Contact NARIS
Contact
Email to
info@naris.com
Nieuwe versie van Three lines of defence IIA =3LM

Nieuwe versie van Three lines of defence IIA =3LM

Terug naar overzicht | | | Reacties uitgeschakeld voor Nieuwe versie van Three lines of defence IIA =3LM

Oke het is vakantie, maar risicomanagement gaat door. Midden in de vakantie is er een update van het Three Lines of Defence model. Toch maar even mijn vakantieboek opzij gelegd en het stuk doorgenomen.

Het IIA gepubliceerde deze update op 20 juli. Het 3LoD wordt veel gebruikt om organisaties in te richten qua governance en control. In een aantal sectoren is het zelfs verplicht. Maar ook vrijwillig wordt het model veel gebruikt omdat het duidelijk en overzichtelijk is. En daarmee is het goed uit te leggen aan de verschillende stakeholders. Een van mijn meest gelezen blogs ging over dit model.

Hierbij de belangrijkste aanpassingen en onderaan de beschrijving van het eerste principe over governance (iets wat mij altijd interesseert).

Linking to strategy & performance

Met deze nieuwe update zoekt IIA de aansluiting bij de vernieuwde risicomanagement normen als Iso31000 en Coso 2017. Beide normen hebben de afgelopen jaren gekozen voor de koppeling aan strategie + doelstellingen. Ook is de doelstelling van risicomanagement niet alleen waarde-behoud maar vooral waarde creatie. Daarom is bij deze update van IIA de toevoeging Defence is verdwenen en spreken we nu van het three lines model (3LM).

De positieve kant wordt concreet gemaakt door de focus op Risk-based decision-making. Oftewel een proces dat bestaat uit analyse, planning, actie, monitoring en review. En een proces wat de potentiële impact van onzekerheden op doelstellingen meeneemt.

Blended or separated 1e en 2e lijn

In de nieuwe versie wordt veel meer de nadruk gelegd op de afstemming tussen de eerste, tweede en derde lijn. De rollen en verantwoordelijkheden in het model en de onderlinge relaties worden beter uitgelegd. Zo mogen de 1e en 2e lijn “be blended or separated” zijn, hetgeen vaak recht doet aan de praktijk in veel organisaties. En natuurlijk blijft de 3de lijn onderscheidend door haar onafhankelijkheid waardoor assurance en advies kan worden gegeven aan het bestuur.

Maatwerk

Derde verbeterpunt is dat het door principle based te zijn veel meer ruimte geeft om de inrichting van het model af te stemmen op de specifieke situatie van de organisatie. Het erkent dat een model het meest effectief is als het is aangepast aan de doelstellingen en omstandigheden van de organisatie. Denk hierbij bijv. aan hierarchie, complexiteit en de grootte van de organisatie.

Bijlage Principe 1 Governance

Governance van een organisatie vereist passend structuren en processen die het mogelijk maken:

Verantwoording door een bestuursorgaan aan belanghebbenden voor organisatorisch toezicht door integriteit, leiderschap en transparantie.

Acties (inclusief risicomanagement) door het management om de doelstellingen van de organisatie te bereiken door middel van risico-gebaseerde besluitvorming en de inzet van middelen.

Assurance en advies door een onafhankelijke interne auditfunctie om duidelijkheid en vertrouwen te bieden en voortdurende verbetering te bevorderen en te vergemakkelijken door rigoureus onderzoek en inzichtelijke communicatie.


Robert 't Hart

Nieuwe versie van Three lines of defence IIA =3LM
Robert ’t Hart is directeur van Naris. Hij is een veel gevraagde spreker op congressen vanwege zijn positieve kijk op het onderwerp risicomanagement. Daarnaast is hij een enthousiaste blogger over de nieuwste ontwikkelingen. Als docent is Robert verbonden aan de Universiteit Twente en Haagse Hogeschool en tevens is hij trainer aan de Naris Risk Academy. Hij is thuis op het gebied van governance en risicomanagement en helpt organisaties bij het daadwerkelijk implementeren daarvan. Risico-cultuur en het creëren van draagvlak behoort tot zijn expertise.