nlenbe-nlDé beste software voor kwaliteits- en risicomanagement.

Binnen de wereld van governance en risk management wordt vaak gesproken over het Three Lines of defense model. Ook binnen Infoland gebruiken we dit model graag om te verduidelijken wat er nodig is om risicomanagement binnen een organisatie te laten slagen. In juli 2020 heeft het model echter een update gehad, wat begint met de naam: het heet nu enkel nog Three lines. Maar ook de inhoud is veranderd.  Waarom dit een belangrijke wijziging is en wat dat betekent voor de toekomst van risicomanagement, leggen we je graag uit.

Three Lines of Defense

Het oorspronkelijke Three Lines of Defense model van het Institute of Internal Auditors (IIA) is wereldwijd veelgebruikt. Binnen Nederland wordt het vooral door grote organisaties, zoals de grote banken maar ook woningcorporaties, gebruikt. Maar ook grote partijen die organisaties ondersteunen op het gebied van accountancy, bedrijfs- en belastingadvies gebruiken dit om de audit  trail bij hun klanten te borgen.

Het model legt de drie lagen van verantwoordelijkheid binnen een organisatie uit, waarmee de basis van gedegen risicomanagement gelegd kan worden. Het is een vrij defensief model (wat de naam natuurlijk al wel verraadt).

De eerste lijn bestaat uit de ‘business’, oftewel de hoge managementlaag binnen een organisatie die verantwoordelijk is voor de risico’s maar ook voor het bepalen en behalen van de doelen van de organisatie. Zij zijn ook verantwoordelijk voor de managementstijl, het goede voorbeeld geven in gedrag en communicatie en voelen de ‘pijn’ wanneer een risico werkelijkheid wordt.

De tweede lijn bestaat uit uitvoerende managers, zoals risicomanagers, controllers en leidinggevenden in de bedrijfsvoering. Zij beheersen het beleid, zorgen dat dit uitgevoerd wordt, verzorgen managementinformatie en adviseren de eerste lijn. Ook bepalen zij de standaard waarmee risicomanagement geborgd wordt, zoals door zorg te dragen voor de benodigde software.

De derde lijn tot slot bestaat uit degenen die verantwoordelijk zijn voor interne audits. Zij toetsen (onafhankelijk) of het risicomanagementsysteem voldoet qua ontwerp en implementatie, doen aanbevelingen hierover aan de tweede lijn en stellen prioriteiten in het audit programma. Zij zijn ook de barrière tussen de organisatie en externe auditoren, regulerende instanties en staan in contact met de externe en interne belanghebbenden.

In principe legt elke lijn verantwoording af aan de lijn erboven. De eerste lijn blijft uiteraard altijd verantwoordelijk voor het risicomanagement en is de enige die er iets van voelt als het misgaat.

Three lines

De update: Three Lines

Het IIA heeft in de zomer van 2020 een update van het Three Lines of Defense model uitgebracht. Vanaf nu heet het model dan ook Three Lines. Hierbij staan alle lijnen gelijk aan elkaar onder bestuursorganen, die verantwoording afleggen aan belanghebbenden, zowel intern als extern. Deze bestuursorganen hebben een rol in integriteit, leiderschap en transparantie. Daarnaast delegeren zij taken en verantwoordelijkheden naar alle drie de lijnen, geven richting aan risicomanagement, stellen middelen ter beschikking en houden toezicht, terwijl alle lijnen terug rapporteren aan het bestuursorgaan en daar verantwoording aan afleggen.

Lijn een en twee zijn samengevoegd als lijnen binnen de managementlaag, dus het maakt nu minder uit of je hoger of lager management bent, je verantwoordelijkheden zijn meer gelijk getrokken. Als gezamenlijk doel hebben deze twee lijnen het op poten zetten van acties om de doelen van de organisatie te behalen. De rol van de eerste lijn hierin is het voorzien van klanten in diensten en goederen en het managen van risico’s, terwijl de tweede lijn de eerste lijn ondersteuning biedt bij alle risico gerelateerde zaken. Denk daarbij aan expertise delen, ondersteuning bieden, risico’s monitoren en uitdagingen op risicovlak aangaan.

