„3 linie obrony w organizacji – czym to się je?”
Model 3 linii obrony (obecnie znany jako: Three Lines Model) opracowany przez Institute of Internal Auditors (IIA) to ramy zarządzania ryzykiem i kontroli, które jasno określają role i odpowiedzialności w organizacji.
Mówiąc najprościej: model 3 linii obrony to schemat podziału ról w organizacji, który oddziela bieżące zarządzanie ryzykiem (1. linia) od nadzoru (2. linia) oraz niezależnego zapewnienia o skuteczności tych działań (3. linia).
Czym jest model 3 linii obrony? Definicja i założenia.
Model 3 linii obrony to struktura, która zapewnia skuteczne zarządzanie ryzykiem poprzez przypisanie odpowiedzialności za:
- zarządzanie ryzykiem (1 linia – operacje),
- nadzór nad ryzykiem (2 linia – kontrola wewnętrzna),
- niezależną ocenę (3 linia – audyt wewnętrzny).
Schemat działania obrazuje ilustracja poniżej:
Źródło: Bazując na The IIA’s Three Lines Model: An update of the Three Lines of Defense, July 2020
Poniższa tabela podsumowuje schemat 3 linii obrony w zakresie odpowiedzialności oraz oceny:
| Linia Obrony | Odpowiedzialność | Co robią? | Kto odpowiada? |
| 1 linia | Zarządzanie ryzykiem | Zarządzają ryzykiem, wykonują kontrole bieżące | Operacje: Managerowie, pracownicy operacyjni |
| 2 linia | Nadzór nad ryzykiem | Tworzą polityki, monitorują ryzyko, wspierają i nadzorują 1 linię | Funkcje risk, compliance, Kontrola Wewnętrzna |
| 3 linia | Niezależna ocena | Niezależnie ocenia skuteczność kontroli i zarządzania ryzykiem | Audyt Wewnętrzny |
Pierwsza linia: Zarządzanie operacyjne.
Pierwsza linia obejmuje managerów i pracowników operacyjnych odpowiedzialnych za realizację procesów biznesowych (np. księgowość, dział IT). To oni zarządzają ryzykiem na co dzień oraz projektują i wykonują kontrole w swoich obszarach. Są właścicielami ryzyk i odpowiadają za to, aby działania były prowadzone zgodnie z procedurami i celami organizacji. Kluczową cechą tej linii jest bezpośrednia odpowiedzialność (accountability) za wyniki i kontrolę.
Druga linia: Monitoring i wsparcie (Compliance, Ryzyko).
Druga linia pełni funkcję nadzorczą i doradczą wobec pierwszej linii. Obejmuje obszary takie jak risk management, compliance czy kontrola wewnętrzna. Jej zadaniem jest tworzenie polityk, standardów, systemu kontroli wewnętrznej i metodologii oraz monitorowanie, czy są one właściwie stosowane.
Druga linia nie zarządza operacjami, lecz wspiera i kontroluje pierwszą linię, zapewniając spójność podejścia do ryzyka w całej organizacji.
Trzecia linia: Niezależny audyt wewnętrzny.
Trzecia linia to audyt wewnętrzny, który zapewnia niezależną i obiektywną ocenę całego systemu zarządzania ryzykiem i kontroli. Bezwzględnie audyt nie może: wykonywać operacji (zadania 1. Iinii) ani odpowiadać za kontrole operacyjne (zadania 2. linii) – jego rolą jest ich ocena. Funkcja ta raportuje zazwyczaj do rady nadzorczej lub komitetu audytu, co gwarantuje jej niezależność. Dzięki temu organizacja otrzymuje wiarygodne zapewnienie (assurance), że system działa skutecznie.
Obrazowo można porównać ryzyka, z którymi mierzą się organizacje, do nieustannie padającego deszczu, gdzie każda kropla symbolizuje kolejne ryzyko. Zadaniem każdej z linii obrony — niczym kolejnych parasoli — jest chronić organizację przed tym deszczem tak, aby jak najmniej „kropelek ryzyka” przedostało się dalej. Dzięki trzem liniom obrony organizacja pozostaje możliwie „sucha”, a każdy parasol zatrzymuje część opadów deszczu, wzmacniając ochronę przed napływającymi ryzykami.
