זיוה עינב, רו"ח גיא מונרוב
בינואר 2013 פורסם נייר עמדה של ה-IIA בנושא מודל 3 קווי ההגנה לניהול סיכונים ובקרה פנימית אפקטיבית. המודל הבדיל בין 3 קבוצות (או קווים):
1. קו ראשון - היחידה העסקית - בעלי הסיכון קרי היחידות העסקיות אשר תפקידן לספק את את המוצרים והשירות ללקוחות.
2. קו שני - פונקציות מקצועיות בתחום ניהול הסיכונים שתפקידן לתמוך, לפקח ולאתגר את פעילות ניהול הסיכונים של הקו הראשון.
3. פונקציה בלתי תלויה ואובייקטיבית (כגון: הביקורת הפנימית) שמספקות הבטחה על אפקטיביות הממשל התאגידי, ניהול הסיכונים ובקרות פנימיות, לרבות האופן שבו הקו הראשון והשני משיגים את יעדי ניהול הסיכונים והבקרות הפנימיות.
במהלך חודש יולי 2020 פורסם עדכון למודל 3 קווי ההגנה של ה-IIA. שם המודל עודכן ל"מודל 3 הקווים".
הצורך בעדכון המודל עלה עקב שינויים שחלו במהלך השנים שחלפו מאז שיצא המודל לראשונה באופי של ארגונים והסביבה שבה הם פועלים, בתפקידים ובמיצוב של כל אחד מ-3 הקווים ובתרומה של הביקורת הפנימית להצלחה הארגונית. כמו כן, האמון בארגונים נשחק בשנים האחרונות עקב רצף של שערוריות ומשברים. עדכון המודל נועד לעזור לארגונים לבנות מחדש את האמון ולהשיג את מטרות ויעדי הארגון בדרך שתשרת באופן מיטבי את הצרכים והאינטרסים של בעלי העניין.
מודל 3 הקווים עוזר לארגונים לזהות מבנה ארגוני ותהליכי עבודה שיסייעו בהשגת היעדים והמטרות ויאפשרו ממשל תאגידי וניהול סיכונים מייטבים.
אחד השינויים במודל החדש היה השמטת המילה "הגנה" משם המודל (THE THREE LINES MODEL vs THE THREE LINES OF DEFENSE. יתכן ויש כאלה שיראו בהשמטת זו כמשהו שולי, אך מניתוח הדברים עולה כי התפיסה של המודל השתנתה וכיום הדגש הוא על פעילות הממשל התאגידי של הארגון, ולא רק על ניהול סיכונים ובקרות פנימיות ומניעה של הסיכון לעומת צמצומו לאחר התממשותו בפועל (הגנה).
השינויים העיקריים שבוצעו במודל:
המודל החדש מרחיב יותר על תפקידי ואחריות הגוף המנהל (ועד מנהל/ דירקטוריון/ ועדת הביקורת) לעומת הגרסה הקודמת של המודל. כמו כן, המודל מתווה בצורה ברורה יותר את תפקידי ואחריות ההנהלה ויחידת הביקורת הפנימית, לגבי כלל הממשל התאגידי של הארגון (ולא רק לגבי ניהול סיכונים ובקרות פנימיות, בניגוד לגרסה הקודמת של המודל).
המודל החדש נבנה על בסיס 6 עקרונות מפתח, להלן:
1. ממשל תאגידי
ממשל תאגידי של ארגון דורש מבנים ארגוניים ותהליכי עבודה מתאימים המאפשרים את הבאים:
· אחריותיות הגוף המנהל כלפי בעלי העניין עבור פיקוח ארגוני באמצעות יושרה, מנהיגות ושקיפות;
· פעולות, לרבות ניהול סיכונים, המבוצעות ע"י ההנהלה על מנת להשיג את יעדי ומטרות הארגון, באמצעות קבלת החלטות מבוססת סיכונים ויישום משאבים;
· מתן הבטחה וייעוץ ע"י יחידת ביקורת פנימית בלתי תלויה, על מנת לספק בהירות ובטחון ולקדם ולאפשר שיפור מתמשך, ע"י ביצוע תשאול ובירור קפדני ותקשורת בעלת תובנות.
2. תפקידי הגוף המנהל:
· להבטיח קיומם של מבנה ארגוני ותהליכי עבודה מתאימים עבור ממשל תאגידי אפקטיבי;
· להבטיח כי מטרות, יעדי ופעילויות הארגון מיושרים עם סדרי העדיפויות והאינטרסים של כלל בעלי העניין;
· להאציל סמכויות ולספק משאבים להנהלה על מנת להשיג את יעדי ומטרות הארגון תוך הבטחה כי הציפיות המשפטיות, הרגולטוריות והאתיות מתממשות;
· להקים ולפקח על יחידת ביקורת פנימית בלתי תלויה, אובייקטיבית וכשירה.
