Het nieuwe Three Lines Model: de belangrijkste wijzigingen

In juli 2020 publiceerde het Instituut van Internal Auditors (IIA) een update van het Three Lines of Defense (3LOD) model. De wijze waarop de update werd aangekondigd, deed vermoeden dat er belangrijke wijzigingen zijn doorgevoerd. Maar wat zijn die wijzigingen? We zetten kernachtig de aanleiding en de belangrijkste wijzigingen voor u op een rij.

De aanleiding voor de update van het 3LOD model vond het IIA vooral in de volgende punten:

1. Het model werd als te star c.q. weinig flexibel gezien, o.a. om snel in te kunnen spelen op veranderingen.

2. Het straalde een silo-benadering uit.

3. De benadering was te reactief en negatief (defensief).

Er zijn vele wijzigingen te onderkennen in het nieuwe Three Lines Model. 

Dit zijn wat ons betreft de belangrijkste c.q. meest opvallende:

• Het woord Defense is uit de naamgeving van het model gehaald, om te benadrukken dat verdedigen niet de primaire focus hoort te zijn. Net als in de nieuwste Code Corporate Governance wordt het belang van waardecreatie en -bescherming benadrukt.
• De genoemde lijnen worden nu beschouwd als rollen, in tegenstelling tot structuren, die op verschillende manieren kunnen worden gecombineerd of gescheiden. Daarbij dient uiteraard wel rekening te worden gehouden met de geldende principes van het model (zie verderop).
• De benadering is nu volledig vanuit het brede begrip Governance, in plaats van het smallere Risicomanagement. Governance wordt ingevuld door drie elementen, namelijk: Accountability, Actions en Assurance & Advice.
• Het onderscheid tussen de Governing Body (Het Bestuursorgaan) en Senior Management is komen te vervallen. De vraag dient zich daarmee aan, waartoe de Raad van Bestuur volgens Nederlands two-tier gebruik behoort. Conform de beschrijving van de rol van de Governing Body (waarin het o.a. gaat over het bepalen van de risk appetite, delegeren en resources beschikbaar stellen) lijkt de Raad van Bestuur ook onderdeel te zijn van de Governing Body.
• De 1^e en 2^e lijn vallen nu duidelijker allebei onder de verantwoordelijkheid van Management. De tweede lijn is concreter neergezet als ondersteuning van de 1^e
• Het is een principle based model geworden. Er zijn 6 principes voor het model beschreven, die als basis gelden voor de toepassing van het model. Deze principes zijn:
  • Governance.
  • Rollen van het bestuursorgaan.
  • Management en eerste- en tweedelijnsrollen.
  • Derdelijnsrollen.
  • Derdelijns onafhankelijkheid.
  • Het creëren en beschermen van waarde.
• Binnen de 6 principes kunnen organisaties het Three Lines Model flexibel vormen naar de eigen organisatiedoelen. Zo kunnen ook de lijnen / rollen zijn samengevoegd binnen 1 functie. Voor de samenvoeging van de 3^e lijnsrol Internal Audit met een 2^e lijns rol, wordt expliciet aangegeven dat in die situatie een externe partij (in plaats van Internal Audit) een onafhankelijke uitspraak dient te doen over de kwaliteit van de 2^e
• Er wordt benadrukt dat de ‘alignment’ van activiteiten door de verschillende lijnen vooral wordt bereikt door zowel duidelijke rollen, als coördinatie, communicatie en samenwerking tussen functies en professionals.

Sander van Oosten, Partner bij ARC People, specialist in Audit, Risk en Compliance