Learning Platform
Глоссарий Troubleshooting
Урок 03.03 · 30 мин
Продвинутый
Three Lines ModelIIAInternal AuditRisk FunctionComplianceCDO OfficeIndependence

Введение

CDO SwiftRide получил структурный вопрос на kick-off Board Risk Committee: «Где сидит CDO Office в нашей модели governance? Вы 1-я линия операционная? 2-я линия рисковая? 3-я линия аудит?». Этот вопрос не косметический — он определяет: кто владеет риском, кто бросает вызов, кто независимо подтверждает. Неправильный ответ → автоматическая finding в SOX walkthrough («неадекватное segregation of duties в data governance»).

Этот урок — IIA Three Lines Model (Институт внутренних аудиторов, июль 2020), её 6 принципов, 4 роли и точное применение к data governance SwiftRide. После урока вы сможете на уровне совета директоров защитить, почему CDO Office — 2-я линия, почему Internal Audit подотчётен функционально audit committee (а не CFO) и какие anti-patterns делают модель бумажной.

История: от Defense к Lines Model

В 2013 году IIA опубликовала Three Lines of Defense — defensive-метафора, фокусирующая на защите организации от риска. Лингвистически и концептуально она оформляла функции данных как защитников от угроз.

В июле 2020 IIA опубликовала The IIA’s Three Lines Model — обновлённую версию IIA Three Lines Model July 2020. Два ключевых изменения:

  1. Удалён язык «defense». Три линии не только защищают — они также создают ценность. Defensive-фрейминг упускал роли в продуктовой разработке, инновациях, использовании возможностей.
  2. Governing body продвинут как явная роль модели. Предыдущая версия подразумевала надзор совета директоров, но центрально его не отображала.

Переформулировка относительно тонкая, но важная. Defensive-модель подразумевает «если риск-функция работает хорошо — ничего плохого не происходит, нейтральный результат». Value-creation-модель подразумевает «если риск-функция работает хорошо — организация принимает лучшие решения, позитивный результат». Это влияет на бюджетные обсуждения, привлечение талантов и карьерные пути.

6 принципов Three Lines Model

IIA Model определяет шесть принципов IIA Principle 1-6:

  1. Governance — правильная структура governance необходима для эффективного надзора.
  2. Governing body roles — подотчётность стейкхолдерам; надзор; ресурсное обеспечение.
  3. Management and first/second line roles — поставка продуктов/сервисов; управление рисками через владение, экспертизу, советы.
  4. Third line roles — независимое и объективное assurance + инсайты.
  5. Third line independence — должна быть независима от management responsibilities.
  6. Creating and protecting value — все роли участвуют, не только защищают.

Principle 5 (independence) — наиболее тестируемый во внешних аудитах. Если 3-я линия подотчётна административно руководителю, который владеет рисками, которые она аудирует — independence сломана.

4 роли — детально

IIA Three Lines Model (July 2020) — SwiftRide overlay

Click на роль, чтобы увидеть responsibilities, SwiftRide examples и common anti-patterns

delegates ↓delegates ↓oversees ↓ (functional)
OWNS RISKCHALLENGES + MONITORSASSURES (INDEPENDENT)
SELECTED ROLE
2nd line — Risk, Compliance, CDO Office
RESPONSIBILITIES
  • Frameworks: risk taxonomy, controls catalog, policies
  • Expertise + advice (challenge function, не execution)
  • Continuous monitoring + aggregated reporting
  • Independent assessment контролей при дизайне (но не их operation — это 3rd line)
  • Coordinate с regulators, manage regulatory inventory
SWIFTRIDE EXAMPLES
  • SwiftRide CDO Office — owns CDE framework, materiality calibration, Data Council secretariat
  • Chief Risk Officer (CRO) reports risk dashboard to Board Risk Committee; challenges 1st line scoring decisions
  • Chief Compliance Officer — owns regulatory inventory (SOX, GDPR, DORA, AMLR, EU AI Act), runs compliance attestations
  • Model Risk Management (MRM) function — challenges SwiftCapital ECL model methodology (independent validation)
ANTI-PATTERNS (AVOID)
  • 2nd line writes контроли вместо 1st line — accountability collapses; «CDO Office их написал, мы не виноваты»
  • 2nd line operates контроли вместо monitoring — нет independent challenge layer
  • CDO Office reports в CFO без CDO seat at Executive Committee — challenge function без teeth
  • Single combined Risk + Compliance officer для всех BUs — нет depth or capacity для challenge

Governing body

Совет директоров + sub-committees (Audit, Risk). Подотчётность стейкхолдерам. Устанавливает risk appetite. Создаёт и обеспечивает ресурсами Internal Audit. Удерживает менеджмент подотчётным за эффективность 1-й/2-й линии. Обеспечивает независимость 3-й линии.

