6.3 Three lines of defence

checks & ­balances

Een verdergaande interne beheersmaatregel is de ‘three lines of defence’. Het idee is dat je zogenoemde ‘checks & balances’ aanbrengt in de risicodossiers. Dit betekent het volgende:

• Eerste lijn: het uitgangspunt is dat het proces wordt uitgevoerd door de eerste lijn. De eerste lijn is verantwoordelijk voor de uitvoering. Ze wordt daarbij ondersteund door de tweede lijn.
• Tweede lijn: de tweede lijn adviseert, coördineert en bewaakt of de eerste lijn zijn verantwoordelijkheden ook echt neemt. Ook het voorbereiden van beleid of het uitvoeren van een integrale risicoafweging kan tot de taken van de tweede lijn behoren.
• Derde lijn: de derde lijn controleert tot slot het samenspel tussen de eerste en tweede lijn. Daarbij opereert de derde lijn onafhankelijk en wordt er een onafhankelijk oordeel geveld. Deze lijn kijkt of er ruimte is voor verbetering, overlap is in taken of misschien juist sprake is van een blinde vlek. Vaak wordt deze taak uitgevoerd door de Interne Auditafdeling.

Functies

Functies die vaak worden genoemd als onderdeel van de verschillende lijnen zijn voor de:

• eerste lijn: businessmanager, unitmanager of divisie­manager;
• tweede lijn: controller, riskmanager of compliance­manager;
• derde lijn: internal auditor.

vierde lijn

Naast de drie lijnen zien veel (grote) ondernemingen hun accountant, belastingadviseur, Raad van Commissarissen of Raad van Toezicht als vierde lijn. De lijnen moet je op een dusdanige manier inrichten dat er synergie ontstaat tussen de verschillende controleactiviteiten.