Модернизация модели трех линий защиты

Анализ

Модернизация модели трех линий защиты

Концепция внутреннего аудита

По мере того, как ландшафт рисков становится все более сложным и изменчивым, слабые места традиционной модели «Трех линий защиты» становятся все более очевидными. Каким образом служба внутреннего аудита (ВА) может сыграть ключевую роль в развитии и укреплении концепции управления важнейшими рисками?

Проблемы модели «Трех линий защиты»

Компании продолжают эволюционировать в силу обстоятельств, изменяясь под натиском угрозы перебоев в операционной деятельности, новых бизнес-моделей и технологий. Непрерывные изменения влияют на операционную деятельность на всех уровнях: клиенты ожидают взаимодействия в реальном времени, надзорные органы проводят все более тщательные проверки, а клиентам, ответственным за корпоративное управление, требуется аудиторское подтверждение в условиях, характеризующихся сложными и динамично меняющимися рисками. Анализ ситуации выявил слабые места традиционной модели управления рисками «Три линии защиты» (3LOD).

Остается ли модель 3LOD актуальной и эффективной в ее нынешней форме? По мере того, как ландшафт рисков становится все более сложным и изменчивым, своевременное выявление возникающих рисков и эффективное реагирование на них приобретает исключительную важность для компаний. Мы полагаем, что ключевая роль в этой эволюции должна остаться за внутренним аудитом (ВА).

Модернизация модели трех линий защиты

Сложности текущего состояния модели 3LOD

В модели «Трех линий защиты» свою роль играют самые различные группы в рамках организации — от бизнес-подразделений до службы обеспечения соблюдения нормативных требований, службы аудита и других представителей ключевого персонала по управлению рисками.

  • Первая линия: руководство (владелец процесса) несет основную ответственность за управление рисками, связанными с повседневной операционной деятельностью. Кроме того, в обязанность первой линии входит разработка, обеспечение функционирования и внедрение средств контроля.
  • Вторая линия: службы второй линии выявляют возникающие риски в повседневной деятельности организации. С этой целью они обеспечивают наличие необходимых концепций, документов политики, инструментов и технологий.
  • Третья линия: служба третьей линии предоставляет объективное и независимое аудиторское подтверждение. Несмотря на то, что основной обязанностью третьей линии является оценка эффективности служб первой и второй линий, на нее также возложена ответственность за предоставление отчетности правлению и аудиторскому комитету, а также предоставление аудиторского подтверждения регуляторам и внешним аудиторам, демонстрирующего эффективность структуры и функционирования культуры контроля в организации.

При том, что концепция 3LOD получила широкое признание в целом ряде отраслей, где она принята в качестве модели корпоративного управления рисками, степень ее применения и зрелость отличается значительным многообразием. Традиционно считается, что роль службы ВА заключается в предоставлении аудиторского подтверждения при условии сохранения объективности и независимости, однако сфера полномочий должна расширяться по мере возрастания потребности в применении парадигмы, ориентированной на цели бизнеса, внедрение современных технологий и предоставление консультаций.

Анализ модели трех линий защиты

Независимо от степени зрелости интеграции модели «Трех линий защиты» в рамках организации, существует ряд сложностей, ограничивающих ее эффективность.

Тег accordion
  • Внедрение модели находится на раннем этапе

        — на ранних этапах модели 3LOD руководство не обладает значительным пониманием рисков и систем контроля и не принимает ответственности за них. В организации может быть представлена служба управления рисками, но часто ее роль сводится к содействию ведения реестра рисков без привязки к внутреннему аудиту. В зависимости от отрасли и сектора, риски несоблюдения нормативных требований включаются и в функцию управления рисками, и в функцию внутреннего аудита, при этом специализированные команды работают в изоляции или представляют собой самодостаточное функциональное подразделение, которое не рассматривается как служба предоставления аудиторского подтверждения (например, службы безопасности и охраны труда в строительных фирмах или обеспечение стандартов клинической практики в отрасли здравоохранения) и не интегрировано в более широкую программу управления рисками. В небольших организациях при схожих рисках и средствах контроля службы внутреннего аудита и управления рисками пересекаются со второй и третьей линией, что приводит к потерям эффективности и дублированию действий.

  • Устоявшиеся линии защиты

        — по мере выстраивания модели 3LOD нацеленность на управление взаимодействием с клиентами, развитие внутреннего функционала и выполнение задачи предоставления аудиторского подтверждения функциями второй линии нередко создают установку на изолированную деятельность, что приводит к отсутствию координации, дублированию зон риска, пробелам и несогласованным или противоречащим друг другу мнениям относительно достоверности. Когда такие позиции уже сложились, третья линия обычно воспринимается как воинственная, реакционная и обладающая ретроспективным подходом. Подобное сочетание факторов привело к неэффективности модели 3LOD, благодаря которой руководство стало получать противоречивые и разрозненные мнения о ключевых рисках. Эта проблема оказалась центре внимания международного опроса директоров по внутреннему аудиту, проведенного «Делойтом» в 2018 году (Deloitte’s 2018 CAE Global survey), в ходе которого респонденты назвали повышение координации в рамках модели 3LOD важной задачей бизнеса.

