Polski CAMS Certified Anti-Money Laundering Specialist Practice Test

Poprawnie: Trzecia linia obrony musi zachować pełną niezależność i obiektywizm, co oznacza unikanie sytuacji autoprzeglądu (self-review). Jeśli osoba zarządzająca audytem brała udział w podejmowaniu decyzji operacyjnych lub projektowych, co jest domeną drugiej linii, nie może ona nadzorować audytu tych samych obszarów. Wykorzystanie zasobów zewnętrznych lub zapewnienie pełnej separacji decyzyjnej poprzez raportowanie do komitetu audytu jest niezbędne do dostarczenia wiarygodnego zapewnienia (assurance) dla organów nadzorczych i zarządu, zgodnie ze standardami FATF i wytycznymi dotyczącymi ładu korporacyjnego.

Niepoprawnie: Ograniczenie zakresu audytu wyłącznie do aspektów technicznych uniemożliwia realizację podstawowego celu audytu AML, jakim jest ocena merytorycznej skuteczności kontroli i ich adekwatności do ryzyka. Przekazanie raportu bezpośrednio do Rady Nadzorczej bez zmiany zespołu wykonawczego nie eliminuje ryzyka stronniczości na etapie zbierania dowodów i testowania przez pracowników podległych osobie w konflikcie interesów. Odroczenie audytu o rok jest działaniem nieuzasadnionym i zwiększa ryzyko regulacyjne, gdyż instytucja pozostaje bez niezależnej weryfikacji kluczowego systemu przez zbyt długi czas, co jest sprzeczne z podejściem opartym na ryzyku (risk-based approach).

Wniosek: Niezależność audytu AML zostaje naruszona, gdy audytorzy oceniają procesy, w których projektowaniu uczestniczyli, co wymaga zastosowania mechanizmów mitygujących, takich jak audyt zewnętrzny lub niezależny zespół raportujący.

Poprawnie: Trzecia linia obrony musi zachować pełną niezależność od funkcji, które podlegają jej ocenie. Chociaż standardy audytu dopuszczają konsultacje z drugą linią obrony w celu lepszego zrozumienia procesów i ryzyk, ostateczna decyzja dotycząca metodologii, zakresu oraz sposobu testowania musi należeć wyłącznie do audytu wewnętrznego. Raportowanie bezpośrednio do Rady Nadzorczej lub Komitetu Audytu zapewnia, że wyniki audytu są obiektywne i wolne od wpływów kierownictwa operacyjnego, co jest kluczowe dla zapewnienia wiarygodnego poziomu pewności (assurance) co do skuteczności programu AML.

Niepoprawnie: Podejście zakładające zatwierdzanie metodologii przez drugą linię obrony jest błędne, ponieważ narusza fundament niezależności audytu – podmiot audytowany nie może decydować o sposobie, w jaki będzie kontrolowany. Przekazanie testowania skuteczności operacyjnej do zespołu zapewnienia jakości w drugiej linii jest niewłaściwe, gdyż audyt musi przeprowadzić własne, niezależne testy, a nie polegać wyłącznie na pracach funkcji kontrolnych niższego szczebla. Ograniczenie zakresu audytu tylko do obszarów nieobjętych monitoringiem drugiej linii uniemożliwiłoby audytowi ocenę kluczowych mechanizmów kontrolnych, co jest sprzeczne z rolą trzeciej linii obrony, która ma weryfikować skuteczność całego systemu zarządzania ryzykiem.

Wniosek: Niezależność trzeciej linii obrony wymaga, aby audyt wewnętrzny zachował wyłączną kontrolę nad swoją metodologią i zakresem prac, raportując wyniki bezpośrednio do organów nadzorczych instytucji.

Poprawnie: Trzecia linia obrony, czyli audyt wewnętrzny, musi zachować pełną niezależność i obiektywizm, aby skutecznie oceniać ramy kontrolne instytucji. Zgodnie z powszechnie przyjętymi standardami audytu oraz wytycznymi organów nadzorczych, audytorzy nie powinni brać udziału w badaniu działań, za które byli odpowiedzialni w niedalekiej przeszłości. Okres karencji wynoszący zazwyczaj co najmniej jeden rok jest niezbędny, aby uniknąć konfliktu interesów wynikającego z faktu, że pracownik musiałby oceniać własne decyzje, projekty lub wdrożone przez siebie procedury z okresu pracy w drugiej linii obrony.

Niepoprawnie: Podejście zakładające udział audytora w pracach pod warunkiem weryfikacji zewnętrznej jest błędne, ponieważ nie eliminuje ono fundamentalnego braku obiektywizmu wewnątrz zespołu audytowego. Ograniczenie roli audytora wyłącznie do testowania operacyjnego również nie rozwiązuje problemu, gdyż ocena skuteczności działania systemu zaprojektowanego przez tę samą osobę nadal stanowi konflikt interesów. Z kolei propozycja zachowania roli doradczej przy jednoczesnym przeniesieniu do innego zespołu narusza zasadę ścisłej separacji i może prowadzić do nieformalnego wywierania wpływu na wyniki audytu AML, co podważa wiarygodność trzeciej linii obrony.

Wniosek: Kluczowym elementem niezależności trzeciej linii obrony jest zapewnienie, że audytorzy nie oceniają procesów, za które odpowiadali operacyjnie w ciągu ostatnich 12 miesięcy.

Poprawnie: Trzecia linia obrony, czyli audyt wewnętrzny, musi zachować pełną niezależność od funkcji operacyjnych (pierwsza linia) oraz funkcji nadzorczych i zarządzania ryzykiem (druga linia). Chociaż testy zapewnienia jakości (QA) przeprowadzane przez dział Compliance są istotnym elementem systemu kontroli wewnętrznej, stanowią one część mechanizmów drugiej linii i nie mogą zastąpić niezależnego badania audytowego. Zgodnie ze standardami FATF oraz wytycznymi dotyczącymi ładu korporacyjnego, audyt wewnętrzny ma za zadanie dostarczyć Radzie Nadzorczej i Zarządowi obiektywne zapewnienie o skuteczności całego programu AML, co wymaga przeprowadzenia własnych testów i weryfikacji, nawet jeśli dany obszar był wcześniej sprawdzany przez Compliance.

