Moderne organisaties zijn actief in een wereld die steeds onzekerder, complexer en instabieler wordt. Zij moeten kunnen omgaan met een groeiend aantal stakeholders met soms hele verschillende belangen. Ook het beheersen van cyberrisico’s is een uitdaging waar moderne organisaties, en de mensen die het hart van die ondernemingen vormen, dagelijks mee te maken hebben.
In de financiële wereld is het zogenoemde 3-lines-of-defence-model inmiddels gemeengoed. Deze blauwdruk voor effectief Risk Management is echter ook in veel andere branches prima bruikbaar.
Wat is het 3-lines-of-defence-model precies? Hoe helpt het model bij het definiëren en waarborgen van belangrijke principes van Risk Management als governance, verantwoordelijkheden, accountability en control? En hoe implementeer je het op een goede en efficiënte manier? Lees verder om erachter te komen!
Wat is het 3-lines-of-defence-model?
Het 3-lines-of-defence-model (ook bekend onder de afkorting 3LoD) is een methode die organisaties in staat stelt om belangrijkste risico’s voor hun business effectief te beheersen. Daarnaast is het een manier om aan de buitenwereld te laten zien dat je volledig ‘in control’ bent.
Zoals de naam al aangeeft, gaat 3LoD uit van drie ‘verdedigingslinies’. Gezamenlijk gaan deze drie ‘verdedigingslinies’ zoveel mogelijk risico’s tegen:
- De eerste lijn wordt gevormd door de business. Dit is feitelijk de machinekamer. De business is eindverantwoordelijk voor de keuzes en doelen die een organisatie aangaat en de risico’s die zij bereid is te nemen. Eerstelijnsrollen zijn meestal direct afgestemd op de kernbusiness van organisaties. Denk bijvoorbeeld aan het leveren van producten en/of diensten aan opdrachtgevers van de organisatie, inclusief de ondersteunende functies die daarbij horen.
- De tweede lijn is vooral belast met het ontwikkelen van de systemen voor een goed proces van Risk Management en -beheersing. De tweede lijn is meer inrichtend van aard en ontwerpt bijvoorbeeld frameworks voor Risk Management en integrale verantwoording. Ook het faciliteren en uitdagen (kritisch kijken naar processen, werkwijzen en oplossingen) van de eerste lijn behoren tot het takenpakket van de tweede lijn. De tweede lijn herbergt vaak veel verschillende risicofuncties, waaronder juridische zaken, finance, compliance, interne controle, veiligheid en kwaliteit. Tweedelijnsrollen bieden vooral ondersteuning bij Risk Management.
- De derde lijn is Internal Audit. Deze functie biedt extra handvatten voor controle en sturing en is het sluitstuk van het 3-lines-of-defence-model. De hoofdfunctie van de derde lijn? Controleren of de eerste en tweede lijn goed samenwerken, hier een objectief oordeel over vellen en eventuele verbetervoorstellen aandragen. De derde lijn opereert onafhankelijk van het management en andere belangrijke organisatieonderdelen. De derde lijn helpt ook om de accountability en responsibility voor Risk Management en interne beheersing binnen de organisatie helder op het netvlies te krijgen.
Het toepassen van 3LoD
De doelen van de organisatie moeten altijd centraal staan bij het toepassen van 3LoD. Het is belangrijk dat je doelen niet behandelt als afzonderlijke, op zichzelf staande entiteiten (silo’s), maar als nauw met elkaar verweven onderdelen van het Risk Managementproces. Stem de inrichting van het model ook nauwkeurig af op de specifieke situatie en risico’s (governance) van jouw organisatie. Geen twee organisaties zijn exact hetzelfde.
Gebruik de doelen en strategie van jouw organisatie vervolgens als basis voor het inrichten van een gedetailleerd en overzichtelijk control framework. Met zo’n raamwerk wordt het mogelijk om risico’s en controlemechanismen zichtbaar te koppelen. Bovendien helpt het bestuurders om verantwoording af te leggen, wat ook goed is voor de accountability van jouw organisatie en het vertrouwen van stakeholders.
De directie en het management structureren het 3LoD-model en wijzen de rollen toe. De tweedelijnsrollen, en het toezicht daarop, waarborgen idealiter een bepaalde mate van onafhankelijkheid ten opzichte van de eerstelijnsrollen en de hoogste managementniveaus.
De manier om dit te regelen? De primaire verantwoording in handen leggen van de directie en ervoor zorgen dat dit het eindpunt is van de rapportagelijnen. Zorg ook voor een goede waarborging van de onafhankelijkheid en volledige objectiviteit van de interne audit, bijvoorbeeld door in deze lijn geen besluiten te nemen of acties te ondernemen die thuishoren op het bord van het management.
Voordelen van het 3-lines-of-defence-model
Mits goed toegepast, levert het 3-lines-of-defence-model veel voordelen op. Denk bijvoorbeeld aan:
- meer inzicht in risico’s en oplossingen;
- een organisatiebrede kijk op risico’s en Risk Management;
- een structurele aanpak vanuit verschillende invalshoeken en specialismen;
- en een onafhankelijke controle van Risk Managementprocessen door interne audits die verantwoordelijkheden en accountability borgen (derde lijn).
Uitdagingen van het 3-lines-of-defence-model
Tegelijkertijd gaat het model ook gepaard met uitdagingen en potentiële valkuilen. De belangrijkste is waarschijnlijk het ontbreken van integrale verantwoordelijkheid en eigenaarschap. Het komt nogal eens voor dat de verschillende verdedigingslinies vooral bezig zijn met hun eigen, (te) scherp afgebakende rol en daardoor te weinig oog hebben voor het geheel.
Op die manier ontstaat er verzuiling en verwarring, waardoor mensen dubbel werk doen of bepaalde risico’s niet voldoende prioriteit krijgen. Een ander gevaar is dat de eerste lijn zich minder verantwoordelijk (gebrekkige responsibility en accountability) voelt voor Risk Management, waardoor de alertheid en reactiesnelheid op incidenten afneemt. Deze problemen voorkom je door 3LoD nauwkeurig in te richten op basis van de aandachtspunten uit de vorige paragraaf.
Level up?
Wil je weten hoe het 3-lines-of-defence-model het Risk Management binnen jouw organisatie naar een hoger niveau tilt? En ben je op zoek naar een gespecialiseerde partner die je hierbij helpt? Dan is INTERMEDIATE je graag van dienst. Ons netwerk herbergt diverse interim-professionals die helemaal thuis zijn in de wereld van Risk Management en 3LoD.