‘Three Lines of Defense’ risicomanagement model

Geplaatst door

Het 3-lines of defence model (vaak afgekort als 3LoD) is een veel beschreven methode om aan de buitenwereld te laten zien dat de organisatie in control is en dat de belangrijkste risico’s goed beheerst worden. Risicomanagement speelt een steeds grotere rol in dit “control denken”. De inrichting van de 3LoD verschilt per type organisatie en hangt vooral af van de grootte en complexiteit. Een kleine organisatie heeft bijv. geen internal audit afdeling.

Schermafbeelding 2017-10-10 om 15.52.30
GRC inrichting 3LoD – naris.com

Uitleg 3LoD

  1. De ‘business’ (1st line of machinekamer) is eindverantwoordelijk voor de keuzes die ze maken en de risico’s die ze in de dagelijkse praktijk aangaan.  Zij kunnen de risicobeheersing dus nooit echt delegeren. De eerste line is daarmee de belangrijkste vorm van risicobeheersing. Als het de organisatie dus zou lukken om de eerste lijn intrinsiek gemotiveerd te maken om de doelstellingen scherp te hebben, te reflecteren, regelmatig de risicodialoog te voeren en te vragen naar incidenten en hiervan te leren, dan is dat de beste vorm van risicobeheersing.
  2. De second line  ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’. In deze second line of defence zitten vaak veel verschillende risicofuncties waaronder juridisch, finance, compliance, internal control, ISMS, veiligheid en kwaliteit. Elk van deze specialisten werkt met hun eigen identificatie- en rapportage-processen. Veel van de deze functies zijn in de loop van de jaren ontstaan, vaak als gevolg van een nieuwe wet- en regelgeving.  Deze versplinterde risicofuncties met hun eigen identificatie- en rapportage-processen zorgen dus vaak voor dubbel werk.
  3. De third line Internal Audit voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing. Internal audit is daarmee een tijdelijk het sluitstuk van de PDCA-cyclus. Ze is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control zijn van de organisatie maar wel verantwoordelijk voor de mate waarin ze in staat is om de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken. Steeds vaker wordt het auditprogramma risicogestuurd ingericht.
  4. Veel organisaties zien hun accountant als 4e line of defence.

Integraal zonder tanden

Gelukkig beseffen steeds meer organisaties dat integrale GRC-aanpak noodzakelijk is. Een overkoepelende functie welke al deze risico- en compliance- activiteiten tussen de 3LoD coördineren en rapporteren zodat er synergie tussen de verschillende control-activiteiten ontstaat.

Helaas is de praktijk anders en is bij veel organisaties het integrale risicomanagement als een extra losse solistische functie neergezet. Vaak te laag in de organisatie en zonder stevig mandaat.

Dubbel werk en irritatie

Door het ontbreken van een integrale verantwoordelijkheid ontstaat verwarring onder de risicospecialisten wie nu waar over gaat, waardoor er dubbel werk wordt gedaan of juist risico’s tussen wal en schip vallen. Dit kost de integrale manager tijd, geld en negatieve energie om de verschillende risicoanalyses te coördineren en vaak tegenstrijdige rapportages te verwerken.

Het grootste gevaar is dat de eerste lijn zich niet meer  zelf verantwoordelijk voelt. Er zijn immers genoeg risicomanagers.  Gevolg is dat  het risicobewustzijn, de  reactiesnelheid en alertheid op incidenten, minder worden. Leer dus de eerste lijn zelf haar risico’s te managen in plaats het voor haar te doen. Dit is juist hetgeen de nieuwe COSO 2017  expliciet onder de aandacht brengt. Hoe daar te komen, kun je lezen in mijn eerdere blog over slimme stappen voor doorontwikkeling naar strategisch risicomanagement.

Wil je praktijkvoorbeelden zien hoe dit model binnen woningbouwcorporaties werkt kun je op deze link klikken. Ook op onze site staat nog een artikel over 3LoD. Ook binnen  de gemeenten wordt 3LoD steeds meer gebruikt. Zie bijvoorbeeld het rapport van de commissie BADO.

Schermafbeelding 2019-11-20 om 20.13.28
Schermafbeelding 2019-11-20 om 20.07.25

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s