Интеграция модели «Три линии защиты» в систему управления операционными рисками образовательной организации

Современная образовательная среда характеризуется высокой степенью неопределенности и динамичности развития на фоне усиления требований со стороны государственных, профессиональных и аккредитационных органов. Образовательные организации, в частности университеты, сталкиваются с комплексом рисков, способных оказать существенное негативное влияние на достижение их стратегиче-

ГРНТИ 06.71.45

EDN ARRSAM

Наталья Владимировна Панасенко – аспирант Санкт-Петербургского университета технологий управления и экономики. ORCID 0009-0008-2737-9387

Контактные данные для связи с автором: 190020, Санкт-Петербург, Лермонтовский пр., 44А (Russia, St. Petersburg,

ских и операционных целей [2; 4; 10]. Особую актуальность приобретают операционные риски, определяемые как риски убытков в результате неадекватных или ошибочных внутренних процессов, действий сотрудников, сбоев систем или внешних событий [16].

Активная цифровизация образования генерирует новые угрозы, связанные с кибербезопасностью, целостностью данных и эффективностью внедрения IT-систем [14]. Одновременно, сохраняют значимость традиционные операционные риски: педагогические (снижение качества обучения), правовые (нарушение лицензионных требований) и кадровые [17]. В этих условиях формирование «философии риска» [4] и построение действенной системы управления рисками становятся ключевыми задачами менеджмента ВУЗа [2; 7]. Однако, как показывает анализ практики, во многих образовательных организациях формирование системы управления рисками носит формальный или фрагментарный характер, отсутствует четкое распределение ответственности за управление рисками, что приводит к низкой эффективности контрольных процедур.

Для решения этой проблемы представляется целесообразным использование проверенных подходов из корпоративного управления, адаптированных к специфике образовательных организаций. Одной из наиболее признанных в мире моделей является структура «Три линии защиты» (3LoD), предложенная «Институтом внутренних аудиторов» (IIA) [13; 21].

Эволюция концепции управления операционными рисками

Современная концепция управления рисками сформировалась на пересечении управленческой теории, кибернетики и институциональной экономики. Согласно международному стандарту ISO 31000:2019, риск определяется как «влияние неопределенности на цели организации» [19]. В рамках организационного управления этот подход предполагает системную, интегрированную и итеративную деятельность по идентификации, анализу, оценке, обработке, мониторингу и коммуникации рисков (ISO 31010:2019; COSO ERM 2017) [19; 20].

Понятие операционного риска в современных публикациях трактуется шире, чем просто финансовая потеря. В соответствии с документами Базельского комитета по банковскому надзору (Basel II, 2006; Basel III, 2011), операционные риски включают потери вследствие неадекватных или отказавших внутренних процессов, ошибок персонала, сбоев систем либо внешних воздействий. В образовательной организации аналогичные риски проявляются через сбои учебного процесса, информационные утечки, ошибки в администрировании, нарушения нормативных требований и т.д. [4]. Становление культуры риск-ориенти-рованного управления в образовательных учреждениях началось сравнительно недавно, под влиянием процессов цифровизации и ужесточения аккредитационных требований. Исследователи отмечают, что для эффективного управления операционными рисками в ВУЗах необходима институционализация процедур идентификации, оценки и контроля, а также создание специализированных подразделений [6; 7].

В отличие от финансовых или стратегических рисков, операционные риски ВУЗа носят сквозной характер и реализуются непосредственно в его основной и вспомогательной деятельности. На основе анализа источников возможно выделить следующие ключевые категории операционных рисков, специфичные для образовательной организации:

• 1.    Риски образовательного процесса: снижение качества преподавания, невыполнение требований ФГОС, сбои в расписании, ошибки при оценке компетенций, низкая востребованность образовательных программ [14];

• 2.    Научно-инновационные риски: неэффективность НИОКР, риски коммерциализации разработок, нарушение прав интеллектуальной собственности, риски инновационных проектов [11];

• 3.    Административно-управленческие и кадровые риски: ошибки в процессах приема и учета студентов, неэффективное распределение ресурсов, недостаточная квалификация персонала, высокая текучесть кадров, мошенничество [4];

• 4.    IT-риски и риски цифровизации: сбои в работе информационных систем, утечка персональных данных, неэффективное внедрение цифровых технологий, кибератаки [1];

• 5.    Инфраструктурные риски: несоответствие материально-технической базы (аудиторий, лабораторий, общежитий) установленным нормам, аварии, нарушение требований безопасности [16];

• 6.    Комплаенс-риски (правовые): нарушение лицензионных требований, законодательства об образовании, трудового и антикоррупционного законодательства, санкции со стороны регуляторов (Минобрнауки России, Рособрнадзор) [17].