Niepoprawnie: Podejście polegające na wyłączeniu obszaru z audytu na podstawie testów QA jest błędne, ponieważ narusza zasadę niezależności trzeciej linii obrony i uniemożliwia uzyskanie obiektywnej pewności co do skuteczności systemu. Ograniczenie się jedynie do przeglądu dokumentacji przygotowanej przez drugą linię obrony (Compliance) sprawia, że audyt staje się zależny od jakości pracy jednostki, którą sam powinien oceniać. Bezpośrednie raportowanie do organu nadzoru przed podjęciem próby wyjaśnienia sytuacji w ramach wewnętrznych struktur raportowania (np. do Komitetu Audytu) jest działaniem nieproporcjonalnym i naruszającym standardowe procedury ładu korporacyjnego. Z kolei nadzorowanie testów wykonywanych przez drugą linię zamiast przeprowadzania własnych testów operacyjnych zaciera granice odpowiedzialności między liniami obrony i osłabia wiarygodność wyników audytu.

Wniosek: Niezależność trzeciej linii obrony wymaga, aby audyt wewnętrzny przeprowadzał własne, obiektywne testy, nie polegając wyłącznie na wynikach kontroli i zapewnienia jakości realizowanych przez drugą linię obrony.

Poprawnie: Zgodnie ze standardami audytu wewnętrznego oraz wytycznymi dotyczącymi ładu korporacyjnego w instytucjach finansowych, trzecia linia obrony musi zachować pełną niezależność i obiektywizm. Sytuacja, w której audytor ocenia procesy, które sam projektował lub za które odpowiadał operacyjnie w niedalekiej przeszłości (zazwyczaj przyjmuje się okres co najmniej 12-24 miesięcy), tworzy ryzyko autorewizji (self-review threat). Wyłączenie audytora z tego konkretnego zadania jest jedynym skutecznym sposobem na uniknięcie konfliktu interesów i zapewnienie, że wyniki audytu będą postrzegane przez zarząd i organy regulacyjne jako wiarygodne i bezstronne.

Niepoprawnie: Podejście zakładające dodatkową weryfikację ustaleń przez zewnętrznego konsultanta jest niewystarczające, ponieważ nie eliminuje ono pierwotnego braku obiektywizmu audytora na etapie zbierania dowodów. Wykorzystanie wiedzy audytora do badania własnych wcześniejszych prac pod pretekstem efektywności jest błędem etycznym, gdyż audytor może podświadomie ignorować wady procesowe, które sam stworzył. Z kolei przekazanie zadania do zespołu zapewnienia jakości (Quality Assurance) w drugiej linii obrony jest błędne merytorycznie, ponieważ QA nie stanowi trzeciej linii obrony i nie zapewnia niezależnego testowania wymaganego przez regulatorów; jest to funkcja kontrolna, a nie audytorska.

Wniosek: Kluczowym elementem niezależności trzeciej linii obrony jest unikanie ryzyka autorewizji poprzez zapewnienie, że audytorzy nie oceniają obszarów, za które odpowiadali operacyjnie w okresie objętym badaniem lub bezpośrednio przed nim.

Poprawnie: Zgodnie ze standardami audytu wewnętrznego oraz wytycznymi FATF i Wolfsberg Group, trzecia linia obrony musi zachować pełną niezależność i obiektywizm. Sytuacja, w której audytorzy oceniają system, w którego projektowaniu brali udział (nawet jako doradcy), tworzy konflikt interesów typu autokontrola (self-review). Najlepszym rozwiązaniem jest wyznaczenie personelu, który nie był zaangażowany w prace wdrożeniowe, lub zlecenie audytu podmiotowi zewnętrznemu. Bezpośrednie raportowanie do Komitetu Audytu (a nie do zarządu operacyjnego) dodatkowo wzmacnia niezależność strukturalną funkcji audytu.

Niepoprawnie: Kontynuowanie audytu przez ten sam zespół, mimo ich wiedzy technicznej, jest niedopuszczalne, ponieważ nie można obiektywnie oceniać własnych wcześniejszych decyzji projektowych. Przekazanie raportu do Działu Zgodności (Compliance) w celu zatwierdzenia narusza rozgraniczenie między drugą a trzecią linią obrony; audyt powinien być niezależny od funkcji, które ma nadzorować. Odroczenie audytu o rok w celu zachowania okresu karencji przy jednoczesnym poleganiu na testach Quality Assurance (QA) pierwszej linii jest błędne, ponieważ QA nie stanowi niezależnego testowania i nie zastępuje obowiązkowego audytu AML wymaganego przez regulatorów.

Wniosek: Aby zachować integralność trzeciej linii obrony, audytorzy nie mogą oceniać procesów ani systemów, w których projektowanie byli zaangażowani, a ich raportowanie musi odbywać się bezpośrednio do organu nadzorczego.

Poprawnie: Trzecia linia obrony musi zachować pełną niezależność i obiektywizm, co jest fundamentem skutecznego programu AML. W sytuacji, gdy zespół audytowy brał udział w projektowaniu lub konfigurowaniu mechanizmów kontrolnych (takich jak progi w systemie TMS), powstaje ryzyko przeglądu własnej pracy (self-review threat). Aby zapewnić wiarygodne i bezstronne zapewnienie (assurance), audyt musi zostać przeprowadzony przez osoby, które nie były zaangażowane w proces decyzyjny ani operacyjny dotyczący badanego obszaru. Wykorzystanie zewnętrznych ekspertów lub rotacja personelu audytowego pozwala na uniknięcie konfliktu interesów i spełnienie wymogów regulacyjnych dotyczących niezależnego testowania.

Niepoprawnie: Dodatkowy przegląd wyników przez Zarząd nie rozwiązuje problemu braku obiektywizmu na etapie zbierania i interpretacji dowodów przez audytorów, którzy ocenialiby własne wcześniejsze decyzje. Ograniczenie zakresu audytu wyłącznie do aspektów technicznych jest niewystarczające, ponieważ audyt AML musi oceniać merytoryczną skuteczność kontroli w odniesieniu do apetytu na ryzyko instytucji, a nie tylko poprawność informatyczną. Poleganie wyłącznie na wynikach prac drugiej linii obrony (zapewnienie jakości) narusza zasadę niezależności trzeciej linii, która ma obowiązek przeprowadzenia własnych, autonomicznych testów w celu sformułowania niezależnej opinii.

Wniosek: Niezależność trzeciej linii obrony wymaga unikania sytuacji, w których audytorzy oceniają procesy lub systemy, w których projektowaniu lub wdrażaniu brali bezpośredni udział.

Poprawnie: Zgodnie z modelem trzech linii obrony, audyt wewnętrzny (trzecia linia) musi zachować pełną niezależność i obiektywizm. Bezpośrednie angażowanie się w projektowanie kontroli, definiowanie parametrów ryzyka czy zatwierdzanie logiki systemów AML (co jest funkcją zarządczą należącą do pierwszej lub drugiej linii) tworzy konflikt interesów. Audytor nie może obiektywnie oceniać mechanizmów, które sam współtworzył. Rola obserwatora pozwala audytowi na bieżące monitorowanie ryzyka projektowego i zrozumienie nowego systemu bez przejmowania odpowiedzialności za jego kształt, co chroni zdolność do przeprowadzenia niezależnego testowania w przyszłości.

