Three Lines of Defense Model

Risicomanagement

Organisaties zijn vanuit de statuten of governancecode verplicht zorg te dragen voor een effectief risicomanagementsysteem. Het Three lines of Defence Model wordt binnen organisaties vaak gebruikt om taken en verantwoordelijkheden rondom risicomanagement vast te leggen. Wie is binnen de organisatie verantwoordelijk voor het beheersen van de (afzonderlijke) risico's en heeft de verantwoordelijkheid voor de effectiviteit van het risicomanagementsysteem? 

  

1   Three Lines of Defense Model (3LoD)

a      1st line  -->  Risicobeheersing in werkprocessen
b      2nd line  --> Compliance & Riskmanagement
c      3th line  -->  Onafhankelijk toezicht 

2   Aandachtspunten

3   3LoD-model voor een goede Governance

4   Risicomanagement

a      Administratieve Organisatie
b      COSO-ERM
c      Risicomanagementsysteem
d      Soorten risico's

 

1   Three lines of Defense Model

Het Three lines of Defense Model (3LoD) van het Institute of Internal Auditors (IIA) wordt als instrument ingezet om risico's te beheersen en om aan de buitenwereld te laten zien dat je als organisatie 'in control' bent. Voor een goede sturing en beheersing van je organisatie mag een effectief risicomanagementsysteem immers niet ontbreken. 

 

De eerste verdedigingslinie (of; eerste lijn) voor het beheersen van risico's ligt bij de business- en proceseigenaren. Het management is dan ook als eerste verantwoordelijk voor het effectief beheersen van de risico's die voortkomen uit de werkprocessen. Het management moet ervoor te zorgen dat doelstellingen worden gerealiseerd zonder dat zich vervelende verrassingen voordoen. De werkprocessen vormen daarmee de eerste verdedigingslinie van de 'three lines of defense'. 

 
      • De 1ste lijn identificeert en beoordeelt risico's die zich in de werkprocessen voordoen die ten koste (kunnen) gaan van de realisatie van de doeltellingen van de organisatie. 
      • De 1ste lijn neemt maatregelen om de risico's die de tolerantiegrens te boven gaan te beheersen en past de werkprocessen hierop aan.  
      • De 1ste lijn is verantwoordelijk voor het risicobewust maken van de medewerkers.
      • De 1ste lijn past op basis van nieuwe kwaliteitseisen en/of veranderende wet- en regelgeving de werkprocessen aan.  
      • De 1ste lijn stuurt bij (neemt additionele maatregelen) als de risicorapportages die door de 2de of de 3de lijn worden opgesteld daartoe aanleiding geven. 
 
De eerste lijn voor het beheersen van risico's vind je dus in de werkprocessen zelf. Denk daarbij aan de controles die de kredietafdeling van een bank moet uitvoeren voordat het een krediet verschaft. Of de instructies die een bouwvakker moet volgen (veiligheidshelm, etc) om veilig te kunnen werken. En bij het gebruik van computers worden risico's met autorisaties afgedekt. En zo mag de financieel medewerker die een crediteur kan aanmaken nooit geautoriseerd zijn om ook daadwerkelijke betalingen te doen.     

 

De tweede verdedigingslinie (of: de tweede lijn) richt zich op de ondersteuning van de eerste lijn bij de beheersing van risico’s. De tweede lijn ondersteunt de eerste lijn bij de implementatie van effectief risicomanagement. De tweede lijn faciliteert het management bij het opzetten en/of bewaken van de eerstelijns controles. In de tweede lijn zitten vaak compliance- en risicospecialisten. Denk daarbij aan functies als interne controleurs, financial controllers, kwaliteitsmedewerkers of specialisten op het gebied van wet- en regelgeving.  

