“Незалежність, яка колись визначалася дистанцією, має бути переосмислена у світі, де володіння ризиком, контроль і аудит живуть в одному чат-боті”

Ці слова з нещодавнього поста Тома Маклеода (Tom McLeod) в LinkedIn про «смерть» моделі трьох ліній захисту не просто вдало підсумовують нову епоху — вони болісно точно описують те, що відчувають багато фахівців із внутрішнього аудиту, ризик-менеджменту та комплаєнсу у 2025 році.

Некролог або маніфест?

6 серпня 2025 року в офісі одного з американських гігантів було зроблено «непомітний» крок — з корпоративного мануалу зникла модель «Три лінії захисту (Three Lines of Defence)«. Замість неї — нова формула: «безперервне автономне забезпечення (continuous autonomous assurance)». Через кілька годин цей приклад наслідували інші. Світ не впав, але щось у ньому явно змінилося.

Хочеться вірити, що автор поста в LinkedIn просто жартує. Але, як відомо, найстрашніше починається саме тоді, коли стає смішно. Бо кожна теза, кожен жарт у цьому некролозі — як точний скальпель: розкриває те, що ми, фахівці, відчуваємо, але не завжди готові визнати вголос.

Трохи історії

Модель трьох ліній, народжена в муках після корпоративних скандалів типу Enron і WorldCom, на початку 2000-х давала бізнесу відчуття впорядкованості.
Власник ризику — перша лінія. Контролер — друга. Аудитор — третя. Все зрозуміло, красиво і навіть трохи заспокійливо.

У 2013 році IIA (Institute of Internal Auditors) канонізував її, а до 2015-го діаграма з трьома стрілками стала постійним слайдом у презентаціях від Сіднея до Сан-Паулу. Її переказували як мантру: «структура — це довіра». Але тепер ця структура стикається з тим, що часу на «лінії» вже немає.

Коли алгоритм випереджає стрілку

ШІ-системи сьогодні — не просто інструменти, а автономні агенти, які одночасно:

• виявляють відхилення,
• самі їх виправляють,
• створюють запис про це для аудиту,
• і ще автоматично готують звіт для наглядової ради.

Тобто виконують функції всіх трьох ліній… одночасно. І без кави. У Deloitte це вже називають «Digital Three Lines». У McKinsey говорять про «risk-aware architecture», де дані, ризики, контроль і прийняття рішень інтегровані в єдиний цифровий цикл. У WEF (World Economic Forum) відкрито заявляють, що традиційний аудит не справляється з алгоритмічним управлінням і прийняттям рішень.

А де ж місце людині?

Ось тут і починається найболючіше. Якщо вчора незалежність третьої лінії забезпечувалась дистанцією, то сьогодні — навпаки: інтеграцією в цифрову екосистему, де будь-яка спроба «вийти з циклу» призводить до втрати релевантності. Внутрішній аудит тепер має відповідати на запитання, які ще кілька років тому здавалися фантастичними:

• Хто перевіряє ШІ, що перевіряє людей?
• Що робити, якщо третя лінія — це код?
• Як зберегти незалежність у системі, де роль кожного визначається в API?

Не смерть, а трансформація?

Хочеться думати, що це не смерть моделі, а її перехід у нову форму. У 2020 році IIA вже намагався зробити крок уперед, прибравши з назви слово «defence» і наголосивши на співпраці. Але цього замало. Сьогодні потрібна нова парадигма: не три лінії, а три функції, інтегровані в реальний час: володіння ризиком, управління ним і контроль — всі в одному інформаційному контурі.

А що говорить професійна спільнота?

Реакція на «некролог» була потужною. Деякі коментарі з LinkedIn варто процитувати як частину колективної рефлексії.

Оптимісти бачать у ШІ майбутнє ризик-менеджменту

«Майбутнє — це ШІ, який забезпечує безперервний моніторинг і самовідновлення. 100% вибірки. Забезпечення ШІ житиме… можливо, у новій формі трьох ліній.»

Іронічні ноти звучать дедалі частіше

«Це смішно, але якщо чесно — я бачу в ШІ другу лінію… на стероїдах.» «Я не надсилатиму квіти.»

Є і помірковані скептики

«ШІ не зможе заповнити вакуум, що залишився після 3LoD. Бо ризик — це про людське сприйняття, а не про математику.»
«ШІ не замінить трьох ліній, але зробить їх швидшими, точнішими, керованими даними. Потрібна людська присутність у контурі!»

Професіонали внутрішнього аудиту закликають не поспішати

«Не припиняйте використовувати модель, поки не маєте якісної заміни.»
«Модель жива і буде адаптуватися, як і раніше.»

Дехто говорить про зміну фокусу

«Більше значення матиме сила першої лінії. Друга і третя можуть злитися в одну незалежну функцію.»

Є й філософські нотки

«Моделі — це спрощення людського судження. Нам потрібно більше моделей, щоб осмислити, як ШІ впливатиме на управління ризиками.»
«Що таке модель? Назва не важлива. Потрібне критичне мислення.»

Що тепер     

Організаціям доведеться відповісти на кілька принципових викликів:

1. Модель пояснюваного ШІ (Explainable AI) має стати новим стандартом. Інакше жоден комітет не зможе пояснити, чому було ухвалене те чи інше рішення.
2. Внутрішній аудит повинен стати куратором цілісності моделей (model integrity), а не лише «контролером процесів».
3. Наглядові ради і Risk Committees повинні перейти від формального «лічильника порушень» до стратегічного аналізу ризиків цифрового середовища.
4. І, зрештою, ризик-менеджери повинні мислити архітектурно: як забезпечити баланс автономності, прозорості і контролю в одному цифровому середовищі.

Висновок

«Замість квітів — інвестуйте в пояснюваний ШІ.»

Сміх сміхом, але пост з LinkedIn, який починається як іронічна панахида, закінчується справжнім закликом: майбутнє — не у збереженні минулого, а в здатності адаптуватися до нового.

Модель трьох ліній не померла. Вона просто… змінила форму. Як і кожна хороша ідея, вона має вижити — але в іншому тілі, іншому коді, в іншій ролі.

Хочете залишатися релевантними?
Почніть із простого: запитайте свій ШІ, що він думає про ваш комплаєнс.
І не забудьте зберегти лог-файл.

Сергій Бабич

Голова Української асоціації ризик-менеджерів