Для SwiftRide post-IPO (цель — листинг на NYSE): Board Audit Committee — независимые директора требуются правилом NYSE 303A.07; Audit Committee Charter утверждён; Internal Audit функционально подотчётен Audit Committee (административно — CEO, не CFO).

1-я линия — operational management

Владеет рисками, связанными с поставкой продуктов и сервисов. Проектирует и исполняет контроли в повседневных операциях. Мониторинг и самооценка первого уровня. Первичный response на события риска и эскалация.

Для SwiftRide:

  • SwiftRide Data Platform team — владеет пайплайном trip_records + DQ-правилами; запускает dbt-тесты на каждый коммит
  • SwiftPay engineering — владеет commission calculation engine; первичный ревьюер для изменений rounding-логики (после инцидента 2024)
  • SwiftCapital data science — владеет ECL-моделью; проектирует и запускает проверки model performance
  • BU Data Owners (VP Finance, VP Marketplace) — подписывают quarterly CDE attestation для своих датасетов

2-я линия — риск, compliance, CDO Office

Фреймворки: risk taxonomy, каталог контролей, политики. Экспертиза и советы (challenge-функция, не исполнение). Непрерывный мониторинг и агрегированная отчётность. Независимая оценка контролей на этапе дизайна (но не их работы — это 3-я линия).

Для SwiftRide:

  • CDO Office — владеет фреймворком CDE, калибровкой материальности, секретариатом Data Council
  • CRO function — risk-дашборд для Board Risk Committee; бросает вызов решениям scoring 1-й линии
  • CCO function — реестр регуляций (SOX, GDPR, DORA, AMLR, EU AI Act); compliance-аттестации
  • MRM function — бросает вызов методологии ECL-модели SwiftCapital (independent validation)

3-я линия — Internal Audit

Независимое и объективное assurance для governing body. Аудирует design и operating effectiveness контролей (1-й и 2-й линии). Отчитывается о findings Audit Committee. Сохраняет независимость: функциональная подотчётность Audit Committee, не management.

Для SwiftRide:

  • Internal Audit team — 2 человека на T0 без data-специфичной экспертизы; расширение до 6 к T+12M
  • Annual audit plan — обзор CDE programme в Q3, evidence pipelines в Q4, operating effectiveness DQ controls
  • Reporting lines — функционально к Audit Committee (quarterly), административно к CEO (НЕ CFO — конфликт интересов с financial reporting)
  • Co-sourcing с Big 4 для специальных тем (экспозиция pricing engine по AI Act) до in-house-зрелости

Independence 3-й линии — почему критично

Independence не косметика. Без неё 3-я линия не может предоставлять объективное assurance.

Функциональная vs административная подотчётность: функция Internal Audit подотчётна функционально Audit Committee (приоритеты, бюджет, scope, найм/увольнение CAE — Chief Audit Executive) и административно CEO (HR-процессы, общие операционные вопросы). Критично: административная линия НЕ к CFO — иначе CFO имеет экономический рычаг над функцией, которая аудирует financial reporting controls.

Три экономических safeguards:

  1. Защита бюджета — бюджет 3-й линии утверждается Audit Committee, не обсуждается с executives. Сокращения требуют одобрения Audit Committee.
  2. Защита scope — audit plan утверждается Audit Committee. Executives не могут удалить чувствительные темы из scope.
  3. Трудоустройство CAE — найм, увольнение, компенсация Chief Audit Executive решаются Audit Committee.

