Institute for Internal Controls - Ukraine & Belarus chapter любезно повозил меня носом за предыдущий пост. Мол, «критично, актуально, своевременно», но где предложения? Согласен,
призыв к действию потерялся в эмоциях.
Пока это проект и
документ находится в стадии широкого обсуждения, еще не поздно что-то поменять.
Или сохранить. Кому что ближе. То, что я сейчас наблюдаю
в сообществе - неравнодушные раскололись на два лагеря. Одна часть пытается
удержать за эту модель и не хочет ничего менять потому, что «это - очень серьезные изменения» и «так сразу резко
нельзя». Вторая настроена радикально и
предлагает серьезный пересмотр вместо косметических обновлений.
Лично я больше
склоняюсь к позиции второй группы, поскольку, проблемы, на которые все
жалуются, лежат в самой сути модели:
Название
Для начала, нужно перестать
называть это защитой. Этот комментарий витает последние лет шесть.
Катализатором послужил выпуск публикации «Три линии защиты в эффективном
риск-менеджменте и контроле». Управление рисками - это не про defense, это скорее про offense. Слово defense сразу формирует образ
реактивного поведения и определяет риск сугубо как негативное воздействие. Хотя
риск, как мы помним, имеет двойственную природу. Добавление слова «проактивный»
в текст модели помогает очень слабо. Кто-то скажет, что суть важнее названия. Я
считаю, что название должно отражать суть.
Количество линий
В модели «трех линий»
куча ролей, не относящейся ни к одной из линий. Почему их игнорируют и упрямо
называют тремя линиями? Потому, что три – сакральное число? Дело
даже не в количестве линий. В сообществе неоднократно рисовали и 5 линий и даже
7 линий. Сама суть в том, как роли, принадлежащие той или иной линии, взаимодействуют
друг с другом.
Количество ролей и
распределение на линиях
Количество ролей в
модели просто огромное и все разделены заборчиками. Один отвечает за пуговицы,
второй – за рукава и т.д. Это очень дорого, особенно в крупном бизнесе! А коммуникации между всеми этими ролями? На
практике они гораздо сложнее, чем нарисовано на картинке, с которой так
трепетно не хочет расставаться Институт. Может, если их все отобразить
графически, будет гораздо легче понять, что эти коммуникации сложны и запутаны,
а роли – избыточны? И, возможно, дать более детальную информацию о вариантах совмещения
ролей? Что-то более внятное, чем use your professional judgement.
В общем, если вы согласны
или не согласны, но тема вам не безразлична – пишите рабочей группе IIA. Срок приема комментариев – до 19 сентября.
Проект документа и ссылка на предоставление обратной связи тут https://global.theiia.org/about/about-internal-auditing/Pages/Three-Lines-of-Defense-Review-Exposure-Document-and-Survey.aspx
Комментариев нет:
Отправить комментарий