Традиционные подходы, при которых ответственность за эти риски размыта или возложена на отдельные службы (например, IT-риски – только на IT-отдел, а правовые – на юристов), не позволяют управлять их совокупным влиянием.

Модель «Трёх линий защиты»: сущность и развитие

Модель «Трёх линий защиты» (Three Lines of Defense, 3LoD) была разработана «Институтом внутренних аудиторов» (IIA) в начале 2000-х годов как ответ на кризис доверия к системам корпоративного управления. Первоначально модель применялась преимущественно в финансовом секторе, однако в 2020 году IIA представил обновлённую версию – The IIA’s Three Lines Model [13; 18; 22], в которой акцент сделан на гибкости во взаимодействии между линиями защиты, что привело к усилению эффекта от применения метода.

Согласно официальной трактовке IIA, модель 3LoD является не только структурой распределения ответственности, но и механизмом стратегического управления – она связывает операционные процессы, функции комплаенса и внутреннего аудита в единую экосистему управления рисками. Основные принципы модели включают: чёткое распределение ролей и ответственности между управленческими уровнями; прозрачность коммуникаций между линиями защиты; интеграцию с корпоративным управлением; принцип независимости третьей линии (внутреннего аудита); фокус на достижении организационных целей, а не только на снижении рисков.

В модели выделяют следующие линии защиты:

• •    первая линия защиты – операционный уровень: включает подразделения, непосредственно создающие ценность. Они несут ответственность за идентификацию, оценку и управление рисками в своей деятельности. Их основная задача – встроить риск-ориентированный подход в ежедневные управленческие решения;

• •    вторая линия защиты – функции управления рисками и соответствием: координирует и поддерживает процессы первой линии, устанавливает политики и процедуры, осуществляет методологическое сопровождение, мониторинг и обучение;

• •    третья линия защиты – независимая оценка: представлена внутренним аудитом, обеспечивающим независимую оценку эффективности двух предыдущих линий. Она обеспечивает баланс между автономией и ответственностью, осуществляя контроль за выполнением нормативных требований и целевых показателей [8; 9].

Сравнение модели «три линии защиты» с другими концепциями управления рисками

В международной практике модель «Три линии защиты» органично интегрируется в рамки COSO ERM (2017) [20], где управление рисками рассматривается как элемент системы корпоративного управления и создания ценности. COSO ERM ориентировано на стратегическую интеграцию, тогда как 3LoD – на операционное распределение ролей. В рамках ISO 31000 модель 3LoD может рассматриваться как инструмент реализации принципов «управления рисками как части «организационной культуры» и «интеграции в процессы управления» [19]. Сравнительный анализ (см. табл.) показывает, что 3LoD фокусируется на организационном и функциональном разграничении ролей, тогда как COSO ERM – на взаимосвязях стратегического и операционного уровней, а ISO 31000 – на принципах и методологии.

Таблица

Сравнение концепций управления рисками (разработано автором)

Подход	Ключевая цель	Уровень применения	Фокус
ISO 31000:2019	Универсальная методология управления рисками	Все уровни организации	Принципы, процессы, контекст управления рисками
COSO ERM (2017)	Интеграция рисков в стратегическое управление	Стратегический	Ценности, цели, стратегия
3LoD (IIA 2020)	Распределение ролей и ответственности	Операционный	Контроль, независимая проверка

Для образовательных организаций, где процессы часто менее формализованы, чем в финансовом секторе, модель 3LoD является удобным инструментом поэтапного внедрения риск-ориентированного управления без радикальной реорганизации структуры, поскольку она полностью совместима с действующими системами менеджмента качества (СМК по ISO 9001:2015). Интеграция модели 3LoD в систему управления операционными рисками образовательной организации требует учёта следующих факторов:

• 1.    Многоуровневая структура и распределённая ответственность. В отличие от бизнес-организаций, образовательные организации имеют матричную структуру, где управленческие и академические полномочия пересекаются. Это создаёт особые риски дублирования функций и размывания ответственности;

• 2.    Сложность измерения операционных рисков. Многие риски в образовании имеют нематериальный характер, например, снижение академической репутации, потеря доверия студентов, падение качества образовательного процесса;

• 3.    Необходимость интеграции с существующими системами управления качеством. Модель 3LoD должна быть встроена в действующие процедуры внутренней оценки качества, что требует унификации показателей и регламентов;

• 4.    Культурно-организационные барьеры. Исследования показывают, что сотрудники образовательных организаций часто воспринимают управление рисками как дополнительную административную нагрузку, а не как инструмент повышения эффективности [3; 15].

