Модернизация модели трех линий защиты

В модели «Трех линий защиты» свою роль играют самые различные группы в рамках организации — от бизнес-подразделений до службы обеспечения соблюдения нормативных требований, службы аудита и других представителей ключевого персонала по управлению рисками.

• Первая линия: руководство (владелец процесса) несет основную ответственность за управление рисками, связанными с повседневной операционной деятельностью. Кроме того, в обязанность первой линии входит разработка, обеспечение функционирования и внедрение средств контроля.
• Вторая линия: службы второй линии выявляют возникающие риски в повседневной деятельности организации. С этой целью они обеспечивают наличие необходимых концепций, документов политики, инструментов и технологий.
• Третья линия: служба третьей линии предоставляет объективное и независимое аудиторское подтверждение. Несмотря на то, что основной обязанностью третьей линии является оценка эффективности служб первой и второй линий, на нее также возложена ответственность за предоставление отчетности правлению и аудиторскому комитету, а также предоставление аудиторского подтверждения регуляторам и внешним аудиторам, демонстрирующего эффективность структуры и функционирования культуры контроля в организации.

При том, что концепция 3LOD получила широкое признание в целом ряде отраслей, где она принята в качестве модели корпоративного управления рисками, степень ее применения и зрелость отличается значительным многообразием. Традиционно считается, что роль службы ВА заключается в предоставлении аудиторского подтверждения при условии сохранения объективности и независимости, однако сфера полномочий должна расширяться по мере возрастания потребности в применении парадигмы, ориентированной на цели бизнеса, внедрение современных технологий и предоставление консультаций.

Хотя эти действенные и стратегические шаги ориентированы на развитие в рамках модели «Трех линий защиты», в более зрелых моделях 3LOD также было обнаружено несколько негативных побочных эффектов. Первая линия может испытывать чрезмерную аудиторскую нагрузку вследствие дублирующего тестирования как второй, так и третьей линий, что приводит к сокращению времени, выделяемого на текущие задачи бизнеса. Также встречаются случаи, когда чрезмерное оснащение или усиление второй линии приводило к возникновению ряда сложностей, поскольку первая линия прекращала выполнять определенные действия, предполагая, что за них несет ответственность вторая линия. Во времена кризиса многие организации наступают на грабли применения чрезмерных мер, что приводит к созданию дополнительных действий для второй и третьей линий. В таких ситуациях третья линия обладает наибольшими возможностями для предотвращения спонтанных реакций в организации, поскольку она способна разработать с учетом существующих рисков план взвешенных, прагматичных и реализуемых на практике ответных мер.

К службам внутреннего аудита, оказывающим наиболее значительное воздействие на организацию, относятся те, которые способствуют адаптации к изменениям, сотрудничеству, инвестициям в цифровые активы, аналитике и автоматизации. Новые технологии создают возможность для внедрения ряда методов повышения эффективности и качества аналитической информации, получаемой из аудиторского подтверждения, включая 100% охват (вместо выборочных проверок), автоматизации тестирования, а также получения информации о возникающих рисках в режиме реального времени благодаря непрерывному мониторингу на основе данных. Это создает новые возможности для службы внутреннего аудита и ее будущей роли.

Для использования возможностей таких изменений аудиторам необходимо пересмотреть свои цели и задачи, адаптируясь и принимая те изменения, которые позволяют службе внутреннего аудита обрести большую гибкость, легкость и дальновидность, тем самым приводя к переменам в модели «Трех линий защиты».

Для того, чтобы внутренний аудит воспринимался как служба, обеспечивающая защиту, создание и сохранение ценности, он должен действительно обеспечивать аудиторское подтверждение, предоставлять консультации и прогнозировать события. Внутренний аудит будущего будет играть активную роль в повышении осведомленности клиентов и обмене инструментами, мнениями и знаниями. Эффективные службы внутреннего аудита с динамичным и дальновидным мышлением, вероятно, будут положительно восприниматься ключевыми клиентами. Несмотря на то, что зрелость групп внутреннего аудита различается в разных организациях, главным остается выявление текущей неэффективности модели 3LOD в организации и стимулирование инноваций с помощью значимых стратегических шагов. Инновации должны выходить за рамки технологий и включать координацию, коммуникацию, аудит и методологию оценки рисков, а также расширение связей с клиентами, представляющими службы первой и второй линий. В обновленном виде ВА будет иметь больше возможностей для усиления влияния и мобилизации усилий для устранения сложностей, а также реализации своего потенциала в будущем.

