Geplaatst door Oke het is vakantie, maar risicomanagement gaat door. Midden in de vakantie is er een update van het Three Lines of Defence model. Toch maar even mijn vakantieboek opzij gelegd en het stuk doorgenomen.
Het IIA gepubliceerde deze update op 20 juli. Het 3LoD wordt veel gebruikt om organisaties in te richten qua governance en control. In een aantal sectoren is het zelfs verplicht. Maar ook vrijwillig wordt het model veel gebruikt omdat het duidelijk en overzichtelijk is. En daarmee is het goed uit te leggen aan de verschillende stakeholders. Een van mijn meest gelezen blogs ging over dit model.
Hierbij de belangrijkste aanpassingen en onderaan de beschrijving van het eerste principe over governance (iets wat mij altijd interesseert).
Linking to strategy & performance
Met deze nieuwe update zoekt IIA de aansluiting bij de vernieuwde risicomanagement normen als Iso31000 en Coso 2017. Beide normen hebben de afgelopen jaren gekozen voor de koppeling aan strategie + doelstellingen. Ook is de doelstelling van risicomanagement niet alleen waarde-behoud maar vooral waarde creatie. Daarom is bij deze update van IIA de toevoeging Defence is verdwenen en spreken we nu van het three lines model (3LM).
De positieve kant wordt concreet gemaakt door de focus op Risk-based decision-making. Oftewel een proces dat bestaat uit analyse, planning, actie, monitoring en review. En een proces wat de potentiële impact van onzekerheden op doelstellingen meeneemt.
Blended or separated 1e en 2e lijn
In de nieuwe versie wordt veel meer de nadruk gelegd op de afstemming tussen de eerste, tweede en derde lijn. Eerstelijnsrollen zijn het meest direct afgestemd op het leveren van producten en/of diensten aan opdrachtgevers van de organisatie, inclusief ondersteunende functies. De tweede lijn
verleent assistentie bij risicomanagement. Deze rollen en verantwoordelijkheden en de onderlinge relaties worden beter uitgelegd. Zo mogen de 1e en 2e lijn “be blended or separated” zijn, hetgeen vaak recht doet aan de praktijk in veel organisaties.
En natuurlijk blijft de 3de lijn onderscheidend door haar onafhankelijkheid waardoor assurance en advies kan worden gegeven aan het bestuur. Dit bereikt zij door het deskundig toepassen van systematische en gedisciplineerde processen, expertise en inzichten.
Maatwerk
Derde verbeterpunt is dat het door principle-based te zijn veel meer ruimte geeft om de inrichting van het model af te stemmen op de specifieke situatie van de organisatie. Het erkent dat een model het meest effectief is als het is aangepast aan de doelstellingen en omstandigheden van de organisatie. Denk hierbij bijv. aan hierarchie, complexiteit en de grootte van de organisatie.
Bijlage Principe 1 Governance
Governance van een organisatie vereist passend structuren en processen die het mogelijk maken:
Verantwoording door een bestuursorgaan aan belanghebbenden voor organisatorisch toezicht door integriteit, leiderschap en transparantie.
Acties (inclusief risicomanagement) door het management om de doelstellingen van de organisatie te bereiken door middel van risico-gebaseerde besluitvorming en de inzet van middelen.
Assurance en advies door een onafhankelijke interne auditfunctie om duidelijkheid en vertrouwen te bieden en voortdurende verbetering te bevorderen en te vergemakkelijken door rigoureus onderzoek en inzichtelijke communicatie.
Robert 't Hart 
Conflicten en coördinatieproblemen tussen de verschillende onderdelen zijn onvermijdelijk. Dat is waar dit model blijft wringen. We lossen dit vaak op door een coordinerende club er bij te zetten, maar dat verdubbelt het probleem: er zijn dan conflicten en coördinatie-issues tussen die onderdelen. Het lijkt mij dan ook slimmer om groepen op lijnniveau die een integrerende rol spelen meer macht te geven en dingen te laten coördineren, dan een derde onderdeel. Of is dit een gek idee.
Hoi René, eens dat het altijd coördinatie problemen zal geven. We blijven mensen! En wellicht moeten er juist conflicten zijn. Wrijving geeft glans, toch? En zit de spanning niet vooral tussen 1/2 lijn?
Lijn mensen hebben wel andere prioriteiten en ook andere vaardigheden. Zij moeten ondersteund worden door 2e lijn, anders gebeurt het niet. De derde lijn met zijn onafhankelijkheid is daarom een belangrijke. Of zie jij het anders ?