TRI LINIJE ODBRANE ZA EFEKTIVNI PROCES UPRAVLJANJA RIZIKOM I
SISTEM INTERNE KONTROLE
U poslovanju dvadeset prvog veka nije neobično da različiti timovi sastavljeni od internih
revizora,specijalista za upravljanje rizikom, specijalista za usaglašenost poslovanja, specijalista za internu
kontrolu, kontrolora kvaliteta, istražilaca prevara i drugih profesionalaca, specijalista za rizike i kontrolu,
koordiniraju svoje aktivnosti kako bi pomogli svojim organizacijama u upravljanju rizikom. Svaka od
navedenih specijalnosti ima sopstveni ugao posmatranja i specifične veštine koje mogu biti dragocene za
organizaciju, ali činjenica da su različite nadležnosti u vezi sa pitanjima rizika i kontrole podeljene i
dodeljene različitim odeljenjima i sektorima u organizaciji, zahteva da se ove nadležnosti sprovode pažljivo i
koordinisano, obezbeđujući da proces upravljanja rizikom i kontrole funkcionišu na željeni način.
Nije dovoljno samo uspostaviti različite funkcije koje će se baviti rizicima i kontrolom – izazov je dodeliti
specifične uloge i efikasno ih koordinirati ih na način da se izbegnu i “rupe” u kontrolama, ali i njihovo
nepotrebno dupliranje/preklapanje. Nadležnosti moraju biti jasno definisane, tako da svaka funkcija koja
ima nadležnost za ova pitanja razume granice sopstvene odgovornosti i ima svest o tome kako se njena
pozicija uklapa u ukupnu organizacionu strukturu po pitanju rizika i kontrole. Ulozi su visoki. Bez povezanog,
koordiniranog pristupa, angažovanje ograničenih resursa za tretman rizika i kontrolu neće biti efikasno, a
značajni rizici mogu ostati neprepoznati ili neadekvatno tretirani. Najgorim ishodom smatra se situacija u
kojoj se komunikacija između različitih grupa u organizaciji zaduženih za rizike i kontrolu svede na
neprekidnu raspravu o tome ko je odgovoran za izvršenje nekog konkretnog zadatka. Problem može da
postoji u svakoj organizaciji, čak i kada ona ima formalno uspostavljeni okvir za upravljanje rizikom. Iako
kroz okvir za upravljanje rizikom mogu efektivno da se identifikuju tipovi rizika kojima savremeno
poslovanje mora da upravlja, samo uspostavljanje okvira za upravljanje rizikom ne daje odgovor na pitanje
kako specifični zadaci u vezi sa rizicima i kontrolom treba da se dodeljuju i koordiniraju u organizaciji. Na
sreću, pojavljuju se nove prakse koje mogu biti od pomoći organizacijama da na sistematičnoj osnovi
dodeljuju i koordiniraju ključne zadatke u procesu upravljanja rizikom.
Model “tri linije odbrane” obezbeđuje jednostavni i efektivni način za poboljšanje komunikacije po
pitanjima rizika i kontrole upravo time što pojašnjava ključne uloge i zadatke (pojedinih grupa u
organizaciji). Ovaj model obezbeđuje novi pogled na poslovanje, podržavajući neprekidnu uspešnost
inicijative za upravljanje rizikom, a odgovara svakoj organizaciji bez obzira na njenu veličinu i složenost
poslovanja. Čak i u organizacijama gde ne postoji formalno uspostavljeni okvir za upravljanje rizikom,
uvođenje modela “tri linije odbrane” može učiniti jasnijim pitanja rizika i kontrole i pomoći poboljšanju
efektivnosti sistema upravljanja rizikom.
PRETPOSTAVKA ZA TRI LINIJE: NADZOR NAD UPRAVLJANJEM RIZIKOM I
POSTAVLJANJE STRATEGIJE
U modelu “tri linije odbrane”, interne kontrole koje uspostavlja operativno rukovodstvo smatraju se prvom
linijom odbrane u upravljanju rizikom, različite funkcije uspostavljene u cilju upravljanja rizikom i funkcije za
nadzor usklađenosti smatraju se drugom linijom odbrane, dok nezavisno uveravanje predstavlja treću liniju.
Svaka od ove tri linije ima posebnu ulogu u najširem okviru korporativnog upravljanja.
