Модель трех линий защиты бизнеса
Еще в 2015 году Комитет спонсорских организаций (COSO) в сотрудничестве с Институтом внутренних аудиторов (The Institute of Internal Auditors) разработали модель Трех линий защиты (3LOD — 3 Lines of Defense). Цель этого документа заключается в методической поддержке компаний в развитии их управленческих структур благодаря распределению ролей и обязанностей по части внутреннего контроля.
Концепция трех линий защиты нацелена на проведение взаимосвязи между менеджментом, рисками и контролем. Это универсальная схема, которую возможно применить в компании любого масштаба, адаптировав ее под индивидуальные особенности.
Первая линия защиты
Это операционный бизнес, бизнес-функции. Тот, кто «на периферии» общается с возможными рисковыми внешними лицами (контрагентами, клиентами, партнерами), с различными государственными структурами, контрольно-надзорными органами. К первой линии относятся:
- отдел продаж,
- юристы,
- менеджеры,
- маркетологи,
- бухгалтеры и т.п.
Главная задача этих сотрудников — самоконтроль при выполнении своих действий. Они должны смотреть на свои обязанности чуть шире их специализации. При оценке эффективности внутреннего контроля важно отвечать не только на вопрос «что может случиться?», но и на «что сделано, чтобы не случилось?».
Вторая линия защиты
Здесь находится непосредственно комплаенс, функция мониторинга. Если первая линия рассчитана на сдерживание рисков, то вторая в текущей деятельности выступает больше как наблюдающий советник, представитель регулятора, доносящий его требования до бизнеса. Комплаенс-менеджер обязан подумать о тех рисках, которые пропустили операционные отделы.
Департамент комплаенса отвечает за:
- внедрение практики управления рисками;
- соблюдение сотрудниками государственного законодательства и локальных нормативных актов;
- распространение работы по контролю и управлению рисками на филиалы компании (при их наличии);
- аналитику угроз;
- расследование фактов недобросовестных действий;
- сбор информации по рискам и ее предоставление высшему менеджменту и т.д.
Между 1 и 2 линиями должен быть налажен свободный регулярные обмен данными. Так, например, если работники бухгалтерии не знают, как общаться с налоговой при возникновении внештатных ситуаций — они приходят к комплаенс-отделу и спрашивают, как нужно «безопасно» себя вести.
Третья линия защиты
Это последующий контроль в форме аудита, который периодически всех проверяет. Он включается в защиту по факту, когда неблагоприятные события уже произошли и риски наступили. То есть это реагирующая независимая функция.
У бизнеса «замыленное» мнение о том, что комплаенс и аудит — одно и то же. Несмотря на то, что их функции частично пересекаются, это не так. Комплаенс работает с текущей деятельностью, а аудит проверяет то, что уже случилось. Аудит выявляет нарушения и наказывает за них. Комплаенс тоже выявляет противоправные действия, но учит, как правильно надо делать впредь и ищет возможности, чтобы их предупредить.
При верном разграничении функций на всех трех линиях защиты, качественной разработке регламентов, выделении достаточных ресурсов и применении автоматизации эта модель помогает достигать бизнес-целей предприятия, предотвращая потенциальные и минимизируя наступившие риски.
В. Первая линия защиты: Операционное руководство
Первая линия защиты Модели обычно состоит из менеджеров низшего и среднего звена, которые ведут повседневную деятельность и осуществляют управление рисками и контролем. Операционные менеджеры разрабатывают и внедряют процессы контроля и управления рисками организации. К ним относятся процессы внутреннего контроля, разработанные для выявления и оценки существенных рисков, осуществления деятельности надлежащим образом, выявления нерациональных процессов, устранения сбоев системы контроля и коммуникации с основными участниками деятельности. Операционные менеджеры должны обладать необходимой квалификацией для выполнения таких задач в рамках сферы своей компетенции.
Высшее руководство несет общую ответственность за деятельность первой линии. В отношении некоторых областей с высокими рисками высшее руководство может также утвердить прямой контроль со стороны низшего или среднего менеджмента, даже с непосредственным исполнением некоторых обязанностей первой линии.
Работники первой линии защиты имеют значимые обязанности, связанные с оценкой рисков, осуществлением контроля и передачей информации/коммуникациями, предусмотренными Концептуальными основами. Как указано в Рисунке 21 ниже, операционные менеджеры несут первичную ответственность в отношении остальных 12 принципов внутреннего контроля, изложенных в Концептуальных основах.