Audit findings часто упоминают скомпрометированную independence в небольших организациях: Internal Audit подотчётен CFO, бюджет сокращён после того, как CAE поднял finding, CAE заменён после разногласий с менеджментом. Pre-IPO setup SwiftRide специально адресует это через Audit Committee charter, совместимый с NYSE 303A.07, до листинга.

IIA Global Internal Audit Standards (2024) IIA Standards Domain II выпущены 9 января 2024, обязательны с 9 января 2025, заменяют IPPF 2017. 5 доменов, 15 принципов, 52 стандарта. Требования к independence в Domain III (Governing the Internal Audit Function) — специально адресуют reporting lines, защиту бюджета, назначение CAE.

Применение к CDE-программе SwiftRide

Мэппинг ролей трёх линий к конкретным активностям CDE-программы:

Активность1-я линия2-я линия3-я линия
Идентификация CDEBU-команды номинируют кандидатовCDO Office применяет scoring framework, Data Council проводит batch-обзорАудирует покрытие CDE (на основе выборки) на полноту
Поддержка реестра CDEBU Data Owners ведут записи о владенииCDO Office управляет схемой и рабочим потокомАудирует целостность реестра ежеквартально
Дизайн DQ-правилEngineering пишет dbt-тесты / GE expectationsCDO Office + CRO бросают вызов tolerancesАудирует адекватность дизайна DQ-правил и operating effectiveness
Работа DQ-правилПайплайн запускает DQ-проверки на каждый batchCDO Office мониторит агрегированные KPIАудирует работу DQ (тестирование на выборке)
Калибровка материальностиn/aCDO + CFO + General Counsel утверждаютАудирует обоснование калибровки и governance
Response на control deficiencyEngineering ремедируетCDO Office трекит через deficiency logАудирует адекватность отработки deficiency
Каденс аттестацийData Owners подписывают quarterly attestationCDO Office агрегирует и отчитываетсяАудирует процесс аттестации и адекватность выборки
Response на regulatory changeBU имплементирует новые требованияCDO + CCO определяют применимость и scopeАудирует полноту regulatory inventory

Ключевые инсайты:

  • CDO Office твёрдо 2-я линия (challenge + framework, не исполнение). Когда CDO Office пишет dbt-тесты напрямую — это работа 1-й линии, эрозия подотчётности.
  • Internal Audit покрывает все активности (работу 1-й и 2-й линии), но никогда не пишет контроли сам — иначе они аудируют собственную работу.
  • Некоторые активности — монополия 2-й линии (калибровка материальности) — 1-я линия не может иметь легитимный stake (конфликт с конкретными инцидентами); 3-я линия аудирует, не устанавливает.

Где живёт CDE-функция в орг-структуре SwiftRide

Решение: CDO Office как 2-я линия под зонтиком CRO. Reporting:

  • CDO подотчётен административно CEO (peer-уровень с CFO, CTO, CRO).
  • CDO функционально согласован с CRO (совместное executive sponsorship для risk-aligned data programme).
  • Команда CDO Office — 8 FTE на T+6M, расширение до 15 к T+18M; покрывает framework + governance + мониторинг; не операционные задачи.
  • Peer-функции 2-й линии: CRO (enterprise risk), CCO (regulatory compliance), MRM (model risk), CISO (информационная безопасность).

Почему не 1-я линия: CDO Office не может владеть рисками, связанными с конкретными продуктами/сервисами (нет product accountability), и не может эффективно бросать вызов, если они написали underlying-решения.

Почему не 3-я линия: CDO Office устанавливает framework, который Internal Audit аудирует — не может аудировать собственную работу.

Почему под зонтиком CRO (функциональное согласование, не reporting): risk-aligned data programme требует интеграции с enterprise risk view (портфель COSO ERM); совместное sponsorship CRO + CDO сигнализирует «один risk view, измерение данных». Некоторые организации альтернативно — CDO под General Counsel (privacy-led) или CDO под CIO (technical-led); SwiftRide выбрал risk-led (CRO) с учётом приоритетов pre-IPO и SOX-readiness.

Распространённые anti-patterns

1. CDO Office делает работу 1-й линии

«CDO Office написал dbt-тесты для driver_earnings.» Подотчётность коллапсирует: «CDO их написал, мы не виноваты, если они упадут.» Результат: BU Data Owners disengaged; владение формальное, но пустое.

