Главная » Блог » Модель трех линий защиты бизнеса
Модель трех линий защиты бизнеса

Как это работает?
Узнать подробнееЕще в 2015 году Комитет спонсорских организаций (COSO) в сотрудничестве с Институтом внутренних аудиторов (The Institute of Internal Auditors) разработали модель Трех линий защиты (3LOD — 3 Lines of Defense). Цель этого документа заключается в методической поддержке компаний в развитии их управленческих структур благодаря распределению ролей и обязанностей по части внутреннего контроля.
Концепция трех линий защиты нацелена на проведение взаимосвязи между менеджментом, рисками и контролем. Это универсальная схема, которую возможно применить в компании любого масштаба, адаптировав ее под индивидуальные особенности.
Первая линия защиты
Это операционный бизнес, бизнес-функции. Тот, кто «на периферии» общается с возможными рисковыми внешними лицами (контрагентами, клиентами, партнерами), с различными государственными структурами, контрольно-надзорными органами. К первой линии относятся:
- отдел продаж,
- юристы,
- менеджеры,
- маркетологи,
- бухгалтеры и т.п.
Главная задача этих сотрудников — самоконтроль при выполнении своих действий. Они должны смотреть на свои обязанности чуть шире их специализации. При оценке эффективности внутреннего контроля важно отвечать не только на вопрос «что может случиться?», но и на «что сделано, чтобы не случилось?».
Вторая линия защиты
Здесь находится непосредственно комплаенс, функция мониторинга. Если первая линия рассчитана на сдерживание рисков, то вторая в текущей деятельности выступает больше как наблюдающий советник, представитель регулятора, доносящий его требования до бизнеса. Комплаенс-менеджер обязан подумать о тех рисках, которые пропустили операционные отделы.
Департамент комплаенса отвечает за:
- внедрение практики управления рисками;
- соблюдение сотрудниками государственного законодательства и локальных нормативных актов;
- распространение работы по контролю и управлению рисками на филиалы компании (при их наличии);
- аналитику угроз;
- расследование фактов недобросовестных действий;
- сбор информации по рискам и ее предоставление высшему менеджменту и т.д.
Между 1 и 2 линиями должен быть налажен свободный регулярные обмен данными. Так, например, если работники бухгалтерии не знают, как общаться с налоговой при возникновении внештатных ситуаций — они приходят к комплаенс-отделу и спрашивают, как нужно «безопасно» себя вести.
Третья линия защиты
Это последующий контроль в форме аудита, который периодически всех проверяет. Он включается в защиту по факту, когда неблагоприятные события уже произошли и риски наступили. То есть это реагирующая независимая функция.
У бизнеса «замыленное» мнение о том, что комплаенс и аудит — одно и то же. Несмотря на то, что их функции частично пересекаются, это не так. Комплаенс работает с текущей деятельностью, а аудит проверяет то, что уже случилось. Аудит выявляет нарушения и наказывает за них. Комплаенс тоже выявляет противоправные действия, но учит, как правильно надо делать впредь и ищет возможности, чтобы их предупредить.
При верном разграничении функций на всех трех линиях защиты, качественной разработке регламентов, выделении достаточных ресурсов и применении автоматизации эта модель помогает достигать бизнес-целей предприятия, предотвращая потенциальные и минимизируя наступившие риски.