Che cos'è il modello Three Lines of Defense (3LoD)?

Il modello Three Lines of Defense è un framework regolamentato progettato per fornire un approccio standardizzato e completo alla governance e al risk management.

Il rischio operativo è definito come il rischio di perdita derivante da processi interni inadeguati o non riusciti, eventi esterni, persone o sistemi. Non molto tempo fa, la responsabilità della gestione dei rischi operativi all'interno di un'azienda era spesso affidata completamente a singoli esperti di ruolo. Facendo affidamento sulla propria esperienza e su funzioni di audit interno limitate, questi ultimi lavoravano per identificare qualsiasi punto debole o svista evidente che potesse esporre l'azienda a rischi inutili. Il revisore era l'unica vera linea di difesa che si frapponeva tra l'organizzazione e una serie di pericoli incombenti.

Oggi il numero e la complessità dei rischi aziendali sono in crescita. Per affrontare e mitigare tali rischi, molte aziende stanno adottando un modello di governance diverso: il Three Lines of Defense (3LoD).

Come suggerisce il nome, il modello di risk management Three Lines of Defense prevede tre diversi livelli di protezione, progettati per fornire un supporto al risk management ridondante e per contribuire a garantire che i pericoli siano identificati e affrontati prima che possano avere un impatto negativo sulle operazioni. Allo stesso tempo, la versione più recente del modello 3LoD pone l'accento sull'allineamento della collaborazione, sulla responsabilità e sulla concentrazione sugli obiettivi, diventando un framework importante non solo per quanto riguarda la difesa, ma anche per poter riconoscere e cogliere le opportunità che si presentano.

Di seguito vedremo più in dettaglio ciascuna delle tre linee di difesa dai rischi, il modo in cui 3LoD è correlato alla resilienza operativa e cosa possiamo aspettarci dall'approccio a tre linee negli anni a venire.

La prima linea di difesa (prima LoD) è la gestione operativa, costituita dai manager di prima linea responsabili delle attività quotidiane di risk management. Questi manager supervisionano i dipendenti che lavorano all'interno dei sistemi e applicazioni aziendali, assicurandosi che vengano seguite le corrette procedure di gestione del rischio. Sono inoltre responsabili dell'attuazione di misure correttive nel caso in cui si verifichino carenze nei processi e nei controlli.

In sostanza, la gestione operativa dell'azienda ha il compito di mantenere adeguati i controlli interni, eseguire le procedure di rischio, identificare e valutare i rischi, guidare e implementare le politiche interne e garantire che tutte le attività supportino gli obiettivi stabiliti, il tutto su base giornaliera. Lo scopo generale di questa prima linea di difesa è la conformità continua e la capacità di identificare rapidamente qualsiasi interruzione dei controlli, processo inadeguato o evento che possa emergere.

Le attività quotidiane svolgono un ruolo cruciale nel rischio operativo. Per questo motivo, questa prima linea di difesa è assolutamente cruciale e deve essere supportata da meccanismi interni come controlli di gestione affidabili e misure di controllo interne. Queste sono sviluppate e implementate con una forte supervisione da parte della gestione operativa e devono essere regolarmente testate per verificarne la funzionalità e l'efficacia.

La terza linea di difesa (terza LoD) nel modello 3LoD è il revisore interno. I revisori sono responsabili della revisione di tutti i processi, le procedure e i framework di risk management, fornendo una garanzia completa dell'efficacia della governance e dei controlli interni. Questa linea di difesa supporta le due linee precedenti, ma deve essere in grado di operare in modo completamente indipendente, assumendo una posizione obiettiva e rispondendo direttamente ai responsabili senior e a qualsiasi organo direttivo superiore, consiglio o comitato di audit.

In quanto ultima linea di difesa, gli audit interni devono essere in grado di supportare una serie di obiettivi legati all'efficienza e all'efficacia operativa, all'affidabilità della creazione di report, alla conformità normativa e altro ancora.

Sebbene la terza linea di difesa sia principalmente associata agli audit interni, è possibile introdurre anche audit esterni come ulteriore supporto, aggiungendo un livello di garanzia aggiuntivo. In effetti, in alcuni casi (ad esempio per ottenere la conformità SOC1 o SOC2, creare un report PCI o documentare l'efficacia del controllo SOX-404) un revisore esterno può essere un requisito obbligatorio.

Le tre linee di difesa sono progettate per sostenere e migliorare la resilienza operativa di un'organizzazione.

La resilienza operativa è la capacità di un'organizzazione di continuare a servire i propri clienti, fornire prodotti e servizi e proteggere la propria forza lavoro a fronte di eventi operativi avversi. Ciò si ottiene anticipando, prevenendo, risollevandosi dagli eventi avversi e adattandovisi. Potenziali eventi possono essere: pandemie, violazioni dei dati, incendi, condizioni meteorologiche distruttive e interruzioni della rete.

I principi della resilienza operativa sono i seguenti:

Governance

La governance descrive i sistemi e i meccanismi su cui si basa un'organizzazione per il suo funzionamento e per cui l'organizzazione e i suoi dipendenti sono ritenuti responsabili. Sia il risk management che la compliance rientrano nell'ambito della governance. Strutture di governance efficaci permettono alle organizzazioni di creare piani e approcci di resilienza operativa affidabili, consentendo loro di reagire e riprendersi meglio dalle interruzioni.