Niepoprawnie: Pozostałe podejścia naruszają zasadę niezależności. Zaangażowanie w projektowanie z intencją późniejszego audytu zewnętrznego nie naprawia naruszenia obiektywizmu wewnętrznej funkcji audytu. Klasyfikowanie takich działań jako usługi doradczej w przypadku kluczowych systemów AML jest ryzykowne, ponieważ audyt wewnętrzny ma ustawowy obowiązek okresowej oceny tych systemów, a wcześniejsze doradztwo przy ich tworzeniu podważy wiarygodność tej oceny. Przeniesienie decyzji na Komitet Audytu lub zmianę ról na konsultantów merytorycznych nie eliminuje faktu, że trzecia linia wykonuje zadania operacyjne, co jest sprzeczne ze standardami FATF i wytycznymi organów nadzorczych dotyczącymi ładu korporacyjnego.

Wniosek: Trzecia linia obrony musi unikać bezpośredniego udziału w projektowaniu kontroli AML, aby zachować obiektywizm niezbędny do ich późniejszej, niezależnej oceny.

Poprawnie: Trzecia linia obrony, czyli audyt wewnętrzny, musi zachować pełną niezależność i obiektywizm, aby skutecznie oceniać ramy kontrolne instytucji. Zgodnie ze standardami międzynarodowymi i wytycznymi dotyczącymi ładu korporacyjnego, audytorzy nie mogą brać udziału w projektowaniu, wdrażaniu ani operacyjnym wykonywaniu procesów, które będą później badać. Uczestnictwo w tworzeniu oceny ryzyka (Business Risk Assessment), która jest kluczowym elementem programu AML zarządzanym przez drugą linię obrony, stworzyłoby bezpośredni konflikt interesów i uniemożliwiło bezstronną ocenę tego dokumentu podczas przyszłych prac audytowych.

Niepoprawnie: Podejście zakładające zatwierdzenie raportu przez firmę zewnętrzną jest błędne, ponieważ zewnętrzna weryfikacja nie eliminuje fundamentalnego naruszenia niezależności wewnątrz struktury organizacyjnej banku. Przejęcie funkcji zapewnienia jakości (Quality Assurance) przez audyt jest niewłaściwe, gdyż QA jest funkcją kontrolną drugiej linii obrony, a audyt ma za zadanie jedynie niezależne testowanie skuteczności tych kontroli. Ograniczenie roli audytora do weryfikacji danych wejściowych przy jednoczesnym współtworzeniu dokumentu nadal stanowi niedopuszczalne zaangażowanie operacyjne, które czyni audytora współodpowiedzialnym za proces, co jest sprzeczne z zasadą rozdzielności ról w modelu trzech linii obrony.

Wniosek: Kluczowym warunkiem skuteczności trzeciej linii obrony jest całkowite wyłączenie audytorów z procesów decyzyjnych i operacyjnych pierwszej oraz drugiej linii obrony w celu uniknięcia konfliktów interesów.

Poprawnie: Niezależność trzeciej linii obrony jest fundamentalną zasadą skutecznego programu AML. W sytuacji, gdy obecny Dyrektor ds. Zgodności (MLRO) wcześniej projektował systemy podlegające audytowi, powstaje ryzyko autoprzeglądu (self-review threat), które zagraża obiektywizmowi. Zgodnie ze standardami audytu wewnętrznego i wytycznymi FATF, audytorzy muszą być niezależni od funkcji, które kontrolują. Wyznaczenie zespołu bez powiązań z audytowanym procesem lub zaangażowanie zewnętrznych ekspertów pozwala na zachowanie bezstronności i dostarczenie zarządowi wiarygodnego zapewnienia o skuteczności kontroli.

Niepoprawnie: Zatwierdzanie metodologii audytu przez drugą linię obrony (Compliance) jest niedopuszczalne, ponieważ narusza hierarchię nadzoru i autonomię audytu wewnętrznego. Odroczenie audytu o rok z powodów kadrowych jest błędne, gdyż ryzyko związane z systemem monitorowania transakcji musi być oceniane cyklicznie, a opóźnienie mogłoby narazić instytucję na sankcje regulacyjne. Poleganie wyłącznie na wynikach zapewnienia jakości (Quality Assurance) z drugiej linii obrony jest niewystarczające, ponieważ trzecia linia ma obowiązek przeprowadzenia własnych, niezależnych testów w celu zweryfikowania skuteczności całego systemu kontroli wewnętrznej.

Wniosek: Skuteczna trzecia linia obrony wymaga całkowitej niezależności operacyjnej i personalnej od audytowanych procesów, co w przypadku konfliktów interesów wymusza zmianę zespołu audytowego lub outsourcing badania.

Poprawnie: Trzecia linia obrony, czyli audyt wewnętrzny, musi zachować pełną niezależność i obiektywizm względem pierwszej i drugiej linii obrony. Angażowanie pracownika z działu Compliance (druga linia) do testowania systemów, które ten sam dział wdrażał lub którymi zarządza, stanowi bezpośredni konflikt interesów. Zgodnie ze standardami FATF oraz wytycznymi organów regulacyjnych, niezależne testowanie programu AML musi być przeprowadzane przez osoby, które nie brały udziału w projektowaniu, wdrażaniu ani operacyjnym funkcjonowaniu mechanizmów kontrolnych. Wykorzystanie zewnętrznych ekspertów jest uznaną metodą zapewnienia odpowiednich kompetencji technicznych przy jednoczesnym zachowaniu wymaganej separacji funkcji.

Niepoprawnie: Podejście polegające na akceptacji wsparcia pracownika Compliance pod warunkiem podpisania raportu przez dyrektora audytu jest błędne, ponieważ niezależność musi być zachowana na każdym etapie prac, a nie tylko w fazie raportowania. Ograniczenie roli pracownika do dokumentowania wyników nie eliminuje ryzyka stronniczości, gdyż osoba ta nadal ocenia efekty własnej pracy lub pracy swojego zespołu. Z kolei odroczenie audytu o rok jest działaniem nieodpowiedzialnym i niezgodnym z podejściem opartym na ryzyku, ponieważ wdrożenie nowego systemu monitorowania transakcji jest kluczowym czynnikiem wyzwalającym (trigger), który wymaga niezwłocznej weryfikacji skuteczności nowych kontroli.

Wniosek: Niezależność audytu AML wymaga całkowitego wykluczenia osób z pierwszej i drugiej linii obrony z procesu testowania kontroli, za które są one bezpośrednio lub pośrednio odpowiedzialne.

