di Francesco Domenico ATTISANO
Le principali Novità del Modello delle Tre Linee: la Nuova Visione della governance del Rischio e del Sistema di Controllo Interno
Dopo oltre 7 anni, “The Three Lines Model“(1) ha sostituito il Modello delle 3 Linee di Difesa(2).
Finalmente, il position paper “The Three Lines of Defense in Effective Risk Management and Control“, pubblicato nel lontano gennaio 2013 dall’Institute Internal Auditors, è stato aggiornato, anzi, rimpiazzato dal nuovo modello 3 Lines (20 luglio 2020).
Bisogna, infatti, subito evidenziare che le novità sono importanti e non lievi e marginali.
Partiamo dal titolo … dove si rileva subito una delle evoluzioni principali del framework.
È sparita, finalmente, la parola “Defense”, non per una disattenzione ma proprio per rappresentare la radicale metamorfosi. Il nuovo modello, infatti, non guarda più solo alla difesa, ovvero alla protezione di valore, bensì alla creazione di valore, valorizzando il Risk Management, e ancor di più l’Internal Audit.
Da una prima lettura del nuovo modello, inoltre, è confermato l’intendimento di N. Mouri (Chairman dell’IIA 2018-19) che, durante il periodo in cui il documento è stato in consultazione pubblica (nel 2019), aveva dichiarato lo scopo della revisione del framework:
“Garantire l’adattamento e la flessibilità alle organizzazioni e dinamiche delle diverse aziende, affinché le strutture dei livelli di controllo possano fare leva e imparare reciprocamente, in modo più efficace e strategico…“Dobbiamo abbracciare il concetto che il rischio vada oltre la difesa. L’incertezza crea rischi e crea opportunità. Entrambe le parti devono essere prese in considerazione nel processo decisionale e nella pianificazione a tutti i livelli. Le organizzazioni devono decidere il modo più appropriato per allocare e strutturare le risorse e le responsabilità all’interno delle loro organizzazioni, utilizzando a loro vantaggio le Tre Linee di Difesa”(3).
Quindi, altro aspetto rilevante del nuovo modello è la sua Flessibilità, che si percepisce già dall’illustrazione grafica elaborata dall’IIA
Copyright © 2020 The Institute of Internal Auditors, Inc. All rights reserved
Gli organi di governo, il management, le strutture di controllo e gestione dei rischi, nonché l’Internal Audit, non sono suddivisi ruoli rigidi. Il concetto di “linee” è stato mantenuto esclusivamente per differenziare i ruoli. Le aree di responsabilità sono descritte come:
- Responsabilità da parte dell’organo di governo nei confronti delle parti interessate per il controllo.
- Azioni (inclusa la gestione del rischio) da parte della direzione per raggiungere gli obiettivi organizzativi.
- Assurance e consulenza da parte dell’Internal Audit per fornire informazioni dettagliate, fiducia e incoraggiamento al miglioramento continuo.
Altro elemento nuovo è dal punto di vista contenutistico. Il Modello identifica 6 principi chiave
Elaborazione grafica dell’Autore del presente articolo, sulla base dei 6 principi chiave del 3 Lines Model.
PRINCIPIO 1 – GOVERNANCE
La governance di un’organizzazione richiede strutture e processi appropriati che consentano:
- La responsabilità di un organo di governo nei confronti degli stakeholder per la supervisione dell’organizzazione attraverso l’integrità, la leadership e la trasparenza.
- Azioni (compresa la gestione del rischio) da parte del management per raggiungere gli obiettivi dell’organizzazione attraverso il processo decisionale basato sul rischio e l’applicazione delle risorse.
- Assurance e consulenza da parte di una struttura di Internal Audit
PRINCIPIO 2 – RUOLO DELL’ORGANO DI GOVERNO / DIRETTIVO
Gli organi di governo assicurano strutture e processi adeguati per una governance efficace. Gli obiettivi e le attività organizzative sono allineati agli interessi prioritari degli stakeholder.
L’organo di governo, inoltre, delega la responsabilità e fornisce risorse al management per raggiungere gli obiettivi dell’organizzazione. Ancora, definisce e supervisiona la funzione di Internal Audit (indipendente, obiettiva e competente)
PRINCIPIO 3 – MANAGEMENT E RUOLI DELLA PRIMA E SECONDA LINEA
La responsabilità del management nel raggiungere gli obiettivi organizzativi comprende sia ruoli di prima che di seconda linea. I ruoli di prima linea sono più direttamente allineati con la fornitura di prodotti e /o erogazione di servizi ai clienti dell’organizzazione, comprendendo i ruoli delle funzioni di supporto. I ruoli di seconda linea forniscono assistenza nella gestione dei rischi.
