Audit intern curs 2

Cele trei linii de apărare

Sursa; IIA. Preluare ECIIA/FERMA Guidance on the 8th EU Company Law Directive
 Cele trei linii de apărare
• Organismele însărcinate cu guvernanţa şi
managementul executiv “la vârf” sunt
principalii deţinători de interese care
beneficiază de aceste 3 linii dar, în acelaşi
timp, sunt şi cei care pot asigura reflectarea
lor în procesele de management al riscurilor şi
control.
 Cele trei linii de apărare
1. Funcţii care deţin şi administrează riscuri
2. Funcţii care supravegheză riscuri
3. Funcţii care oferă asigurare independentă
• Managementul operaţional răspunde pentru
menţinerea unor controale interne eficace şi
executarea procedurilor de monitorizare a riscurilor şi
control zi de zi.
• Managementul operaţional identifică, evaluează,
controlează şi reduce riscurile prin implementarea
politicilor interne şi procedurilor asigurându-se că
activităţile permit atingerea obiectivelor.
 Linia a 2a de apărare cuprinde funcţii care pot
varia în funcţie de ramură. Funcţii tipice sunt:
• Funcţia de management al riscului (şi/sau comitet):
facilitează şi monitorizează implementarea de către
managementul operaţional a practicilor eficace de
management al riscului şi asistă proprietarii de
procese în definirea expunerii (ţintă)la risc şi
raportarea cu privire la risc.
• Funcţia de conformitate monitorizează riscul de
conformitate. Raportează direct către managemen-
tul executiv la vârf sau organismele însărcinate cu
guvernanţa.
 Linia a 2a de apărare cuprinde funcţii care pot
varia în funcţie de ramură. Funcţii tipice sunt:
• Controlling: funcţie care monitorizează riscul
financiar şi probleme de raportare financiară.

Fiecare dintre aceste linii au un grad de

independenţă faţă de prima linie, dar prin
natura lor sunt funcţii ale managementului şi
prin urmare pot interveni direct în modificarea
sistemului de controlului intern şi al riscului.
 AI – linia a 3a de apărare
• Oferă asigurarea (independentă) privind eficacitatea guvernanţei,
managementului riscului şi controalelor interne, inclusiv măsura în
care celelalte linii de apărare îşi ating obiectivele privind manage-
mentul riscurilor (RM) şi controlul.
• Asigurarea priveşte:
1. Un set larg de obiective: eficienţa şi eficacitatea operaţiilor,
protejarea activelor, credibilitatea şi integritatea procesului de
raportare, conformitatea cu legile şi regulamentele, politici,
proceduri, contracte.
2. Toate elementele procesului de risc management şi cadrului de CI:
mediul de control intern, cadrul de RM (identificare, evaluare,
răspuns), informare şi comunicare, monitorizare.
3. Toate structurile organizatorice, funcţiile (inclusiv funcţiile suport),
procesele.
 Coordonarea celor 3 linii de apărare
• Linia 1 - proprietarii proceselor/managerii:
management operaţional.
• Linia a 2a-controlul riscurilor şi conformitatea:
independenţă limitată, raportează în primul rând
managementului.
• Linia a 3a – asigurarea cu privire la riscuri: AI,
independenţă mai mare, raportează către
structurile de guvernanţă.
• Necesitatea partajării informaţiilor pentru a
minimiza eforturile duplicate.
 Cadrul de desfăşurare a AI conform
E&Y Sursă: Global IA survey 2008

• Guvernanţă: stabileşte rolul şi

mandatul funcţiei AI şi
relaţiile ei cu stackeholderii
cheie.
• Oameni: structură şi procese
(angajare, menţinere, dezv.
competenţelor etc).
• Infrastructură şi operaţii:
metodologii, tehnologii şi
programe de calitate care
susţin activităţile de AI şi
faclilitează atingerea
obiectivelor şi madatului AI
precum şi practicile folosite
pentru executarea misiunilor.
Linii de apărare
Sursă: adaptare după E&Y