Geplaatst door Het three lines model is op papier een simpel model en daarmee handig. Immers het geeft de organisatie een helder kader voor de governance van risicobeheersing.
Maar iedereen weet dat de praktijk heel anders is en dat veel risico’s uiteindelijk het beste beheerst kunnen worden door de eerste lijn.
De vraag is hoe de eerste lijn daar zelf naar kijkt. Daarom hier een interview wat ik had met een anonieme eerste lijnsmanager vanuit de financiële sector. Bij uitstek de sector waar risicomanagement zo langzamerhand in de haarvaten van de organisatie hoort te zitten.
Hoe ervaar je de druk van de tweede lijn?
De druk van de tweede lijn naar de eerste lijn is immens. Maar ook de druk op de tweede lijn is zeer groot. Dit komt vooral door de toenemende druk van wet & regelgeving (AVG, ESG, Informatiebeveiliging als illustere voorbeelden), maar daarbij vooral de toezichthouders. Zij creëeren een druk op bestuurders die op hun beurt weer de druk op de 2e en 3e lijn leggen.
Dit neemt toe als toezichthouders ergens een keer een steek hebben laten vallen, dan neemt de druk extreem toe. Het komt van buiten naar binnen; van angst bij toezichthouders, naar bestuurder, 2e lijn, 3e lijn en daarmee uiteindelijk ook de 1e lijn.
Kort samengevat: alles moet ‘in control’ zijn; niets mag fout gaan; dat heeft de focus en daarmee komt ondernemen helaas op de tweede plaats.
Wat ergert je vooral?
Dat de tweede lijn doorslaat. Er is absoluut niets mis met het managen van de risico’s en zorgen dat je compliant bent met interne en externe regels; het is juist ook goed dat dit bij de 1e lijn wordt gelegd; Maar het wordt irritant als het je hoogste prioriteit wordt (als 1e lijn) en je daarmee de reguliere bedrijfsvoering/ klanten/ medewerkers tekort doet. Dus: het managen van risico’s en zorgen voor compliance is belangrijker geworden dan zorgen voor een fatsoenlijke/ noodzakelijke dienstverlening aan je klant.
Wat me ook ergert is het dubbele werk; er zijn steeds meer verschillende risk & compliance specialisten in de tweede /derde lijn. Iedereen vindt zijn/haar vakgebied belangrijk. Dat respecteer ik als manager maar elke keer antwoord geven op min of meer dezelfde vragen maakt het zeer inefficiënt. Ook wordt de lijst met aan te leveren informatie steeds langer, bijna een dagtaak. Het worden steeds meer lijstjes om de lijstjes. Er is geen koppeling met mijn eigen doelstelling nl. een goede dienstverlening naar onze klanten.
De 2e en 3e lijn zie je steeds meer een politiefunctie vervullen ipv een ondersteunende rol. Dit vindt op z’n beurt weer z’n weerslag in de ‘samenwerking’ tussen de 3 lijnen.
Daarnaast word je ook wel een beetje rapportage-moe. Als je ziet wat de 2e en 3e lijns moet produceren aan rapportages, kun je als eerste lijn alleen daar al een dagtaak aan hebben om door te lezen. Het worden al snel verplichte nummers, waardoor het op enig moment minder actief /kritisch gelezen wordt en er daarmee ook minder mee wordt gedaan door de eerste lijn.
Hoe kunnen ze je vooral helpen?
- Helpen!
De 2e en 3e zouden de eerste lijn meer moeten ondersteunen door te faciliteren en kennis aan te dragen. Niet door regulier vaste dikke rapportages te maken, maar door advies werk te leveren op verzoek van 1e lijn en om 1e lijn te attenderen op mogelijke risico’s en noodzakelijke controls. Geef mij antwoord op de vraag welke risico’s en controls nu echt relevant zijn voor mijn onderdeel en help mij door samen met mijn mensen de juiste prioriteiten te stellen.
2. Samenwerken
Als de tweede lijns risk & compliance meer samenwerken en hun informatie behoefte coördineren kan worden voorkomen dat ik 3 keer hetzelfde antwoord moet geven. Bundel control frameworks waar mogelijk.
3. Faciliteren & niet overnemen
Daarnaast moet 1e lijn kunnen bepalen of een risico echt relevant zijn voor zijn onderdeel. Vooral in relatie tot de doelstellingen van het onderdeel.
En zo ja of het issue urgent/niet urgent is. Niet alles is belangrijk, ook dingen loslaten. We vergeten soms dat de 1e lijn de business runt en dat zij als geen ander weten hoe e.e.a. in elkaar zit; zij zijn de business owners, zij zijn de business experts. Niet de 2e en 3e lijn.
Robert 't Hart 
Ja ik kan me voorstellen dat je daar niet bij van wordt. Daarenboven vraag ik me af of de kosten van audit en control nog in lijn zijn met de opbrengsten. De burger betaalt deze opzet. Ik denk zelf dat het al mis gaat doordat de bestuurder de door hem ervaren druk doorlegt naar de tweede en de derde lijn zoals in dit interview wordt aangegeven. Ik denk dat de bestuurder er beter aan doet om te investeren en support te geven aan zijn eerste lijn. Dat moet zijn eerste prioriteit zijn. Het is niet voor niets de eerste lijn!