Międzynarodowy Instytut Audytorów Wewnętrznych uznawany jest za popularyzatora koncepcji „trzech linii obrony” (ang. three lines of defense). Teorii, której zadaniem jest wydzielenie niezależnych od siebie jednostek, mających na celu efektywne zarządzanie ryzykiem nieprawidłowości mogących wystąpić w ramach działalności organizacji. Opublikowany w styczniu 2013 r. „Position Paper of Defense in Effective Risk Management and Control„, stanowi wykładnię wspomnianej teorii.
Model trzech linii obrony ma charakter ramowy, wyznaczający pewne określone, fundamentalne i bazowe zasady dla efektywnego zminimalizowania wystąpienia ryzyka zagrażającego bieżącej działalności organizacji.
Podział III linii obrony
Na koncepcję trzech linii obrony składają się następujące funkcje wewnątrz organizacyjne:
- Pierwszą linię obrony konstytuują działania biznesowe, operacyjne, a więc szeroko rozumiany „biznes”. To właśnie w pierwszej linii obrony umiejscowione są procesy operacyjne, to tutaj zlokalizowana jest również odpowiedzialność za zdarzenia kreujące ryzyko. Pierwsza linia obrony odpowiedzialna jest ponadto za zaprojektowanie, a także wdrożenie kontroli właściwych dla zidentyfikowanych ryzyk. W ramach tej linii obrony usytuowane jest również tzw. właścicielstwo ryzyka.
- Druga linia obrony to ten etap prewencji wewnątrzorganizacyjnej, którego nadrzędnym zadaniem jest efektywna identyfikacja ryzyka i zagrożeń dla działalności danego podmiotu. Druga linia obrony ma za zadanie rozpoznanie tych zagrożeń, które nie zostały wykryte w ramach działalności pierwszej z linii.Wewnątrz tego poziomu ochrony usytuowane zostały jednostki wyspecjalizowane w działaniach mających na celu wspieranie pierwszej linii obrony, wspieranie kadry kierowniczej w efektywnym zarządzaniu ryzykiem i skuteczności zaimplementowanych kontroli. To właśnie wewnątrz drugiej linii obrony umiejscowione zostały funkcje takie jak: kontrola finansowa, compliance, bezpieczeństwo, kontrola jakości.
- Trzecią linię obrony konstytuuje jednostka audytu wewnętrznego. Nie wykonuje ona czynności zarządczych, przedstawia natomiast wyniki weryfikacji działalności pozostałych linii. Rolę ostatniej z linii obrony organizacji, pełnić może również audytor zewnętrzny.
Wraz z rozwojem świadomości organizacyjnej, systematycznym zwiększaniem wymogów nakładanych na przedsiębiorstwa w zakresie oceny ryzyka, zarządzania zgodnością, ale również sprawozdawczością, koncepcja modelu trzech linii obrony, staje się coraz to bardziej rozpoznawalną, a przede wszystkim implementowaną w ramach struktur organizacji.
Na wzrost świadomości kadry zarządzającej średniego jak i wyższego szczebla, niewątpliwy wpływ ma fakt zwiększonej aktywności ustawodawcy względem przedsiębiorców. Już nie tylko wspomniany wzrost wymagań, obostrzeń i regulacji względem podmiotów działających na danym rynku stał się przyczyną, wdrożenia przedmiotowej koncepcji. Niebagatelną rolę odgrywa tutaj także wzmożona aktywność kontrolna organów regulacyjnych.
Dlatego też ostatnie lata to systematyczny wzrost znaczenia jednostek audytu wewnętrznego i compliance wewnątrz organizacji. Symptomatyczne jest tutaj uchwalenie Rozporządzenia nr 537/2014 z dnia 16 kwietnia 2014 roku, przyjętego przez Parlament Europejski i Radę, którego efektem była polska Ustawa z dnia 11 maja 2017 roku o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym ((http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20170001089)). Ustawa ta, będąca nowelizacją dotychczasowej regulacji o biegłych rewidentach, samorządzie biegłych rewidentów, podmiotach będących uprawnionymi do badania sprawozdań finansowych, a także nadzorze publicznym, implementuje wprost przepisy wprowadzone przez Unię Europejską w odniesieniu do audytu i zasad badania i kontroli sprawozdań finansowych.
