Organisaties zijn dagelijks met de corebusiness bezig. Denk aan het maken van kleding, het transporteren van bloembollen, het ontwikkelen van nieuwe software, het bouwen van viaducten of misschien wel onderzoek naar consumentengedrag. Ondanks dat deze bedrijven iets totaal anders doen hebben ze toch iets gemeen, namelijk het managen van risico’s. Dit kan door middel van het “Three Lines of Defense” – model (3LoD). In dit blog wordt het 3LoD toegelicht, inclusief het toepassen in de praktijk.
Het “Three Lines of Defence”- model kent drie linies. Elke linie heeft een eigen taak en rol binnen risicomanagement en hoort bij een specifiek gedeelte van de organisatie. Naast de drie defensieve linies heb je de directie, het senior management, externe auditoren en de overheid/toezichthouder.
Directie en senior management
Als het gaat om risicomanagement dan maken de directie en het senior management geen deel uit van de drie defensieve linies. Desondanks zijn zij wel belangrijk voor het 3LoD model omdat zij verantwoordelijk zijn voor het succes van de implementatie. Daarnaast rapporteren de drie linies aan de directie of het senior management. Ook vormen deze twee stakeholders samen de groep die de strategie binnen een organisatie uitzet, inclusief bijbehorende doelen. Dit is leidend in het opzetten van controles voor de drie linies.
Eerste defensieve linie
De eerste defensieve linie bestaat uit de operationele managers. De operationele managers zijn verantwoordelijk voor risico’s en het managen hiervan. Dit wordt gedaan door het implementeren van beheersmaatregelen, bijvoorbeeld door processen en controles. Denk hierbij aan het vierogen principe of een checklist. De eerste lijn rapporteert aan het senior management.
Tweede defensieve linie
Idealiter is er geen tweede defensieve linie nodig voor het managen van risico’s. Echter gaat het 3LoD model niet uit van een ideale wereld. Daarom bestaat de tweede defensieve linie uit functies die de eerste linie ondersteunen in het beheersen van risico’s. Dergelijke functies zijn bijvoorbeeld Controllers, Compliance/Security Officers en Juridische Medewerkers. Deze rollen zijn verantwoordelijk voor het stellen van kaders, monitoring en rapporteren op het gebied van risico’s. De tweede linie rapporteert ook aan het senior management.
Derde defensieve linie
De derde defensieve linie bestaat uit de interne audit. Het doel van de interne audit, in dit model, is het zeker stellen van de werking van risicomanagement zoals in de eerste en tweede linie beoogd. Het is essentieel voor een organisatie om er voor te zorgen dat de interne audits op een onafhankelijke, adequate en complete manier worden uitgevoerd. Interne audit(oren) rapporteren aan de directie of het senior management.
Als consultant op het gebied van ISO normeringen ben je constant bezig met het implementeren van een “Three Lines of Defence”- model bij organisaties. Enkele voorbeelden nader toegelicht:
Risico-inventarisatie
Door de directie van een organisatie wordt minimaal één keer per jaar een review van de risicoanalyse uitgevoerd. Hierbij wordt gekeken naar de veranderingen binnen de organisatie of markt, die invloed kunnen hebben op risico’s van de organisatie. Deze worden geclassificeerd op onder andere de kans dat dit risico plaats kan vinden. Deze risico’s worden allemaal gekoppeld aan een verantwoordelijke (risico eigenaar) binnen de organisatie.
Beheersmaatregelen
Na de risico-inventarisatie worden er beheersmaatregelen getroffen voor het mitigeren van het risico. Deze actie wordt uitgevoerd door de risico eigenaar. Dit is de eerste defensieve linie in het model.
Monitoring
Na het implementeren van de beheersmaatregelen wordt de effectiviteit van de beheersmaatregelen gemonitord, bijvoorbeeld door het meten van het aantal incidenten of klachten. Binnen een organisatie met een ISO certificaat is vaak een Security Officer of Kwaliteitsmanager verantwoordelijk voor deze stap. Dit is de tweede defensieve linie binnen het model.
Interne audit
Voor veel organisaties blijkt het vaak lastig om interne audits onafhankelijk uit te voeren. Het is mogelijk om de interne audit uit te laten voeren door een externe partij, zoals Cuccibu. In dat geval zijn wij de derde en laatste defensieve linie in het 3LoD model. De betrokken Cuccibu consultant stelt na afloop een interne audit rapportage op, met daarin eventuele afwijkingen. Deze rapportage wordt gedeeld en besproken met de directie van de organisatie.
Naast het 3LoD model zijn er nog andere modellen waarmee risico’s kunnen worden gemanaged. Het bekendste alternatief is het Committee of Sponsoring Organisation Enterprise Risk Management model (COSO ERM model). Dit model toont de relatie tussen individuele onderdelen in een organisatie aan. Dit in tegenstelling tot het “Three Lines of Defence” – model, waarbij meer naar het algehele proces wordt gekeken.
Meer weten over het “Three Lines of Defense” model? Of een keer sparren over de implementatie van risicomanagement binnen jouw organisatie? Neem vrijblijvend contact op en we vertellen je graag alles over de mogelijkheden.
Reduce Risk, Create Value!