Onze visie op kwaliteit en prestaties
In control met Three Lines of Defence
Het nieuwe Three Lines Model (3LM) is de opvolger van het Three Lines of Defence (3LOD) model dat wereldwijd als standaard wordt gezien voor risicomanagement. Met dit model wordt een organisatie op een bepaalde manier ingericht zodat de buitenwereld kan zien dat de organisatie in control is.
Volledige proefversie
Slechts 30 minuten
Geheel vrijblijvend
De drie lijnen op een rijtje
De business (1st line)
Deze groep is eindverantwoordelijk voor de keuzes die worden gemaakt en de risico’s die in de dagelijkse praktijk worden genomen.
Control (2nd line)
Deze groep ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.
Internal audit (3rd line)
Deze groep voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing op bepaalde vlakken binnen de organisatie.
Goede coördinatie van werkzaamheden: de sleutel tot het functioneren van het Three Lines Model
Binnen het 3-lines of defence model is het management (de eerste lijn) het meeste in staat om risico’s te managen en in control te zijn. De internal audit, als derde lijn, dient erop toe te zien dat de beheersmaatregelen en in controls daadwerkelijk operationeel zijn. De tweede lijn heeft een belangrijke rol om de eerste lijn te faciliteren met deze verantwoordelijkheden en te controleren of dit ook daadwerkelijk gebeurt. De afgelopen jaren is de tweede lijn aanzienlijk uitgebreid. Hierdoor wordt de eerste lijn overvoerd met vragen van risicospecialisten als business control, financial control, CISO, privacy officer en kwaliteitsmedewerker. Coördinatie van deze werkzaamheden is de sleutel tot het daadwerkelijk functioneren van het Three Lines Model. Door een integrale risk based samenwerking te hebben, kan de raad van bestuur de assurance verkrijgen dat men in control is.
Three Lines Model
1e lijn
2nd line
3rd line
Het Three Lines of Defence model van de The Global Institute of Internal Auditors is juli 2020 geupdate.
De functies zijn niet alleen bedoeld om waarde van de organisatie te beschermen, maar ook om deze te vergroten. Zodoende wordt niet meer gesproken over ‘lines of defense’ of ‘lines of defence’.
Centraal voor alle functies staan de doelen van de organisatie. De functies zijn geen silo’s, maar stemmen af en werken samen; ieder vanuit de eigen rol. De inrichting van het model moet worden afgestemd op de risico’s en specifieke situatie van de organisatie.
Het 3LM legt sterker een koppeling met de doelstellingen van de organisatie.
1e lijn
Deze groep is eindverantwoordelijk voor de keuzes die worden gemaakt en de risico’s die in de dagelijkse praktijk worden genomen.
Je wilt de mensen die verantwoordelijk zijn voor de belangrijkste activiteiten en processen in een organisatie optimaal ondersteunen. GRC informatie is relevant maar vaak alleen als het moet. Hoe maak je het voor hen makkelijker? Hoe gaat risicomanagement voor hen leven? Weten zij binnen welke kaders ze moeten opereren? En hoe doe je effectief een Privacy Impact Assessment zonder direct alle teams te bestoken met een vragenlijst van meer dan 100 vragen?
Kernwoorden zijn: Verantwoording en rapporteren.
2nd line
Deze groep ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.
De risicomanager, controller, auditor, compliance of security functionaris (CISO) wil een overzichtelijk register van risico’s, controls, compliance sets en bijvoorbeeld gerelateerde incidenten. NARIS GRC helpt de GRC Professional met inzicht, volledigheid. Of je nu op basis van een Risk Control Framework werkt of alleen control testing doet, interne en externe audits wilt doen, of wilt voldoen aan een norm. Met onze kennis en de flexibiliteit van NARIS GRC kan je sturen met lef.
Kerwoorden zijn: Delegeren, richting, middelen, toezicht
3rd line
Deze groep voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing op bepaalde vlakken binnen de organisatie.
Toezichthouders, Raden van Bestuur/Toezicht/Commissarissen, externe auditors of accountants, als internal auditor wil je rapporteren op een effectieve en relevante wijze. NARIS GRC kan je helpen met die rapportages; of het nu gaat om assurance van audits of controls, risico’s bij ketenpartners of doelstellingen van de organisatie zelf. Van detail tot dashboard, in of extern; achteruitkijken om vooruit te sturen. Gevoed door nuttige GRC informatie zodat de juiste assurance gegeven kan worden.
Kernwoorden zijn: Afstemming, communicatie, coördinatie, samenwerking
Koppel risico’s aan doelen
De strategie van de organisatie is de basis voor het inrichten van je control framework. Dit helpt bestuurders om verantwoording af te leggen aan de stakeholders en daarmee vertrouwen te krijgen. Met NARIS GRC is het mogelijk om risico’s en controls visueel te koppelen. Hierdoor ontstaat een risico strategiekaart als basis voor de dagelijkse sturing van de organisatie.
Stimuleer samenwerking
Door wetgeving of richtlijnen, zoals ISO27001 en de AVG, ontstaan er veel aparte risk control frameworks. Het proces binnen deze risicospecialismen is altijd hetzelfde waarbij samenwerking loont. Met GRC Software worden de frameworks bij elkaar gebracht en wordt de samenwerking tussen control, management en internal audit gefaciliteerd.
Snelle start en borging via een kennisdatabase
Wil je zelf een control framework maken of maak je liever gebruik van een best practice? NARIS GRC bevat meerdere voorbeelden van risk & compliance frameworks die eenvoudig aan te passen zijn op jouw organisatie. Daarmee is het grootste gedeelte van het administratieve werk gedaan en kan de aandacht geven worden aan de zaken waar het écht om draait: de key-risks en controls.
Three Lines Model
Handige infographic om bij de hand te hebben
Inspiratie rondom Three Lines of Defence.
Wo. 4 dec 2024 – Naris Intervisie Zoetermeer: Risicomanagement
Uit onderzoek blijkt dat risicomanagement leeft bij Nederlandse gemeenten. Op meerdere niveaus worden risico’s meegenomen in de besluitvorming. Kijk bijvoorbeeld
Nieuwe verduidelijking rondom de verklaring omtrent risicobeheersing (VOR)
Dialoogpaper over de verklaring omtrent risicobeheersing (VOR) vanuit de NBA UPDATE 20 november 2024: Het IIA heeft de VOR nog
Whitepaper: ESG-Risicomanagement – Hoe implementeer je het en wat heb je ervoor nodig?
In een tijd waarin de maatschappij steeds meer belang hecht aan duurzaamheid en verantwoordelijkheid, is de integratie van ESG-factoren (Environmental,
Laten we praten.
Heb je vragen over onze oplossingen voor jouw organisatie? Neem vrijblijvend contact met ons op
Vul het formulier in of
bel met Floor:
Neem vrijblijvend contact op
Wil je weten wat we voor jouw organisatie kunnen betekenen? Vul onderstaand formulier in.