Модель трех линий защиты бизнеса

Еще в 2015 году Комитет спонсорских организаций (COSO) в сотрудничестве с Институтом внутренних аудиторов (The Institute of Internal Auditors) разработали модель Трех линий защиты (3LOD — 3 Lines of Defense). Цель этого документа заключается в методической поддержке компаний в развитии их управленческих структур благодаря распределению ролей и обязанностей по части внутреннего контроля.
Модель трех линий защиты бизнеса

Как это работает?

Узнать подробнее

Еще в 2015 году Комитет спонсорских организаций (COSO) в сотрудничестве с Институтом внутренних аудиторов (The Institute of Internal Auditors) разработали модель Трех линий защиты (3LOD — 3 Lines of Defense). Цель этого документа заключается в методической поддержке компаний в развитии их управленческих структур благодаря распределению ролей и обязанностей по части внутреннего контроля.

Концепция трех линий защиты нацелена на проведение взаимосвязи между менеджментом, рисками и контролем. Это универсальная схема, которую возможно применить в компании любого масштаба, адаптировав ее под индивидуальные особенности.

Первая линия защиты

Это операционный бизнес, бизнес-функции. Тот, кто «на периферии» общается с возможными рисковыми внешними лицами (контрагентами, клиентами, партнерами), с различными государственными структурами, контрольно-надзорными органами. К первой линии относятся:

  • отдел продаж,
  • юристы,
  • менеджеры,
  • маркетологи,
  • бухгалтеры и т.п.

Главная задача этих сотрудников — самоконтроль при выполнении своих действий. Они должны смотреть на свои обязанности чуть шире их специализации. При оценке эффективности внутреннего контроля важно отвечать не только на вопрос «что может случиться?», но и на «что сделано, чтобы не случилось?».

Вторая линия защиты

Здесь находится непосредственно комплаенс, функция мониторинга. Если первая линия рассчитана на сдерживание рисков, то вторая в текущей деятельности выступает больше как наблюдающий советник, представитель регулятора, доносящий его требования до бизнеса. Комплаенс-менеджер обязан подумать о тех рисках, которые пропустили операционные отделы.

Департамент комплаенса отвечает за:

  • внедрение практики управления рисками;
  • соблюдение сотрудниками государственного законодательства и локальных нормативных актов;
  • распространение работы по контролю и управлению рисками на филиалы компании (при их наличии);
  • аналитику угроз;
  • расследование фактов недобросовестных действий;
  • сбор информации по рискам и ее предоставление высшему менеджменту и т.д.

Между 1 и 2 линиями должен быть налажен свободный регулярные обмен данными. Так, например, если работники бухгалтерии не знают, как общаться с налоговой при возникновении внештатных ситуаций — они приходят к комплаенс-отделу и спрашивают, как нужно «безопасно» себя вести.

Третья линия защиты

Это последующий контроль в форме аудита, который периодически всех проверяет. Он включается в защиту по факту, когда неблагоприятные события уже произошли и риски наступили. То есть это реагирующая независимая функция.

У бизнеса «замыленное» мнение о том, что комплаенс и аудит — одно и то же. Несмотря на то, что их функции частично пересекаются, это не так. Комплаенс работает с текущей деятельностью, а аудит проверяет то, что уже случилось. Аудит выявляет нарушения и наказывает за них. Комплаенс тоже выявляет противоправные действия, но учит, как правильно надо делать впредь и ищет возможности, чтобы их предупредить.

При верном разграничении функций на всех трех линиях защиты, качественной разработке регламентов, выделении достаточных ресурсов и применении автоматизации эта модель помогает достигать бизнес-целей предприятия, предотвращая потенциальные и минимизируя наступившие риски. 

Остались вопросы?

Задать вопрос
 

Марина Курицына
Руководитель клиентского сервиса

УЗНАЙТЕ, КАК МЫ ЗАЩИТИМ ВАС И ВАШ БИЗНЕС – ОБРАТИТЕСЬ К ЭКСПЕРТУ НАЦИОНАЛЬНОЙ ЮРИДИЧЕСКОЙ СЕТИ