, одит – работят заедно и динамично, за да управляват рисковете, докато преследват бизнес целите на организацията. Новото мислене е: “Разбрахме ли всички рискове, които биха могли да ни попречат да постигнем целите си? Приложили ли сме ефективни практики, за да избегнем тези рискове? Ако да – нека да продължим с нашата бизнес стратегия“.

Copyright © 2020 Институтът на вътрешните одитори, Inc. Всички права запазени .

Докато старият модел се съсредоточаваше върху разпределението на функциите между трите линии, то новият се стреми да разгърне идеята относно действията и целите. Това става в шест генерални принципа. Твърде интересен е принцип № 6, който определя, че всички роли/функции работят заедно, допринасяйки за създаването и защитата на стойност за организацията, когато са приведени в съответствие една с друга, като вземат предвид интересите на заинетресованите страни. Това именно води до гарантиране на достоверността и съгласуваността на информацията, нужна за вземане на управленски решения, основани на риска. С една дума – моделът следва теорията за корпоративната социална отговорност – създаване на добавена стойност за всички заинетресовани страни.

Важно е да се отбележи, че органите на управление и висшето ръководство вече присъстват сред трите „линии” в модела. По този начин бива подчертана тяхната колективна отговорност за дефиниране на целите на организацията, определяне на стратегии за постигането на тези цели и създаване на структури и процеси за оптималното управление на рисковете пред тези цели.

В предишния модел Втората линия беше дефинирана чрез изброяване на специфични функции – финансов контрол, управление на риска, ИТ, съответствие, контрол на качеството. В новия мадел Втората линия бива дефинирана чрез подкрепата, която осигурява на мениджмънта – предоставяща „експертиза, помощ, мониторинг и оспорване на въпроси, свързани с риска“. По специално Втората линия се занимава с:

  • Разработването, внедряването и непрекъснатото подобряване на практиките за управление на риска на ниво процес, системи и субект.
  • Постигането на целите при управление на риска, като: спазването на закона и регулациите, приемливо етично поведение; вътрешен контрол; информационна и технологична сигурност; устойчивост; и осигуряване на качеството.
  • Предоставянето на анализи и доклади за адекватността и ефективността на управлението на риска (включително вътрешния контрол).

Ревизираният модел на IIA е стъпка напред и чудесна новина за всички, които се занимават с въпросите на доброто управление, етиката и съответствието. Остава да бъде видян неговият ефект върху реалните процеси в организациите. Дотогава – остава доброто чувство от отправеното послание. В трудни времена – и това е от значение.

Запознайте се с пълния документ тук.

Leave a Reply

Your email address will not be published. Required fields are marked *