Three Lines of Defence: een robuust model voor risicomanagement en governance

Three Lines of Defence: een robuust model voor risicomanagement en governance

   Change Management Risico Management    14 mei 2024  |  0
Three Lines of Defence Model IIA

In een tijd waarin organisaties steeds complexer en risicovoller opereren, is effectief risicomanagement cruciaal. Of het nu gaat om cybersecurity, financiële stabiliteit of beleidsmatige integriteit, heldere verantwoordelijkheden en rollen zijn onmisbaar. Het Three Lines of Defence-model (3LoD) biedt een beproefde structuur om governance en risicobeheersing helder en effectief te organiseren. In dit blog licht ik het model toe, inclusief praktijkvoorbeelden uit zowel de private als de publieke sector.

Wat is het Three Lines of Defence-model?

Het 3LoD-model is ontwikkeld door het Institute of Internal Auditors (IIA) en onderscheidt drie verdedigingslinies binnen organisaties. Elke lijn heeft een unieke rol in het beheersen van risico’s en het waarborgen van integriteit, transparantie en compliance. Het model helpt bij het organiseren van de governance-structuur en voorkomt overlappende of juist ontbrekende verantwoordelijkheden.

De eerste lijn: eigenaarschap en uitvoering

De eerste lijn bestaat uit het operationeel management. Dit zijn de afdelingen en teams die verantwoordelijk zijn voor het realiseren van de doelstellingen van de organisatie én het beheersen van de bijbehorende risico’s. Denk aan lijnmanagers, projectleiders of product owners. Zij zijn eigenaar van de risico’s binnen hun domein en nemen beslissingen over hoe deze risico’s beheerst worden.

Voorbeelden:

  • In een financiële instelling: de kredietafdeling beoordeelt aanvragen en bewaakt kredietrisico’s.
  • In de publieke sector: een beleidsafdeling binnen een ministerie voert beleid uit en beheert risico’s in de uitvoering.

De tweede lijn: ondersteuning en kaders

De tweede lijn faciliteert, ondersteunt en controleert de eerste lijn. Deze lijn ontwikkelt beleid, kaders en richtlijnen op het gebied van risicomanagement, compliance, privacy, informatiebeveiliging en interne controle. De tweede lijn heeft een adviserende én toetsende rol, zonder eindverantwoordelijkheid voor de uitvoering.

Voorbeelden:

  • In het bedrijfsleven: een compliance-afdeling ontwikkelt regelgeving voor klantacceptatie en toetst of afdelingen zich daaraan houden.
  • In de overheid: een directie Beleid en Kwaliteit stelt kaders op voor subsidies of toezichtprocessen en toetst of uitvoerende diensten zich eraan houden.

De derde lijn: onafhankelijke toetsing

De derde lijn wordt gevormd door interne audit. Deze lijn is volledig onafhankelijk en beoordeelt of de eerste en tweede lijn effectief functioneren. De interne audit rapporteert rechtstreeks aan het hoogste bestuursorgaan, zoals de raad van bestuur of auditcommissie.

Voorbeelden:

  • In een multinational: interne audit onderzoekt of het risicobeheersingssysteem adequaat werkt en of wet- en regelgeving wordt nageleefd.
  • In een gemeente: de interne auditafdeling controleert of subsidies doelmatig en rechtmatig zijn verstrekt volgens de beleidskaders.

Waarom is 3LoD belangrijk?

Het 3LoD-model zorgt voor:

  • Heldere verantwoordelijkheden: iedereen weet wat zijn of haar rol is in risicobeheersing.
  • Betere governance: bestuurders kunnen effectiever toezicht houden.
  • Snellere signalering van risico’s: dankzij onafhankelijke toetsing en een tweede lijn die vroegtijdig ondersteunt.
  • Versterkte samenwerking: duidelijke rollen zorgen voor minder miscommunicatie.

Praktijkvoorbeeld: implementatie bij ProRail

Bij ProRail heb ik als onderdeel van het programma Beleid het Three Lines of Defence-model geïmplementeerd. In dit programma was de tweede lijn verantwoordelijk voor het ontwikkelen van beleidskaders die richting gaven aan de uitvoering in de eerste lijn. Dit heeft geleid tot een betere afstemming tussen strategie, uitvoering en toetsing. Zowel beleidsmakers als uitvoerders konden hun rol beter vervullen, en de interne audit kan vanuit de derde lijn effectief blijven toetsen.

Praktische tips voor implementatie van 3LoD

  1. Breng rollen en verantwoordelijkheden in kaart: Begin met een heldere analyse van wie wat doet in de organisatie.
  2. Investeer in bewustwording: Zorg dat iedereen snapt wat het model inhoudt en waarom het belangrijk is.
  3. Stel kaders en richtlijnen op: Laat de tweede lijn beleid formuleren dat uitvoerbaar en toetsbaar is.
  4. Versterk de interne auditfunctie: Zorg voor voldoende onafhankelijkheid, expertise en mandaat.
  5. Borg in de governance-structuur: Laat het bestuur actief sturen op samenhang tussen de drie lijnen.

Conclusie

Het Three Lines of Defence-model is een krachtig raamwerk voor organisaties die grip willen krijgen op hun risico’s, governance willen versterken en transparanter willen opereren. Door duidelijke verantwoordelijkheden te scheiden en tegelijkertijd samenwerking te bevorderen, kunnen zowel private als publieke organisaties hun prestaties en betrouwbaarheid aanzienlijk verbeteren.

Meer weten: download het rapport van IIA: Het Three Lines Model van het IIA, een update van de Three Lines of Defense

 

© 2025 Martijn van Dalen