Jenitha John, az IIA globális igazgatótanácsának elnöke beszél az Intézet útjáról, amely a 21. századi modelljének megalkotásához vezet.
Az önkéntesek, akik segítettek az IIA nemrég közzétett Három Vonal Modelljének kialakításában, már korán felismerték, hogy két hatalmas feladatot kell teljesíteniük. Először is olyan modellt kellett létrehozniuk, amely világosan és egyszerűen megfogalmazza a hatékony szervezetirányítás kulcsszerepeit. Másodszor, az új modellnek javítania kellett az eredeti Három Védelmi Vonal Modellen, amely világszerte mélyen beépült a modern kockázatkezelési gyakorlatba, a szabályozási folyamatokba és a törvényekbe. A projektre kijelölt munkacsoport vezetőjeként Jenitha John, az IIA Global Board elnöke megértette a kihívásokat és az ezzel járó téteket. A mai napig az új három vonalas modellre adott reakciók nagyrészt pozitívak. A munkacsoport erőfeszítéseinek ez a megerősítése tükrözi a vitathatatlanul legismertebb és leggyakrabban használt modell aktualizálásának aprólékos és átgondolt folyamatát. John nemrégiben beszélt a Három Vonal Modell kidolgozásának folyamatáról, valamint a végtermékkel kapcsolatos izgalmáról és reményeiről.
1. Milyen elképzelése volt a küldetésről, amikor belevágott a projektbe?
John: Összehívtunk egy sokszínű csoportot a világ minden tájáról, és a küldetésünk az volt, hogy először is megértsük, mennyire van beágyazva a Három védelmi vonal modell a különböző földrajzi területeken, és mi az, amin változtatni kell. Összehívtunk egy olyan csoportot, amely képes volt megadni nekünk ezeket a nézőpontokat. Nem mentünk bele semmilyen előzetesen kialakított elképzeléssel arról, hogy mit akarunk felépíteni. Azt akartuk, hogy ez egy konzultatív megközelítés legyen, ahol közösen írtunk, ellenőriztünk és felmérést végeztünk. Figyelembe kellett vennünk a különböző iparágakat és ágazatokat, legyen szó akár a magánszektorról, akár a közszféráról. Ezek azok a dolgok, amelyeket figyelembe vettünk a Három Vonal kialakításakor.
2. Mit tanult a munkacsoport ebből a megközelítésből?
Mindezen nézőpontokat be akartuk vonni, hogy megmutassuk, mennyire jól beágyazott a Három védelmi vonal. Mik a negatívumok? Mik a pozitívumok? Mi szükséges ahhoz, hogy jobban megfeleljen a célnak azokban a szervezetekben, amelyek küzdenek a beágyazásával? Arra is kíváncsiak voltunk, hogyan lehetne egy kicsit jövőorientáltabbá tenni. Mindezt szem előtt tartva, amikor elkezdtünk visszajelzéseket kapni, nagyon nyilvánvalóvá vált, hogy ez nem forradalom lesz, hanem inkább magának a modellnek a továbbfejlesztése, mivel néhányan határozottan amellett érveltek, hogy tartsuk úgy, ahogy van. De akárhogy is van, volt néhány erős hang is, ami azt mondta: „Csak mondjátok meg nekünk, hogyan működjön”. Aztán voltak olyanok is, akik nagyon kritikusak voltak, és azt mondták: #Kill3LOD.
(3LOD = Három Védelmi Vonal)
3. Jól működött a folyamat integritása?
Igen, fantasztikus volt a bizalom, amelyet a világ minden tájáról részt vevő különböző felek részéről kaptunk. Az első fordulóban egy kicsit elfogultak voltunk, és inkább a belső ellenőrök mondták el a véleményüket. A második fordulóban más érdekelt felek szempontjait vettük célba. Nem csak a munkacsoport volt jelen. Volt egy tanácsadó csoportunk is, amely fő partnerekből, jogalkotókból és szabványalkotó testületekből állt. A folyamat során közvetlenül tőlük kértünk visszajelzést, ami minden bizonnyal készenlétben tartott minket.
4. Mennyire volt tudatában a csoport annak, hogy egyszerű és egyértelmű modellre van szükség?
Kezdetben azt mondták nekünk, hogy az emberek az egyszerűsége miatt fogadták el az eredeti modellt. Az emberek azért fogadták el, mert képesek voltak átlátni a három vonalat, és meglátni ezeket a szempontokat a szervezetükben. Ez az egyszerűség segített abban, hogy a modell vonzerőt és lendületet nyerjen a szervezetekben való bevezetés szempontjából. A modell számos szabályozási keretrendszerbe beépült a pénzügyi szolgáltatási ágazatban is, és még a közszféra is használja. Tehát tudtuk, hogy nem tehetjük bonyolulttá a felülvizsgált modellt. Elveszítené a vonzerejét, ha valami teljesen mással álltunk volna elő.
5. Mikor vált nyilvánvalóvá az átfogó szervezetirányítás fontossága a modell frissítéséről folytatott megbeszéléseik során?