  • Достижение зрелости линий защиты

      — в условиях ужесточения давления со стороны регулирующих органов, а также по мере осознания компаниями возможностей повышения эффективности мы наблюдаем усиление всех трех линий защиты, обусловленное вниманием советов директоров к возникающим рискам и основным направлениям средств контроля. В качестве примера можно привести Великобританию, где в секторе финансовых услуг надзорные органы увеличивают личную ответственность высшего руководства (включая исполнительных и неисполнительных директоров) за системы контроля. Результат прослеживается на всех уровнях модели «Трех линий защиты»:

    • Первая линия принимает активное участие в управлении риском в своей области; некоторые организации начинают внедрять практику мониторинга систем контроля службами первой линии (в крупных учреждениях это привело к формированию подразделений по предоставлению аудиторского подтверждения первой линии — Линии 1b).
    • Службы управления рисками все чаще демонстрируют упреждающий подход при оценке возникающих рисков с использованием ключевых индикаторов риска для выявления потенциальных пробелов в системе контроля и взаимодействуют с руководством для усовершенствования структуры системы контроля.
    • В дополнение к консультированию руководства по новым регуляторным рискам и разработке соответствующих инструментов политики, службы соблюдения нормативных требований проводят усиленные проверки регуляторных изменений, которые включают в себя тестирование системы контроля за соблюдением нормативных требований. Это соответствует точке зрения «Делойта», в которой первая и вторая линии берут на себя большую ответственность за свои обязанности в рамках принципов assurance by design (аудиторские механизмы как неотъемлемая функция рабочих процессов) и automated core assurance (автоматизации ключевых механизмов аудиторского контроля).
    • Это привело к тому, что функции внутреннего аудита проводили основанные на анализе рисков проверки в тех же областях риска, что и вторая линия, причем все чаще с использованием очень схожих наборов навыков, что приводило к дублированию действий по обеспечению аудиторского подтверждения в модели «Трех линий защиты».

Хотя эти действенные и стратегические шаги ориентированы на развитие в рамках модели «Трех линий защиты», в более зрелых моделях 3LOD также было обнаружено несколько негативных побочных эффектов. Первая линия может испытывать чрезмерную аудиторскую нагрузку вследствие дублирующего тестирования как второй, так и третьей линий, что приводит к сокращению времени, выделяемого на текущие задачи бизнеса. Также встречаются случаи, когда чрезмерное оснащение или усиление второй линии приводило к возникновению ряда сложностей, поскольку первая линия прекращала выполнять определенные действия, предполагая, что за них несет ответственность вторая линия. Во времена кризиса многие организации наступают на грабли применения чрезмерных мер, что приводит к созданию дополнительных действий для второй и третьей линий. В таких ситуациях третья линия обладает наибольшими возможностями для предотвращения спонтанных реакций в организации, поскольку она способна разработать с учетом существующих рисков план взвешенных, прагматичных и реализуемых на практике ответных мер.

Будущее состояние и возможности модели 3LOD

К службам внутреннего аудита, оказывающим наиболее значительное воздействие на организацию, относятся те, которые способствуют адаптации к изменениям, сотрудничеству, инвестициям в цифровые активы, аналитике и автоматизации. Новые технологии создают возможность для внедрения ряда методов повышения эффективности и качества аналитической информации, получаемой из аудиторского подтверждения, включая 100% охват (вместо выборочных проверок), автоматизации тестирования, а также получения информации о возникающих рисках в режиме реального времени благодаря непрерывному мониторингу на основе данных. Это создает новые возможности для службы внутреннего аудита и ее будущей роли.

Для использования возможностей таких изменений аудиторам необходимо пересмотреть свои цели и задачи, адаптируясь и принимая те изменения, которые позволяют службе внутреннего аудита обрести большую гибкость, легкость и дальновидность, тем самым приводя к переменам в модели «Трех линий защиты».

