Rizikos valdymas organizacijoje: 3 gynybos linijų modelio evoliucija

Efektyvi vidaus rizikos valdymo ir kontrolės sistema yra itin reikšminga bet kurios organizacijos, ypač finansų įstaigos, veiklos dedamoji dalis. Tarptautinio tyrimo rezultatai rodo, kad įprastai organizacijose vidaus rizikos valdymo ir kontrolės sistema paremta 3 gynybos linijų modeliu (angl. The Three Lines of Defense Model).

Pagal šį modelį rizikos valdymo vaidmenys ir atsakomybės visuose organizacijos lygmenyse grupuojamos į 3 gynybos linijas (GL):

• Už pirmąją GL organizacijoje atsako veiklos riziką prisiimantys asmenys: organizacijos vadovas arba kiti aukštesnės grandies vadovai – padalinių skyrių vadovai. Ši linija apima kasdienį rizikų valdymą: rizikos savininkai turi identifikuoti, vertinti, kontroliuoti ir valdyti nustatytas rizikas, atsižvelgdami į organizacijos vidaus politikas bei tvarkas, ir taip užtikrinti, kad veikla atitiktų organizacijos tikslus.
• Antrąją GL apima vaidmenys ir atsakomybės, skirtos rizikos stebėsenai ir priežiūrai (rizikos valdymo funkcija, atitiktis, IT sauga ir kt.). Šioje linijoje dalyvaujantys organizacijos darbuotojai yra atsakingi už rizikos politikų ir procesų bei vidaus kontrolės priemonių nustatymą.
• Trečioji GL – nepriklausomo rizikos valdymo proceso efektyvumo užtikrinimo funkcija organizacijos valdybai ir aukštesniajai vadovybei, kurią įgyvendina nepriklausomas vidaus auditorius.

Šaltinis: Tarptautinis vidaus auditorių institutas (angl. The Institute of Internal Auditors), https://bit.ly/2D7H9jN

Nors 3 GL modelis yra plačiai naudojamas, tarptautinio rizikos valdymo tyrimo rezultatai atskleidė, kad šio modelio įgyvendinimas susiduria su iššūkiais jau pirmojoje gynybos linijoje, pvz.:

• neaiškus vaidmenų ir atsakomybių pasiskirstymas tarp pirmosios ir antrosios GL (50 % respondentų tai įvardino kaip iššūkį);
• GL funkcijų dubliavimasis (šią problemą paminėjo 38 % respondentų);
• kompetencijos trūkumas pirmojoje GL (33 % respondentų pažymėjo šį aspektą).

Panaši 3 GL modelio problematika paminėta ir Tarptautinio vidaus auditorių instituto (angl. The Institute of Internal Auditors) vykdytoje apklausoje , kuri ir identifikavo poreikį peržiūrėti bei atnaujinti 3 GL modelį. Liepos viduryje Tarptautinis vidaus auditorių institutas paskelbė atnaujintą 3 linijų modelį (angl. The Three Lines Model).

Atnaujintas 3 linijų modelis nėra revoliucingas, tačiau įnešė ženklių pokyčių ir papildė ankstesnįjį. Apžvelkime pagrindinius, kuriuos pravartu žinoti ir pagal juos adaptuoti savo rizikos valdymo procesus:

• 3 GL modelis buvo kritikuotas dėl lankstumo trūkumo. Dėl šios priežasties atnaujintas 3 linijų modelis remiasi 6 pagrindiniais principais, kurie turėtų būti pritaikyti kiekvienai organizacijai atsižvelgiant į jos veiklos tikslus ir industriją, kurioje ji veikia.
• Ankstesnis modelis buvo paremtas lūkesčiu, kad būtent antroji ir trečioji GL, vykdydamos savo funkcijas, užtikrins efektyvų rizikos valdymą organizacijoje, o rizikos savininkai (pirmoji GL) ir aukščiausioji vadovybė (valdyba) liks nuošalyje. Tokią ydingą praktiką siekiama eliminuoti naujajame 3 linijų modelyje ir aukščiausiąją vadovybę aktyviau įtraukti į rizikos valdymą bei apibrėžti jos vaidmenį visame procese (pvz., valdyba atsakinga už tinkamos organizacinės struktūros ir procesų įdiegimą bei už tai, kad organizacijos tikslai ir veikla būtų suderinta su prioritetiniais organizacijos dalyvių interesais).
• Naujajame modelyje yra ne tik apibrėžiamas aukščiausiosios vadovybės vaidmuo, bet ir išskiriamos kiekvienos linijos funkcijos ir atskaitomybės sritys. To anksčiau nebuvo, dėl to tam tikros atskirų linijų funkcijos dubliuodavosi.
• Vienas iš 3 GL modelio trūkumų – atskaitomybės, komunikacijos ir bendradarbiavimo stoka tarp visų GL. Dėl to atnaujintame modelyje siekiama aiškiau apibrėžti atskaitomybės linijas, komunikacijos ir bendradarbiavimo tarp organizacijos darbuotojų svarbą. Atitinkamai peržiūrėta ir modelio grafinė schema identifikuojant atskaitomybės delegavimo linijas, ryšius tarp atskirų GL.
• Peržiūrėtame modelyje dėmesys skirtas ir vertybiniams aspektams: siekiama pabrėžti, kad kiekvienas organizacijos darbuotojas, vykdydamas jam priskirtas funkcijas, kuria pridėtinę vertę organizacijai.
• Nors ankstesniajame modelyje akcentuojamas trečiosios linijos – vidaus audito – nepriklausomumas, atnaujintame modelyje įtvirtinama, kad nepriklausomumas neturėtų būti suprantamas kaip vidaus auditoriaus buvimas nuošalyje. Vidaus auditorius, būdamas tiesiogiai atskaitingas aukščiausiajai vadovybei, turėtų būti aktyvus ir įsitraukęs į organizacijos bendrą rizikos valdymo procesą.

Šaltinis: Tarptautinis vidaus auditorių institutas (angl. The Institute of Internal Auditors), https://bit.ly/30R6vdV

Taigi jeigu jūsų organizacijos rizikos valdymas paremtas 3 GL modeliu, įvertinkite, ar jums nereikia revizuoti rizikos valdymo modelio ir vidaus tvarkų pagal Tarptautinio vidaus auditorių instituto paskelbtą 3 linijų modelį:

1. Ar aiškios jūsų organizacijos darbuotojų funkcijos ir atsakomybės rizikos valdyme?
2. Ar aiškiai iškomunikuojami organizacijos tikslai organizacijos darbuotojams? Ar darbuotojai žino, ko organizacija siekia ir kaip jie prisideda siekiant organizacijos tikslų?
3. Ar aukščiausioji vadovybė (valdyba) yra pakankamai įsitraukusi į rizikos valdymą ir jos kontrolę?
4. Ar aukštesnės grandies vadovams yra aiškiai deleguota atsakomybė organizacijos rizikos valdyme?
5. Ar informacijos perdavimas tarp atskirų linijų yra efektyvus?
6. Ar užtikrinamas efektyvus bendradarbiavimas tarp pirmosios, antrosios ir trečiosios linijų?