Согласно эмпирическим данным, успешность внедрения модели 3LoD в образовательной среде зависит от следующих условий: наличие формализованных регламентов управления рисками; поддержка руководства организации (ректора, проректоров); обучение сотрудников и создание единой базы инцидентов; согласованная работа служб внутреннего контроля, аудита и службы качества; использование цифровых инструментов для мониторинга рисков (например, ERP-модулей).

Теоретическое обоснование адаптации модели 3LoD к образовательной организации

В научной литературе [4; 10; 14] подчёркивается, что внедрение риск-ориентированного подхода в управление образованием должно быть направлено не только на минимизацию потерь, но и на повышение устойчивости и качества образовательных процессов. Следовательно, адаптация модели «Три линии защиты» должна учитывать системную взаимосвязь между рисками, качеством образования и управлением организационным развитием.

Теоретически, модель «Три линии защиты» в образовательной организации может быть рассмотрена как механизм институционализации риск-ориентированной культуры. В рамках системного подхода: первая линия выполняет функцию «операционализации» стратегии управления рисками, интегрируя её в процессы преподавания, администрирования и обслуживания; вторая линия обеспечивает методологическую и нормативную основу, формируя единое риск-пространство; третья линия формирует обратную связь и гарантирует достоверность системы управления. Таким образом, модель 3LoD в образовательной среде может рассматриваться как структурно-функциональный механизм, обеспечивающий реализацию принципов ISO 31000 на уровне ВУЗа.

Интеграция модели «трех линий защиты» в систему управления операционными рисками ВУЗа предполагает четкое распределение ролей и ответственности между существующими и, при необходимости, новыми структурными элементами (см. рис.):

• 1.    Первая линия: владельцы рисков. На первой линии находятся руководители подразделений, непосредственно осуществляющих операционную деятельность. Они владеют рисками и несут первичную ответственность за их выявление, оценку и внедрение контрольных процедур: учебные подразделения (деканы факультетов, директора институтов, заведующие кафедрами; их зона ответственности – операционные риски образовательного и научного процессов); функциональные и обеспечивающие подразделения (руководители IT-департамента, административно-хозяйственной части, отдела кадров, бухгалтерии, приемной комиссии; они отвечают за операционные риски в своих процессах (IT-сбои, кадровые ошибки, инфраструктурные проблемы)).

• 2.    Вторая линия: надзор и методология. Вторая линия осуществляет надзор, методологическое обеспечение и координацию системы управления рисками. Она помогает 1-й линии эффективно управлять рисками, но не снимает с нее ответственности. В структуре ВУЗа эти функции могут быть распределены следующим образом: специализированное подразделение (отдел/комитет по управлению рисками) отвечает за разработку общей методологии системы управления рисками, ведение общеуниверситетского реестра рисков, агрегацию информации от 1-й линии, подготовку сводной отчетности для

• 3.    Третья линия: независимая оценка. Третья линия обеспечивает независимую и объективную оценку эффективности функционирования первой и второй линий. Она включает службу внутреннего аудита, которая подчиняется напрямую высшему руководству (ректору или ученому совету) для обеспечения независимости.

Задачи 1-й линии: идентификация и оценка операционных рисков в рамках своих процессов (ведение локальных журналов рисков); разработка и выполнение контрольных процедур (регламенты, инструкции, контроль за исполнением); оперативное реагирование на инциденты операционных рисков; предоставление отчетности о рисках на 2-ю линию.

Рис. Взаимосвязь «Трех линий защиты» в структуре управления рисками ВУЗа (разработано автором)

руководства; отдел менеджмента качества контролирует риски, связанные с качеством образования, соответствием процессов стандартам, установленным регуляторными органами; юридическая служба осуществляет надзор за комплаенс-рисками; служба безопасности (в том числе информационной) контролирует риски безопасности, утечки данных.

Задачи 2-й линии: разработка политики и методик управления операционными рисками (в том числе критериев оценки рисковых событий); обучение сотрудников 1-й линии методам идентификации и оценки рисков; мониторинг эффективности контрольных процедур 1-й линии; консолидация отчетности по операционным рискам и предоставление информации о критических событиях высшему руководству.

