תיקון למודל שלושת קווי ההגנה

בראשית 2013, פרסמה לשכת המבקרים הפנימיים העולמית (IIA) את "מודל שלושת קווי ההגנה בניהול סיכונים אפקטיבי ובבקרה" (בקיצור - "מודל שלושת קווי ההגנה"), שזכה להכרה בינ"ל והוא נלמד בכל בתי הספר לניהול עסקים בעולם. מודל זה מציג את העקרונות הנדרשים כדי לקיים מסגרת יעילה לניהול סיכונים בארגון (ERM) ולבקרה, זאת באמצעות תיחום פונקציות המרכיבות את הממשל התאגדי והגדרת אחריותם.

מודל שלושת קווי ההגנה

על-פי המודל, כדי לקיים מסגרת כוללת ואפקטיבית לניהול סיכונים, וכדי שהדירקטוריון וההנהלה הבכירה יוכלו להסתמך על הדיווחים ועל התגובה לסיכונים, יש ליצור הבחנה בין שלוש קבוצות (או קווים) המעורבים בניהול הארגון, ולחלק בניהם בצורה ברורה את האחריות, כדלקמן:

- קו ההגנה הראשון - כולל את הפונקציות המקיימות בקרה ופיקוח בארגון, הכפופות להנהלה הבכירה, ובהם מנהלי הקו, האחראים בפועל על ניהול הסיכונים ויישום הפעולות המתקנות/מצמצמות סיכונים. מנהלים אלה אחראים על עבודה על-פי נהלים ועל יעילות הבקרות, זאת על בסיס יומיומי, והם נדרשים לזהות, להעריך לשלוט/לצמצם סיכונים, באמצעות יישום מדיניות ונהלים (שנועדו להבטיח שהפעולות הננקטות אכן תואמים ליעדי הארגון שנקבעו).

- קו ההגנה השני - כולל את הפונקציות המפקחות או מתמחות בניהול סיכונים וציות, וכוללות את קצין ניהול סיכונים, קצין ציות, חשב, מבקר איכות. ההנהלה קובעת פונקציות אלה כדי להבטיח שקו ההגנה הראשון (הבקרה) עוצב כראוי, במקום, ופועל כמתוכנן. לכל אחת מהפונקציות הללו בקו השני, יש מידה מסוימת של עצמאות למרות שהם מטבעם פונקציות ניהול. לכן גם קו ההגנה השני לא יכול באמת להציע ניתוחים עצמאיים לגבי סיכון ניהול ובקרות פנימיות, ולכן נדרש קו הגנה נוסף. עם זאת פונקציות הקו השני מספקים להנהלה קשת רחבה של שירותי הבטחה (assurance) וניהול ובהם: זיהוי סיכונים ובצורך לערוך שינויים בתאבון לסיכון, וכן סיוע בפיתוח תהליכים ובקרות הנדרשות לניהול סיכונים.

- קו ההגנה השלישי - אספקת הבטחה (assurance) לדירקטוריון ולהנהלה הבכירה על כל יתר הפונקציות (בקו הראשון והשני). הביקורת מספקת להנהלה הבכירה ולגוף המנהל משוב אובייקטיבי ובלתי תלוי (להבדיל מהפונקציות בקו הראשון והשני) על מידת יעילותם של הממשל התאגידי, ניהול סיכונים והבקרות הפנימיות. היקף הבטחה המדווח להנהלה הבכירה ולגוף המנהל, מקיף בדרך כלל את:

- כל יעדי הארגון, לרבות יעילות הפעולות; שמירה על נכסים; מהימנות ושלמות תהליכי הדיווח; ועמידה בחוקים, בתקנות, במדיניות, בנהלים ובחוזים.

- כל רכיבי ניהול הסיכונים והבקרה הפנימית לרבות סביבת בקרה פנימית; כל האלמנטים במסגרת ניהול סיכוני הארגון (כלומר זיהוי סיכונים, הערכת סיכונים ותגובה); מידע ודווח; בכל רמות הארגון (לרבות חברות בנות).

- כל הפונקציות בארגון, לרבות תהליכים עסקיים, כגון מכירות, ייצור, שיווק, בטיחות, פונקציות לקוחות ותפעול, כמו גם פונקציות תומכות (למשל, הכנסות וחשבונאות הוצאות, משאבי אנוש, רכישה, שכר, תקצוב, ניהול תשתיות ונכסים, מלאי, וטכנולוגיית מידע).

המודל זכה לפופולריות כיוון שהוא מתאים לכל ארגון - ללא קשר לגודל או למורכבות, לרבות ארגונים שלא קיימת מסגרת או מערכת לניהול סיכונים פורמלית.

השינוי במודל - יצירת מודל חדש

הצורך בהתמודדות עם עולם מורכב טכנולוגית, אי-וודאות גואה ובעלי עניין (stakeholders) בעלי אינטרסים מגוונים, הביאו את לשכת המבקרים הפנימיים העולמית (IIA) לבחון מחדש את התאמתו של המודל למציאות. בחינות אלו העלו את הצורך ביצירת מבנה ברור יותר מהמודל הקיים, שיבטיח טוב יותר שהנהלות עומדות ביעדים, מקימות תהליכים יעילים של ניהול סיכונים וממשל תאגידי אפקטיבי.

ב 20.7.2020 פרסם ה-IIA עידכון למודל, המרחיב את תחולתו - לא רק ניהול סיכונים אלא עתה גם בכל רכיבי הממשל התאגידי, ולכן שמו שונה ל"מודל שלושת הקווים". ולכן המודל כיום כולל, וזה שינוי בולט נוסף, לא רק את ההנהלה אלא גם את האורגן העליון בארגון, שעליו מוטלת האחריות לניהול החברה (דירקטוריון), וכן כולל גם תיחום ברור יותר של התפקידים וגזרות האחריות בין כל האורגנים בקווים השונים.