Poprawnie: Trzecia linia obrony, czyli audyt wewnętrzny, ma za zadanie dostarczenie niezależnego i obiektywnego zapewnienia co do skuteczności mechanizmów kontrolnych. Zgodnie ze standardami międzynarodowymi oraz wytycznymi takimi jak te wydane przez FATF czy Wolfsberg Group, audyt nie może polegać wyłącznie na pracach wykonanych przez drugą linię obrony (Compliance), ponieważ mogłoby to zagrozić jego niezależności. Przeprowadzenie własnych, niezależnych testów jest niezbędne, aby zweryfikować, czy procesy zapewnienia jakości w drugiej linii działają prawidłowo i czy raportowane przez nie wyniki są wiarygodne.

Niepoprawnie: Podejście polegające na pełnym zaakceptowaniu wyników testów Compliance bez własnej weryfikacji jest błędne, ponieważ audyt wewnętrzny musi zachować sceptycyzm zawodowy i niezależność operacyjną. Przejęcie odpowiedzialności za funkcję zapewnienia jakości przez audytorów stworzyłoby bezpośredni konflikt interesów, gdyż audyt nie może oceniać procesów, za które sam odpowiada. Z kolei ograniczenie zakresu audytu wyłącznie do obszarów nieobjętych testami Compliance uniemożliwiłoby audytowi ocenę skuteczności drugiej linii obrony, co jest jednym z jego podstawowych obowiązków w ramach modelu trzech linii.

Wniosek: Niezależność trzeciej linii obrony wymaga przeprowadzania własnych testów sprawdzających, nawet jeśli druga linia obrony prowadzi intensywne działania monitorujące i zapewnienia jakości.

Poprawnie: Zgodnie z modelem trzech linii obrony, audyt wewnętrzny (trzecia linia) musi zachować pełną niezależność i obiektywizm. Bezpośrednie angażowanie się w projektowanie kontroli, definiowanie parametrów ryzyka czy zatwierdzanie logiki systemów AML (co jest funkcją zarządczą należącą do pierwszej lub drugiej linii) tworzy konflikt interesów. Audytor nie może obiektywnie oceniać mechanizmów, które sam współtworzył. Rola obserwatora pozwala audytowi na bieżące monitorowanie ryzyka projektowego i zrozumienie nowego systemu bez przejmowania odpowiedzialności za jego kształt, co chroni zdolność do przeprowadzenia niezależnego testowania w przyszłości.

Niepoprawnie: Pozostałe podejścia naruszają zasadę niezależności. Zaangażowanie w projektowanie z intencją późniejszego audytu zewnętrznego nie naprawia naruszenia obiektywizmu wewnętrznej funkcji audytu. Klasyfikowanie takich działań jako usługi doradczej w przypadku kluczowych systemów AML jest ryzykowne, ponieważ audyt wewnętrzny ma ustawowy obowiązek okresowej oceny tych systemów, a wcześniejsze doradztwo przy ich tworzeniu podważy wiarygodność tej oceny. Przeniesienie decyzji na Komitet Audytu lub zmianę ról na konsultantów merytorycznych nie eliminuje faktu, że trzecia linia wykonuje zadania operacyjne, co jest sprzeczne ze standardami FATF i wytycznymi organów nadzorczych dotyczącymi ładu korporacyjnego.

Wniosek: Trzecia linia obrony musi unikać bezpośredniego udziału w projektowaniu kontroli AML, aby zachować obiektywizm niezbędny do ich późniejszej, niezależnej oceny.

Poprawnie: Zgodnie ze standardami audytu wewnętrznego oraz wytycznymi dotyczącymi ładu korporacyjnego w instytucjach finansowych, trzecia linia obrony musi zachować pełną niezależność i obiektywizm. Sytuacja, w której audytor ocenia procesy, które sam projektował lub za które odpowiadał operacyjnie w niedalekiej przeszłości (zazwyczaj przyjmuje się okres co najmniej 12-24 miesięcy), tworzy ryzyko autorewizji (self-review threat). Wyłączenie audytora z tego konkretnego zadania jest jedynym skutecznym sposobem na uniknięcie konfliktu interesów i zapewnienie, że wyniki audytu będą postrzegane przez zarząd i organy regulacyjne jako wiarygodne i bezstronne.

Niepoprawnie: Podejście zakładające dodatkową weryfikację ustaleń przez zewnętrznego konsultanta jest niewystarczające, ponieważ nie eliminuje ono pierwotnego braku obiektywizmu audytora na etapie zbierania dowodów. Wykorzystanie wiedzy audytora do badania własnych wcześniejszych prac pod pretekstem efektywności jest błędem etycznym, gdyż audytor może podświadomie ignorować wady procesowe, które sam stworzył. Z kolei przekazanie zadania do zespołu zapewnienia jakości (Quality Assurance) w drugiej linii obrony jest błędne merytorycznie, ponieważ QA nie stanowi trzeciej linii obrony i nie zapewnia niezależnego testowania wymaganego przez regulatorów; jest to funkcja kontrolna, a nie audytorska.

Wniosek: Kluczowym elementem niezależności trzeciej linii obrony jest unikanie ryzyka autorewizji poprzez zapewnienie, że audytorzy nie oceniają obszarów, za które odpowiadali operacyjnie w okresie objętym badaniem lub bezpośrednio przed nim.

Poprawnie: Zgodnie ze standardami niezależności trzeciej linii obrony, audyt wewnętrzny nie może brać bezpośredniego udziału w projektowaniu, wdrażaniu ani operacyjnym zarządzaniu mechanizmami kontrolnymi, które będzie później oceniać. Przyjęcie roli obserwatora pozwala audytowi na bieżące monitorowanie procesu i zgłaszanie uwag dotyczących ryzyka bez przejmowania odpowiedzialności za decyzje projektowe. Takie podejście chroni obiektywizm audytora i zapobiega sytuacji, w której audyt musiałby oceniać skuteczność rozwiązań, które sam współtworzył, co jest kluczowe dla zachowania wiarygodności funkcji zapewnienia (assurance).

Niepoprawnie: Propozycja udziału w zespole projektowym z karencją na audytowanie systemu przez 12 miesięcy jest błędna, ponieważ narusza niezależność samej funkcji audytu w krytycznym okresie po wdrożeniu i nie rozwiązuje problemu braku obiektywizmu całego działu. Przejęcie odpowiedzialności za testy akceptacyjne użytkownika (UAT) jest błędem, ponieważ są one częścią procesów operacyjnych pierwszej lub drugiej linii obrony, a nie niezależnym testowaniem audytowym. Zarządzanie projektem przez audyt wewnętrzny stanowi rażące naruszenie ładu korporacyjnego i całkowicie eliminuje możliwość przeprowadzenia obiektywnej oceny procesu w przyszłości, co jest sprzeczne z wytycznymi FATF i organów nadzorczych.

