Cele Trei Linii de Apărare în gestionarea riscului unei organizații

Conceptul de risc pare in zilele noastre ușor de înțeles și este folosit în mod uzual, dar lucrurile nu au stat mereu în acest fel. Daca ne uităm în urma la evoluția acestui concept, acesta începe sa fie folosit în special in anii 80, atunci când băncile au început sa aplice principii de risc de credit si de piața.

Începând cu anii 90, câteva scandaluri corporatiste mari așa cum a fost scandalul care a dus la falimentul băncii Barings sau scandalul legat de prăbușirea corporației americane Enron, au arătat faptul ca era nevoie de o funcție care sa poată lucra cu departamentele de business zi de zi, tocmai pentru a ajuta la gestionarea riscurilor care apăreau din diferitele activități ale organizației. Astfel, a apărut funcția de management al riscurilor care a continuat să se dezvolte an de an.

Inițial, s-a considerat ca introducerea unor poziții de manager de risc în cadrul companiilor va rezolva problema și anume că riscurile vor fi gestionate de către acești manageri de risc, iar funcția de business poate să-și continue activitatea fără sa consume timp pentru a analiza riscurile aferente. Lucrurile, însă, au mers diferit, iar provocările pe care companiile le-au întâmpinat în continuare au arătat necesitatea implementării unui model in care responsabilitățile în ceea ce privește gestionarea riscului să fie clar definite și implementate corespunzător.

Astfel a apărut Modelul celor Trei Linii de Apărare. Nu i se cunoaște exact originea, există mai multe păreri în aceasta privință, una mai diferită ca cealaltă. Unii autori consideră că a apărut ca o tehnică militară în timpul războiului, alții o consideră o tehnică folosită în fotbal sau chiar împrumutată din medicină, din felul în care lucrează sistemul imun. În orice caz, modelul a căpătat importantă în urmă cu aproximativ 10 ani, atunci când autoritatea de supraveghere financiara din Anglia l-a folosit ca model preferat in gestionarea riscurilor din sistemul bancar. De atunci, acest model s-a extins și în afara industriei financiare și este în general folosit în organizațiile care au un sistem de gestionare a riscurilor implementat, indiferent de industrie.

Noutatea adusă de cele Trei Linii de Apărare a fost faptul ca responsabilitatea primară de a gestiona riscurile este a departamentelor de business, acolo unde se și generează aceste riscuri, și care reprezintă Prima Linie de Apărare. Este esențial ca businessul să-și cunoască riscurile care derivă din activitatea sa de zi cu zi și să ia masurile necesare pentru a le gestiona. Modelul are la bază conceptul conform căruia funcția de business este cea care cunoaște cel mai bine cum se poate face un management corect al riscului, cu condiția existenței unei culturi de risc robuste implementată în organizație, pentru ca cei care iau deciziile sa se bazeze pe noțiuni solide de gestionare a riscurilor.

Ce face atunci funcția de management al riscurilor? Aceasta reprezintă A Doua Linie de Apărare și are ca responsabilitate principală să furnizeze suport funcției de business și anume sa elaboreze cadrul pentru un management eficient al riscurilor și să supravegheze implementarea și aplicarea acestuia de către Prima Linie.

Prin urmare, A Doua Linie va furniza opinii pentru a ajuta Prima Linie să ia deciziile cele mai bune si va atenționa businessul în cazul in care consideră că deciziile acestuia nu sunt aliniate cu principiile de risc.

Odată cu rafinarea modelului, funcția de conformitate a devenit parte din A Doua Linie de Apărare. În unele companii, pot exista și alte funcții care fac parte din acest nivel doi, și anume funcția de Securitate, de Calitate sau de Control Financiar.

Auditul Intern reprezintă a Treia Linie de Apărare și are rolul de a analiza activitatea celorlalte doua Linii, astfel furnizând o perspectivă independentă asupra gestionării riscului în cadrul organizației.

Poate că cel mai interesant principiu pe care l-au adus Liniile de Apărare este că fiecare persoană din cadrul unei companii este un manager de risc, indiferent de Linia din care face parte. Prin urmare, orice persoană din cadrul unei organizații, fie ea din business care este Prima Linie de Apărare sau din cadrul funcțiilor de risc si conformitate care reprezintă A Doua Linie sau din cadrul Auditului Intern ca A Treia Linie are anumite responsabilități de risc, astfel încât organizația să se poată proteja prin asumarea riscurilor într-un mod controlat.

 Unii autori susțin că într-o lume ideala, care este posibil sa devina realitate peste ani, Prima Linie va fi atât de bine instruită din punctul de vedere al gestionarii riscurilor încât nu va mai fi nevoie de A Doua Linie ca să o consilieze și să o supravegheze.

Până atunci, principiile din cadrul Modelului celor Trei Linii de Apărare continuă să fie de o importanță semnificativă în procesul de luare a deciziilor de business bazate pe concepte de management al riscului.

Un articol de Mădălina Țițirigă, director adjunct Forensic, Deloitte România