Wat zijn de three lines of defence?
Het is heel leuk dat een organisatie geld aan het verdienen is, maar het is ook belangrijk dat er geen geld verloren wordt. Dat is risicomanagement. Dit zorgt ervoor dat deze grote en kritische bedrijfsrisico’s in de grip worden gehouden. Door een model in te voeren geef je gestructureerd grip aan het onderwerp risicomanagement.

Het ‘3 lines of defence’-model (3LoD), vrij vertaald naar het Nederlands is het een model met beschermingslagen. Drie beschermingslagen van binnen naar buiten. Dit is een standaard controle model dat veel gebruikt binnen de risicomanagement- en accountancy-wereld, maar vindt steeds meer toepassing binnen bedrijven. Risicobeheersing is namelijk voor alle bedrijven een must. De reden dat ik dit schrijf is gedreven vanuit informatierisicomanagement.

Wat is de eerste line of defence?

Dit is de interne controle. Dit is de verantwoordelijkheid van de lijnmanager die moet zorgen dat hij zijn zaken op orde heeft. Hij kan, gezien vanuit het vertrouwen (zie vorige blog), zijn beheerders zelf hun controlewerk laten uitvoeren om vast te stellen dat zij hun werk goed hebben gedaan. Een voorbeeld van een aantal controles;

• Zijn de servers qua beveiligingsinstellingen allemaal geconfigureerd zoals het beleid dit voorschrijft?
• Is het de afgelopen weken voorgekomen dat de beschikbaarheid onder het afgesproken niveau is gekomen?
• Staan alle rechten in de applicatie nog conform de autorisatiematrix

Enzovoorts. Bij grote organisaties kunnen dit per afdeling tientallen controles zijn. Niet het controleren om het controleren, maar controleren om vast te stellen dat de goede dingen gedaan worden en er beheersing is. 

Wat is de tweede line of defence?

Afdeling risicomanagement. Deze afdeling heeft een risicoanalyse opgesteld. Een medewerker van deze afdeling van risicomanagers komt periodiek de beheerafdeling controleren op hun beheersing. Hier zitten de risico’s in die vertaald worden vanuit de bedrijfsrisico’s of afdelingsspecifieke risico’s. Ook komen zij periodiek controleren of de manier waarop de controle wordt uitgevoerd juist en volledig is. Met andere woorden, of het controleert dat wat het moet controleren. Niet omdat er geen vertrouwen is, maar omdat het zonde is dat al die controles die uitgevoerd worden niet het juiste meten of niet bijdragen aan het risico beheersen.

Wat is de derde line of defence

Dit betreft vaak een afdeling internal audit of internal control. In elk geval een afdeling die volledig los staat van de rest van de organisatie. Dit lijkt misschien elitair of hoogmoedig, maar de enige reden voor deze plaatsing in de organisatie is zodat de uitspraken die zij doen nooit kunnen leiden tot een slechte beoordeling of ontslag door een geauditeerde manager/collega.
Deze afdeling maakt een eigen risicoanalyse vanuit het brede blikveld die zij hebben over de gehele organisatie. Deze risico’s worden vervolgens getoetst of ze aansluiten bij die risico’s die de tweede lijn heeft. Het zou toch jammer zijn dat belangrijke risico’s over het hoofd gezien worden.

Zijn er meer?

Uiteraard. Dit is slechts een model. Een versimpelde weergave van de werkelijkheid. Zo kunnen er in grote organisaties 2 lagen risicomanagement aanwezig zijn, een 2a en 2b, bijvoorbeeld een scheiding tussen business en IT. Ook wordt wel een 4e of 5e laag getekend. Dit betreffen dan de (externe) accountant of een toezichthouder.

Hoe kan dit jouw organisatie helpen?

Door eens na te denken hoe risicomanagement in jouw organisatie is geregeld. Kun je bijvoorbeeld antwoord geven op de onderstaande 3 vragen:

1. Wat is zijn de 5 of 10 grootste risico’s in jouw organisatie?
2. Hoe zorg je dat deze risico’s niet optreden en dat als ze optreden dat dit snel genoeg opvalt of beheersbaar blijft?
3. Wordt risicomanagement gedreven vanuit het controlerende aspect of vanuit de visie om elkaar, en daarmee de organisatie, scherper te houden en te verbeteren?