Wniosek: Niezależność trzeciej linii obrony wymaga kategorycznego oddzielenia funkcji doradczej i obserwacyjnej od odpowiedzialności za projektowanie i wdrażanie systemów kontroli AML.

Poprawnie: Trzecia linia obrony ma za zadanie dostarczyć niezależne zapewnienie (assurance) organom zarządzającym. Zgodnie ze standardami międzynarodowymi, takimi jak wytyczne FATF czy Bazylejskiego Komitetu Nadzoru Bankowego, audyt wewnętrzny musi przeprowadzać własne testy operacyjne. Wykorzystanie wyników drugiej linii jako jedynego dowodu naruszyłoby zasadę niezależności i obiektywizmu. Audytor powinien ocenić proces QA drugiej linii, ale nie może on zastąpić niezależnej weryfikacji transakcji i procesów.

Niepoprawnie: Poleganie wyłącznie na wynikach drugiej linii (QA) uniemożliwia audytowi sformułowanie własnej, obiektywnej opinii o skuteczności programu AML. Ograniczenie zakresu audytu tylko do obszarów nieobjętych QA jest błędne, ponieważ to właśnie kluczowe procesy, takie jak monitorowanie transakcji, wymagają najbardziej rygorystycznego, niezależnego potwierdzenia. Angażowanie pierwszej linii do weryfikacji drugiej linii w ramach procesu audytu jest sprzeczne z modelem trzech linii obrony, gdyż pierwsza linia nie posiada odpowiedniej niezależności do pełnienia funkcji kontrolnych nad drugą linią.

Wniosek: Audyt wewnętrzny musi zachować niezależność poprzez przeprowadzanie własnych testów, nawet jeśli funkcje drugiej linii obrony przeprowadziły już własne przeglądy jakościowe.

Poprawnie: Niezależność jest fundamentalnym wymogiem dla trzeciej linii obrony. Zgodnie z międzynarodowymi standardami audytu oraz wytycznymi FATF i organów nadzorczych, audytorzy nie mogą oceniać procesów, za które byli odpowiedzialni operacyjnie w niedalekiej przeszłości (zazwyczaj przyjmuje się okres 12 miesięcy). Udział osoby, która projektowała lub kalibrowała system monitorowania transakcji, w jego późniejszym badaniu stwarza bezpośrednie ryzyko autorewizji (self-review threat), co uniemożliwia wydanie obiektywnej i wiarygodnej opinii o skuteczności kontroli AML.

Niepoprawnie: Pozostałe podejścia błędnie przedkładają wiedzę techniczną lub procedury administracyjne nad zasadę niezależności. Ograniczenie roli audytora tylko do dokumentacji nie eliminuje stronniczości w interpretacji faktów. Wprowadzenie weryfikacji przez inną osobę (peer review) jest mechanizmem kontroli jakości, ale nie naprawia pierwotnego braku obiektywizmu głównego badającego. Samo ujawnienie konfliktu interesów w raporcie lub złożenie oświadczenia o bezstronności jest niewystarczające w sytuacji, gdy audytor ocenia własną wcześniejszą pracę, co jest sprzeczne z istotą niezależnego testowania w ramach programu AML.

Wniosek: Aby zachować obiektywizm trzeciej linii obrony, instytucja musi rygorystycznie przestrzegać okresu karencji dla audytorów przechodzących z ról operacyjnych do funkcji kontrolnych, unikając ryzyka autorewizji.

Poprawnie: Trzecia linia obrony, czyli audyt wewnętrzny, ma za zadanie dostarczenie niezależnego i obiektywnego zapewnienia o skuteczności procesów zarządzania ryzykiem i kontroli wewnętrznej. Aby spełnić ten wymóg, audyt musi przeprowadzić własną, niezależną ocenę ryzyka i opracować unikalne programy testowe. Wykorzystanie wyników prac drugiej linii obrony (np. Quality Assurance) jako materiału porównawczego jest dopuszczalne i wskazane dla zrozumienia kontekstu, ale nie może zastępować samodzielnego testowania, ponieważ naruszyłoby to zasadę niezależności i obiektywizmu audytu.

Niepoprawnie: Podejście zakładające przyjęcie scenariuszy testowych drugiej linii obrony jest błędne, ponieważ audyt nie może polegać na metodologii jednostki, którą sam ma oceniać; mogłoby to doprowadzić do przeoczenia systemowych błędów w samej funkcji Compliance. Oddelegowanie testów do zespołu QA stanowi rażące naruszenie podziału obowiązków i uniemożliwia rzetelną weryfikację skuteczności kontroli. Z kolei całkowite odcięcie się od dokumentacji drugiej linii jest nieprofesjonalne i nieefektywne, gdyż audytor powinien analizować wyniki prac innych linii, aby ocenić ich dojrzałość i zidentyfikować potencjalne luki w całym systemie kontroli wewnętrznej.

Wniosek: Niezależność audytu jako trzeciej linii obrony wymaga stosowania własnych metodologii i niezależnego próbkowania, nawet jeśli wyniki prac drugiej linii są wykorzystywane jako kontekst do analizy.

Poprawnie: Trzecia linia obrony, czyli audyt wewnętrzny, musi zachować pełną niezależność i obiektywizm, aby skutecznie oceniać skuteczność mechanizmów kontrolnych wdrożonych przez pierwszą i drugą linię. Bezpośrednie zaangażowanie w projektowanie konkretnych parametrów lub progów systemu monitorowania transakcji stanowiłoby konflikt interesów, ponieważ audytorzy ocenialiby w przyszłości własne decyzje projektowe. Dopuszczalne jest jednak pełnienie roli doradczej polegającej na przeglądzie metodologii i wskazywaniu, czy proces projektowania jest zgodny z ogólnymi standardami kontroli i wymogami regulacyjnymi, pod warunkiem, że ostateczna odpowiedzialność za decyzje spoczywa na właścicielach biznesowych i dziale zgodności.

Niepoprawnie: Podejście zakładające aktywny udział w definiowaniu progów i logiki scenariuszy jest błędne, ponieważ narusza fundament niezależności audytu, czyniąc go współodpowiedzialnym za ewentualne błędy w systemie. Przekazanie odpowiedzialności za testowanie do zespołu zapewnienia jakości (Quality Assurance) wewnątrz działu zgodności jest niewłaściwe, ponieważ QA stanowi element drugiej linii obrony i nie zastępuje niezależnego testowania przeprowadzanego przez trzecią linię. Z kolei wstrzymanie się od jakichkolwiek interakcji przez pełny rok jest nieuzasadnione i ryzykowne; audyt oparty na ryzyku powinien przewidywać przegląd po wdrożeniu (post-implementation review) w odpowiednim czasie, a unikanie dialogu na etapie planowania może prowadzić do systemowych braków w audytowalności rozwiązania.

