Vul het formulier in en klik op bevestigen om de brochure te ontvangen

Laat je gegevens achter. Wij informeren je zodra er nieuwe data bekend zijn.

Hoe volwassen zijn de Three Lines in jouw organisatie?

Een goed werkend Three Lines Model is essentieel voor beheersen van de belangrijkste risico's en voor het in-control zijn van de organisatie. Hoe volwassen zijn de drie lijnen in jouw organisatie, en bij wie ligt de verantwoordelijkheid voor de onvolwassenheid?

Het Three Lines Model wordt door veel en steeds meer organisaties gebruikt om hun organisatie in te richten. En terecht, want het model biedt een goede structuur om de organisatie in te richten qua verantwoordelijkheden en rollen. In het kort: de eerste lijn is de ‘business ‘, de groep die verantwoordelijk is voor de keuzes die worden gemaakt en de risico’s die worden genomen in de dagelijkse praktijk. De tweede lijn is de ‘control’, de specialisten die systemen ontwikkelen voor een goed proces van risicomanagement en -beheersing, altijd ter ondersteuning van de eerste lijn. De derde lijn is de internal audit. Deze groep voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing op bepaalde vlakken binnen de organisatie.

Het op papier simpele model helpt om intern op meerdere niveaus te communiceren over risicomanagement en control. Maar het model helpt ook om de buitenwereld te laten zien dat de organisatie in control is en dat de belangrijkste risico’s goed beheerst worden.

Een onvolwassen eerste lijn

Het model is vooral bekend bij control-, compliance- en internal audit-medewerkers.

Steeds vaker hoor ik dan dat de eerste lijn echt onvolwassen is. Vaak zijn dit dan 2e lijns-specialisten in een bepaald vakgebied, bijvoorbeeld privacy, informatiebeveiliging, kwaliteit, veiligheid, etc.

Professionals in de eerste lijn zijn zich niet bewust van hun verantwoordelijkheden om hun risico’s te managen. Bovendien leveren ze het aangeleverde format niet aan en moet de specialist dan maar zelf met veel frustratie zaken overnemen.

Een onvolwassen tweede lijn?

Al meer dan 20 jaar zeggen we in het kader van integraal management dat de eerste lijn primair verantwoordelijk is. En toch lukt dit in de praktijk maar mondjesmaat. Waardoor komt dit? Wellicht kan de tweede lijn eerst zelf nog een paar stappen zetten voordat zij de eerste lijn lastigvalt. Ze zou stappen kunnen zetten om te komen van:

– Een lijn waarin specialisten niet samenwerken waardoor de eerste lijn vaak dezelfde vragen opnieuw moet beantwoorden … Naar een lijn die samenwerkt en de risk + controls op elkaar afstemt.

– Een lijn die streeft naar perfectie (100% compliant) en niet vanuit de vakkennis zelf prioriteiten durft te stellen. … Naar een lijn die risicogestuurd keuzes durft te maken en prioriteiten stelt (en ook dus tijdelijk dingen loslaat).

– Een lijn die niet echt helpt. Let op: een format bieden is niet helpen! … Naar een lijn die proactief helpt middels een korte dialoog en daarmee de betreffende afdeling zelf laat aangeven of de aangegeven controls aanwezig zijn. Let op: faciliteren is wat anders dan overnemen!

Volwassen derde lijn

De oplossing ligt vooral in de tweede lijn. De derde lijn is middels haar positionering afhankelijk van de volwassenheid van de tweede lijn. Indien deze volwassen is, is het mogelijk om op de door de tweede lijn opgehaalde informatie te kunnen bouwen. Indien dit niet het geval is zal zij meer op eigen kracht assurance moeten geven. In de praktijk wordt de agenda dan vaak door de accountant bepaald. Voor de derde lijn is het dus raadzaam om de werking van de three lines op de agenda van bestuur en toezichthouder te zetten.

Bekijk meer nieuws