4.1. Субъекты первой линии защиты
Первая «линия защиты» включает в себя процесс управления операционными рисками на уровне каждого подразделения банка, его процессов, средств и ресурсов (децентрализованный подход).
В рамках первой линии защиты в подразделениях банка операционными рисками управляют:
• эксперты по инцидентам;
Перечисленные субъекты, безусловно, имеются во всех департаментах банка[7], так как каждый департамент в текущем состоянии уже производит разбирательства с инцидентами, проводит методологические и технологические улучшения своих процессов, обеспечивает взаимозаменяемость сотрудников (в рамках непрерывности деятельности) и т. д.
Если эти субъекты департаментов не оформлены должным образом[8], то риск-менеджеры оказывают помощь этому подразделению для соответствующего их оформления[9] и обучения.
4.1.1.1. Риск-координаторы – это сотрудники, которые отвечают за организацию управления операционными рисками конкретного департамента и региональных сотрудников[10]. Риск-координаторами являются руководитель департамента и сотрудники, назначаемые им для выполнения обязанностей риск-координатора[11].
4.1.1.2. Обязанность риск-координатора – организовать и контролировать выполнение сотрудниками своего департамента и региональными сотрудниками следующих риск-процедур:
1. Эффективная работа с инцидентами.
2. Выявление рисков и их устранение.
3. Система раннего предупреждения рисков.
4. Обеспечение непрерывности деятельности.
5. Координация работы всех департаментов в управлении рисками.
6. Система отчетов и прогнозов, поддержание базы рисков.
7. Контроль соблюдения стандартов минимизации рисков.
Выполнение этих обязанностей должно соответствовать стандартам и требованиям настоящих Рекомендаций (прежде всего раздела 6).
4.1.1.3. Риск-координатор для эффективного выполнения обязанностей, перечисленных в предыдущем пункте, имеет право:
1. Принимать решения по обнаруженным операционным рискам зеленой зоны (уровня «допустимый»)[12] – о мерах по устранению риска (или) об оставлении риска без его устранения.
2. Проводить проверку на предмет анализа операционных рисков всех процессов департамента, его региональных сотрудников, ресурсов, документов без каких-либо специальных разрешений (проверки, связанные со входом в помещения, в которых осуществляется хранение ценностей, осуществляются на основании приказа Председателя правления банка).
3. Подготавливать и изменять нормативные документы об управлении операционными рисками своего департамента.
4. Давать обязательные для исполнения указания курируемым экспертам по инцидентам, регистраторам о выполнении ими положений настоящих Рекомендаций, контролировать исполнение этих указаний.
5. Получать от любых подразделений банка и их сотрудников информацию о состоянии операционных рисков и эффективности управления ими (относительно рисков, прямо связанных с департаментом).
6. Направлять в подразделения по управлению персоналом документы о мотивировании сотрудников, принесших банку финансовую экономию от эффективного управления операционными рисками, или о привлечении к ответственности сотрудников, нарушающих правила нормативных документов об управлении операционными рисками.
7. Обращаться к риск-менеджерам для получения разъяснений об управлении операционными рисками, а также для эскалации проблем управления операционными рисками, которые ему не удалось разрешить на своем уровне (для их решения на уровне комитета по рискам или Правления банка).
8. Назначать экспертов по инцидентам в департаменте и среди региональных сотрудников (в случае если департамент и региональные сотрудники работают с инцидентами), а также контролировать их работу.
4.1.1.4. О выполнении этих задач риск-координатор отчитывается перед риск-менеджером с периодичностью, установленной нормативными документами банка.
4.1.2. Эксперты по инцидентам.
4.1.2.1. Эксперты по инцидентам[13] – это сотрудники подразделений банка (находящиеся в Центральном офисе / Головном банке, региональных и иных подразделениях), которые в рамках своих полномочий занимаются устранением последствий произошедших инцидентов[14].
4.1.2.2. Обязанность эксперта по инцидентам – организовать и осуществлять эффективную работу с инцидентами (их идентификацию, минимизацию ущерба, расследование, отчет об исполнении мер и прочие действия, указанные в разделе 6.1 настоящих Рекомендаций) и оказание помощи риск-координатору и риск-менеджеру в организации риск-процедур перечисленных в главе 6.
4.1.2.3. Эксперт по инцидентам для эффективного выполнения обязанностей, перечисленных в предыдущем пункте, имеет право:
1. Принимать необходимые меры для локализации инцидентов в пределах своих полномочий.
2. Получать от любых подразделений банка и их сотрудников информацию об инцидентах, находящихся в его компетенции.