MODEL TRI LINIJE ODBRANE
Prva linija odbrane:
Menadžment kontrole
Interne kontrolne mere
Druga linija odbrane:
Finansijske kontrole
Sigurnost
Upravljanje rizikom
Upravljanje kvalitetom
Inspekcije
Usklađenost
Treća linija odbrane:
Interna revizija
Iako ni uprava ni više rukovodstvo nisu uvršteni u tri navedene linije, nema ni govora da sistem upravljanja
rizikom može biti celovit ukoliko se prethodno ne razmotri i ne definiše uloga najvišeg organa upravljanja
(odbor direktora u jednodomnom ili nadzorni odbor u dvodomnom sistemu) i najvišeg rukovodstva. Šta
više, uprava i više rukovodstvo su primarna strana koja ima interesa i kojoj služe “linije”, i kao takva ova
strana je u najboljoj poziciji da obezbedi da se modelom “tri linije odbrane” zaista obuhvate procesi
upravljanja rizikom i kontrole u organizaciji. Više rukovodstvo i uprava kolektivno imaju nadležnost i
odgovornost za postavljanje ciljeva organizacije, definisanje strategija za njihovo ostvarivanje, kao i za
uspostavljanje strukture i procesa kroz koje će se na najbolji način upravljati rizikom u ostvarivanju
organizacionih ciljeva. Model “tri linije odbrane” najbolje je implementirati uz aktivnu podršku I liderstvo
najvišeg organa uprave i višeg rukovodstva.
PRVA LINIJA ODBRANE: OPERATIVNO RUKOVODSTVO
Model “tri linije odbrane” razlikuje tri grupe (ili linije) uključene u efektivno upravljanje rizikom:
“Vlasnike rizika” koji operativno sprovode upravljanje rizikom;
Funkcije koje vrše nadzor rizika;
Funkcije koje obezbeđuju nezavisno uveravanje.
Kao prva linija odbrane, operativno rukovodstvo je “vlasnik” rizika i direktno upravlja njime. Uz to,
operativno rukovodstvo je odgovorno za preduzimanje korektivnih mera za otklanjanje nedostataka u
funkcionisanju procesa i kontrola. Operativno rukovodstvo je odgovorno za uspostavljanje efektivnog
sistema internih kontrola i funkcionisanje uspostavljenih postupaka za kontrolu rizika na dnevnoj osnovi.
Operativno rukovodstvo identifikuje, procenjuje, upravlja i ublažava rizik, razvijajući I primenjujući interne
politike i procedure, obezbeđujući konzistentnost aktivnosti iz svoje nadležnosti sa postavljenim zadacima i
ciljevima. Kroz stepenastu strukturu odgovornosti, srednji nivo rukovodstva osmišljava i implementira
detaljne procedure za kontrolu I nadzor nad postupcima koje izvršavaju zaposleni. Naravno da operativno
rukovodstvo predstavlja prvu liniju odbrane budući da su kontrole osmišljene i primenjene kroz sisteme i
procese za koje je nadležno i odgovorno operativno rukovodstvo. Stoga se odgovarajuće kontrole
uspostavljaju sa svrhom da nadziru usklađenosti i obezbeđuju uvid u slabosti kontrola, neadekvatnost
procesa i nastanak neočekivanih događaja.
DRUGA LINIJA ODBRANE:
FUNKCIJE UPRAVLJANJA RIZIKOM I USKLAĐENOSTI (COMPLIANCE)
Teorijski, možda bi samo jedna linija odbrane bila dovoljna da obezbedi efektivno upravljanje rizikom. U
realnosti, međutim, jedna linija u funkciji odbrane najčešće nije adekvatno rešenje. Rukovodstvo
uspostavlja različite funkcije za upravljanje rizikom I funkcije za usklađenost poslovanja, u cilju nadzora nad
fukcionisanjem kontrola iz prve linije odbrane. Te specifične funkcije se razlikuju u zavisnosti od
specifičnosti samih organizacija i delatnosti kojoj ove organizacije pripadaju, ali tipične funkcije “druge
linije” najčešće uključuju:
• funkciju upravljanja rizikom (komisiju za upravljanje rizikom) koja olakšava i nadzire implementaciju i
efektivnost prakse upravljanja rizikom koju sprovodi operativno rukovodstvo i koja pomaže “vlasnicima”
rizika da definišu ciljanu izloženost i da na adekvatan način obezbeđuju informacije o riziku različitim
nivoima i instancama u organizaciji;
