Wat betekent de update van het ‘three lines of defense’ model voor de praktijk?
Van waarde beschermen naar waarde vergroten
Van waarde beschermen naar waarde vergroten
Op 21 juli verscheen een belangrijke update van het bekende ‘three lines of defense’ model door het IIA, het Institute of Internal Auditors dat actief is in meer dan 190 landen. Dit model is een brede en wereldwijd geaccepteerde standaard voor het opzetten van een goede governance, effectieve interne beheersing en risicomanagement. Het is belangrijk dat dit model een update kreeg om ook in de toekomst relevant en geaccepteerd te blijven voor modern risicomanagement.
De uitgangspunten die gelden voor het opzetten en onderhouden van effectief risicomanagement zijn in het nieuwe model verder uitgebreid en verbeterd. Er is een belangrijke verschuiving waar te nemen in de tone of voice van het oude naar het nieuwe ‘three lines’ model. In het oude model lag de focus voornamelijk op het beschermen, controleren en beheersen van de organisatieprocessen. Het nieuwe model focust zich vooral op de waarde die in de organisatie gecreëerd en vergroot wordt door een effectieve interne beheersing. De interne beheersing en risicomanagement is er in het nieuwe model vooral om te ondersteunen in het behalen van de doelstellingen van de organisatie en niet enkel meer als verdediging van de processen. Een verschuiving van de verdedigende uitgangspunten van ‘three lines of defense’ naar het waardegerichte ‘three lines’ model. Ofwel, van risicomanagement naar governance in bredere zin. De update maakt het model positiever, flexibeler en meer gericht op samenwerking en het in relatie staan met de business. Wat betekent de update van het ‘three lines’ model voor risicomanagement en goverance in de praktijk? Hoe kan uw organisatie hier mee omgaan bij het opzetten van de interne governance en hoe kan het Key Control Dashboard daarbij helpen? Vanuit het Key Control Dashboard team zijn wij erg postief over deze update. De filosofie en inrichting van onze GRC en ISMS-software sluiten volledig aan op het nieuwe Three Lines (of Defense) model van de IIA.

Three lines in de praktijk
In de praktijk is de implementatie van het Three Lines Model het meest effectief wanneer wordt gekeken naar de omstandigheden en specifieke situatie van de organisatie. Toch zijn er drie belangrijke algemene veranderingen waar te nemen ten opzichte van de oude ‘three lines of defense’ gedachte.
- Ten eerste staan doelen, acties en waarde creëren voortaan centraal voor alle functies. Niet voor niets komt ‘defense’ niet meer voor in de naam van het nieuwe model aangezien niet alleen waarde beschermen, maar ook vergroten centraal staat.
- Ten tweede zijn de verhoudingen en relaties tussen de rollen meer geïntegreerd waardoor samenwerking wordt bevorderd. Het denken in ‘eilandjes’ of ‘silo’s’ is verleden tijd en internal audit coördineert de activiteiten en samenwerking tussen de verschillende rollen.
- Ten derde stelt het nieuwe model organisaties in staat om sneller en effectiever maatregelen te nemen die bijdragen aan een efficiënte coördinatie van activiteiten, doelstellingen en de belangen van stakeholders. Kortom, het nieuwe model vormt een goede basis voor de implementatie van moderne en effectieve governance, waarbij een positieve en waarde-vergrotend perspectief het fundament vormt.
In de praktijk betekent dit vooral dat de oude ‘lines of defense’, vaak in de vorm van afdelingen of structuren overgaan in rollen met een specifieke taak in governance. Functies en personen kunnen taken hebben die horen bij eerstelijns en taken die horen bij tweedelijns rollen. Eerstelijns rollen, met de focus op het managen van risico’s en het behalen van de organisatiedoelstellingen, staan nu dichter bij de meer sturende en monitorende tweedelijnsrollen. Samen zorgen de eerste en tweedelijns rollen voor het behalen van de doelstellingen van de organisatie en het continue verbeteren van haar processen. Voor een effectieve governance is een goede verdeling van taken en rollen noodzakelijk. Het Key Control Dashboard ondersteunt dit met haar rol gebaseerde aanpak haar integrale dashboard. Daarbij kan een persoon verschillende rollen hebben bij het invullen en uitvoeren van hun taken, door slimme dashboards, actief actie- en bevindingenmanagement en effectieve rapportagemogelijkheden. Het behalen van resultaat en creëren van waarde komen hierdoor centraal te staan.
Klaar voor ‘three lines’ met Key Control Dashboard
Voor veel organisaties die van het nieuwe model willen uitgaan ligt de uitdaging bij het ophalen van informatie uit verschillende plekken in de organisatie en het sturen op doelstellingen vanuit verschillende rollen en functies. Als integrale GRC-software is het Key Control Dashboard juist al ingericht met de uitgangspunten van het nieuwe ‘three lines’ model, door de mogelijkheid om integraal inzicht op te halen en te sturen vanuit beheersdoelstellingen. Niet alleen de risico’s van de organisatie staan centraal, maar ook de doelstellingen. Daarnaast biedt het Key Control Dashboard live dashboards die helpen bij inzien, opstellen en toetsen van beheersmaatregelen en organisatie-brede risico’s binnen de verschillende 3-lines waardoor minder tijd gaat naar het ophalen van informatie uit de organisatie en meer tijd kan worden gestoken in het behalen van de doelstellingen en het actief bijsturen. De dashboards in het Key Control Dashboard ondersteunen daarnaast de drie rollen van modern risicomanagement waardoor samenwerking wordt bevorderd en ‘(excel) eilandjes-denken’ wordt voorkomen. De dashboards voor eerstelijnsrollen ondersteunen bij het opstellen van beheers doelstellingen en risicoanalyses. Deze doelstellingen kunnen o.a. worden gekoppeld aan processen, organisatieonderdelen, assets, systemen en eigenaren. Hierdoor krijgt u altijd inzicht in hoe uw organisatie ervoor staat en welke doelstellingen er zijn geïdentificeerd. Dit bespaart tijd en middelen omdat de beheers doelstellingen op één integrale plek worden ingevoerd en bijgehouden. De tweedelijnsrollen halen over deze analyses, risico’s en doelstellingen real-time informatie op en kunnen waar nodig aanvullen en bijsturen. De dashboards voor de onafhankelijke derdelijns rollen maken gebruik van geavanceerde audit, rapportage en data-driven-audit technieken die integraal organisatie-breed inzicht verschaffen en monitoring mogelijk maken.
Wilt u (vrijblijvend) meer informatie over integraal risicomanagement en governance met het Key Control Dashboard? Kijk dan eens op www.keycontroldashboard.nl of vraag een demo aan via info@keycontroldashboard.nl.
Auteur: Carlo de Cocq is consultant bij Key Control Dashboard en betrokken bij de implementatie van het GRC, IRM en ISMS software platform Key Control Dashboard. O.a. betrokken bij diverse Ministeries, ZBO’s, financiële instellingen, zorgorganisaties en gemeenten.