Relacja między modelem 3 linii obrony a COSO
Model Institute of Internal Auditors (3 line) i framework The Committee of Sponsoring Organizations of the Treadway Commission (COSO) nie są konkurencyjnymi modelami – one się uzupełniają. COSO (framework) definiuje jaka jest architektura systemu kontroli, jak powinien wyglądać system kontroli, jakie powinny byc jego komponemnty, oraz zasady. Model 3 linii definiuje: role i odpowiedzialności oraz odpowiada na pytania kto realizuje wdrożenie, monitorowanie i ocenia COSO.
COSO definiuje elementy systemu kontroli, a model 3 linii przypisuje do nich odpowiedzialności.
Dlaczego system kontroli wewnętrznej jest niezbędny?
System kontroli wewnętrznej (2. linia) obrony jest niezbędny, ponieważ zapewnia, że organizacja osiąga swoje cele w sposób kontrolowany i bezpieczny. Pomaga identyfikować i ograniczać ryzyka, zapobiega błędom oraz nadużyciom. Dodatkowo gwarantuje wiarygodność raportowania i zgodność z przepisami. Bez niego zarządzanie opiera się na niepewności i zwiększonym ryzyku strat.
Prawo UE jak i regulacje SOX nie nakazuje stosowania modelu 3 linii obrony, ale wymaga silnych procesów kontroli wewnętrznych (2. linii), co sprawia, że model 3 linii obrony jest stosowany jako częsta praktyka, aby spełnić wymogi regulacji. Za to, w wielu przypadkach system kontroli wewnętrznych (2. linia) obrony jest wymagany lub pośrednio wymagany przez przepisy prawa i regulacje. Zakres zależy od kraju, branży i rodzaju organizacji.
| Obszar | Regulacja | System kontroli wewnętrznej | Audyt wewnętrzny | Kogo dotyczy |
| Polska | Ustawa o rachunkowości | ✅ TAK (implikowany – rzetelność sprawozdań) | ❌ NIE (brak obowiązku) | wszystkie jednostki prowadzące księgi |
| Polska | Ustawa o finansach publicznych | ✅ TAK (kontrola zarządcza) | ✅ TAK (dla wybranych jednostek) | sektor publiczny |
| Polska | Prawo bankowe | ✅ TAK | ⚠️ TAK (de facto wymagany) | banki |
| Polska | Ustawa o biegłych rewidentach / audycie | ✅ TAK | ⚠️ POŚREDNIO (komitet audytu) | jednostki zainteresowania publicznego |
| Polska | KNF / Rekomendacje (np. H, M) | ✅ TAK | ✅ TAK | banki, instytucje finansowe |
| USA | Sarbanes-Oxley Act (SOX) | ✅ TAK (Section 404) | ❌ NIE (ale oczekiwany) | spółki notowane w USA |
| UE | Dyrektywa UE 2006/43/WE | ✅ TAK | ⚠️ POŚREDNIO | jednostki zainteresowania publicznego |
| UE | CRD IV / CRR | ✅ TAK | ✅ TAK | banki |
Model to nie struktura – najczęstsze błędy w interpretacji.
Elastyczność modelu 3 linii nie oznacza dobrowolności z jego stosowaniu.
Model 3 linii obrony według Institute of Internal Auditors nie jest schematem organizacyjnym, lecz modelem ról i odpowiedzialności. Jednym z najczęstszych błędów jest traktowanie go jako sztywnej struktury działów (np. „musi być osobny dział risk, compliance i audytu”), podczas gdy model jest zasadą governance, a nie sztywnym podziałem działów.
Kolejnym błędem jest założenie, że linie muszą być całkowicie odseparowane – w praktyce 1 i 2 linia mogą się przenikać, o ile zachowana jest przejrzystość ról. Najpoważniejsze nieporozumienie dotyczy jednak 3 linii: audyt wewnętrzny nie jest „trzecią warstwą kontroli operacyjnej”, lecz niezależną funkcją oceniającą cały system.
Jak łączyć linie obrony w mniejszych organizacjach?
Model 3 linii obrony (Three Lines Model) według The Institute of Internal Auditors (IIA) nie zakłada łączenia linii jako standardowej praktyki, ale dopuszcza elastyczność organizacyjną, o ile nie narusza to kluczowych zasad – przede wszystkim niezależności audytu wewnętrznego.