 
      • De 2de lijn is verantwoordelijk voor het inrichten en bewaken van het risicomanagementsysteem. Dit altijd ter ondersteuning van het primair proces en haar bedrijfsvoering. De 2de lijn is verantwoordelijk voor de implementatie van het organisatiebrede risicobeleid. Begrippen als risicobereidheid, risicotoleranties (tolerantiematrix) en risico-strategieën staan daarbij centraal. 
      • De 2de lijn adviseert en ondersteunt het management bij het uitvoeren van risicoanalyses en het nemen van beheersmaatregelen.  
      • De 2de lijn adviseert en ondersteunt het management bij het implementeren van nieuwe kwaliteitseisen en nieuwe wet- en regelgeving in de werkprocessen. 
      • De 2de lijn stelt risicorapportages op en rapporteert hierover aan het management.
 
De tweede lijn maakt geen onderdeel uit van de reguliere werkprocessen. De tweedelijnswerkzaamheden worden vaak, afhankelijk van de grootte en de soort activiteiten van de organisatie, in een afzonderlijke afdeling onder gebracht. Zoals de afdeling AO-IC, Interne controle of de afdeling kwaliteitsmanagement.   

 

De derde verdedigingslinie (of: de derde lijn) van een effectief risicomanagementsysteem wordt volgens het 3LoD -model gevormd door de audit functie. De audit functie voert onafhankelijk van de eerste- en tweede lijn een beoordeling uit van de risico’s en de risicobeheersing binnen de organisatie. De derde verdedigingslinie geeft de Raad van Bestuur zekerheid over de kwaliteit van het risicomanagementsysteem en zekerheid of de risico's zoals deze door de eerste- en tweede lijn worden gepresenteerd overeenkomen met de werkelijkheid. Dit om te voorkomen dat de Raad van Bestuur (al dan niet bewust) wordt verrast door risico's die zich in één keer gaan voordoen.  

 
      • De 3de lijn; beoordeelt de effectiviteit van het stelsel van interne beheersingsmaatregelen in het algemeen en die van het risicomanagementsysteem (zoals deze in de 1ste en 2de lijn is vormgegeven) in het bijzonder. 
      • De 3de lijn; beoordeelt de kwaliteit van de risicocontroles die in de 1ste en 2de lijn zijn uitgevoerd en de mate waarin gevolg wordt gegeven aan de uitkomsten ervan. 
      • De 3de lijn; rapporteert en adviseert onafhankelijk aan de Raad van Bestuur en veelal ook aan de Raad van Toezicht.  
 

Het belangrijkste verschil tussen de derde lijn en de eerste- en tweede lijn is de hoge mate van organisatorische onafhankelijkheid van de derde lijn. De afdeling Internal Audit mag (risico)processen niet sturen of uitvoeren. De audit afdeling is dus niet verantwoordelijk voor de effectiviteit van het risicomanagementsysteem. Van de auditafdeling wordt wel verwacht dat deze advies geeft over de kwaliteit en het verbeteren van het risicomanagementsysteem. De audit functie kan intern gepositioneerd zijn of kan door externe partijen ingevuld worden.

 

2   Aandachtspunten 

Zoals bij elk managementmodel kent ook het Three Lines of Defense model (3LoD) aandachtpunten die in acht moeten worden genomen bij het gebruik ervan. De belangrijkste aandachtspunten zijn: 

 
  • De medewerker als eerste verdedigingslinie?; het 3LoD model richt zich sterk op de verantwoordelijkheid van het management (1ste en 2de lijn) en de Raad van Bestuur (3de lijn). Daarmee onderschat het 3LoD model mijn inziens de rol van de medewerker. Want laat het nu juist de medewerker zijn die dagelijks te maken heeft met risico's. Risico's die niet altijd zijn af te vangen met procesbeschrijvingen, instructies of autorisaties. Je wit dat de medewerkers met gezond verstand met risico's omgaan. Het is daarom belangrijk juist de medewerker bij het beheersen van risico's te betrekken en het risicobewustzijn bij medewerkers te ontwikkelen.    
 
  • Management; volgens de theorie van het 3LoD model vallen de 1ste en 2de lijns risico activiteiten onder verantwoordelijkheid van het management. Dit is ook logisch omdat diezelfde manager ook de verantwoordelijkheid heeft voor de realisatie van de organisatiedoelstellingen. Het sturen op doelstellingen en het sturen op risico's zijn twee kanten van dezelfde medaille. Waarbij het wel zo is dat de 2de lijn een bepaalde mate van onafhankelijkheid heeft ten opzichte van de 1ste lijn. Dit om een min of meer onafhankelijke risicobeheer ten opzichte van de werkprocessen te borgen. Maar wel beide onder verantwoordelijkheid van het management. 
 
