De 'Three Lines of Defense' (3LoD) gedachte is meer dan alleen maar organisatiestructuur en het benoemen van rollen. Het is in onze ogen een fundamenteel andere manier van werken (samenwerken) en denken en draagt zodoende bij aan een versterking van de risicocultuur, het nemen van verantwoordelijkheid voor het managen van risico’s en interne beheersing, en uiteindelijk aan het verder optimaliseren en integreren van uw GRC functies (inclusief het verlagen van de ‘cost of control’).
Het aantal afdelingen met een controlerende functie binnen een onderneming is vaak aanzienlijk. Maar wie controleert of zij hun taken wel naar behoren verrichten? Werken ze efficiënt samen? Wat is eigenlijk hun toegevoegde waarde? Onze adviseurs helpen u aan de hand van het 3LoD model bij het beantwoorden van vragen als deze. En vervolgens bij het bepalen van uw strategie.
Uitgangspunt van het 3LoD model is dat het lijnmanagement (de business) verantwoordelijk is voor haar eigen processen. Daarnaast moet er een functie zijn die de 1e lijn ondersteunt, adviseert, coördineert en bewaakt of het management zijn verantwoordelijkheden ook daadwerkelijk neemt. Dit is de tweede lijn. Ook bepaalde beleidsvoorbereidende taken en het organiseren van integrale risk assessments zijn taken van de tweede lijn.
Ten slotte is het wenselijk dat er binnen de organisatie een functie bestaat die controleert of het samenspel tussen de eerste en tweede lijn soepel functioneert en daarover een objectief, onafhankelijk oordeel velt met mogelijkheden tot verbetering. Of er geen overlapping is, of, erger, blinde vlekken bestaan. Deze functie is de derde lijn, een afdeling - vaak Internal Audit - die volledig los van alle andere organisatieonderdelen opereert.
Marcel Prinsenberg
Senior Director Risk Consulting, PwC Netherlands
Tel: +31 (0)65 122 52 70