Audyt wewnętrzny a compliance
Compliance jako funkcja ma za zadanie dostosowywanie działalności organizacji do wymogów powszechnie obowiązującego prawa, wymogów regulatora, obowiązków wynikających z regulacji wewnętrznych danego sektora, w którym podmiot prowadzi swą działalność, a także do schematu postępowania wyznaczonego przez regulacje wewnętrzne danej organizacji. Rolą audytu wewnętrznego jest natomiast monitorowanie procesów wewnątrz organizacji, weryfikacja kompletności działań mających za zadanie „mitygowanie ryzyka”, efektywności, zasadności i właściwości wdrożonych kontroli.
W zakresie przeprowadzanych kontroli mających na celu weryfikację efektywności działań podejmowanych przez organizację compliance koncentruje się na analizowaniu konkretnych spraw, natomiast audyt weryfikować będzie całe procesy.
Rozróżnienie funkcji audytu wewnętrznego i compliance odnosi się również do celów każdej z nich. Nadrzędnym i fundamentalnym wyznacznikiem działalności obydwu jednostek jest zapewnienie ciągłości działalności organizacji poprzez efektywną minimalizację ryzyka.
Spoglądając jednak na partykularne założenia każdej z funkcji, można w przypadku jednostki compliance wyróżnić zapewnienie ciągłości działalności organizacji poprzez dostosowanie profilu działalności organizacji do zmieniającego się otoczenia prawno-regulacyjnego. Natomiast celem komórki audytu wewnętrznego będzie działanie na rzecz zapewnienia prawidłowego i efektywnego funkcjonowania organizacji, również pod względem legalności. Compliance próbuje zatem „nadążyć” za zmieniającym się otoczeniem prawnym, podczas gdy audyt dokonuje krytycznej oceny tej rzeczywistości.
Jednostka Compliance analizuje ryzyko ex ante; audyt – ex post.
Nie należy bowiem zapominać, iż jednostka audytu wewnętrznego, wyposażona jest w szereg uprawnień kontrolnych, które upoważniają ją do przeprowadzania audytu również wewnątrz jednostki compliance. Niemniej jednak, uprawnienie to nie może i nie powinno stanowić przeszkody względem współpracy obydwu funkcji wewnątrz organizacji. Konflikt stanowiłby blokadę na drodze do efektywnego rozwoju działalności danej organizacji.
Obie jednostki posiadają atrybuty i upoważnienia zezwalające na kompleksowe i przekrojowe spojrzenie na sposób prowadzenia działalności biznesowej, jej procesy, strukturę organizacyjną, a także efektywność operacyjną, przejawiającą się m.in. we wspólnym definiowaniu ryzyk danej organizacji, opracowanie ich uspójnionej klasyfikacji, zminimalizowanie działań niepożądanych. To wszystko przekłada się na maksymalizację korzyści z podejmowanych działań biznesowych.
Audiatur et altera pars
Tytułowa sentencja jest egzemplifikacją procesowej zasady, wywodzącej się z prawa rzymskiego, stanowiącej o tym, iż druga strona procesu powinna zostać wysłuchana.
Wyrok, nawet jeśli właściwy, bez stanowiska drugiej strony jest niesłuszny.
Przenosząc i niejako parafrazując tę zasadę na grunt organizacji, należy mieć na uwadze fakt, iż nie sposób w sposób efektywny i kompleksowy zarządzać ryzykiem, bez współpracy i współdziałania jednostek konstytuujących omawiane 3 linie obrony. Ich zadaniem jest nie tylko działanie na rzecz zysku przedsiębiorstwa, lecz także działanie na rzecz sprawiedliwości.
Ma ona bowiem to do siebie, że gdy jest urzeczywistniona, niesie wraz ze sobą sprawne zarządzenie, przejrzystość i chyba najważniejsze – spokój w obliczu nadchodzących wyzwań, których w okresie post-pandemicznym, tj. tzw. „new normal”, nie brakuje.
*Inspiracją do napisania powyższego tekstu był artykuł autorstwa prof. Franciszka Longchamps de Bérier pt. „AUDIATUR ET ALTERA PARS. SZKIC O BRAKUJĄCEJ KOLUMNIE PAŁACU SPRAWIEDLIWOŚCI „. Opublikowany w Leges sapere. Studia i prace dedykowane profesorowi Januszowi Sondlowi w pięćdziesiątą rocznicę pracy naukowej, red. W. Uruszczak – P. Święcicka – A. Kremer, Kraków 2008