Lijn drie is nog steeds die van interne auditoren, degenen binnen deze rol zijn nog steeds verantwoordelijk voor het onafhankelijk borgen van risico’s. Zij zijn objectief en voorzien de managementlaag van advies om de doelen te bereiken. Er is sprake van afstemming, communicatie, coördinatie en samenwerking tussen lijn 3 aan de ene kant en lijn 2 en 1 aan de andere kant. Er is dus geen sprake van delegatie en aansturing of verantwoordelijkheid afleggen en rapporteren tussen deze twee groepen.

Binnen het vernieuwde model is de derde lijn, maar nu samen met het bestuursorgaan, nog steeds de barrière tussen de organisatie en de externe auditoren, maar is deze groep niet langer verantwoordelijk voor alles aangaande instanties en belanghebbenden, die verantwoordelijkheid ligt nu geheel bij het bestuursorgaan.

Wat betekent dit vernieuwde model voor organisaties?

Binnen Infoland zien we al langer de noodzaak om de verantwoordelijkheid voor risicomanagement en/of GRC binnen de hele organisatie neer te leggen. Dit wordt ook wel Integraal Risicomanagement genoemd en het vernieuwde Three Lines model sluit nog beter aan bij deze visie.

“Het geeft organisaties de mogelijkheid om de focus te verleggen van ‘in control zijn’ naar ‘het realiseren van doelen en creëren van waarde’,” aldus Infoland CEO Marieke Kessels. “In het vernieuwde model werken de drie functies nauw samen om de organisatiedoelen te bereiken, waarbij de 1e frontlinie van cruciale waarde is.”

Oftewel: door de frontlinie (die onder de eerste laag valt) niet langer enkel te beschouwen als een uitvoerende functie die zelf weinig verantwoordelijkheid draagt maar deze wel af moet leggen, maar als volwaardig onderdeel van het risicobeleid, werkt risicomanagement als katalysator voor het behalen van doelen en voegt het waarde toe aan wat je als organisatie doet en wil bereiken.

Integraal Risicomanagement betekent dat je risico’s integraal onderdeel laat uitmaken van alledaagse beslissingen die je als organisatie neemt. Deze beslissingen worden door alle lagen van de organisatie genomen, niet enkel door het hoger management. Het kunnen namelijk ook kleine zaken zijn, waarbij je niet eens altijd stilstaat dat dit risicomanagement raakt. Daar mag, nee moet, verandering in komen als je ook in de toekomst in control wil zijn. Of zelfs een strategische voorsprong wil behalen.

Door iedereen, van auditoren en professionals in de eerste lijn, tot het management en de business owners, aan te laten haken in risicomanagement, en iedereen eigen verantwoordelijkheden heeft hierbinnen, kun je dit bereiken. Het Three Lines model sluit daar perfect op aan en legt de verantwoordelijkheid daar waar deze ook hoort te liggen: bij iedereen, op het eigen niveau. Door de overlegstructuur weet je wel waar iedereen mee bezig is en kan er ingegrepen worden indien nodig.

Het betekent ook nog iets anders. Waar voorheen de tweede lijn verantwoordelijk was voor de middelen waarmee risicomanagement geborgd kan worden, hebben nu anderen binnen de organisatie veel meer te zeggen hierover. Het zijn tenslotte vooral de professionals in de frontlinie die hier veelvuldig mee moeten werken. Niet alleen auditoren, maar iedereen die incidenten meldt, interne audits uitvoert, checklists naloopt etc. Welke tools zij hiervoor kunnen gebruiken, en vooral hoe gebruiksvriendelijk deze zijn, is belangrijk voor hoe betrokken zij zich zullen voelen bij het proces.

Binnen Infoland hebben we experts die alles weten over integraal risicomanagement en de inzet van de juiste software. Zij kunnen je alles vertellen over hoe dit past binnen jouw organisatie en hoe het jou gaat helpen om de doelen te halen. Meer weten? Neem dan vooral contact met ons op!

Benieuwd wat Zenya
voor jouw organisatie kan betekenen?

Neem vrijblijvend contact op met onze experts. Wij denken graag met je mee.