Łączenie linii obrony bazując na standardach IIA:
| Połączenie linii | Dozwolone? | Stanowisko IIA | Komentarz praktyczny |
| 1 + 2 | Dopuszczalne | Częste w mniejszych organizacjach | |
| 2 + 3 | ❌ | Niedopuszczalne | Narusza niezależność audytu |
| 1 + 3 | ❌ | Niedopuszczalne | Audyt nie może wykonywać operacji |
| 1 + 2 + 3 | ❌ | Niedopuszczalne | Brak jakiejkolwiek niezależności |
Generalnie nie jest możliwe łączenie linii obrony poza małymi i średnimi organizacjami, gdzie zasoby są ograniczone oraz gdzie już funkcje risk/compliance są częściowo wbudowane w operacje. Połączenie 1+2 linii obrany może być możliwe pod danymi warunkami zaprezentowanymi poniżej:
| Obszar | Wymóg |
| Rozdział ról w organizacji | Jasne przypisanie odpowiedzialności |
| Nadzór | Komitet audytu / zarząd |
| Dokumentacja | dokumentacja odpowiedzialności (RACI) / polityki |
| Testowanie kontroli | Okresowa weryfikacja |
| Audyt wewnętrzny (3 linia) | W pełni niezależny |
Trzecia linia obrony (funkcja audytu wewnętrznego) pozostaje w pełni niezależna oraz obiektywna i nie może być łączona z funkcjami operacyjnymi ani kontrolnymi.
Łączenie linii
Niezależnie stanowiska IIA jednak każda z linii obrony nie powinna budować silosów a współpracować z sobą w zakresie wymiany informacji, ryzyk oraz koordynacji działań kontrolnych, systematycznej wymiany informacji, ryzyk oraz ustaleń kontrolnych (findings), w celu zapewnienia spójnego i efektywnego systemu zarządzania ryzykiem.
Wdrażanie modelu 3 linii obrony – praktyczne wskazówki
Model 3 linii obrony opracowany przez Institute of Internal Auditors jest jednym z najczęściej stosowanych podejść do porządkowania odpowiedzialności w obszarze zarządzania ryzykiem i kontroli. Jego skuteczne wdrożenie nie polega jednak na zmianie struktury organizacyjnej, lecz na właściwym przypisaniu ról i odpowiedzialności (RACI) oraz zapewnieniu spójnego działania całego systemu governance. Wdrożenie modelu 3 linii to nie reorganizacja, tylko uporządkowanie odpowiedzialności i wzmocnienie struktur, które już znajdują się w organizacji.
Punkt wyjścia: role, nie struktura
Pierwszym i kluczowym krokiem jest zdefiniowanie ról trzech linii. Organizacja powinna jasno określić, kto odpowiada za zarządzanie ryzykiem (1 linia), kto pełni funkcję nadzorczą i wspierającą (2 linia), a kto zapewnia niezależną ocenę (3 linia). Błędem jest rozpoczynanie wdrożenia od tworzenia nowych jednostek organizacyjnych – model dotyczy odpowiedzialności, a nie formalnej struktury.
Analiza stanu obecnego (AS-IS)
Kolejnym etapem jest rzetelna analiza „as-is”. Należy zmapować istniejące procesy, kontrole oraz funkcje związane z ryzykiem i compliance. W praktyce często okazuje się, że organizacje mają:
- duplikujące się kontrole,
- niejasny podział odpowiedzialności,
- luki w zakresie nadzoru.
Taka analiza pozwala zidentyfikować obszary wymagające uporządkowania przed wdrożeniem modelu.
Jasne przypisanie odpowiedzialności (RACI)
Aby uniknąć niejednoznaczności, warto zastosować macierz RACI. W praktyce oznacza to przypisanie:
-
- R – Responsible (1 linia) – odpowiedzialności operacyjnej
- A – Accountable (zarząd)
- C – Consulted (2 linia) – nadzoru i wsparcia
- I – Informed (3 linia) – funkcji informacyjnej i oceniającej
Niezależność audytu – warunek krytyczny
Najważniejszym elementem modelu jest zachowanie pełnej niezależności 3 linii. Audyt wewnętrzny nie może uczestniczyć w działaniach operacyjnych ani odpowiadać za kontrole, które później ocenia. Powinien raportować bezpośrednio do rady nadzorczej lub komitetu audytu, co zapewnia obiektywizm i wiarygodność jego pracy.