  • Raad van Bestuur (directie); het management is verantwoordelijk voor een effectief risicomanagementsysteem. Het management is immers verantwoordelijk voor de realisatie van de doelstellingen (en het beheersen van die risico's die daarmee gepaard gaan). De Raad van Bestuur (de directie) is echter eindverantwoordelijke. Daarom heeft de 3de lijn een volledige onafhankelijke positie van de 1ste en 2de lijn. En rapporteert de 3de lijn over de opzet en werking van het risicomanagementsysteem direct aan de Raad van bestuur (en soms ook aan de Raad van Toezicht). 
 
  • Rollen, taken en verantwoordelijkheden; de inrichtingsprincipes van het 3LoD model houden niet in dat voor iedere verdedigingslinie een aparte afdeling ingericht moet worden. In grotere organisaties is dat wel verstandig, maar in kleinere organisaties is dat niet altijd mogelijk. Het gaat erom dat de betreffende functies c.q. rollen onafhankelijk van elkaar zijn belegd binnen een organisatie (bijvoorbeeld bij een afdeling Finance & Control) of daarbuiten (bijvoorbeeld de audit functie). De inrichting van de 3LoD verschilt per type organisatie en hangt vooral af van de grote en complexiteit van de organisatie en het soort activiteiten dat de organisatie uitvoert. 
 
  • Risicocultuur; voor een effectieve beheersing van risico's is een open cultuur belangrijk. Niets is dodelijker voor goed risicomanagement dan een cultuur waarin het benoemen van risico’s en fouten wordt afgestraft. Het is daarom van belang dat medewerkers de ruimte hebben en voelen om risico’s te signaleren en daarop actie te ondernemen. Het zijn juist de medewerkers die inhoudelijk het dichtst bij het werk betrokken zijn, waardoor zij beter dan wie dan ook in staat zijn om risico’s in de operationele processen te onderkennen. Belangrijk is ook dat medewerkers en het management de inbreng van de 2de en 3de lijn respecteert voor hun bijdrage aan het verbeteren van risicobeheersing in de 1ste lijn.
 
  • Kennis en kunde; op ieder van de drie verdedigingslinies moet voldoende kennis en kunde aanwezig zijn om de verantwoordelijkheid op het gebied van risicomanagement goed in te vullen. In de praktijk zie ik dat vooral in de 1ste en 2de lijn kennis en kunde rondom risicomanagement onvoldoende aanwezig is. 

 

3   3LoD-model voor een goede Governance

In 2020 is het Institute of Internal Auditors (IIA) met een update gekomen van het Three-lines of Defence model. De essentie van de 'modernisering' van het model is de vaststelling dat risicomanagement geen eigenstandig instrument moet zijn binnen de aansturing van een organisatie. Je kunt het vergelijken met het ISO kwaliteitsmodel of het Enterprise Risk Model van COSO. Deze modellen zijn ook uitgegroeid van specifieke instrumenten voor respectievelijk kwaliteitsverbetering en risicobeheersing tot brede organisatiemodellen. Achterliggende gedachte daarbij is dat sturingsinstrumenten die een organisatie inzet altijd op elkaar moeten zijn afgestemd. Om zo de prestaties te verbeteren en de doelen te realiseren. Belangrijkste wijzigingen zijn: 

 
  • Strategie, doelen, kansen & risico's; de update van het 3LoD-model benadrukt dat het sturen op doelen en het sturen op risico's een wederzijde afhankelijkheid van elkaar hebben. Deze sturingsprocessen moeten dan ook geïntegreerd worden en kunnen niet afzonderlijk van elkaar worden gezien. Zo is het bepalen van een strategie niks anders dan een balans zoeken tussen kansen die zich voordoen en de risico's die daaruit voortkomen. Risicomanagement is alleen effectief als deze onderdeel uitmaakt van de integrale planning en control van een organisatie. Het IAA spreekt hier graag van risk-based decision-making.
 