3. תפקידי ההנהלה והקווים הראשון והשני:
אחריות ההנהלה להשגת יעדי ומטרות הארגון מורכבת הן מתפקידי הקו הראשון והן מתפקידי הקו השני. תפקידי הקו הראשון מתחברים ישירות עם מסירת המוצרים או השירותים ללקוחות הארגון, וכוללים את התפקידים של יחידות תומכות (כגון משאבי אנוש, אדמיניסטרציה ועוד). תפקידי הקו השני מסייעים בניהול הסיכונים.
4. תפקידי הקו השלישי – הביקורת הפנימית:
הביקורת הפנימית, בתפקידה כקו שלישי, מספקת הבטחה וייעוץ בלתי תלויים ואובייקטיביים על נאותות ואפקטיביות הממשל התאגידי וניהול הסיכונים. היא משיגה זאת באמצעות יישום שיטתי ומושכל של תהליכים, מומחיות ותובנות. היא מדווחת את ממצאי הביקורת להנהלה ולגוף המנהל על מנת לקדם ולאפשר שיפור מתמשך. לצורך כך, עליה לבחון קבלת הבטחה מגורמים פנימיים וחיצוניים נוספים.
5. עצמאות הקו השלישי:
העצמאות של הביקורת הפנימית מאחריות ההנהלה הינה קריטית לאובייקטיביות הביקורת, סמכותה ומהימנותה. הנ"ל מושג על ידי נשיאה באחריות כלפי גופי המנהל, גישה בלתי מוגבלת לאנשים, משאבים ונתונים הנדרשים לביקורת לצורך עבודתה וחופש מהטיות או הפרעות בתכנון או בביצוע עבודת הביקורת הפנימית.
6. יצירה והגנה על ערך:
כל התפקידים העובדים ביחד, זה לצד זה, תורמים ליצירת והגנה על הערך כאשר הם מיושרים אחד עם השני ועם סדרי העדיפויות והאינטרסים של בעלי העניין. יישור הפעילויות מושג באמצעות תקשורת, שיתוף פעולה ועבודה משותפת. הנ"ל מבטיח את אמינות, עקביות ושקיפות המידע הדרוש לקבלת החלטות מבוססת סיכונים.
בניית המודל על בסיס העקרונות הנ"ל נעשה על מנת לספק גמישות רבה יותר, בכך שתפקידי הגוף המנהל, ההנהלה הבכירה והביקורת הפנימית אינם מוכתבים בצורה קשיחה. ה"קווים" במודל אינם מציינים אלמנטים מבניים, אלא משמשים ליצירת בידול בתפקידים. המבנה הארגוני של כל ארגון שונה, ולכן, על מנת שהמודל יהא אפקטיבי באופן מרבי, כל ארגון רשאי להתאים את המודל לצרכיו, וההחלטה לגבי המבנה הארגוני וכיצד לחלק את תפקידי הקווים שמורה להנהלת הארגון ולגוף המנהל. לדוגמא, הגוף המנהל רשאי להקים ועדות לצורך פיקוח נוסף על אספקטים ספציפיים בתחומי האחריות שלו, כגון ביקורת, סיכונים, כספים, תכנון ותגמול. כמו כן, יכול שליחידות, צוותים או אפילו עובדים יהיו תחומי אחריות שכוללים הן את תפקידי הקו הראשון והן תפקידי הקו השני, אך באמצעות יצירת קווי דיווח ישירים ואחריותיות כלפי הגוף המנהל, ניתן להבטיח מידה מסוימת של עצמאות ההכוונה והפיקוח של תפקידי הקו השני מתפקידי הקו הראשון. עצמאות הביקורת הפנימית מובטחת ע"י אי קבלת החלטות או אי נקיטת פעולות שהינן באחריות ההנהלה (לרבות ניהול סיכונים), וע"י סירוב לתת הבטחה לגבי פעילויות שהביקורת הפנימית נוטלת או נטלה בהן לאחרונה חלק.
המודל החדש שם דגש על הממשקים ומארג היחסים בין תפקידי הליבה, כגון בין הגוף המנהל לבין ההנהלה (הן קו ראשון והן קו שני), בין ההנהלה לביקורת הפנימית, בין הביקורת הפנימית לגוף המנהל ובין כלל התפקידים. על אף שלכל אחד מהנ"ל ישנם תחומי אחריות ייחודיים, כל הפעילויות שלהם צריכות להיות מיושרות עם יעדי ומטרות הארגון. היסודות להצלחה עקבית הינם תיאום, עבודה משותפת ותקשורת שוטפת ואפקטיבית.