Bέρρα Μαρμαλίδου Πρόεδρος The Three lines of defense 1 ο Συνέδριο του Οικονομικού Σώματος του Στρατού Ξηράς 22 /2/2018
Agenda The 3 lines of defense model Internal Control, Internal Audit, controls Προτεινόμενες πρακτικές
Οι 3 γραμμές άμυνας! Άμυνα έναντι ποιού και πως?
Άμυνα έναντι του Κινδύνου!
Ερωτήματα προς απάντηση 1. Πως μπορεί ένας Οργανισμός να δημιουργήσει ασπίδα άμυνας στις «απειλές»? 2. Ποιος έχει την αρμοδιότητα/ρόλο, την ευθύνη και τη λογοδοσία για την «άμυνα»? 3. Αντιλαμβάνονται οι υπεύθυνοι (risk and control professionals) τα όρια των αρμοδιοτήτων τους? 4. Υπάρχουν κενά στην κάλυψη των κινδύνων (risk coverage)? 5. Υπάρχουν επικαλυπτόμενοι περιττοί ελεγκτικοί μηχανισμοί (controls)? 6. Υπάρχουν silo ανάμεσά τους? Μπορεί η συνεργασία να βοηθήσει? Μπορεί η τεχνολογία να βοηθήσει? 7. Μπορούν να συντονιστούν οι ενέργειες ώστε να έχει η Διοίκηση τη συνολική εικόνα και να ασκήσει τη δέουσα «Επίβλεψη»?
IIA _The three lines of Defense in effective risk management and control Το Institute of Internal Auditors εξέδωσε The Three Lines of Defense Model _1/2013
Οι αρμοδιότητες των 3 ομάδων (lines) 1. Οργανικές Μονάδες που εκτελούν τις καθημερινές δραστηριότητες (own and manage risks) ενός Οργανισμού προκειμένου αυτός να υλοποιήσει την αποστολή του. Η πρώτη γραμμή άμυνας αναφέρεται ουσιαστικά στα internal controls που είναι ενσωματωμένα στις πιο πάνω δραστηριότητες. 2. Τμήματα/Μονάδες που επιβλέπουν -μεταξύ άλλων- την ορθότητα των ενεργειών των παραπάνω (oversee risks and controls) και αποτελούν τη 2η γραμμή άμυνας. 3. Τμήματα/Μονάδες που παρέχουν ανεξάρτητη διασφάλιση (provide independent assurance) στη Διοίκηση για την αποτελεσματικότητα της διαχείρισης των κινδύνων και την λειτουργία του συστήματος Εσωτερικού Ελέγχου και είναι η 3η γραμμή άμυνας, δηλαδή το Internal Audit.
IIA Position paper The three lines of defense in effective risk management and control
3 lines of defense _Προσαρμογή στο Ελληνικό Δημόσιο Υφιστάμενη κατάσταση http://www.capital.gr/arthra/3261935/enisxuontas-ti-logodosia-stous-dimosious-organismous Α. Μπίνης, ΟΟΣΑ
COSO I _ Internal Control Integrated Framework_2013
The 5 lines of defense model by Protiviti
Έννοιες Ιnternal Control_IC Σύστημα Εσωτερικού Ελέγχου Internal Audit_IA Ανεξάρτητη Λειτουργία ή δραστηριότητα του Εσωτερικού Ελέγχου internal controls/controls ελεγκτικοί μηχανισμοί ή δικλίδες ασφαλείας ή μηχανισμοί ελέγχου «Οποιαδήποτε πράξη επιτελέστηκε από τη διοίκηση, το συμβούλιο και άλλα όργανα για να διαχειριστεί τον κίνδυνο και να αυξήσει την πιθανότητα επίτευξης των προσδιορισμένων αντικειμενικών σκοπών και στόχων. Η διοίκηση σχεδιάζει, οργανώνει και κατευθύνει τη διενέργεια επαρκών ενεργειών, προκειμένου να παράσχει επαρκή διαβεβαίωση ότι θα επιτευχθούν οι αντικειμενικοί σκοποί και στόχοι» ΙΙΑ
Συντονισμός και Συνεργασία των 3 γραμμών άμυνας Προτεινόμενες πρακτικές 1/2 Δομή σύμφωνα με το 3LoD model, όπου αυτό είναι εφικτό Καταγραφή των «τμημάτων» της 2ης γραμμής άμυνας και των γραμμών αναφοράς τους (no single reporting line) Η κάθε γραμμή άμυνας πρέπει να έχει πολιτικές και διαδικασίες και περιγραφές αρμοδιοτήτων/ρόλων Ορισμός ενός κοινού «ανταποκριτή/ εκπροσώπου» (common liaison) σε κάθε Διεύθυνση/τμήμα στην 1η και 2η γραμμή Οι 3 γραμμές άμυνας πρέπει να μοιράζονται πληροφόρηση και γνώση
Συντονισμός και Συνεργασία των 3 γραμμών άμυνας Προτεινόμενες πρακτικές 2/2 Συζήτηση σε «ένα κοινό τραπέζι» Καθιέρωση «κοινής γλώσσας», όπου είναι εφικτό risk and control ορολογίες τυποποίηση κοινή μεθοδολογία αξιολόγησης risks & controls χρήση κοινής πλατφόρμας Χαρτογράφηση της κάλυψης (risk and control coverage map) Combined reporting στη Διοίκηση για το Internal Control Καταγραφή πλαισίου συνεργασίας
Η σημαντικότητα της 2 ης γραμμής άμυνας και η συνεργασία τους με την 3 η γραμμή
Μπορούν να ταυτιστούν οι ρόλοι στη 2η και 3η γραμμή? 1. Risk/Control, Compliance and Audit under one umbrella??? 2. Could they wear the same hat???
Που στοχεύει το μοντέλο των 3 γραμμών άμυνας Συμπέρασμα Δομές, Ρόλοι/Αρμοδιότητες Επικοινωνία Ευθύνη και Λογοδοσία
Σας ευχαριστώ https://www.hiia.gr/ 18