Трёхлинейная модель защиты: как выстроить систему контроля в компании

Трёхлинейная модель (Three Lines Model, IIA 2020) описывает распределение ролей и ответственности в области управления рисками и контроля между тремя уровнями: операционным менеджментом, функциями контроля и надзора, и независимым аудитом.

Первая линия: операционный менеджмент. Владеет рисками и несёт ответственность за их управление в ходе ежедневной деятельности. Создаёт и поддерживает операционные контроли. Если что-то идёт не так на первой линии — это проблема в управлении, а не в аудите.

Вторая линия: функции управления рисками и комплаенс. Risk management, compliance, информационная безопасность, качество — функции, которые устанавливают стандарты, поддерживают первую линию и мониторят соответствие. Не несут ответственности за риски (это первая линия), но обеспечивают инфраструктуру управления ими.

Третья линия: внутренний аудит. Независимая оценка адекватности и эффективности системы управления рисками и контроля. Подотчётна напрямую аудиторскому комитету СД, а не менеджменту. Именно эта независимость делает третью линию ценной.

Роль совета директоров. Над тремя линиями — совет директоров и топ-менеджмент. Они устанавливают стратегию, цели, риск-аппетит и организационную культуру, в рамках которых работают все три линии.

Размытость первой линии. Операционный менеджмент считает, что управление рисками — задача отдела риск-менеджмента (вторая линия). В результате первая линия не берёт на себя ответственность за риски в своей деятельности. Решение: явное определение ролей и интеграция управления рисками в операционную ответственность.

Сдвиг второй линии в операционный контроль. Функция риск-менеджмента или комплаенса начинает сама операционно управлять рисками, вместо поддержки первой линии. Это создаёт путаницу ответственности и снижает качество управления. Решение: чёткое разграничение поддерживающей и оперативной роли.

Зависимость третьей линии. Внутренний аудит формально независим, но фактически зависит от CEO: он нанимает аудиторов, формирует их задачи, имеет возможность «защитить» подразделения от проверок. Решение: функциональная подотчётность руководителя внутреннего аудита аудиторскому комитету.

Переход на трёхлинейную модель — не разовый проект, а трансформация системы управления. На практике компании проходят четыре этапа, каждый из которых занимает от трёх до шести месяцев.

Этап 1: Диагностика текущего состояния. Перед внедрением необходимо понять, как сейчас распределены функции контроля. Часто в российских компаниях первая и вторая линии смешаны: финансовый контролёр одновременно и выполняет операции, и контролирует их. Составьте матрицу ролей: кто владеет рисками, кто мониторит, кто оценивает. Обычно выявляются «белые пятна» (риски без владельца) и «двойной контроль» (один риск контролируют несколько функций, но никто не несёт ответственности).

Этап 2: Формализация первой линии. Операционные руководители должны принять на себя ответственность за риски в своих процессах. Это требует: (а) включения управления рисками в должностные инструкции и KPI, (б) обучения менеджеров методам идентификации и оценки рисков, (в) создания реестра операционных рисков с привязкой к владельцам. Важно: первая линия должна не просто «знать о рисках», а активно ими управлять — разрабатывать контроли, тестировать их эффективность, эскалировать проблемы.

Этап 3: Усиление второй линии. Функции риск-менеджмента и комплаенса переходят из операционной роли в поддерживающую: разрабатывают политики и стандарты, предоставляют методологию и инструменты первой линии, проводят мониторинг и агрегируют данные о рисках для руководства. На этом этапе критически важно определить границу: вторая линия помогает, но не делает работу за первую линию.

Этап 4: Обеспечение независимости третьей линии. Внутренний аудит получает прямой доступ к аудиторскому комитету совета директоров. Руководитель внутреннего аудита функционально подчиняется комитету (назначение, оценка, бюджет), а административно — CEO. План аудита утверждается комитетом, а не менеджментом. Без этой независимости третья линия превращается в формальность.

В России трёхлинейная модель не является обязательной для большинства компаний, но рекомендуется Кодексом корпоративного управления ЦБ РФ (2014) для публичных обществ. Банк России также выпустил ряд нормативных актов, фактически закрепляющих элементы модели для финансового сектора.

Кодекс корпоративного управления ЦБ РФ. Раздел V рекомендует создание системы внутреннего контроля с разделением на три уровня. Для публичных компаний наличие функций риск-менеджмента, комплаенса и внутреннего аудита — стандарт листинга на Московской бирже. Компании, претендующие на включение в первый котировальный список, обязаны иметь аудиторский комитет и службу внутреннего аудита.

Указание ЦБ РФ 4336-У для банков. Кредитные организации обязаны выстраивать систему управления рисками с разделением ответственности между бизнес-подразделениями (первая линия), функциями управления рисками (вторая линия) и внутренним аудитом (третья линия). Нарушение влечёт предписания регулятора.

Практика российских компаний. По данным исследований корпоративного управления, около 60% крупных российских компаний декларируют наличие трёхлинейной модели, но только 25-30% реально разграничивают функции трёх линий. Типичная проблема — внутренний аудит подотчётен генеральному директору, а не аудиторскому комитету, что подрывает независимость третьей линии. Ещё одна распространённая ошибка — отсутствие чётких полномочий второй линии: функция риск-менеджмента создана, но не имеет мандата на мониторинг и эскалацию.

Международные стандарты. IIA (Institute of Internal Auditors) обновил модель в 2020 году, убрав термин «линии защиты» (Lines of Defence) и заменив его на «линии» (Lines). Это подчёркивает, что модель — не про защиту от угроз, а про распределение ответственности за создание и защиту стоимости. Компании, ориентированные на международные рынки капитала или ESG-рейтинги, должны учитывать эту эволюцию.

Внедрение модели — это процесс, и компании находятся на разных уровнях зрелости. Оценка помогает понять, где вы сейчас и что улучшать в первую очередь.

Уровень 1 — Начальный. Функции контроля существуют формально: есть служба внутреннего аудита и отдел рисков, но роли не разграничены. Первая линия не осознаёт своей ответственности за риски. Вторая линия занимается операционной работой. Аудит планируется менеджментом. Типично для компаний, которые создали функции «для галочки» или для соответствия требованиям листинга.

Уровень 2 — Развивающийся. Роли формализованы, но не интегрированы. Первая линия ведёт реестры рисков, но формально. Вторая линия разработала политики, но их исполнение не мониторится. Аудит проводит проверки, но рекомендации не выполняются. Есть аудиторский комитет, но он работает реактивно.

Уровень 3 — Установившийся. Модель работает как система: первая линия активно управляет рисками, вторая линия обеспечивает методологию и мониторинг, третья линия независимо оценивает эффективность. Аудиторский комитет регулярно получает отчёты от всех трёх линий и принимает стратегические решения по управлению рисками.

Уровень 4 — Оптимизированный. Три линии работают как единый механизм с обратной связью. Данные о рисках агрегируются в реальном времени, первая линия использует предиктивную аналитику, вторая линия проводит стресс-тестирование, аудит фокусируется на стратегических рисках и культуре. На этом уровне модель создаёт конкурентное преимущество, а не просто обеспечивает контроль.

Экспресс-диагностика. Ответьте на три вопроса: (1) Кому подотчётен руководитель внутреннего аудита? Если CEO — модель незрелая. (2) Кто утверждает план аудита? Если менеджмент — независимость третьей линии скомпрометирована. (3) Знают ли операционные руководители свои топ-5 рисков? Если нет — первая линия не работает.