Wniosek: Niezależność trzeciej linii obrony wymaga unikania bezpośredniego współtworzenia mechanizmów kontrolnych, przy jednoczesnym zachowaniu możliwości doradczego opiniowania metodologii w celu zapewnienia audytowalności systemu.

Poprawnie: Trzecia linia obrony, czyli audyt wewnętrzny, musi zachować pełną niezależność i obiektywizm, aby skutecznie oceniać ramy kontrolne instytucji. Uczestnictwo Dyrektora Audytu w procesach decyzyjnych, takich jak zatwierdzanie klientów o wysokim ryzyku, stanowi bezpośredni konflikt interesów, ponieważ audytor nie może obiektywnie oceniać procesów, w których sam brał udział jako decydent. Zgodnie ze standardami międzynarodowymi, takimi jak wytyczne FATF czy Wolfsberg Group, audyt powinien ograniczać swoją rolę w komitetach operacyjnych do statusu obserwatora, co pozwala na monitorowanie ryzyka bez angażowania się w zarządzanie nim.

Niepoprawnie: Pozostałe podejścia nie rozwiązują problemu naruszenia niezależności. Delegowanie zadań audytowych podwładnym przy zachowaniu roli decyzyjnej przełożonego nadal obciąża proces audytu brakiem obiektywizmu na poziomie nadzorczym. Przekazanie prawa głosu zastępcy jest jedynie zmianą formalną, która nie eliminuje wpływu funkcji audytu na operacje drugiej linii. Z kolei wyłączenie się z głosowania tylko w przypadku znanych klientów jest niewystarczające, ponieważ konflikt interesów wynika z samej struktury procesu i uczestnictwa w projektowaniu lub zatwierdzaniu mechanizmów kontrolnych, które audyt ma później niezależnie testować.

Wniosek: Skuteczność trzeciej linii obrony zależy od całkowitego oddzielenia funkcji audytowych od operacyjnych procesów decyzyjnych w celu uniknięcia konfliktów interesów.

Poprawnie: Zgodnie ze standardami audytu wewnętrznego oraz modelem trzech linii obrony, kluczowym elementem trzeciej linii jest jej pełna niezależność i obiektywizm. W sytuacji, gdy pracownik przechodzi z audytu do jednostki operacyjnej lub kontrolnej (drugiej linii), powstaje ryzyko autorewizji. Prawidłowe podejście wymaga, aby osoby przeprowadzające testy nie były wcześniej zaangażowane w projektowanie lub wdrażanie ocenianych mechanizmów. Wykluczenie byłego członka zespołu z procesu weryfikacji jego własnych prac w drugiej linii oraz powierzenie zadania bezstronnym audytorom jest niezbędne do zapewnienia wiarygodności wyników audytu przed Zarządem i organami regulacyjnymi.

Niepoprawnie: Podejście zakładające jedynie zmianę ścieżki raportowania do Rady Nadzorczej nie eliminuje ryzyka stronniczości podczas samego procesu testowania i zbierania dowodów. Ograniczenie zakresu audytu do testów czarnoskrzynkowych (wejścia/wyjścia) z pominięciem logiki biznesowej jest błędem, ponieważ audyt musi ocenić adekwatność całego modelu, a celowe omijanie kluczowych elementów osłabia funkcję zapewnienia (assurance). Z kolei przekazanie nadzoru nad audytem Dyrektorowi ds. Zgodności (CCO) stanowi rażące naruszenie niezależności, ponieważ druga linia obrony nie może nadzorować trzeciej linii, która ma za zadanie ją kontrolować.

Wniosek: Niezależność trzeciej linii obrony wymaga rygorystycznego zarządzania konfliktami interesów, w tym unikania sytuacji, w których audytorzy oceniają procesy, w których projektowaniu brali udział lub które są nadzorowane przez ich byłych współpracowników.

Poprawnie: Zgodnie ze standardami audytu wewnętrznego oraz wytycznymi dotyczącymi trzech linii obrony, kluczowym elementem skutecznego programu AML jest niezależność i obiektywizm trzeciej linii. Sytuacja, w której Główny Audytor ocenia system, który sam wdrażał w ramach drugiej linii obrony, tworzy konflikt interesów znany jako zagrożenie autorewizją (self-review threat). Aby zapewnić wiarygodność i pewność (assurance) dla organów regulacyjnych oraz Zarządu, audytor musi wyłączyć się z procesu decyzyjnego w tym obszarze i przekazać badanie podmiotowi, który nie był zaangażowany w projektowanie ani operacyjne zarządzanie tym systemem.

Niepoprawnie: Pozostawienie nadzoru w rękach osoby bezpośrednio odpowiedzialnej za wcześniejsze wdrożenie, nawet przy pełnym ujawnieniu konfliktu, nie eliminuje ryzyka braku obiektywizmu i podważa wiarygodność wyników audytu przed regulatorem. Poleganie na samoocenie dokonanej przez drugą linię obrony (Dział Zgodności) narusza fundamentalną zasadę niezależnego testowania, ponieważ trzecia linia musi samodzielnie zweryfikować skuteczność kontroli. Odroczenie audytu o kilka miesięcy nie rozwiązuje problemu konfliktu interesów dotyczącego konkretnego projektu wdrożeniowego, a jedynie opóźnia identyfikację luk w monitorowaniu transakcji, co zwiększa ryzyko braku zgodności instytucji.

Wniosek: Niezależność trzeciej linii obrony jest zagrożona, gdy audytor ocenia procesy lub systemy, za które odpowiadał w ramach swoich poprzednich funkcji w pierwszej lub drugiej linii obrony.

Poprawnie: Trzecia linia obrony musi zachować pełną niezależność i obiektywizm, aby skutecznie pełnić swoją funkcję zapewniającą. Bezpośrednie zaangażowanie w projektowanie mechanizmów kontrolnych, takich jak scenariusze monitorowania transakcji, tworzy zagrożenie autoprzeglądu (self-review threat). Zgodnie ze standardami audytu i wytycznymi dotyczącymi trzech linii obrony, odpowiedzialność za projektowanie i wdrażanie kontroli spoczywa na pierwszej i drugiej linii. Audyt wewnętrzny może wskazywać na luki regulacyjne lub ogólne standardy, ale musi pozostać na zewnątrz procesu decyzyjnego, aby móc później bezstronnie ocenić skuteczność tych rozwiązań.

