Nieuwe versie van Three lines of defence IIA = 3LM

Midden in de zomer van 2020 komt het Three Lines of Defence model met een update. Hoewel de vakantie voor velen in volle gang was, legden de risicomanagers wel even hun vakantieboek opzij om deze update even door te nemen

Het 3LoD wordt veel gebruikt om organisaties in te richten qua governance en control. Op 20 juli werd van dit model een nieuwere versie gepubliceerdDie verandering kan voor veel sectoren een grote verandering betekenen. In een aantal sectoren is het model namelijk verplicht om toe te passen in de bedrijfsvoering. Daarnaast wordt het ook voor een groot aantal sectoren vrijwillig gebruikt wegens de duidelijkheid en overzichtelijkheid van het model. Hierdoor zijn risico’s goed te vertalen naar de verschillende stakeholders. Een van mijn meest gelezen blogs ging over dit model. In dit blogartikel lees je de belangrijkste aanpassingen met onderaan de beschrijving van het eerste principe over governanceiets wat mij persoonlijk altijd interesseert.

Linking to strategy & performance

Met deze nieuwe update zoekt IIA de aansluiting bij de vernieuwde risicomanagement normen als Iso31000 en Coso 2017. Allebei de normen hebben de afgelopen jaren gekozen voor de koppeling aan strategie + doelstellingen. Ook is de doelstelling van risicomanagement niet alleen waarde-behoud maar vooral waarde creatie. Daarom is bij deze update van IIA de Defence verdwenen en spreken we nu van het three lines model (3LM).

De update belicht de positieve kant van het nemen van risico’s door de focus te leggen op Risk-based decision-making. Hiermee wordt een proces bedoeld dat bestaat uit analyse, planning, actie, monitoring en review, maar ook een proces wat de potentiële impact van onzekerheden op doelstellingen meeneemt.

Blended or separated 1e en 2e lijn

In de nieuwe versie wordt veel meer de nadruk gelegd op de afstemming tussen de eerste, tweede en derde lijn. De rollen en verantwoordelijkheden in het model en de onderlinge relaties worden beter uitgelegd. Zo mogen de 1e en 2e lijn “be blended or separated” zijn. Natuurlijk blijft de 3de lijn onderscheidend door haar onafhankelijkheid waardoor assurance en advies kan worden gegeven aan het bestuur.

Meer ruimte voor maatwerk met het nieuwe model

Het derde verbeterpunt is dat het model door principle based te zijn veel meer ruimte geeft om de inrichting van het model af te stemmen op de specifieke situatie van de organisatie. De verandering geeft erkenning aan het feit dat een model het meest effectief is zodra het model aangepast is aan de doelstellingen en omstandigheden van de organisatie. Denk hierbij bijvoorbeeld aan hiërarchie, complexiteit en de grootte van de organisatie.

three-lines-model

Extra: Principe 1 Governance

Governance van een organisatie vereist passende structuren en processen die de volgende zaken mogelijk maken:  

  • Verantwoording middels een bestuursorgaan aan belanghebbenden voor organisatorisch toezicht door integriteit, leiderschap en transparantie. 
  • Acties (inclusief risicomanagement) door het management om de doelstellingen van de organisatie te bereiken door middel van risico-gebaseerde besluitvorming en de inzet van middelen. 
  • Assurance en advies door een onafhankelijke interne auditfunctie om duidelijkheid en vertrouwen te bieden en voortdurende verbetering te bevorderen en te vergemakkelijken door rigoureus onderzoek en inzichtelijke communicatie.
Over de auteur
Over de auteur

Robert ’t Hart is directeur van Naris. Hij is een veel gevraagde spreker op congressen vanwege zijn positieve kijk op het onderwerp risicomanagement. Daarnaast is hij een enthousiaste blogger over de nieuwste ontwikkelingen. Als docent is Robert verbonden aan de Universiteit Twente en Haagse Hogeschool en tevens is hij trainer aan de Naris Risk Academy. Hij is thuis op het gebied van governance en risicomanagement en helpt organisaties bij het daadwerkelijk implementeren daarvan. Risico-cultuur en het creëren van draagvlak behoort tot zijn expertise.

Meer artikelen: