• Home
• Nieuws

Naris over het ‘Three Lines of Defense’ risicomanagement model

Geplaatst door CorporatieMedia op Tuesday 26 November 2019

Het 3-lines of defence model is een veel beschreven methode om aan de buitenwereld te laten zien dat de organisatie in control is. Risicomanagement speelt een steeds grotere rol in dit “control denken”. Kun je eigenlijk wel fully in control oftewel volledig in control zijn?

1. De ‘business’ (1st line) is eindverantwoordelijk voor de keuzes die ze maken en de risico’s die ze businesswise aangaan.  Zij kunnen de beheersing dus nooit echt delegeren.
2. De second line  ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’. Vooral in deze second line of defence zitten veel verschillende risicofuncties waaronder juridisch, finance, compliance, internal control, cyber security, veiligheid en kwaliteit. Elk van deze specialisten werkt met hun eigen identificatie- en rapportage-processen. Veel van de deze functies zijn in de loop van de jaren ontstaan, vaak als gevolg van een nieuwe wet- en regelgeving.  Deze versplinterde risicofuncties met hun eigen identificatie- en rapportage-processen zorgen dus vaak voor dubbel werk.
3. De third line Internal Audit voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing. Internal audit is daarmee een tijdelijk het sluitstuk van de PDCA-cyclus. Ze is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control zijn van de organisatie maar wel verantwoordelijk voor de mate waarin ze in staat is om de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken. Steeds vaker wordt het auditprogramma risicogestuurd ingericht.

Integraal zonder tanden
Gelukkig beseffen steeds meer organisaties dat integrale GRC-aanpak noodzakelijk is. Een overkoepelende functie welke al deze risico- en compliance- activiteiten tussen de 3LoD coördineren en rapporteren zodat er synergie tussen de verschillende activiteiten ontstaat.

Helaas is de praktijk anders en is bij veel organisaties het integrale risicomanagement als een extra losse solistische functie neergezet. Vaak te laag in de organisatie en zonder stevig mandaat.

Dubbel werk en irritatie
Door het ontbreken van een integrale verantwoordelijkheid ontstaat verwarring onder de risicospecialisten wie nu waar over gaat, waardoor er dubbel werk wordt gedaan of juist risico’s tussen wal en schip vallen. Dit kost de integrale manager tijd, geld en negatieve energie om de verschillende risicoanalyses te coördineren en vaak tegenstrijdige rapportages te verwerken.

Het grootste gevaar is dat de eerste lijn zich niet meer  zelf verantwoordelijk voelt. Er zijn immers genoeg risicomanagers.  Gevolg is dat  het risicobewustzijn, de  reactiesnelheid en alertheid op incidenten, minder worden. Leer dus de eerste lijn zelf haar risico’s te managen in plaats het voor haar te doen. Dit is juist hetgeen de nieuwe COSO 2017  expliciet onder de aandacht brengt. Hoe hier uit te komen in mijn blog over slimme stappen voor doorontwikkeling naar strategisch risicomanagement.

Wil je praktijkvoorbeelden zien hoe dit model binnen woningbouwcorporaties werkt kun je op deze link klikken. Ook op onze site staat nog een artikel over 3LoD. Ook binnen  de gemeenten wordt 3LoD steeds meer gebruikt. Zie bijvoorbeeld het rapport van de commissie BADO.

Bron: Naris, Foto: Naris