Задачи 3-й линии: проведение регулярных аудитов системы управления рисками в подразделениях; оценка адекватности и эффективности контрольных процедур 1-й линии; оценка эффективности деятельности 2-й линии по координации и мониторингу системы управления рисками; предоставление независимых обзоров руководству ВУЗа и ученому совету об общем состоянии системы управления операционными рисками.

Над всеми тремя линиями находятся руководящие органы (ректорат, ученый совет), которые несут конечную ответственность за функционирование системы управления рисками. Они устанавливают «риск-аппетит» (уровень риска, который ВУЗ готов принять), утверждают политику по управлению рисками и осуществляют общий надзор за эффективностью всей модели [18].

Выводы и предложения по интеграции модели

Интеграция модели трех линий IIA позволяет образовательной организации перейти от фрагментарного реагирования на инциденты к структурированному и проактивному управлению операционными рисками. Четкое разделение ролей (владение, надзор, аудит), повышает подотчетность, прозрачность и эффективность внутреннего контроля. Адаптация данной модели к специфике ВУЗа (выделение в 1-й линии факультетов и кафедр) обеспечивает вовлеченность ключевых участников образовательного процесса в систему управления рисками. Совмещение риск-ориентированного подхода с принципами PDCA-цикла (Plan–Do–Check–Act) и внутреннего аудита качества способствует формированию единой архитектуры управления и обеспечивает соответствие требованиям ISO 9001:2015, ISO 31000:2019 и ГОСТ Р 51901.21–2012 [5].

На основе анализа теоретических положений и эмпирических данных, для успешной имплементации предложенной модели в практику образовательных организаций, сформулированы практические рекомендации по внедрению адаптированной модели «Трёх линий защиты» в систему управления операционными рисками образовательной организации:

• 1.    Нормативное закрепление модели: разработать и утвердить «Политику управления операционными рисками» с отражением структуры «Три линии защиты»; внести изменения в «Положение о внутреннем контроле и управлении качеством ВУЗа», добавив разграничение функций по линиям защиты;-утвердить «Регламент взаимодействия между линиями защиты» с определением периодичности отчётности и механизмов коммуникации; определить «риск-аппетит» на уровне ученого совета или ректората; обеспечить независимости 3-й линии (службы внутреннего аудита), если она существует, или рассмотреть вопрос о ее создании.

• 2.    Создание координационного органа («Комитета по управлению рисками»): включить в его состав представителей всех трёх линий защиты. Комитет выполняет функции согласования, мониторинга и эскалации ключевых рисков на уровень руководства.

• 3.    Интеграция с системой стратегического управления: включить индикаторы риск-ориентирован-ности и результативности в систему KPI/KRI ВУЗа, а также в показатели стратегических планов развития.

• 4.    Определение ролей и ответственности: каждая линия защиты должна иметь закреплённые функции и полномочия. Это исключает дублирование задач и «размывание ответственности», что характерно для традиционной ВУЗовской структуры.

• 5.    Формирование компетенций: организация обучения и сертификации сотрудников, включение элементов риск-менеджмента в программы повышения квалификации управленческого персонала.

• 6.    Внедрение единого риск-реестра: реестр должен содержать классификацию рисков, учитывающую специфику деятельности организации (педагогические, цифровые, комплаенс-риски), описание их источников, владельцев, уровней воздействия и мер реагирования.

• 7.    Формирование риск-культуры: рекомендуется включить понятие «управление рисками» в корпоративные ценности и миссию организации, поскольку развитие культуры открытого обсуждения ошибок и инцидентов способствует снижению латентных рисков и повышает доверие между линиями.

• 8.    Стимулирование вовлеченности подразделений первой линии: предусмотреть мотивационные механизмы (KPI, премирование, нематериальные стимулы) за качественную идентификацию и описание рисков, а также за своевременное предоставление отчётности.

• 9.    Коммуникация и обмен опытом: проведение регулярных межфакультетских сессий и семинаров по вопросам риск-менеджмента в образовании способствует горизонтальной интеграции и развитию внутреннего экспертного сообщества.

Заключение

Таким образом, интеграция адаптированной модели «Трёх линий защиты» представляет собой инновационный механизм институционального укрепления управления операционными рисками в образовательной организации, который обеспечивает не только соответствие международным стандартам (ISO 31000, COSO ERM, IIA), но и формирует предпосылки для системного повышения качества и устойчивости образовательной деятельности, а также позволяет создать в образовательной организации устойчивую, прозрачную и эффективную систему управления операционными рисками, адекватную вызовам современной образовательной среды.