In pratica, i ruoli di prima e seconda linea possono essere misti o distinti. Alcuni ruoli di seconda linea possono essere assegnati a specialisti per fornire competenze complementari, supporto, monitoraggio a quelli con ruoli di prima linea. I ruoli di seconda linea possono concentrarsi su obiettivi specifici della gestione del rischio, o del controllo quali: conformità a leggi, regolamenti e comportamenti etici, controllo interno, sicurezza informatica e tecnologica, sostenibilità e garanzia della qualità. In alternativa, i ruoli di seconda linea possono comprendere una responsabilità più ampia per la gestione del rischio, come la gestione del rischio d’impresa (ERM). Tuttavia, la responsabilità della gestione del rischio rimane una parte dei ruoli di prima linea e nell’ambito della gestione, ovvero del management.
PRINCIPIO 4 – RUOLO DELLA TERZA LINEA
L’Internal Audit, nel suo ruolo di terza linea, fornisce assurance e consulenza sull’adeguatezza e l’efficacia della governance e della gestione dei rischi. I risultati del lavoro e i correlati report sono indirizzati al management e all’organo di governo, al fine di promuovere e facilitare il miglioramento continuo.
PRINCIPIO 5 – INDIPENDENZA DELLA TERZA LINEA
L’indipendenza dell’Internal Audit dalle responsabilità del management (prima e seconda linea) è fondamentale per la sua obiettività, autorità e credibilità. L’indipendenza si definisce attraverso: la responsabilità nei confronti dell’organo di governo (il board); l’accesso illimitato alle persone, alle risorse e ai dati necessari per completare il lavoro; la libertà da pregiudizi o interferenze nella pianificazione e nell’erogazione dei servizi di internal audit. L’indipendenza non implica l’isolamento dell’IA, anzi dev’esserci collaborazione e interazione con la prima e seconda linea.
PRINCIPIO 6 – CREAZIONE E PROTEZIONE DEL VALORE
Tutti i ruoli/ strutture che lavorano collettivamente contribuiscono alla creazione e alla protezione del valore quando sono allineati tra loro e con gli interessi prioritari delle parti interessate.
Secondo R.Chambers (Presidente and CEO dell’IIA): “Le organizzazioni che abbracciano e incorporano questi principi nei loro controlli, operazioni e culture godranno invariabilmente di una governance più forte. Il rispetto di questi principi dovrebbe essere l’obiettivo di tutte le organizzazioni e, una volta raggiunto, deve essere continuamente monitorato e alimentato”(4).
CONCLUSIONI
La sfida – opportunità per tutte le entity sarà quella di: comprendere, applicare e customizzare il 3 Lines Model al proprio contesto interno (in termini di dimensioni e complessità dell’organizzazione), al proprio ambiente esterno, nonché alle proprie esigenze e correlate priorità.
Concludendo, come scritto in una pubblicazione(5) del 2019, quindi, il futuro del nuovo modello dipende:
- dal ruolo del board, che ha la responsabilità di definire, comunicare e applicare (direttamente e tramite la C-Suite) una cultura del rischio(6) che indirizzi e influenzi in modo coerente la strategia e gli obiettivi dell’azienda.
- dal rafforzamento della prima linea, che passa attraverso una maggiore consapevolezza della governance e un accrescimento della cultura aziendale del rischio e del controllo;
- dall’ampliamento della sinergia tra le strutture di controllo e risk management con l’Internal Audit, indipendente e non isolato.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Cfr. IIA, The Institute of Internal Auditors (2020) “The IAA’s Three Lines Model”; THEIIA
(2) Cfr. IIA, The Institute of Internal Auditors (2013) “The Three Lines of Defense in Effective Risk Management and Control”; THEIIA
(3) Cfr www.theiia.org/3LOD e https://iaonline.theiia.org/
(4) Cfr R.Chambers (2020) New IIA Three Lines Model Offers Timely Evolution of a Trusted Tool; IAonline
(5) Cfr F.D. Attisano , R.Rosato (2019), “Ridefinire la Protezione”, Rivista Internal Audit. n.103 ottobre – dicembre 2019; www.aiiaweb.it
(6) F.D. Attisano (2020), “Tone from the top e Risk awareness driver fondamentali della Risk culture”; www.riskcompliance.it