Uporządkowanie funkcji 2 linii
Druga linia często bywa przeciążona lub niejednoznaczna. W praktyce należy jasno określić jej rolę jako funkcji:
- definiującej standardy,
- wspierającej 1 linię,
- monitorującej ryzyko.
Należy unikać sytuacji, w której 2 linia przejmuje zadania operacyjne, co prowadzi do rozmycia odpowiedzialności.
Integracja z istniejącymi frameworkami
Wdrożenie modelu powinno być spójne z istniejącymi standardami, np. COSO. COSO definiuje elementy systemu kontroli, natomiast model 3 linii przypisuje do nich odpowiedzialności. Ich integracja pozwala stworzyć kompletny i efektywny system zarządzania ryzykiem.
Rola zarządu i „tone at the top”
Bez zaangażowania zarządu model pozostanie jedynie formalnością. To kierownictwo powinno:
- egzekwować odpowiedzialność za ryzyko,
- promować kulturę kontroli,
- zapewniać zasoby do wdrożenia.
„Tone at the top” jest kluczowy dla rzeczywistego funkcjonowania modelu.
Proporcjonalność i dopasowanie
Model powinien być dostosowany do skali i złożoności organizacji. W mniejszych podmiotach dopuszczalne jest częściowe łączenie 1 i 2 linii, pod warunkiem zachowania przejrzystości ról i mechanizmów nadzorczych. Elastyczność jest jedną z podstawowych zasad wskazywanych przez IIA.
Mechanizmy raportowania
Skuteczne wdrożenie wymaga jasnych zasad raportowania:
- 1 linia raportuje do managementu,
- 2 linia do zarządu,
- 3 linia do rady nadzorczej.
Zapewnia to przejrzystość oraz właściwy przepływ informacji w organizacji.
Edukacja i kultura organizacyjna
Ostatnim, ale nie mniej istotnym elementem jest budowanie świadomości w organizacji. Pracownicy i managerowie powinni rozumieć, że zarządzanie ryzykiem nie jest wyłącznie zadaniem działów kontrolnych – to odpowiedzialność każdego.
Poniższa tabela podsumowuje kroki, aby wdrążyć model 3 linii obrony oraz typowe błędy dla każdego z kroków:
| Krok | Co zrobić? | Praktyczne wskazówki | Typowe błędy |
| 1. Zdefiniuj role | Określ kto jest 1, 2 i 3 linią | Skup się na odpowiedzialności, nie strukturze | Tworzenie nowych działów zamiast przypisania ról, brak odpowedzialności za kontole |
| 2. Analiza „as-is” | Zmapuj procesy, ryzyka i kontrole | Użyj warsztatów z biznesem | Pominięcie realnych praktyk („papierowy model”) |
| 3.Przypisz odpowiedzialności (RACI) | Określ kto odpowiada za co | Jasno rozdziel „wykonuje vs nadzoruje” | Duplikacja odpowiedzialności |
| 4. Oddziel 3 linię | Zapewnij niezależność audytu | Raportowanie do rady nadzorczej | Audyt wykonujący kontrole operacyjne (zadania 2 linii) |
| 5. Uporządkuj 2 linię | Zdefiniuj role risk/compliance | Skup się na standardach i monitoringu | 2 linia wykonywująca kontole za 1 linię obrony |
| 6. Powiąż z COSO | Zintegruj z frameworkiem COSO | Mapuj ryzyka → kontrole → właścicieli | Brak spójności systemu |
| 7.Ustal raportowanie | Określ kto raportuje komu | 3 linia → komitet audytu | Brak transparentności |
| 8. Zaangażuj zarząd | Zapewnij „tone at the top” | Włącz model do KPI i governance | Brak wsparcia = model nie działa |
| 9. Dopasuj skalę | Dostosuj model do organizacji | W małych firmach łącz 1 i 2 linię | Nadmierna formalizacja |
| 10.Szkolenia i kultura | Edukuj pracowników | „Każdy zarządza ryzykiem” | Postrzeganie kontroli jako przeszkody, dodatkowej pracy |
Podsumowanie
Wdrożenie modelu 3 linii obrony to proces porządkowania odpowiedzialności, a nie reorganizacji struktury. Kluczowe znaczenie mają jasne role, niezależność audytu oraz wsparcie zarządu. Tylko wtedy model przestaje być teoretycznym frameworkiem i staje się realnym narzędziem wzmacniającym governance i efektywność organizacji.