Niepoprawnie: Podejście polegające na wyznaczeniu innego audytora do końcowych testów jest błędne, ponieważ narusza niezależność funkcji audytu jako całości; jednostka audytowa nie może oceniać procesów, w których tworzeniu brała udział. Wydanie wiążącej opinii zatwierdzającej przed wdrożeniem (pre-implementation approval) de facto przenosi odpowiedzialność za skuteczność kontroli z Compliance na Audyt, co jest sprzeczne z modelem trzech linii obrony. Zlecenie prac firmie zewnętrznej pod nadzorem audytu również nie rozwiązuje problemu, ponieważ nadzór nad projektowaniem kontroli operacyjnych nadal wykracza poza mandat trzeciej linii i zaciera granice odpowiedzialności zarządczej.

Wniosek: Niezależność trzeciej linii obrony wymaga kategorycznego oddzielenia funkcji projektowania kontroli od ich późniejszej, obiektywnej oceny.

Poprawnie: Podstawową zasadą trzeciej linii obrony jest zachowanie pełnej niezależności i obiektywizmu. Sytuacja, w której audytor ocenia system lub procesy, które sam wcześniej projektował lub za które odpowiadał operacyjnie, tworzy zagrożenie autoprzeglądu (self-review threat). Nawet jeśli upłynął standardowy okres karencji (zazwyczaj 12 miesięcy), merytoryczny udział w tworzeniu logiki systemu monitorowania transakcji (TMS) sprawia, że audytor nie może być uznany za bezstronnego w ocenie jego skuteczności. Jedynym właściwym rozwiązaniem zapewniającym wiarygodność audytu jest powierzenie tego zadania osobie, która nie była zaangażowana w procesy decyzyjne dotyczące tego systemu.

Niepoprawnie: Poleganie wyłącznie na upływie 12-miesięcznego okresu karencji jest błędne, ponieważ standardy audytu wymagają unikania konfliktów interesów nie tylko w ujęciu czasowym, ale przede wszystkim merytorycznym – audytor nie powinien oceniać własnych projektów. Propozycja weryfikacji raportu przez Dział Compliance (drugą linię) jest niedopuszczalna, ponieważ to audyt ma oceniać Compliance, a nie odwrotnie; takie odwrócenie ról narusza strukturę trzech linii obrony. Ograniczenie zakresu audytu poprzez pominięcie kluczowych elementów logiki systemu jest działaniem nieprofesjonalnym, które uniemożliwia realizację celu audytu, jakim jest dostarczenie pełnego zapewnienia o skuteczności mechanizmów kontrolnych AML.

Wniosek: Niezależność trzeciej linii obrony wymaga wykluczenia audytorów z oceny procesów lub systemów, które sami projektowali, aby uniknąć zagrożenia autoprzeglądu i zapewnić obiektywizm badania.

Poprawnie: Trzecia linia obrony musi zachować pełną niezależność i obiektywizm, co jest kluczowe dla funkcji audytu wewnętrznego. Bezpośrednie uczestnictwo w projektowaniu reguł detekcji lub zatwierdzaniu parametrów systemu AML (funkcje wykonawcze) tworzy sytuację konfliktu interesów, w której audytorzy ocenialiby w przyszłości własne decyzje i rozwiązania. Rola obserwatora pozwala na monitorowanie ryzyk projektowych i dostarczanie uwag w czasie rzeczywistym bez naruszania bariery między funkcją kontrolną a wykonawczą, co jest zgodne ze standardami IIA oraz wymogami regulacyjnymi dotyczącymi niezależnego testowania.

Niepoprawnie: Podejście zakładające bezpośrednie projektowanie kontroli przez audyt narusza fundamentalną zasadę niezależności, ponieważ audyt nie może obiektywnie badać procesów, za które współodpowiada. Przekazanie odpowiedzialności wyłącznie do pierwszej linii obrony (zapewnienie jakości) nie adresuje potrzeby Zarządu dotyczącej uzyskania niezależnej perspektywy audytu w trakcie trwania kluczowego projektu. Z kolei propozycja wyłączenia konkretnych audytorów z przyszłych badań na dwa lata jest niewystarczająca i nieprofesjonalna, ponieważ konflikt interesów dotyczy całej funkcji audytu wewnętrznego, która jako organ nie powinna brać odpowiedzialności za decyzje operacyjne i parametryzację systemów należących do kompetencji drugiej linii.

Wniosek: Niezależność trzeciej linii obrony wymaga unikania ról wykonawczych w projektowaniu systemów AML, ograniczając zaangażowanie audytu w projekty wdrożeniowe do roli doradczej lub obserwacyjnej.

Poprawnie: Zgodnie ze standardami audytu wewnętrznego oraz koncepcją trzech linii obrony, audytorzy muszą zachować pełną niezależność i obiektywizm. Bezpośrednie zaangażowanie w projektowanie kontroli, które mają być później przedmiotem audytu, tworzy zagrożenie autorewizji (self-review threat). Audyt wewnętrzny może pełnić rolę doradczą, wskazując na standardy i oczekiwania regulacyjne, ale nie może podejmować decyzji zarządczych ani projektować konkretnych rozwiązań. Aby zachować obiektywizm, badanie po wdrożeniu powinno być przeprowadzone przez osoby, które nie brały udziału w procesie doradczym dotyczącym tego konkretnego systemu.

Niepoprawnie: Zaangażowanie w projektowanie skryptów i parametrów (podejście drugie) bezpośrednio narusza niezależność audytu, ponieważ audytorzy nie mogą obiektywnie oceniać własnej pracy. Przekazanie testowania do zespołu Quality Assurance (podejście trzecie) jest błędne, ponieważ QA jest funkcją drugiej linii obrony i nie zastępuje niezależnego testowania wymaganego od trzeciej linii. Samo zamieszczenie informacji o konflikcie interesów w raporcie (podejście czwarte) jest niewystarczające, ponieważ nie eliminuje ono fundamentalnego zagrożenia dla obiektywizmu i nie spełnia wymogów dotyczących niezależnego testowania programu AML.

Wniosek: Niezależność trzeciej linii obrony wymaga ścisłego oddzielenia funkcji doradczych od projektowania kontroli, aby uniknąć konfliktu interesów podczas późniejszej weryfikacji skuteczności systemu.

