Neem contact op

Three Lines of Defense

Verantwoordelijkheden in risico management zijn lastig te beleggen. In de praktijk zie je dat er vaak – zeker bij informatiebeveiligingsrisico’s – gewezen wordt naar de CISO of Security Officer en als die er niet is, verschuift de focus naar de IT Manager of CIO. Het ‘Three Lines of Defence model’ (3LoD), of tegenwoordig simpelweg, het ‘Three Lines Model’, biedt een kader voor de inrichting van risicobeheersing in de gehele organisatie. Het helpt bij het beleggen van taken en verantwoordelijkheden en beoogd inzicht te creëren in de manier waarop de organisatie ‘in control’ is voor wat betreft risicobeheersing.

Wat is het ‘three lines model’?

Om op het juiste niveau inzicht te krijgen in de risico’s is het nodig dat naar de wensen vanuit verschillende niveaus wordt gerapporteerd en bovenal dat de verantwoordelijkheden op ieder niveau duidelijk zijn. De drie lijnen die het Three Lines Model beschrijft zijn vereenvoudigd als volgt, waarbij informatiebeveiliging als specifieke proces wordt genomen als voorbeeld:

  1. Eerste lijn is de uitvoerende, operationele laag. Dit betreft de IT afdeling, die verantwoordelijk is voor het uitvoeren van maatregelen ten behoeve van informatieveiligheid. Deze laag is ook eigenaar van de risico’s die samengaan met het bereiken van de eigen doelstellingen.
  2. De tweede lijn is de interne controle (of interne beheersing) functie. Deze lijn adviseert over de risico’s aan de eerste lijn en ondersteunt de eerste lijn bij het treffen van de juiste maatregelen voor die risico’s. Deze functie wordt in veel organisaties de GRC (Governance Risk Compliance) functie genoemd. De CISO of Security Officer past logischerwijs ook in de 2e lijn.
  3. De derde lijn is de controlerende functie, bijvoorbeeld de Interne Audit afdeling. Deze lijn beoordeelt of de risico’s en bijhorende maatregelen op een effectieve manier zijn ingericht.

Dit model zorgt ervoor dat risico’s op het juiste niveau worden belegd en er op een adequate manier controle over wordt gevoerd. Dit is dan ook de basis om op een juiste (en integrale) manier te kunnen rapporteren.

Hoe kunnen wij je helpen bij de implementatie van het Three Lines Model?

We hebben voor verschillende organisaties het Three Lines Model gebruikt voor de inrichting van IT Risicobeheersing. Dit betreft kleine tot beursgenoteerde organisaties, waarbij we steeds als uitgangspunt hebben genomen dat het verkrijgen van inzicht in de risico’s het doel is. Niet het nastreven van 100% effectiviteit van maatregelen, maar het nastreven van 100% inzicht in risico’s en de status van maatregelen geeft de organisatie de juiste handvatten om stappen te kunnen zetten in risicobeheersing. Het Three Lines Model helpt daarbij onder meer om de verantwoordelijkheden juist te beleggen en om de rapportagestructuur te definieren.

Wij zijn Cuccibu

Interesse of vragen?

Neem vrijblijvend contact met ons op. Wij denken graag met je mee over de oplossing die het beste past bij jouw organisatie. Laat hier je gegevens achter.

"*" geeft vereiste velden aan

Jouw naam en e-mailadres gebruiken wij alleen voor het door jou gevraagde contact. Wil je meer lezen over hoe Cuccibu omgaat met persoonsgegevens? Lees dan hier onze privacy- en cookieverklaring.
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

“ Wij geloven dat je toegevoegde waarde creëert middels veilige en verantwoorde digitalisering. Dit leidt tot kansen voor het individu, voor organisaties en voor de gehele maatschappij. “