  • Samenwerking & Continu verbeteren; de update van het 3LoD-model houdt vast aan de verschillende functies van de drie 'verdedigingslinies'. Het nieuwe model benadrukt echter dat de drie lijnen naast een controlerende functie ook een lerende functie hebben. Risicomanagement als onderdeel van de planning en control biedt concrete handvatten voor een proces van continu verbeteren. 
 
  • Contingentie; de gemoderniseerde versie van het 3LoD-model is minder voorschrijvend. Door risicomanagement te integreren in de reguliere bedrijfsprocessen is de feitelijke inrichting per definitie meer afhankelijk van de wijze waarop de organisatie is ingericht. De inrichting van het risicomanagementsysteem is mede afhankelijk van het soort activiteiten dat de organisatie uitvoert en de structuur, strategie, complexiteit en grote van die organisatie.     
 

Door risicomanagement direct te relateren aan de doelen, strategie en processen van de organisatie spreekt het Institute of Internal Auditors liever niet meer van een risicomodel maar van een model voor 'good governance' (goed bestuur). De praktijk laat echter zien dat het 3LoD-model toch nog vooral wordt ingezet als een instrument om risico's te beheersen. En niet als een integraal besturingsmodel wordt beschouwd.

 

4   Risicomanagement

Hoewel het Three-Lines Defense model (3LoD) is doorgegroeid van een model om risico's te beheersen naar een governancemodel vind zij haar oorsprong in het beheersen van risico's. En omdat het three-lines model in de praktijk nog steeds vaak wordt ingezet voor het inrichten van risicomanagementsysteem wordt hieronder dieper ingegaan op wat een risicomanagementsysteem nu precies is en hoe je deze kunt inrichten.  

 

  1. Administratieve Organisatie (AO); de administratieve Organisatie vormt binnen elk bedrijf een belangrijke basis voor het beheersen van risico's. In de AO worden de werkwijzen, regels, procedures, taken, bevoegdheden, verantwoordelijkheden en interne controlemaatregelen beschreven. Op deze pagina wordt duidelijk hoe een goede administratieve organisatie bijdraagt aan het vastleggen én veilig stellen van alle opbrengsten, het zeker stellen van de rechtmatigheid van de uitgaven én het beschermen van andere waarden/productiemiddelen van een bedrijf. 

 

  1. COSO-Enterprise Risk System; is verreweg het meest gebruikte raamwerk voor het beoordelen en inrichten van risicomanagement. Al meer dan twintig jaar geleden heeft het Committee of Sponsoring Organizations of the Treadway Commission(COSO), het Interne Beheersing Geïntegreerd Raamwerk (Internal Control Integrated Framework) uitgevaardigd om ondernemingen en andere organisaties te helpen met het beoordelen en verbeteren van de interne beheersingssystemen. Het Raamwerk is door COSO in een kubus weergegeven.

 

  1. Risicomanagementsysteem; op basis van het Enterprise Risk Management van COSO heeft House of Control een Raamwerk Risicomanagement ontwikkeld. Het raamwerk omvat 8 concrete stappen die je moet doorlopen om met succes risicomanagement in jouw organisatie te introduceren of te verbeteren. Begrippen als integraal risicomanagement, risicobewustzijn, risicobereidheid, risicotolerantie en risico strategieën staan daarbij centraal. Ook wordt duidelijk hoe je risico's kunt identificeren, waarderen en categoriseren zodat je de juist maatregelen kunt nemen om je risico's te beheersen.  

 

  1. Soorten risico's; om tot een effectief risicomanagementsysteem te komen is het van belang om een aantal begrippen beter te duiden. Op deze pagina worden de verschillende soorten risico's kort toegelicht. Denk daarbij aan begrippen als operationele, tactische en strategische risico's, bruto en netto risico's, beïnvloedbare en niet beïnvloedbare risico's.  

 

Deel House of Control via Social Media