Amikor a Három Védelmi Vonal Modelljét vizsgáltuk, az nagyon is a kockázatkezelésre összpontosított. Aztán voltak másodlagos dokumentumok a szervezeti kockázatkezelés rajongóinak diagramjával kapcsolatban és mindezek a dolgok szerepet kaptak. Rájöttünk, hogy ezek a tevékenységek szorosan összefonódnak egy szervezeten belül. Miért ne hozhatnánk össze ezeket a szempontokat, és miért ne alakíthatnánk ki mindezt az irányítás keretében? Ki felügyeli ezt az egész ökoszisztémát? Ki felelős azért, hogy a szervezeten belüli tevékenységeket a keretekkel, irányelvekkel, gyakorlatokkal és iránymutatásokkal összhangban hajtsák végre? Ki biztosítaná az irányító testületet arról, hogy minden szinkronban működik-e a szervezetben? Én ezt úgy hívom, hogy a hang a csúcson, a hangszín középen és a ritmus a táncparketten.
6. Mondja el, hogy az új modell hogyan bontja le ezeket a kérdéseket különálló és egyértelmű szerepekre, és hogy az egyes szerepek milyen felelősséggel járnak.
Arról van szó, hogy mindenkit felkarolunk, aki a szervezetirányításban dolgozik. Melyek azok az apró mozzanatok, amelyek révén jobban tudunk együttműködni, hogy végső soron elérjük a szervezeti célokat, és értéket teremtsünk és növeljünk a szervezet számára? Túl gyakran - és ezt sok szervezetnél láttam már - a szakterületek egymástól elszigetelten dolgoznak. A régi modell ápolta és megerősítette a széttagolt gondolkodást. Az új, elveken alapuló modell a szervezet egész ökoszisztémájáról való beszélgetésre ösztönöz. Az egyik alapelv az együttműködésre és a koordinációra összpontosít. Megmutatja, hogy a szervezetek hogyan hozhatják össze ezeket a szakterületeket. Nemcsak arról van szó, hogy a kockázatokról beszéljünk a felmerülő nézőpontból, hanem arról is, hogy milyen lehetőségeket látunk, amikor egy szervezet ténylegesen hasznosítja a három vonal együttes tudását a szervezetre gyakorolt pozitív hatás érdekében (lásd „Az irányítási szerepek megértése” című alábbi blokkot).
7. A szervezeten belüli tudás hasznosításának koncepciója jól érzékelteti a modell egyik kulcsát, amely szerint az irányításon belül minden egyes összetevőnek megvan a maga szerepe. Meséljen erről.
Már a kezdet kezdetén felismertük, hogy az irányítás lesz a modell egyik fő összetevője. A irányításnak önmagában három alapvető követelménye van, és erre már az új modell kidolgozása során sikerült rájönnünk. A legalapvetőbb értelemben a szervezetirányításnak három követelménye van: Egyszerűen fogalmazva, valaki felelős, valaki más végrehajtja a feladatot, és valaki más ismét megerősítést ad. Formálisabban fogalmazva, az irányítás a következőket követeli meg: Először is, az elszámoltathatóságot - az érdekeltek felé, a bizalom, a bizalom és a nyitottság révén. Ezt a szerepet általában egy igazgatótanács vagy irányító testület tölti be. Másodszor, a cselekvést - tervek, döntések, műveletek és az erőforrások alkalmazását. Ezt a szerepet a menedzsmentre bízzák. Harmadszor pedig a bizonyosságot - független, tárgyilagos, hiteles megerősítés arról, hogy minden úgy működik, ahogyan kell. Ezt a belső ellenőrzési funkció végzi, amely az igazgatóság „szeme és füle”. Számunkra tehát az irányítás e három kritikus összetevőre való felbontása az, amiben megállapodtunk. Ezért tettük a modellt alapelvekre épülővé, hogy az emberek felismerjék ezeket a dolgokat, és kölcsönösen felelősnek tartsák egymást a részekért.
8. A szervezetek összehasonlítják a régi modellt az új modellel. Hogyan kellene a szervezeteknek átvenniük az új három vonalas modellt?
Megkülönböztetünk olyan szervezeteket, amelyeknél a modell teljesen beágyazódott, és olyanokat, amelyeknél részben beágyazódott, illetve olyanokat, amelyek küzdenek a bevezetésével. Minden szervezetnek saját egyedi fejlődési dinamikát kell választania. Azoknak, akiknél a modell teljesen beágyazódott, az új modellt abból a szempontból kell szemlélniük, hogy miben kell változnia a szervezeten belül (lásd a „Mi változott és mi az új” című lenti blokkban). Például, hogyan támogatja a szervezet a koordinációt és az együttműködést, valamint az egész egyesített megbízhatósági szempontot? Képes ezt demonstrálni az irányító testületnek? A felfrissített modell szervezethez való igazodásának jóváhagyása megadja a nézőpontot arra vonatkozóan, hogy miben kell változnia. Reméljük, hogy az átdolgozott modell hasznos lesz azok számára, akiknek nehézséget okozott a bevezetés. Az IIA tervezi, hogy különböző szektorokat és iparágakat vizsgáló kiegészítő dokumentumokat tesz közzé, hogy a szervezetek számára sokkal könnyebben és gyorsabban megvalósíthatóvá tegye a modellt.