3. Направлять курирующему риск-координатору документы о мотивировании сотрудников, принесших банку финансовую экономию от эффективного управления операционными рисками, или о привлечении к ответственности сотрудников нарушающих правила нормативных документов об управлении операционными рисками.
4. Обращаться к курирующему риск-координатору и риск-менеджерам для получения разъяснений об управлении операционными рисками, а также для эскалации проблем управления операционными рисками, которые не удалось разрешить на своем уровне.
5. Инициировать подготовку и изменение нормативных документов о процедурах работы с инцидентами.
4.1.2.4. О выполнении этих задач эксперт по инцидентам отчитывается перед курирующим риск-координатором и риск-менеджером с периодичностью, установленной нормативными документами банка.
4.1.3.1. Регистраторы[15] – это все сотрудники подразделений, так как в рамках выполнения своих функций они могут обнаруживать инциденты и проблемы, вызывающие операционный риск.
4.1.3.2. Обязанность регистратора при обнаружении инцидентов и проблем, вызывающих операционный риск:
1. Осуществлять действия по сохранению жизни и здоровья сотрудников и клиентов и предпринимать первичные действия по минимизации ущерба от инцидента (при наличии такой обязанности).
2. Незамедлительно сообщать эксперту по инцидентам и риск-координатору об инциденте или проблеме.
3. Осуществлять иные обязательные действия согласно правилам, установленным нормативными документами банка.
При необходимости регистратор обязан также оказывать помощь эксперту по инцидентам, риск-координатору и риск-менеджеру в организации риск-процедур, перечисленных в разделе 6.
4.1.3.3. Регистратор имеет право:
1. Обращаться к экспертам по инцидентам, риск-координаторам, риск-менеджерам для получения разъяснений об особенностях регистрации инцидентов и проблем, а также для эскалации проблем управления операционными рисками, которые ему не удалось разрешить на своем уровне.
2. Ставить вопрос перед риск-координатором и риск-менеджером о необходимости изменения нормативных документов и процедур, имеющих проблемы[16].
4.1.3.4. Контроль за исполнением всеми сотрудниками подразделений обязанностей регистраторов осуществляет тот риск-координатор, чей департамент курирует этих сотрудников.
Модель 3LOD – «Три линии защиты»
Дарья Силенок
В 2013 году, обобщив мировой опыт эффективного ведения бизнеса, международный Институт внутренних аудиторов (The IIA) разработал и представил мировому бизнес сообществу модель «Трех линий защиты» (или “3LOD” – от “3 Lines of Defense”). Модель трех линий защиты проводит взаимосвязь между менеджментом, рисками и контролем.
На первый взгляд, данная модель ориентирована скорее на крупные компании. В представленной на рис. 1 и 2 модели присутствуют такие понятия, как совет директоров/комитет по аудиту, внутренний аудит, комплаенс-контроль.
В действительности, это обобщенная модель и ее применяют вне зависимости от масштабов бизнеса. Небольшие компании, как правило, адаптируют модель под свою деятельность и ограничиваются первой и второй линией. Третья линия защиты, а именно внутренний аудит, как отдельное структурное подразделение, создается, как правило, в масштабных компаниях со сложной иерархической структурой.
Как показано на рис.1 и 2 Модель 3LOD наглядно демонстрирует, что при условии разграничения соответствующих функций в структуре компании на всех уровнях управления, система внутреннего контроля и управления рисками помогает достигать цели организации, предотвращает и минимизирует нежелательные события (риски).
Рис.1 Оригинал модели 3LOD Рис.2 Модель 3LOD в переводе
1-ая линия защиты (бизнес-функции) – означает линейное руководство, а также самоконтроль работников при выполнении операций, которые несут ответственность за оценку, регулирование и минимизацию рисков, а также за обеспечение эффективного функционирования системы внутреннего контроля.
Структурные подразделения выявляют риски по процессам, разрабатывают, внедряют и выполняют контрольные процедуры, в том числе предпринимают меры противодействия негативным событиям, тем самым создают первую защитную линию внутреннего контроля. По итогам проведенной работы, по контролю и рискам, формируется управленческая отчетность. Субъекты первой линии постоянно анализируют свою деятельность на предмет возникновения рисков, путем задаваемых вопросов: «Что может пойти не так?», «Что я еще не учел?», «С какими рисками мы сталкиваемся?», «Как можно добиться результатов, предотвращая возникновение рисковой ситуации?».
