Binnen het ‘three lines model’ nemen het lijnmanagement en de medewerkers de primaire verantwoordelijkheid om risico’s in het dagelijks werk te signaleren en te beheersen. Zij worden daarbij ondersteund door adviseurs in de 2e lijn. Denk hierbij aan de risicomanagement- en compliance functie, maar ook aan business control, privacy officer en security officer. De 2e lijn ondersteunt bij de inrichting van processen, geeft adviezen en heeft een toetsende rol en stelt management rapportages op. De 3e lijn is de onafhankelijke audit functie, die toetst of de risico’s effectief worden beheerst, de gemaakte afspraken binnen de organisatie worden nageleefd, en of het samenspel tussen 1e en 2e lijn goed verloopt. Hierover rapporteert de auditor aan het Bestuur en de (audit commissie van de) RvC
Hoewel het ’three lines model’ door veel corporaties als leidraad wordt gehanteerd, is de interne auditor nog geen gemeengoed in de woningcorporatie sector. Alleen grote corporaties kennen een aparte auditfunctie. De kwalitatieve invulling van de audit functie is zowel bij grote als bij kleine corporaties een uitdaging.
