We współczesnych organizacjach istnieje wiele mechanizmów i funkcji, których celem jest ograniczanie ryzyka i zwiększenie prawdopodobieństwa osiągnięcia celów – od mechanizmów kontroli wbudowanych w procesy operacyjne, przez procesy zarządzania ryzykiem czy jakością, po audyt wewnętrzny i zewnętrzny.
Model wprowadzony przez The Institute of Internal Auditors w roku 2013 wyróżnia 3 źródła (poziomy) zapewnienia kierownictwa, że procesy przebiegają zgodnie z zapewnieniami i prowadzą do zamierzonych celów:
- tzw. pierwszą linię zapewnienia tworzą mechanizmy kontroli wdrożone przez zarządzających poszczególnymi obszarami działalności - są to mechanizmy wbudowane w procesy operacyjne;
- tzw. drugą linię zapewnienia tworzą funkcje takie jak zarządzanie ryzykiem czy kontrola jakości - służą one weryfikacji funkcjonowania mechanizmów pierwszej linii i inicjowaniu działań zarządczych;
- tzw. trzecią linię zapewnienia stanowi audyt wewnętrzny, czyli funkcja oceniająca w sposób całościowy i niezależny działania pierwszej i drugiej linii obrony.
Efektywne wykorzystanie wyżej wymienionych narzędzi wymaga, by zostały one skoordynowane tak, by zapewnić maksymalne możliwe pokrycie zapewnieniem całej działalności bez niepotrzebnego powielania pracy. Ponieważ mechanizmy pierwszej i drugiej linii mają w większości charakter rutynowy, dostosowanie poziomu zapewnienia może zostać dokonane poprzez właściwe ukierunkowanie działań audytu wewnętrznego na te obszary działalności, w których brak jest zapewnienia lub jest ono najsłabsze w relacji do potrzeb wyznaczonych przez poziom ryzyka.
Narzędziem, które zarządzający mogą wykorzystać dla zbilansowania działania funkcji zapewniających, jest tzw. mapa zapewnienia. Służy ona przedstawieniu istniejących źródeł zapewnienia w poszczególnych obszarach działalności jednostki z ewentualnym wykazaniem ich siły (jakości). Poziom zapewnienia często odnoszony jest do poziomu ryzyka w danym obszarze.
Poniżej przedstawiono przykładową mapę zapewnienia.
|
Źródło zapewnienia Obszar działalności |
1 linia zapewnienia (mechanizmy wbudowane w działalność operacyjną) |
2 linia zapewnienia (np. zarządzanie ryzykiem, kontrola jakości) |
3 linia zapewnienia (audyt wewnętrzny) |
|
Obszar 1 (średnie ryzyko) |
Procedura… Weryfikacja… … |
Zarzadzanie ryzykiem Kontrola jakości (weryfikacja co…) Kontrole zgodności z przepisami…. |
Audyt obligatoryjny co roku |
|
Obszar 2 (wysokie ryzyko) |
Procedura… Weryfikacja… … |
Zarządzanie ryzykiem | Audyt możliwy |
Dzięki zastosowaniu mapy można szybko zidentyfikować obszary, w których poziom kontroli jest zbyt duży lub zbyt mały w relacji do poziomu ryzyka, a następnie, poprzez odpowiednie ukierunkowanie funkcji audytu, doprowadzić do optymalnego pokrycia obszarów zapewnieniem.