המודל נשען על בסיס עקרונות מפתח, של אחריות הנהלה לקביעת המבנים והתהליכים בארגון ועל ניהול הסיכונים וקיומו של ממשל תאגידי (על-ידי הקווים הראשון והשני), תוך קיום פונקציה עצמאית לביקורת פנימית (קו שלישי). כאשר כל הפונקציות האלה תורמות ליצירת ערך והגנתו כאשר הן מתואמות זה בזה ועם היעדים האסטרטגים של בעלי העניין.

להלן סקירת רכיבי המודל:

גוף הניהול העליון - נושא באחריות בפני בעלי עניין, ומתנהל ביושרה, מנהיגות ושקיפות. מנהל קשרים עם בעלי העניין כדי לפקח על האינטרסים שלהם ולדווח בשקיפות על השגת היעדים. מטפח בארגון תרבות ארגונית המקדמת התנהגות אתית ונשיאה באחריות. מקים מבנים ותהליכים לממשל תאגידי, כולל ועדות כנדרש. מאציל סמכות ואחריות ומספק משאבים להנהלה להשגת יעדי הארגון. קובע את התיאבון לסיכון ומקיים פיקוח על ניהול סיכונים (כולל בקרה פנימית) ועל ציות לחוק ולהוראות הרגולטוריות והאתיות. מקים ביקורת פנימית עצמאית, אובייקטיבית ומיומנת ומפקח על פעולתה.

הנהלה - תפקידיה לפעול (כולל ניהול סיכונים) להשגת יעדי הארגון, כאשר מתחתיה ישנם את הקו ראשון (בקרה) והקו שני (פונקציות ייעודיות ומקצועיות לתמיכה וניטור של סיכונים).

תפקידי שורה ראשונה (בקרה)

· מוביל ומכוון פעולות (כולל ניהול סיכון) והקצאת משאבים להשגת יעדי הארגון.

· יצירת דיאלוג רציף עם הגוף המנהל, ודיווח על התוצאות המתוכננות והצפויות הקשורות ליעדי הארגון וסיכון.

· מקים ומתחזק מבנים ותהליכים מתאימים לניהול פעולות וסיכון (כולל בקרה פנימית).

· מבטיח ציות לנורמות משפטיות, רגולטוריות ואתיות.

תפקידי שורה שנייה

· מספק מומחיות משלימה, תמיכה, פיקוח ואתגר הקשורים לניהול הסיכון, כולל:

- פיתוח, יישום ושיפור מתמיד של פרקטיקות ניהול סיכונים (כולל בקרה פנימית) בתהליך, במערכת וברמת התאגיד.

- השגת יעדי ניהול סיכונים, כגון: עמידה בחוקים, תקנות ונורמות אתית מקובלת; בקרה פנימית; אבטחת מידע וטכנולוגיה; קיימות; ואבטחת איכות.

- מספק ניתוח ודיווחים על התאמתו ויעילותו של ניהול הסיכונים (כולל בקרה פנימית).

הביקורת הפנימית - עוסקת במתן הבטחה (assurance) בלתי תלויה ביחס למידת עמידת הארגון ביעדים. היא למעשה מספקת הבטחה עצמאית ואובייקטיבית וייעוץ להנהלה ולגוף המנהל לגבי התאמתם יעילותם של ניהול וניהול סיכונים (כולל בקרה פנימית) לתמיכה בהשגת יעדים ארגוניים ולקידום והקלה על שיפור מתמשך.

סיכום

כפי שניתן להבין, מודל שלוש הקווים מסייע לארגונים לזהות מבנים ותהליכים המסייעים בצורה הטובה ביותר להשגת יעדים ומאפשרים ממשל תאגידי חזק וניהול סיכונים. המודל חל על כל הארגונים והוא מותאם על ידי:

א. אימוץ גישה מבוססת עקרונות והתאמת המודל להתאמה ליעדים ונסיבות ארגוניות.

ב. התמקדות בתרומה של ניהול סיכוני מרים בכל הקשור להשגת יעדים ויצירת ערך לארגון, כמו גם לענייני "שמירה" על נכסי הארגן והגנה על ערך שלו.

ג. הבנה ברורה של התפקידים והאחריות של כל הפונקציות המיוצגים במודל, וכן של הקשרים שביניהם.

ד. יישום אמצעים להבטחה שהפעילויות שלא הארגון והיעדים שנקבעו תואמים את האינטרסים בעלי העדיפות של בעלי העניין.

השימוש במודל אינו בהכרח ערובה אוטומטית להצלחה, אך הוא מבטיח, כאשר שלושת הקווים עובדים ביעילות אחד עם השני ועם ועדת הביקורת על-מנת ליצור את התנאים הנכונים, שהארגון עושה את הכל כדי למקסם את האפקטיביות של הממשל התאגידי. ואכן, ככל שהגוף המנהל מקבל דיווחים מההנהלה על פעילויות, תוצאות ותחזיות, וככל שהוא מסתמך על תוצרי הביקורת הפנימית (הבטחה וייעוץ), כך רבים הסיכויים שהוא יטיב לקבל החלטות ולקדם חדשנות ושיפור.

בסופו של דבר, כלי זה שנועד להבנת מערכת הבקרה הפנימית וניהול הסיכונים בארגון, יכול לסייע להנהלה לעמוד באחריות המוטלת עליה ולהבטיח כי הארגון מנהל סיכונים ופעול תוך מתן דין וחשבון שקוף לבעלי העניין.