Midden in de zomer van 2020 komt het Three Lines of Defence model met een update. Hoewel de vakantie voor velen in volle gang was, legden de risicomanagers wel even hun vakantieboek opzij om deze update even door te nemen.
Three Lines of Defence model
Het Three Lines of Defence model (3LoD) wordt veel gebruikt om organisaties in te richten qua governance en control. Op 20 juli werd van het Three Lines of Defence model een nieuwere versie gepubliceerd. Die verandering kan voor veel sectoren een grote verandering betekenen. In een aantal sectoren is het model namelijk verplicht om toe te passen in de bedrijfsvoering. Daarnaast wordt het ook voor een groot aantal sectoren vrijwillig gebruikt wegens de duidelijkheid en overzichtelijkheid van het model. Hierdoor zijn risico’s goed te vertalen naar de verschillende stakeholders. Een van mijn meest gelezen blogs ging over dit model. In dit blogartikel lees je de belangrijkste aanpassingen met onderaan de beschrijving van het eerste principe over governance, iets wat mij persoonlijk altijd interesseert.
Linking to strategy & performance
Met deze nieuwe update zoekt IIA de aansluiting bij de vernieuwde risicomanagement normen als Iso31000 en Coso 2017. Allebei de normen hebben de afgelopen jaren gekozen voor de koppeling aan strategie + doelstellingen. Ook is de doelstelling van risicomanagement niet alleen waarde-behoud maar vooral waarde creatie. Daarom is bij deze update van IIA de Defence verdwenen en spreken we nu van het Three lines model (3LM).
De update belicht de positieve kant van het nemen van risico’s door de focus te leggen op Risk-based decision-making. Hiermee wordt een proces bedoeld dat bestaat uit analyse, planning, actie, monitoring en review, maar ook een proces wat de potentiële impact van onzekerheden op doelstellingen meeneemt.
Blended or separated 1e en 2e lijn
In de nieuwe versie wordt veel meer de nadruk gelegd op de afstemming tussen de eerste, tweede en derde lijn. De rollen en verantwoordelijkheden in het model en de onderlinge relaties worden beter uitgelegd. Zo mogen de 1e en 2e lijn “be blended or separated” zijn. Natuurlijk blijft de 3de lijn onderscheidend door haar onafhankelijkheid waardoor assurance en advies kan worden gegeven aan het bestuur.
Meer ruimte voor maatwerk met het nieuwe 3LM
Het derde verbeterpunt is dat het model door principle based te zijn veel meer ruimte geeft om de inrichting van het model af te stemmen op de specifieke situatie van de organisatie. De verandering geeft erkenning aan het feit dat een model het meest effectief is zodra het model aangepast is aan de doelstellingen en omstandigheden van de organisatie. Denk hierbij bijvoorbeeld aan hiërarchie, complexiteit en de grootte van de organisatie.
Extra: Principe 1 Governance
Governance van een organisatie vereist passende structuren en processen die de volgende zaken mogelijk maken:
- Verantwoording middels een bestuursorgaan aan belanghebbenden voor organisatorisch toezicht door integriteit, leiderschap en transparantie.
- Acties (inclusief risicomanagement) door het management om de doelstellingen van de organisatie te bereiken door middel van risico-gebaseerde besluitvorming en de inzet van middelen.
- Assurance en advies door een onafhankelijke interne auditfunctie om duidelijkheid en vertrouwen te bieden en voortdurende verbetering te bevorderen en te vergemakkelijken door rigoureus onderzoek en inzichtelijke communicatie.