Успех защиты на первой линии во многом зависит от внутреннего желания персонала смотреть на выполняемую работу чуть более широко, чем сфера их специализации. Ведь оценивая надежность внутреннего контроля, мы отвечаем не только на вопрос – «что может случиться?», главное ответить на вопрос – «что сделано, чтобы не случилось?». Такой подход является основой внутреннего контроля. Каким путем достигается эффективность защиты на первой линии, рассмотрим в статье об обязательных элементах внутреннего контроля.
2-ая линия защиты (функции мониторинга) – это поддержка и постоянный мониторинг внедрения практики управления рисками, внутреннего контроля, соблюдения законодательства и административных правил, внутренних нормативных актов и расследования фактов недобросовестных действий. В зависимости от масштабов деятельности организации, вторая линия для крупных компаний, может состоять из специализированных подразделений внутренних контролеров и риск-менеджеров, таких как контрольно-ревизионный отдел, служба внутреннего контроля, подразделения контроля рисков и т.д. Компании меньшего масштаба, зачастую, выделяют ресурсы из имеющегося кадрового состава специалистов, имеющих опыт и разделяющих ценности организации, на совмещенную работу, а также пользуются услугами привлеченных лиц (аутсорсинг).
В компетенцию структурных единиц второй линии защиты обычно не входит ответственность за своевременное выявление и оценку рисков. Это функционал первой линии, однако аналитика угроз, а также консолидация информации по рискам и ее представление менеджменту является их прямой функцией. Если предположить, что компания имеет филиалы, или состоит из нескольких организаций, то координация и распространение практики и опыта по контролю и управлению рисками, также будет являться задачей специалистов второй линии. Между первой и второй линией должен быть налажен беспрепятственный обмен данными и четко распределены роли и обязанности по процессам управления рисками и внутреннего контроля.
3-я линия защиты (независимая функция) – предоставляет высшему руководству (как правило, совету директоров или комитету по аудиту) объективную информацию об эффективности управления рисками, и дает свою оценку надежности системы внутреннего контроля. Внутренний аудит проводит проверки процессов, по результатам которых подготавливает отчетность с выводами о контроле и рисках на первой и второй линиях. Объективность внутреннего аудита достигается путем разделения подчиненности. То есть административно, внутренний аудит подчиняется генеральному директору, а функционально, совету директоров. Как правило, назначение лица на должность руководителя службы внутреннего аудита также проводится Советом директоров. Службу внутреннего аудита могут себе позволить компании с достаточным количеством ресурсов.
Так в 208-ФЗ «Об акционерных обществах» статья 87.1. п.2. сказано: «Должностное лицо, ответственное за организацию и осуществление внутреннего аудита (руководитель структурного подразделения, ответственного за организацию и осуществление внутреннего аудита), назначается на должность и освобождается от должности на основании решения совета директоров (наблюдательного совета) публичного общества. Условия трудового договора с указанными лицами утверждаются советом директоров (наблюдательным советом) публичного общества.
4-ой линия защиты (внешний аудит) – контроль со стороны внешнего аудита. То есть, эта линия защиты, которая находится за рамками компетенций менеджмента, поэтому отображается за сплошной чертой на схеме. Серьезные недостатки системы внутреннего контроля, отмеченные в ходе аудиторской проверки, а также рекомендации по их устранению аудиторы отражают в аудиторских заключениях и информируют руководство проверяемого экономического субъекта.
На Рис. 3 и 4 – «Влияние системы внутреннего контроля на функционирование организации»[i] и «Концепция трех линий защиты», на примере хоккейного поля, представлена взаимосвязь между менеджментом, рисками, контролем, стратегией и достижением целей, то есть концепция Модели 3LOD.
[i] (права на изображение SAS Institute Inc.)
Рис. 3 Влияние системы внутреннего контроля на функционирование организации Рис. 4 Концепция трех линий защиты
Основными причинами неэффективной и (или) ненадлежащей организации «Трех линий защиты» являются следующие:
- Отсутствие необходимой регламентации и методологии по системе внутреннего контроля и управления рисками.
- Слабое взаимодействие структурных единиц в части выявления рисков, разработки мер реагирования и мониторинга выявленных рисков.
- Отсутствие условий для выполнения систематического анализа процессов на предмет появления новых рисков и мониторинга уже имеющихся и т.д.
- Отсутствие компетенции или мотивации персонала в части выявления, разработки мер реагирования и мониторинга новых возникающих рисков.
Квалифицированное проектирование системы внутреннего контроля, качественная разработка методологии и регламентов, и их внедрение с учетом применения автоматизированных процедур, эффективно помогает организации в преодолении реальных и потенциальных препятствий и угроз на пути достижения бизнес-целей.