Operational risk management

L'Operational Risk Management (ORM, gestione del rischio operativo) è un ciclo continuo che comprende la valutazione del rischio, il processo decisionale riguardo il rischio e l'implementazione dei controlli sul rischio, che porta all'accettazione, alla mitigazione o alla prevenzione del rischio.

Continuity planning

Il Business Continuity Planning è la creazione, l'implementazione, la formazione e il monitoraggio di piani di continuità per una serie di scenari di crisi. Lo scopo della pianificazione della continuità è quello di creare strategie affidabili per garantire la continuità delle operazioni critiche di fronte a potenziali interruzioni.

Mappatura dell'interdipendenza

La mappatura dell'interdipendenza identifica e traccia le connessioni e le interdipendenze interne ed esterne, indicando chiaramente quali interdipendenze sono necessarie per le operazioni critiche e per la fornitura continua di servizi in caso di possibili interruzioni.

Risk management di terze parti

Il risk management di terze parti descrive gli strumenti e le pratiche per la gestione dei rapporti con le terze parti, identificando le entità terze che sono essenziali per le operazioni critiche.

Incident Management

L'Incident Management si riferisce ai processi associati alla creazione di piani di risposta e recupero per scenari di incidenti specifici. Tali piani devono essere continuamente perfezionati e aggiornati utilizzando le informazioni ricavate dall'analisi dei dati e dagli incidenti precedenti.

Tecnologia dell'informazione, della comunicazione e della sicurezza informatica

La tecnologia dell'informazione, della comunicazione e della sicurezza informatica deve essere regolarmente testata e migliorata per supportare la fornitura continua delle operazioni critiche.

Il modello Three Lines of Defense è un approccio collaudato al risk management. Ma proprio come i piani di continuità e di resilienza devono essere aggiornati regolarmente per tenere conto delle situazioni in evoluzione, anche il modello 3LoD ha subito una serie di revisioni da quando è stato introdotto.

Recentemente, il Comitato di Basilea per la vigilanza bancaria (CBVB) ha pubblicato le Revisions to the Principles for the Sound Management of Operational Risk (Revisioni ai principi di corretta gestione dei rischi operativi). Sebbene queste revisioni del modello 3LoD siano destinate specificamente alle banche e alle organizzazioni collegate, possono essere applicate altrettanto facilmente alle società non bancarie per migliorare ulteriormente i loro profili di risk management.

Gli aggiornamenti di Basilea alle 3LoD includono:

  • Una maggiore enfasi sul ruolo del responsabile senior nell'esecuzione delle attività di gestione dei rischi operativi.
  • Descrizioni più chiare degli altri ruoli all'interno del modello Three Lines of Defense.
  • Una maggiore delineazione delle fonti di rischio che possono emergere.
  • Un focus separato sulla resilienza operativa.

Man mano che i rischi si diversificano, anche il modello Three Lines of Defense deve continuare ad adattarsi. Questo può applicarsi in modo più diretto alla terza linea: gli audit interni. I revisori interni e i processi a loro associati devono diventare più agili e lungimiranti, promuovendo un cambiamento positivo in tutto il resto del modello 3LoD. In futuro, ci si aspetta che i revisori svolgano un ruolo molto più attivo nella consulenza e nell'anticipazione, oltre che nella formazione degli stakeholder a tutti i livelli.

Oltre agli audit interni, altri progressi continueranno a plasmare il modello 3LoD. Le nuove innovazioni, tra cui l'automazione, il machine learning e l'implementazione dell'intelligenza artificiale, consentiranno una più facile identificazione e risoluzione dei rischi. Allo stesso modo, le organizzazioni si concentreranno maggiormente sull'elemento umano delle tre linee di difesa, lavorando per migliorare il coordinamento, la comunicazione e le metodologie in tutti i team e i reparti.

La gestione del rischio operativo è un aspetto vitale delle aziende moderne. Il modello 3LoD è in grado di fornire livelli ridondanti di protezione per offrire una maggiore sicurezza contro una serie di possibili minacce. Ma, da solo, il 3LoD potrebbe non essere sufficiente a proteggere completamente le organizzazioni dai pericoli continua in evoluzione. ServiceNow, leader del settore della gestione IT, offre la soluzione.

L'Operational Risk Management di ServiceNow consente alle organizzazioni di applicare un monitoraggio continuo, di incorporare dati rilevanti provenienti da tutta l'azienda, di definire le priorità e di rispondere ai rischi emergenti più rapidamente di quanto sarebbe altrimenti possibile. L'applicazione GRC di Operational Risk Management comprende strumenti per l'autovalutazione del rischio, la garanzia dei controlli, i test, l'acquisizione di incidenti e perdite e il monitoraggio automatico. Supportato da un'analisi e una creazione di report avanzate, una gestione dei problemi integrata e potenziata dalla predictive intelligence e molto altro ancora, l'Operational Risk Management offre le difese migliorate da cui le organizzazioni di oggi dipendono per sopravvivere e prosperare.

Riduci le perdite operative. Crea resilienza e affidabilità. Riduci i costi e migliora la produttività. E, nel frattempo, avrai una visibilità completa e in tempo reale di tutti i rischi e delle tolleranze di controllo. Grazie all'Operational Risk Management di ServiceNow tutto questo è possibile.

Inizia a utilizzare SecOps

Identifica, definisci le priorità e rispondi alle minacce più velocemente.

Contatti
Demo