Для того, чтобы внутренний аудит воспринимался как служба, обеспечивающая защиту, создание и сохранение ценности, он должен действительно обеспечивать аудиторское подтверждение, предоставлять консультации и прогнозировать события. Внутренний аудит будущего будет играть активную роль в повышении осведомленности клиентов и обмене инструментами, мнениями и знаниями. Эффективные службы внутреннего аудита с динамичным и дальновидным мышлением, вероятно, будут положительно восприниматься ключевыми клиентами. Несмотря на то, что зрелость групп внутреннего аудита различается в разных организациях, главным остается выявление текущей неэффективности модели 3LOD в организации и стимулирование инноваций с помощью значимых стратегических шагов. Инновации должны выходить за рамки технологий и включать координацию, коммуникацию, аудит и методологию оценки рисков, а также расширение связей с клиентами, представляющими службы первой и второй линий. В обновленном виде ВА будет иметь больше возможностей для усиления влияния и мобилизации усилий для устранения сложностей, а также реализации своего потенциала в будущем.

Дальнейшие перспективы для директоров по внутреннему аудиту и их организаций

Внутреннему аудиту необходимо сконцентрировать усилия на смещении акцента с ответственности за ряд элементов управления рисками к обязанностям первой и второй линии, проводя обучение и повышая осведомленность в рамках организации, а также подчеркивая ту ценность и повышение эффективности, которые могут быть достигнуты. Результатом изменений может стать повышение уровня четкости, надежности и расширение объемов аудиторского подтверждения. Используя цифровые активы и инновационные методы, службы внутреннего аудита и управления рисками могут автоматизировать процессы, которые ранее рассматривались вручную или вообще выходили за рамки плана внутреннего аудита. Внутреннему аудиту следует расширять свое участие в координации и разработке процессов, которые могут оказывать помощь руководству, в то время как вторая линия берет на себя ответственность за такие мероприятия, при этом минимизируя бизнес-риски и снижая аудиторскую нагрузку благодаря усилиям второй и третьей линий.

В рамках такой оптимизированной модели мы видим возможность предоставления аудиторского подтверждения в режиме реального времени, снижения затрат и расширения диапазона контроля в рамках всей организации. ВА может взять на себя ведущую роль в данном направлении. ВА может создавать возможности для содействия внедрения действий по предоставлению аудиторского подтверждения в системы контроля по мере их разработки. Данный подход называется “assurance by design” (аудиторские механизмы как неотъемлемая функция рабочих процессов). Существует явная возможность автоматизировать и создавать рабочие процессы, которые могут задействовать многие типичные действия второй линии и некоторые действия первой линии («автоматизация ключевых механизмов аудиторского контроля»). Это позволило бы внутреннему аудиту (третья линия) сосредоточиться на наиболее важных рисках, поддерживая при этом столь необходимую производительность.

Говоря конкретно о внутреннем аудите, такая структура представляет собой традиционный взгляд не только на выполнение основных обязанностей внутреннего аудита по предоставлению аудиторского подтверждения, но и на необходимость предоставления консультаций по ключевым рискам и помощи организации в прогнозировании и оценке риска. Для достижения этих целей можно использовать ряд механизмов и движущих факторов, в том числе:

  • кадры; привлечение персонала будущего; понимание, какой тип работы должен быть выполнен, кто будет выполнять работу и где эта работа будет выполняться.
  • разработку новых, динамичных и инновационных подходов для оценки риска, метода проведения аудита и представления его результатов.
  • использование и интеграцию цифровых активов в обычный ход деятельности.

Помимо этого, руководитель подразделения внутреннего аудита должен уделять особое внимание службе внутреннего аудита при анализе важности формирования инновационного мышления. Это имеет исключительную важность для организаций, которые смотрят в будущее и формируют дальновидный подход к управлению риском. Руководителю подразделения внутреннего аудита необходимо обдумать и обрисовать те навыки и качества, которые будут стоять за инновационным подходом. Стоит отметить, что такие навыки и характеристики во многом схожи с теми, которые требуются специалистам по инновациям в области рисков и систем контроля для результативной работы в будущем.

picture SVK

Дальнейшие перспективы для директоров по внутреннему аудиту и их организаций

Новые возможности внутреннего аудита

Внутренний аудит стоит на пороге бесконечных возможностей для взаимодействия с другими линиями, разработки дорожных карт и содействия в оптимизации корпоративного управления в рамках всей организации. Это отличная возможность переосмыслить профессию и укрепить свое положение не только в качестве поставщика услуг по предоставлению аудиторского подтверждения, но также в роли консультантов и специалистов по прогнозированию. Наша позиция предполагает исполнение обязательств по предоставлению аудиторского подтверждения наряду с базовым распределением задачи по всем линиям защиты, а не только ее реализацию силами ВА. Помимо этого, неизбежной представляется необходимость выполнения внутренним аудитом функций по консультированию бизнеса с прогнозированием и оценкой риска. Это важнейшие элементы внутреннего аудита будущего (см. Deloitte POV: Internal Audit 3.0), которые позволят внутреннему аудиту сосредоточиться на действительно наиболее важных и значимых для организации рисках.

Эта информация была полезна для вас?