Лекарство: CDO Office пишет шаблоны и стандарты; BU-команды пишут реальные правила. CDO Office ревьюит и бросает вызов, не авторствует.

2. CDO Office делает работу 3-й линии

CDO Office «аудирует» CDE-программу ежеквартально. Конфликт интересов: они аудируют фреймворк, который сами создали. Результат: слепые пятна сохраняются; внешний аудитор ловит то, что внутренний «аудит» пропустил.

Лекарство: CDO Office мониторит (непрерывно, real-time) — это 2-я линия. Internal Audit аудирует (периодически, независимо, на выборке) — это 3-я линия. Разный scope, разный каденс, разная отчётность.

3. Internal Audit подотчётен административно CFO

Часто встречается в небольших организациях. CFO владеет financial reporting; Internal Audit аудирует financial reporting controls; если Internal Audit поднимает finding, у CFO экономический рычаг. Результат: independence скомпрометирована; findings смягчаются.

Лекарство: Internal Audit административно подотчётен CEO (peer CFO), функционально — Audit Committee. NYSE 303A.07 требует независимости Audit Committee post-IPO; pre-IPO SwiftRide принимает заранее.

4. Бюджет Internal Audit сокращён менеджментом

Менеджмент предлагает сокращение бюджета Internal Audit. Audit Committee одобряет без вызова. Эффективно снижает покрытие аудитом. Результат: накапливаются слепые пятна; пропущенные findings.

Лекарство: защита бюджета — требуется одобрение Audit Committee для сокращений; CAE имеет право эскалировать обеспокоенность неадекватным бюджетом; бюджет бенчмаркается против peer-организаций.

5. 2-я линия смешана с 1-й

«Функция CRO пишет trading-контроли.» Или «CDO Office пишет data-контроли.» Результат: 2-я линия не может эффективно бросать вызов (вызов своей же работе); 1-я линия disengage.

Лекарство: явный charter для каждой функции с резкими границами scope. 2-я линия — фреймворки + советы + challenge. 1-я линия — исполнение + владение.

6. Язык «Three Lines of Defense» сохраняется

Организация приняла модель 2020 на бумаге, но на практике культура использует defensive-фрейминг. Результат: data-функции остаются только в риск-разговорах; упущена возможность участия в value creation.

Лекарство: преднамеренный аудит языка (материалы для совета директоров, policy docs, charters); обучение; переформулировка годового планирования вокруг «создаёт ценность» + «защищает ценность» одновременно.

Проверка знанийKnowledge check
SwiftRide на T+9M — quarterly заседание Audit Committee. Internal Audit отчитывается о finding: «Покрытие реестра CDE неполное; 4 критических потока выручки отсутствуют». CDO Office отвечает: «Мы не согласны — эти потоки ниже порога материальности по нашей калибровке». CRO отвечает: «Мы на стороне CDO». Председатель Audit Committee спрашивает Internal Audit: «Какова ваша рекомендация?» Какой response согласно Three Lines Model сохраняет independence?
ОтветAnswer
Рекомендация Internal Audit согласно Three Lines Model Principle 5 (independence): (1) Признать позицию менеджмента (CDO + CRO) — роль Internal Audit не переопределять решения менеджмента, а предоставлять объективное assurance и инсайты для Audit Committee. (2) Объективно переформулировать finding: «Реестр исключает 4 потока; наш обзор underlying-данных показывает, что они удовлетворяют критериям материальности, определённым в политике материальности SwiftRide (порог CDE $10M), даже если калибровка менеджмента поставила их ниже порога.» (3) Представить доказательства — конкретный анализ транзакций с указанием магнитуды, regulatory exposure (применимость SOX, импликации FCA/MAS для cross-border), факторы proxy materiality по SAB 99 (regulatory импликации, значимость сегмента). (4) Явно сформулировать рекомендацию: «Internal Audit рекомендует Data Council переоценить эти 4 потока по политике материальности в следующем цикле, с формальной документацией обоснования решения + обзором пересмотренных критериев включения Audit Committee.» (5) Отметить пробел в governance: «Если повторяющиеся расхождения между findings Internal Audit и калибровкой менеджмента происходят, это указывает, что сама политика материальности требует пересмотра Board Risk Committee.» (6) Право эскалации — Internal Audit согласно IIA Standards имеет право эскалировать нерешённый finding председателю Audit Committee для governance-внимания; не override менеджмента, но обеспечить осведомлённость Audit Committee. (7) Задокументировать разногласие в audit working papers — обе позиции, доказательства, рекомендация, response Audit Committee. Критично: Internal Audit НЕ «давит званием», но сохраняет роль объективного assurance и эскалирует governance gap. Если позиция CDO + CRO возобладает И окажется неверной (поздний инцидент вскрывает материальную значимость потока), audit trail показывает, что Internal Audit поднял обеспокоенность своевременно. Это защищает independence + value-creation role согласно Model 2020.