9. Az új Három Vonal Modell értékelése nem teljes az irányító testület kiemelt szerepének tárgyalása nélkül. Miben különbözik ez az eredetitől?
Az eredeti modellből kimaradt az irányító testületről szóló beszámoló. Azáltal, hogy az irányító testület szerepére összpontosít, az új modell lehetővé teszi az irányítással megbízott személyek számára, hogy a struktúrákat, rendszereket, gyakorlatokat és folyamatokat úgy alakítsák ki, hogy azok elég rugalmasak legyenek a folyamatosan változó kockázati környezethez való alkalmazkodáshoz és a jövőre való felkészüléshez. Végső soron a cél az, hogy a szervezet teljes ökoszisztémáján belül az irányítási kérdésekben megfelelő bizonyosságot kapjon a szervezet.
10. Hogyan kell az új modellt a COVID-19 világjárvány és annak a szervezetekre gyakorolt hatása tükrében szemlélni?
Ez egy megfelelő időpont a Három Vonal Modell bevezetésére, ha figyelembe vesszük, hogy a rendszerek, az emberek és a folyamatok terén milyen változások történtek. A COVID-19 felgyorsította a negyedik ipari forradalmat, és ennek hatására a szervezetek kontrollkörnyezete is megváltozott. A COVID-19 miatt a kontrollkörnyezet már nem csak a helyszíneken létezik. Kiterjedt az alkalmazottak otthonaira is. Kiterjedt a felhőre is. A Három Vonal Modell lehetővé teszi a belső ellenőrzés számára, hogy a szervezet összes többi szakterületével együttműködve dolgozzon, hogy pontosan meghatározza és azonosítsa ezeket a szempontokat, és hasznosítani tudja e különböző szakterületek tudását, hogy meglássa, előre lássa, megelőzze, tervezhesse és ellensúlyozza a jövőbeni problémákat.
ROBERT PEREZ, az IIA tartalomfejlesztési és -szolgáltatási igazgatója.
„A harmadik vonalbeli szerepek meghatározó jellemzője a vezetéstől való függetlenség” - jegyzi meg a Három Vonal Modell, amely megkülönbözteti a belső ellenőrzést más funkcióktól.
A Három Vonal Modell 6 alapelvre épül: irányítás, irányító testületi szerepek, vezetés és első és második vonalbeli szerepek, harmadik vonalbeli szerepek, harmadik vonalbeli függetlenség és értékteremtés/értékmegóvás.
A Három Vonal Modell másképp használja a „vonalak” nyelvét, mint az előző modell. „Első vonalbeli szerepekre”, „második vonalbeli szerepekre” stb. utal, és nem „első vonal”, „második vonal”, annak megerősítésére, hogy nem a struktúráról, hanem a szerepekről és kapcsolatokról van szó; arról, hogy ezek hogyan oszthatók ki, kombinálhatók vagy választhatók szét; és hogyan kapcsolódnak egymáshoz. A modell eltávolodik a „vonal átlépéséről” vagy „a vonal elmosódásáról” szóló vitáktól. A szerepeknek mindig egyértelműnek kell lenniük. A szerepek a szervezet döntése (vagy a szabályozó hatóság előírása) szerint oszthatók ki. Az első és második vonalbeli szerepek elkülöníthetők vagy keveredhetnek. Az egyének, csapatok és feladatkörök rendelkezhetnek az ilyen szerepek keverékével, vagy lehetnek specializáltabbak.
Az első vonalbeli szerepeket úgy határozzák meg, mint amelyek a legközvetlenebbül az ügyfél számára termékek és szolgáltatások nyújtására összpontosítanak, és magukban foglalják a támogató funkciót, például a humán erőforrás, az adminisztráció és az IT szerepét.
A második vonalbeli szerepek azok, amelyek a kockázatkezelés konkrét aspektusaira összpontosítanak, beleértve az etikai, jogi és szabályozási követelményeknek való megfelelést; a kontrollokat; a minőségbiztosítást; az IT-biztonságot; a fenntarthatóságot; és az olyan szélesebb körű feladatokat, mint a szervezeti kockázatkezelés. A második vonalbeli szerepkörök további feladatokat, szakértelmet, felügyeletet és ellenőrzést biztosítanak, de az első vonalbeli szerepkörökkel rendelkezők felelősek a kockázatkezelésért.
A harmadik vonalbeli szerepkörök kizárólag a belső ellenőrzésnél vannak. A belső ellenőrzés független és tárgyilagos bizonyosságot és tanácsadást nyújt az irányítás és kockázatmenedzsment megfelelőségével és hatékonyságával kapcsolatban. Ezt szisztematikus és fegyelmezett eljárások, szakértelem és hozzáértés megfelelő alkalmazásával éri el. Megállapításairól jelentést tesz a vezetésnek és az irányító testületnek a folyamatos fejlesztés előmozdítása és elősegítése érdekében.
A cikk eredeti, angol nyelvű változata az Internal Auditor 2020. októberi számában jelent meg.