Key2Control > Nieuws > Blogs > De meerwaarde van three lines of defence (3LOD)

De meerwaarde van three lines of defence (3LOD)

9 december 2019 Blogs, Financiële rechtmatigheid, Privacy management
three lines of defence

door Gerrit Goud

Het model van de Three Lines of Defense (3LOD) is een krachtig hulpmiddel voor interne beheersing en wordt al jaren breed erkend. Toch blijkt de implementatie in gemeenten vaak problematisch. Het model, met zijn duidelijke rolverdeling over drie verdedigingslinies, lijkt eenvoudig, maar in de praktijk wordt de potentie niet benut. Wat is hiervan de oorzaak en hoe kunnen gesignaleerde drempels vermeden worden? Daar lees je meer over in dit artikel. 

De 1e lijn is verantwoordelijk voor operationele bedrijfsprocessen, de 2e lijn biedt ondersteuning en controleert risico’s, en de 3e lijn beoordeelt de effectiviteit van de eerste twee lijnen. Ondanks deze heldere structuur blijft de toepassing in veel gemeenten steken. De kern van het probleem ligt in het ontbreken van een stevig fundament en een duidelijke verbinding tussen de verdedigingslinies.

The missing link van 3LOD

Een effectief 3LOD-model staat of valt met een stevig fundament, maar in veel gemeenten ontbreekt dit. De 1e verdedigingslinie is vaak niet voldoende betrokken bij het beheersingsmodel, waardoor de basis wankelt. Eigenaarschap en verantwoordelijkheden zijn in beleidsstukken benoemd, maar worden in de praktijk niet altijd omgezet in actie. Hierdoor blijft de organisatie stilstaan. Daarnaast heeft de 2e lijn taken naar zich toe getrokken die bij de 1e lijn horen. Door toenemende regeldruk ligt de nadruk in de 2e lijn op risicomanagement en compliance, wat de behoeften van de 1e lijn op de achtergrond plaatst. Dit vergroot de kloof tussen de lijnen. Tegelijkertijd zorgen nieuwe thema’s zoals privacy en informatiebeveiliging voor verkokering en een gebrek aan samenhang.

De gevolgen van een gebrekkig model

Wanneer de 1e lijn niet functioneert zoals bedoeld, blijven risico’s onvoldoende beheerst. De focus in de 2e lijn verschuift naar externe eisen, zoals het tevreden stellen van toezichthouders en accountants. Hierdoor ontstaat een beheersorganisatie die achter de feiten aanloopt. De samenwerking tussen de lijnen wordt stroperig en inefficiënt. Daarnaast zien leidinggevenden in de 1e lijn vaak niet de toegevoegde waarde van adviezen vanuit VIC. Rapporten worden nauwelijks opgevolgd, omdat de verbinding met de dagelijkse praktijk ontbreekt. Dit veroorzaakt frustratie in alle verdedigingslinies en belemmert een gezonde samenwerking.

Hoe doorbreken we de impasse?

Een effectief three lines of defence model vereist visie en leiderschap. Dit begint bij de top van de organisatie, waar directie en bestuur het initiatief moeten nemen. De concerncontroller kan hierbij een sleutelrol vervullen door het belang van integrale interne beheersing te benadrukken. Een visiedocument kan dienen als basis, waarin alle beheersthema’s worden samengebracht onder één beleid.

Het is belangrijk om eigenaarschap en verantwoordelijkheden in de 1e lijn helder te benoemen. Daarnaast moeten duidelijke kaders en spelregels worden vastgesteld, inclusief handhavingsmechanismen. Leidinggevenden moeten weten wat er van hen verwacht wordt, maar ook dat de 2e lijn ingrijpt wanneer zij afwijken van de vastgestelde risicoprofielen.

De kracht van normenkaders en doelstellingenmodellen

Een belangrijke stap richting een effectief three lines of defence model is het gebruik van normenkaders of doelstellingenmodellen. Deze bieden houvast voor zowel de 1e als de 2e lijn. Door vooraf beheersdoelen vast te stellen, ontstaat een gemeenschappelijk referentiekader. Dit maakt het eenvoudiger om de effectiviteit van processen te meten en verbeteringen door te voeren. Met een doelstellingenmodel kan de 2e lijn waarde toevoegen door inzicht te geven in hoeverre de 1e lijn voldoet aan de eisen. Workshops kunnen leidinggevenden helpen om hun rol in het beheersingsproces te begrijpen en de toegevoegde waarde van de andere verdedigingslinies te zien. Dit bevordert samenwerking en acceptatie van adviezen.

Het belang van technologie en samenwerking

Een Governance, Risk & Compliance-platform (GRC) kan een waardevolle ondersteuning bieden bij de implementatie van doelstellingenmodellen. Dit type platform vergemakkelijkt het meten van beheersdoelen en stimuleert betrokkenheid van de 1e lijn. Voor de 2e en 3e lijn biedt het een middel om beter samen te werken en activiteiten op elkaar af te stemmen. Inzicht en samenwerking zijn cruciaal voor interne beheersing. Door gebruik te maken van gestandaardiseerde doelstellingenmodellen kunnen gemeenten tijd besparen en sneller verbeteringen doorvoeren. Dit versterkt het fundament van 3LOD en brengt de verdedigingslinies beter in balans.

Samen bouwen aan een solide Three Lines of Defence model

Wil je meer weten over onze aanpak van integrale interne beheersing en de toepassing van het Three Lines of Defence-model? Wij ondersteunen gemeenten met praktische oplossingen om een sterk fundament voor interne beheersing te creëren, met heldere verantwoordelijkheden en een betere samenwerking tussen de 1e, 2e en 3e verdedigingslinies.

Onze kant-en-klare doelstellingenmodellen besparen tijd en helpen leidinggevenden in de 1e lijn actief deel te nemen aan het beheersingsproces. Dit vergroot hun betrokkenheid en versterkt de samenhang tussen risicomanagement, compliance en operationele processen. Met ons GRC-platform bieden we tools om beheersdoelen te meten en processen efficiënter in te richten. Zo zorgen we ervoor dat jouw organisatie niet alleen aan externe eisen voldoet, maar ook intern optimaal functioneert. Samen brengen we uw organisatie in control en bouwen we aan een toekomstbestendig beheersingsmodel.

Tags:

Dit vind je misschien ook interessant