‘Three Lines of Defense’ risicomanagement model

Geplaatst door

Het 3-lines of defence model (vaak afgekort als 3LoD) is een veel beschreven methode om aan de buitenwereld te laten zien dat de organisatie in control is en dat de belangrijkste risico’s goed beheerst worden. Risicomanagement speelt een steeds grotere rol in dit “control denken”. De inrichting van de 3LoD verschilt per type organisatie en hangt vooral af van de grootte en complexiteit. Een kleine organisatie heeft bijv. geen internal audit afdeling.

Recent (juli 2020) heeft IIA een update van het three lines of defence gepubliceerd waarbij de term defence is verdwenen. Zie hier de Nederlandse publicatie van Het Three Lines Model van het IIA. Zie mijn blog over dit nieuwe model.

Schermafbeelding 2017-10-10 om 15.52.30
GRC inrichting 3LoD – naris.com

Uitleg 3LoD (Three Lines of Defence)

  1. De ‘business’ (1st line of machinekamer) is eindverantwoordelijk voor de keuzes die ze maken en de risico’s die ze in de dagelijkse praktijk aangaan.  Zij kunnen de risicobeheersing dus nooit echt delegeren. De eerste line is daarmee de belangrijkste vorm van risicobeheersing. Als het de organisatie dus zou lukken om de eerste lijn intrinsiek gemotiveerd te maken om de doelstellingen scherp te hebben, te reflecteren, regelmatig de risicodialoog te voeren en te vragen naar incidenten en hiervan te leren, dan is dat de beste vorm van risicobeheersing.
  2. De second line  ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’. In deze second line of defence zitten vaak veel verschillende risicofuncties waaronder juridisch, finance, compliance, internal control, ISMS, veiligheid, kwaliteit. Ook wel experts van bedrijfsvoering genoemd (PIJOFACH). Elk van deze specialisten werkt met hun eigen identificatie- en rapportage-processen. Veel van de deze functies zijn in de loop van de jaren ontstaan, vaak als gevolg van een nieuwe wet- en regelgeving.  Deze versplinterde risicofuncties met hun eigen identificatie- en rapportage-processen zorgen dus vaak voor dubbel werk.
  3. De third line Internal Audit voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing. Internal audit is daarmee een tijdelijk het sluitstuk van de PDCA-cyclus. Ze is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control zijn van de organisatie maar wel verantwoordelijk voor de mate waarin ze in staat is om de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken. Steeds vaker wordt het auditprogramma risico-gestuurd ingericht.
  4. Veel organisaties zien hun accountant als 4e line of defence.

Integraal zonder tanden

Gelukkig beseffen steeds meer organisaties dat integrale GRC-aanpak noodzakelijk is. Een overkoepelende functie welke al deze risico- en compliance- activiteiten tussen de 3LoD coördineren en rapporteren zodat er synergie tussen de verschillende control-activiteiten ontstaat.

Helaas is de praktijk anders en is bij veel organisaties het integrale risicomanagement als een extra losse solistische functie neergezet. Vaak te laag in de organisatie en zonder stevig mandaat.

Hoe het niet moet blijkt uit de stukken van het openbaar Ministerie (OM) inzake de witwas affaire (Houston case) van ING.

Een belangrijke oorzaak van het ontstaan en blijven bestaan van de tekortkomingen was het disfunctioneren van de interne controles binnen ING NL op het gebied van compliance risk management. ING NL hanteerde hiervoor, zoals eerder omschreven, het ‘three lines of defence’- model. Al deze ‘lines of defence’ hadden een eigen rol in het voorkomen van niet-naleving van wet- en regelgeving. Uit het strafrechtelijk onderzoek komt naar voren dat deze ‘lines of defence’ beperkt verantwoordelijkheid hebben gevoeld voor het geheel en dat sprake was van verzuiling, waarbij een ieder slechts oog had voor zijn eigen afgebakende rol en daarmee eigenaarschap op het gehele proces ontbrak.

Dubbel werk en irritatie

Door het ontbreken van een integrale verantwoordelijkheid ontstaat verwarring onder de risicospecialisten wie nu waar over gaat, waardoor er dubbel werk wordt gedaan of juist risico’s tussen wal en schip vallen. Dit kost de integrale manager tijd, geld en negatieve energie om de verschillende risicoanalyses te coördineren en vaak tegenstrijdige rapportages te verwerken.

Het grootste gevaar is dat de eerste lijn zich niet meer  zelf verantwoordelijk voelt. Er zijn immers genoeg risicomanagers.  Gevolg is dat  het risicobewustzijn, de  reactiesnelheid en alertheid op incidenten, minder worden. Leer dus de eerste lijn zelf haar risico’s te managen in plaats het voor haar te doen. Dit is juist hetgeen de nieuwe COSO 2017  expliciet onder de aandacht brengt. Hoe daar te komen, kun je lezen in mijn eerdere blog over slimme stappen voor doorontwikkeling naar strategisch risicomanagement.

Wil je praktijkvoorbeelden zien hoe dit model binnen woningbouwcorporaties werkt kun je op deze link klikken. Ook op onze site staat nog een artikel over 3LoD. Ook binnen  de gemeenten wordt 3LoD steeds meer gebruikt. Zie bijvoorbeeld het rapport van de commissie BADO.

Nieuwe update IIA 3 Lines model

Three liens model van IIA
Three lines model van IIA

Schermafbeelding 2019-11-20 om 20.13.28
3 LoD
Schermafbeelding 2019-11-20 om 20.07.25
Three lines of defence gemeenten vanuit BADO rechtmatigheidsverklaring

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s