Sursa; IIA. Preluare ECIIA/FERMA Guidance on the 8th EU Company Law Directive Cele trei linii de apărare • Organismele însărcinate cu guvernanţa şi managementul executiv “la vârf” sunt principalii deţinători de interese care beneficiază de aceste 3 linii dar, în acelaşi timp, sunt şi cei care pot asigura reflectarea lor în procesele de management al riscurilor şi control. Cele trei linii de apărare 1. Funcţii care deţin şi administrează riscuri 2. Funcţii care supravegheză riscuri 3. Funcţii care oferă asigurare independentă • Managementul operaţional răspunde pentru menţinerea unor controale interne eficace şi executarea procedurilor de monitorizare a riscurilor şi control zi de zi. • Managementul operaţional identifică, evaluează, controlează şi reduce riscurile prin implementarea politicilor interne şi procedurilor asigurându-se că activităţile permit atingerea obiectivelor. Linia a 2a de apărare cuprinde funcţii care pot varia în funcţie de ramură. Funcţii tipice sunt: • Funcţia de management al riscului (şi/sau comitet): facilitează şi monitorizează implementarea de către managementul operaţional a practicilor eficace de management al riscului şi asistă proprietarii de procese în definirea expunerii (ţintă)la risc şi raportarea cu privire la risc. • Funcţia de conformitate monitorizează riscul de conformitate. Raportează direct către managemen- tul executiv la vârf sau organismele însărcinate cu guvernanţa. Linia a 2a de apărare cuprinde funcţii care pot varia în funcţie de ramură. Funcţii tipice sunt: • Controlling: funcţie care monitorizează riscul financiar şi probleme de raportare financiară.
Fiecare dintre aceste linii au un grad de
independenţă faţă de prima linie, dar prin natura lor sunt funcţii ale managementului şi prin urmare pot interveni direct în modificarea sistemului de controlului intern şi al riscului. AI – linia a 3a de apărare • Oferă asigurarea (independentă) privind eficacitatea guvernanţei, managementului riscului şi controalelor interne, inclusiv măsura în care celelalte linii de apărare îşi ating obiectivele privind manage- mentul riscurilor (RM) şi controlul. • Asigurarea priveşte: 1. Un set larg de obiective: eficienţa şi eficacitatea operaţiilor, protejarea activelor, credibilitatea şi integritatea procesului de raportare, conformitatea cu legile şi regulamentele, politici, proceduri, contracte. 2. Toate elementele procesului de risc management şi cadrului de CI: mediul de control intern, cadrul de RM (identificare, evaluare, răspuns), informare şi comunicare, monitorizare. 3. Toate structurile organizatorice, funcţiile (inclusiv funcţiile suport), procesele. Coordonarea celor 3 linii de apărare • Linia 1 - proprietarii proceselor/managerii: management operaţional. • Linia a 2a-controlul riscurilor şi conformitatea: independenţă limitată, raportează în primul rând managementului. • Linia a 3a – asigurarea cu privire la riscuri: AI, independenţă mai mare, raportează către structurile de guvernanţă. • Necesitatea partajării informaţiilor pentru a minimiza eforturile duplicate. Cadrul de desfăşurare a AI conform E&Y Sursă: Global IA survey 2008
• Guvernanţă: stabileşte rolul şi
mandatul funcţiei AI şi relaţiile ei cu stackeholderii cheie. • Oameni: structură şi procese (angajare, menţinere, dezv. competenţelor etc). • Infrastructură şi operaţii: metodologii, tehnologii şi programe de calitate care susţin activităţile de AI şi faclilitează atingerea obiectivelor şi madatului AI precum şi practicile folosite pentru executarea misiunilor. Linii de apărare Sursă: adaptare după E&Y