Наложение на орг-структуру SwiftRide

Финальная структура для T+12M (после CDO ramp-up):

РольПодотчётность административноПодотчётность функциональноThree Lines
Board of Directorsn/an/aGoverning body
Audit Committeen/a (sub-committee Board)n/aGoverning body
Risk Committeen/a (sub-committee Board)n/aGoverning body
CEOСовет директоровСовет директоровМенеджмент
CFOCEOAudit Committee (financial reporting)1-я линия (financial reporting)
CTOCEOn/a1-я линия (технологии)
CDOCEORisk Committee2-я линия (data risk + governance)
CROCEORisk Committee2-я линия (enterprise risk)
CCOCEOAudit Committee + Risk Committee2-я линия (compliance)
CISOCEO (или CTO)Risk Committee2-я линия (информационная безопасность)
CAE (Chief Audit Executive)CEOAudit Committee3-я линия (Internal Audit)
BU CEOsCEOn/a1-я линия

Это структура pre-listing, совместимая с NYSE 303A. В небольших организациях скорее CAE подотчётен CFO (anti-pattern) и CRO подотчётен CFO (концентрированная финансовая власть). SwiftRide избегает обоих заранее до листинга.

Итоги

  • Three Lines Model (июль 2020) — действующая; заменила Three Lines of Defense (2013). Ключевое изменение: убран язык «defense» + продвинут governing body.
  • 6 принципов — governance, роли governing body, роли менеджмента + 1-й/2-й линии, роли 3-й линии, independence 3-й линии, value creation.
  • 4 роли — Governing body (совет директоров + sub-committees), 1-я линия (операционный менеджмент — Data Owners, engineering, BU leads), 2-я линия (risk + compliance + CDO Office), 3-я линия (Internal Audit — независимый).
  • Independence 3-й линии — функциональная подотчётность Audit Committee; административная — CEO (НЕ CFO); защита бюджета + scope + трудоустройство CAE.
  • CDO Office — 2-я линия в setup SwiftRide. Не 1-я (нет product accountability); не 3-я (устанавливает framework, который аудит проверяет).
  • 6 anti-patterns: CDO делает работу 1-й линии, CDO делает работу 3-й линии, Internal Audit подотчётен CFO, сокращение бюджета IA, смешение 2-й/1-й линии, сохранение defensive-языка.
  • IIA Global Standards 2024 (обязательны с 9 января 2025) заменяют IPPF 2017; 5 доменов, 15 принципов, 52 стандарта.
  • Орг-структура SwiftRide — pre-listing структура, совместимая с NYSE 303A.07: CDO под CEO (функциональное согласование с Risk Committee); CAE под CEO административно + Audit Committee функционально.
  • Далее (урок 4) — Maturity Models: DCAM v3, DAMA-DMBOK, DMM legacy.
Governance Charter: устав программы Вовлечение заинтересованных сторон

Проверьте понимание

Результат: 0 из 0
Прикладной
Вопрос 1 из 4. SwiftRide CDO Office team decides 'to be helpful' и writes dbt tests directly for driver_earnings_ledger CDE — covers все critical DQ checks. Внешний auditor T+15M flags это как governance issue. Какой core problem per Three Lines Model (2020), и какой remedy?

Закончили урок?

Отметьте его как пройденный, чтобы отслеживать свой прогресс

Войдите чтобы оценить урок
Вернуться к курсу
Прогресс модуля
0 из 7