راهنمای کامل مدل سه خط دفاعی و چارچوب کوزو در کنترل داخلی

مقدمه‌ای بر مدل سه خط دفاعی و چارچوب کوزو

مدل سه خط دفاعی یک چارچوب حیاتی برای ارتقای ساختارهای راهبری و کنترل داخلی سازمان‌هاست. این مقاله که محصول همکاری کمیته سازمان‌های حامی (COSO) و انجمن حسابرسان داخلی است، راهنمایی برای تخصیص نقش‌ها و مسئولیت‌های مشخص در قبال کنترل داخلی از طریق ارتباط دادن «چارچوب یکپارچه کنترل داخلی کوزو» با این مدل ارائه می‌دهد. هدف هر سازمانی دستیابی به اهداف مشخصی است و در این مسیر، با ریسک‌هایی مواجه می‌شود که نیازمند مدیریت و کنترل دقیق هستند. طراحی و پیاده‌سازی کنترل داخلی موثر، یکی از کلیدی‌ترین روش‌ها برای کاهش این ریسک‌ها به سطح قابل قبول است.

چارچوب یکپارچه کنترل داخلی کوزو، اجزا و اصول لازم برای مدیریت موثر ریسک‌ها را بیان می‌کند، اما مشخص نمی‌کند چه کسی مسئول کدام وظیفه است. اینجاست که مدل سه خط دفاعی وارد می‌شود و با تعریف مسئولیت‌های روشن، از وجود شکاف یا تکرار غیرضروری اقدامات در پیگیری ریسک و کنترل جلوگیری می‌کند.

مدل سه خط دفاعی چیست؟

این مدل با شفاف‌سازی نقش‌ها و وظایف، به درک بهتر مدیریت ریسک و کنترل کمک می‌کند. هدف اصلی آن، ایجاد سه گروه مجزا (یا خطوط دفاعی) در سازمان است که تحت نظارت مدیریت ارشد و هیئت‌مدیره، برای مدیریت موثر ریسک و کنترل فعالیت می‌کنند. مسئولیت‌های هر یک از این سه خط به شرح زیر است:

• خط اول: مالکیت و مدیریت ریسک و کنترل (مدیریت عملیات خط مقدم).
• خط دوم: پایش ریسک و کنترل در حمایت از مدیریت (فعالیت‌های ریسک، کنترل و تطبیق).
• خط سوم: ارائه اطمینان‌بخشی مستقل به هیئت‌مدیره و مدیریت ارشد در خصوص اثربخشی مدیریت ریسک و کنترل (حسابرسی داخلی).

هنگامی که هر سه خط به شکلی موثر به وظایف خود عمل کنند، احتمال موفقیت سازمان در دستیابی به اهدافش به طور چشمگیری افزایش می‌یابد و هیئت‌مدیره اطلاعاتی غیرسوگیرانه درباره مهم‌ترین ریسک‌ها دریافت می‌کند.

خط اول دفاعی: مدیریت عملیاتی

خط اول دفاعی عمدتاً توسط مدیران خط مقدم و میانی اداره می‌شود که مالکیت و مدیریت روزمره ریسک و کنترل را بر عهده دارند. این مدیران فرآیندهای کنترل داخلی را برای تشخیص، ارزیابی ریسک‌های بااهمیت، اجرای فعالیت‌ها طبق اهداف و رفع نارسایی‌های کنترلی تدوین و پیاده‌سازی می‌کنند. آن‌ها مسئولیت اصلی در ارتباط با بخش‌های ارزیابی ریسک، فعالیت‌های کنترلی و اطلاعات/ارتباطات چارچوب کوزو را بر عهده دارند.

خط دوم دفاعی: پایش داخلی و فعالیت‌های نظارتی

خط دوم شامل فعالیت‌های متنوعی در حوزه مدیریت ریسک و تطبیق است تا اطمینان حاصل شود که کنترل‌های پیاده‌سازی شده در خط اول، طراحی مناسبی دارند و طبق برنامه عمل می‌کنند. این فعالیت‌ها از عملیات اجرایی خط اول مجزا هستند اما همچنان تحت کنترل مدیریت ارشد قرار دارند. مسئولیت‌های افراد در این خط شامل موارد زیر است:

• همکاری با مدیریت در طراحی فرآیندها و کنترل‌ها.
• نظارت بر کفایت و اثربخشی کنترل‌های داخلی.
• شناسایی مسائل حیاتی، ریسک‌های نوظهور و داده‌های پرت.
• ارائه راهنمایی و آموزش در رابطه با فرآیندهای مدیریت ریسک و کنترل.

خط سوم دفاعی: حسابرسی داخلی

حسابرسان داخلی به عنوان خط سوم دفاعی عمل می‌کنند. وجه تمایز حسابرسی داخلی از دو خط دیگر، سطح بالای استقلال سازمانی و بی‌طرفی آن است. حسابرسان داخلی مسئول عملیات سازمان نیستند و به طور معمول، رابطه گزارش‌دهی مستقیمی با هیئت‌مدیره دارند. این استقلال به آن‌ها اجازه می‌دهد تا اطمینانی قابل اتکا و عینی در مورد راهبری، ریسک و کنترل به هیئت‌مدیره و مدیریت ارشد ارائه دهند.

سازماندهی و هماهنگی سه خط دفاعی

مدل سه خط دفاعی به گونه‌ای طراحی شده که انعطاف‌پذیر باشد و سازمان‌ها باید آن را متناسب با صنعت، اندازه و ساختار خود پیاده‌سازی کنند. با این حال، راهبری کلی در حضور سه خط دفاعی مجزا و کاملاً مشخص، قوی‌تر عمل می‌کند. هماهنگی و ارتباط میان این سه خط برای جلوگیری از تکرار اقدامات و اطمینان از پوشش‌دهی تمامی ریسک‌های عمده ضروری است.

مدیریت ارشد و هیئت‌مدیره باید به وضوح انتظار خود را برای اشتراک‌گذاری اطلاعات و هماهنگی فعالیت‌ها میان این سه خط بیان کنند. هر خط نقش و مسئولیت ویژه خود را دارد، اما نباید به صورت جزیره‌ای عمل کنند. آن‌ها باید با استفاده از واژگان فنی یکسان و درک متقابل از ارزیابی‌های ریسک، با یکدیگر همکاری کنند.

نقش نهادهای برون‌سازمانی

اگرچه طرف‌های برون‌سازمانی مانند حسابرسان مستقل و نهادهای ناظر رسماً بخشی از مدل نیستند، اما نقش مهمی در ساختار کلی راهبری و کنترل سازمان دارند. آن‌ها می‌توانند به عنوان خطوط دفاعی اضافی در نظر گرفته شوند که دیدگاه‌های ارزشمندی را در اختیار هیئت‌مدیره و مدیریت ارشد قرار می‌دهند. با این حال، کار این گروه‌ها نباید جایگزین خطوط دفاعی داخلی شود، زیرا مسئولیت نهایی مدیریت ریسک‌های سازمان بر عهده خود سازمان است. برای اطلاعات بیشتر در این زمینه می‌توانید به وب‌سایت COSO.org مراجعه کنید.

منبع: این مقاله برگردان فارسی مقاله‌ای با عنوان “Leveraging COSO Across the Three Lines of Defense” است که توسط انجمن حسابرسان داخلی (IIA) و کمیته سازمان‌های حامی کمیسیون تردوی (COSO) منتشر شده است. مترجمان: مرتضی اسدی، الهه مهدوی ثابت.