Poprawnie: Trzecia linia obrony musi zachować pełną niezależność i obiektywizm, aby skutecznie pełnić swoją funkcję nadzorczą. W sytuacjach, gdy zespół audytu uczestniczył w doradztwie przy wdrażaniu systemu, powstaje ryzyko autorewizji, które bezpośrednio zagraża obiektywizmowi. Zgodnie ze standardami audytu wewnętrznego oraz wytycznymi dotyczącymi zarządzania ryzykiem AML, najlepszą praktyką w celu mitygacji tego ryzyka jest wyznaczenie do prac kontrolnych osób, które nie były zaangażowane w proces doradczy, lub skorzystanie z zasobów zewnętrznych. Zapewnia to, że ocena skuteczności systemu zostanie przeprowadzona bez uprzedzeń i bez obawy o krytykę własnych wcześniejszych sugestii.

Niepoprawnie: Podejście polegające na ograniczeniu zakresu audytu jedynie do weryfikacji wdrożenia wcześniejszych zaleceń jest błędne, ponieważ audyt musi ocenić faktyczną skuteczność operacyjną systemu w bieżącym środowisku ryzyka, a nie tylko postęp prac projektowych. Uzyskanie zgody Rady Nadzorczej na udział tego samego zespołu nie rozwiązuje problemu braku obiektywizmu, a jedynie formalizuje konflikt interesów, co jest niezgodne z zasadami niezależnego testowania. Z kolei poleganie wyłącznie na wynikach testów drugiej linii obrony (Quality Assurance) stanowi naruszenie obowiązków trzeciej linii, która ma za zadanie przeprowadzić własne, niezależne testowanie, a nie tylko przeglądać prace wykonane przez inne funkcje kontrolne.

Wniosek: Kluczowym elementem niezależności trzeciej linii obrony jest unikanie sytuacji autorewizji poprzez zapewnienie, że osoby testujące mechanizmy kontrolne AML nie brały udziału w ich projektowaniu ani wdrażaniu.

Poprawnie: Trzecia linia obrony, czyli audyt wewnętrzny, ma za zadanie dostarczenie niezależnego i obiektywnego zapewnienia o skuteczności mechanizmów kontrolnych. Chociaż audytorzy mogą i powinni analizować wyniki prac drugiej linii obrony (takich jak Quality Assurance) w celu lepszej oceny ryzyka i planowania, nie mogą one zastąpić samodzielnego testowania. Pełna autonomia w doborze próby oraz stosowanie własnej metodologii są niezbędne, aby audyt spełniał wymogi niezależności i mógł rzetelnie ocenić skuteczność działań podejmowanych przez drugą linię.

Niepoprawnie: Poleganie wyłącznie na wynikach testów przeprowadzonych przez drugą linię obrony stanowiłoby naruszenie standardów niezależności audytu, ponieważ audyt ma za zadanie oceniać m.in. skuteczność samej drugiej linii. Zlecanie prac testowych pracownikom działu Compliance, nawet pod nadzorem, nie spełnia definicji niezależnego testowania, gdyż osoby te są bezpośrednio zaangażowane w procesy zarządzania ryzykiem. Odroczenie audytu na podstawie działań jednostki kontrolowanej jest błędem metodologicznym, który pozostawia instytucję bez obiektywnej weryfikacji kluczowego systemu w danym cyklu audytowym.

Wniosek: Niezależność trzeciej linii obrony wymaga przeprowadzania autonomicznych testów, które weryfikują skuteczność zarówno procesów operacyjnych, jak i funkcji nadzorczych sprawowanych przez drugą linię.

Poprawnie: Trzecia linia obrony, czyli audyt wewnętrzny, musi zachować pełną niezależność od funkcji, które kontroluje. Zgodnie ze standardami AML i modelem trzech linii obrony, audyt nie może polegać wyłącznie na metodologii lub próbach dostarczonych przez drugą linię (Compliance/QA), ponieważ jego zadaniem jest obiektywna ocena skuteczności właśnie tych funkcji. Samodzielne określenie zakresu i dobór próby jest niezbędny, aby zapewnić tzw. pewność (assurance) co do jakości całego programu AML i uniknąć powielania błędów systemowych, które mogły wystąpić w testach drugiej linii.

Niepoprawnie: Podejście zakładające akceptację propozycji pod warunkiem wcześniejszej weryfikacji przez audyt zewnętrzny jest błędne, ponieważ audyt wewnętrzny ma własny mandat do niezależnego badania i nie może zrzekać się odpowiedzialności za dobór metodologii na rzecz podmiotów trzecich. Rozszerzenie istniejącej próby o niewielki procent (np. 10%) jest niewystarczające, gdyż bazowanie na tej samej metodologii co druga linia obrony uniemożliwia wykrycie błędów w samym projekcie kontroli (design effectiveness). Z kolei delegowanie testów do pierwszej linii obrony (operacyjnej) stanowi rażące naruszenie segregacji obowiązków i całkowicie niweluje wartość audytu jako niezależnego weryfikatora.

Wniosek: Niezależność trzeciej linii obrony wymaga od audytora samodzielnego definiowania metodologii i doboru próby, aby obiektywnie ocenić skuteczność kontroli wdrożonych przez pierwszą i drugą linię.

Poprawnie: Zgodnie ze standardami audytu i zasadami ładu korporacyjnego, trzecia linia obrony musi zachować pełną niezależność i obiektywizm. Jeśli zespół audytu wewnętrznego brał udział w projektowaniu lub wdrażaniu mechanizmów kontrolnych (np. systemu TMS), powstaje ryzyko autoprzeglądu (self-review threat). Aby zapewnić wiarygodność i obiektywizm audytu, zadanie to musi zostać powierzone osobom, które nie były zaangażowane w prace projektowe, lub zewnętrznej firmie audytorskiej. Takie podejście jest zgodne z wytycznymi FATF oraz standardami IIA (Institute of Internal Auditors) dotyczącymi unikania konfliktów interesów.

Niepoprawnie: Podejście zakładające kontynuowanie audytu przez ten sam zespół jedynie z ujawnieniem konfliktu jest niewystarczające, ponieważ sama obecność ryzyka autoprzeglądu podważa obiektywizm ustaleń. Przekazanie testowania do drugiej linii obrony (Quality Assurance) nie rozwiązuje problemu, ponieważ druga linia nie posiada statusu niezależnego audytu i nie może zastąpić trzeciej linii w procesie zapewniania pewności (assurance). Odroczenie audytu o dwa lata jest działaniem nieprofesjonalnym i zwiększa ryzyko regulacyjne, gdyż kluczowe systemy AML muszą być poddawane regularnej, niezależnej weryfikacji bez zbędnej zwłoki.

Wniosek: Kluczowym elementem niezależności trzeciej linii obrony jest unikanie sytuacji, w której audytorzy oceniają rozwiązania lub procesy, w których projektowaniu lub wdrażaniu brali bezpośredni udział.