Внутреннему аудиту необходимо сконцентрировать усилия на смещении акцента с ответственности за ряд элементов управления рисками к обязанностям первой и второй линии, проводя обучение и повышая осведомленность в рамках организации, а также подчеркивая ту ценность и повышение эффективности, которые могут быть достигнуты. Результатом изменений может стать повышение уровня четкости, надежности и расширение объемов аудиторского подтверждения. Используя цифровые активы и инновационные методы, службы внутреннего аудита и управления рисками могут автоматизировать процессы, которые ранее рассматривались вручную или вообще выходили за рамки плана внутреннего аудита. Внутреннему аудиту следует расширять свое участие в координации и разработке процессов, которые могут оказывать помощь руководству, в то время как вторая линия берет на себя ответственность за такие мероприятия, при этом минимизируя бизнес-риски и снижая аудиторскую нагрузку благодаря усилиям второй и третьей линий.

В рамках такой оптимизированной модели мы видим возможность предоставления аудиторского подтверждения в режиме реального времени, снижения затрат и расширения диапазона контроля в рамках всей организации. ВА может взять на себя ведущую роль в данном направлении. ВА может создавать возможности для содействия внедрения действий по предоставлению аудиторского подтверждения в системы контроля по мере их разработки. Данный подход называется “assurance by design” (аудиторские механизмы как неотъемлемая функция рабочих процессов). Существует явная возможность автоматизировать и создавать рабочие процессы, которые могут задействовать многие типичные действия второй линии и некоторые действия первой линии («автоматизация ключевых механизмов аудиторского контроля»). Это позволило бы внутреннему аудиту (третья линия) сосредоточиться на наиболее важных рисках, поддерживая при этом столь необходимую производительность.

Говоря конкретно о внутреннем аудите, такая структура представляет собой традиционный взгляд не только на выполнение основных обязанностей внутреннего аудита по предоставлению аудиторского подтверждения, но и на необходимость предоставления консультаций по ключевым рискам и помощи организации в прогнозировании и оценке риска. Для достижения этих целей можно использовать ряд механизмов и движущих факторов, в том числе:

• кадры; привлечение персонала будущего; понимание, какой тип работы должен быть выполнен, кто будет выполнять работу и где эта работа будет выполняться.
• разработку новых, динамичных и инновационных подходов для оценки риска, метода проведения аудита и представления его результатов.
• использование и интеграцию цифровых активов в обычный ход деятельности.

Помимо этого, руководитель подразделения внутреннего аудита должен уделять особое внимание службе внутреннего аудита при анализе важности формирования инновационного мышления. Это имеет исключительную важность для организаций, которые смотрят в будущее и формируют дальновидный подход к управлению риском. Руководителю подразделения внутреннего аудита необходимо обдумать и обрисовать те навыки и качества, которые будут стоять за инновационным подходом. Стоит отметить, что такие навыки и характеристики во многом схожи с теми, которые требуются специалистам по инновациям в области рисков и систем контроля для результативной работы в будущем.

Внутренний аудит стоит на пороге бесконечных возможностей для взаимодействия с другими линиями, разработки дорожных карт и содействия в оптимизации корпоративного управления в рамках всей организации. Это отличная возможность переосмыслить профессию и укрепить свое положение не только в качестве поставщика услуг по предоставлению аудиторского подтверждения, но также в роли консультантов и специалистов по прогнозированию. Наша позиция предполагает исполнение обязательств по предоставлению аудиторского подтверждения наряду с базовым распределением задачи по всем линиям защиты, а не только ее реализацию силами ВА. Помимо этого, неизбежной представляется необходимость выполнения внутренним аудитом функций по консультированию бизнеса с прогнозированием и оценкой риска. Это важнейшие элементы внутреннего аудита будущего (см. Deloitte POV: Internal Audit 3.0), которые позволят внутреннему аудиту сосредоточиться на действительно наиболее важных и значимых для организации рисках.