Three lines model
Een veelvuldig gebruikt inrichtingsprincipe voor risicomanagement is het zogenaamde Three lines model. Op basis daarvan hebben wij voor veel organisaties een goed werkende risicomanagement functie mogen inrichten. Met (in-house) trainingen, simulatiespellen en workshops over risicomanagement zorgen wij ervoor dat risicomanagement regelmatig terugkomt en wordt geborgd. Tenslotte vervullen wij de verschillende, senior rollen op het gebied van risicomanagement ook vaak bij onze klanten op interim basis.
Risicobeheersing linies
In het Three Lines model worden de risico’s binnen de organisatie beheerst vanuit drie verdedigingslinies:
- De eerste verdedigingslinie wordt gevormd door het management en de medewerkers van de organisatie. Zij zijn integraal verantwoordelijk voor de beheersing van de risico’s binnen hun verantwoordelijkheidsgebied.
- De tweede verdedigingslinie wordt gevormd door functies die zich richten op de ondersteuning van de eerste lijn bij het geven van invulling aan de beheersing van risico’s. Te denken valt aan een specialistische risicomanagement functie, maar ook functies als Juridische Zaken & Compliance vallen hieronder. Deze functies kunnen bij een aparte afdeling belegd zijn (veelal bij grotere organisaties), maar kunnen ook een onderdeel vormen van het takenpakket van een functionaris (bijvoorbeeld de Manager Finance & Control). Deze functies zijn verantwoordelijk voor de kaderstelling, facilitering, monitoring en rapportage op het gebied van risicomanagement.
- De derde verdedigingslinie wordt gevormd door de audit functie. De audit functie voert onafhankelijk van de eerste twee verdedigingslinies een beoordeling uit van de risico’s en de risicobeheersing binnen de organisatie. De audit functie kan intern gepositioneerd zijn of kan door externe partijen ingevuld worden.
Onafhankelijk belegd
De inrichtingsprincipes van het Three lines model houden niet in dat voor iedere verdedigingslinie een aparte afdeling ingericht wordt. In grotere organisaties is dat wel verstandig, maar in kleinere organisaties is dat niet altijd mogelijk. Het gaat erom dat de betreffende functies c.q. rollen onafhankelijk van elkaar zijn belegd binnen de organisatie (bijvoorbeeld bij een afdeling Finance & Control), of daarbuiten (bijvoorbeeld de audit functie).
In een open cultuur
Op ieder van de drie verdedigingslinies moet voldoende kennis en kunde aanwezig zijn om de verantwoordelijkheid op het gebied van risicomanagement goed in te vullen. Maar misschien nog wel belangrijker is dat er een open cultuur heerst om risico’s bespreekbaar te maken. Niets is dodelijker voor goed risicomanagement dan een cultuur waarin het benoemen van risico’s en fouten in de organisatie afgestraft wordt. Het is daarom bijvoorbeeld van belang dat in de eerste verdedigingslinie, bij het lijnmanagement en medewerkers, ruimte is om risico’s te signaleren en daarop actie te ondernemen. Dit zijn juist de medewerkers die inhoudelijk het dichtst bij het werk betrokken zijn, waardoor zij beter dan wie dan ook in staat zijn om risico’s in de operationele processen te onderkennen. Belangrijk is ook dat de tweede en derde lijn worden gerespecteerd om hun bijdrage aan de risicobeheersing.