Geld verliezen of risico’s beheersen - de three lines of defence

Het is heel leuk dat een organisatie geld aan het verdienen is, maar het is ook belangrijk dat er geen geld verloren wordt. Dat is risicomanagement. Dit zorgt ervoor dat deze grote en kritische bedrijfsrisico’s in de grip worden gehouden. Door een model in te voeren geef je gestructureerd grip aan het onderwerp risicomanagement.

Het ‘3 lines of defence’-model (3LoD), vrij vertaald naar het Nederlands is het een model met beschermingslagen. Drie beschermingslagen van binnen naar buiten. Dit is een standaard controle model dat veel gebruikt binnen de risicomanagement- en accountancy-wereld, maar vindt steeds meer toepassing binnen bedrijven. Risicobeheersing is namelijk voor alle bedrijven een must. De reden dat ik dit schrijf is gedreven vanuit informatierisicomanagement.

De eerste line of defence: Interne controle

Dit is de verantwoordelijkheid van de lijnmanager die moet zorgen dat hij zijn zaken op orde heeft. Hij kan, gezien vanuit het vertrouwen (zie vorige blog), zijn beheerders zelf hun controlewerk laten uitvoeren om vast te stellen dat zij hun werk goed hebben gedaan. Een voorbeeld van een aantal controles;

  • Zijn de servers qua beveiligingsinstellingen allemaal geconfigureerd zoals het beleid dit voorschrijft?
  • Is het de afgelopen weken voorgekomen dat de beschikbaarheid onder het afgesproken niveau is gekomen?
  • Staan alle rechten in de applicatie nog conform de autorisatiematrix?

Enzovoorts. Bij grote organisaties kunnen dit per afdeling tientallen controles zijn. Niet het controleren om het controleren, maar controleren om vast te stellen dat de goede dingen gedaan worden en er beheersing is.

De tweede line of defence: Risicomanagement

Deze afdeling heeft een risicoanalyse opgesteld. Een medewerker van deze afdeling van risicomanagers komt periodiek de beheerafdeling controleren op hun beheersing. Hier zitten de risico’s in die vertaald worden vanuit de bedrijfsrisico’s of afdelingsspecifieke risico’s. Ook komen zij periodiek controleren of de manier waarop de controle wordt uitgevoerd juist en volledig is. Met andere woorden, of het controleert dat wat het moet controleren. Niet omdat er geen vertrouwen is, maar omdat het zonde is dat al die controles die uitgevoerd worden niet het juiste meten of niet bijdragen aan het risico beheersen.

De derde line of defence: Internal audit

Dit betreft vaak een afdeling internal audit of internal control. In elk geval een afdeling die volledig los staat van de rest van de organisatie. Dit lijkt misschien elitair of hoogmoedig, maar de enige reden voor deze plaatsing in de organisatie is zodat de uitspraken die zij doen nooit kunnen leiden tot een slechte beoordeling of ontslag door een geauditeerde manager/collega.

Deze afdeling maakt een eigen risicoanalyse vanuit het brede blikveld die zij hebben over de gehele organisatie. Deze risico’s worden vervolgens getoetst of ze aansluiten bij die risico’s die de tweede lijn heeft. Het zou toch jammer zijn dat belangrijke risico’s over het hoofd gezien worden.

Zijn er meer?

Uiteraard. Dit is slechts een model. Een versimpelde weergave van de werkelijkheid. Zo kunnen er in grote organisaties 2 lagen risicomanagement aanwezig zijn, een 2a en 2b, bijvoorbeeld een scheiding tussen business en IT. Ook wordt wel een 4e of 5e laag getekend. Dit betreffen dan de (externe) accountant of een toezichthouder.

Het is in elk geval belangrijk dat de organisatie een standaard aanpak hanteert om grip te krijgen op de risico’s die zij loopt.

Hoe kan dit jouw organisatie helpen?

Door eens na te denken hoe risicomanagement in jouw organisatie is geregeld. Kun je bijvoorbeeld antwoord geven op de onderstaande 3 vragen:

  1. Wat is zijn de 5 of 10 grootste risico’s in jouw organisatie?
  2. Hoe zorg je dat deze risico’s niet optreden en dat als ze optreden dat dit snel genoeg opvalt of beheersbaar blijft?
  3. Wordt risicomanagement gedreven vanuit het controlerende aspect of vanuit de visie om elkaar, en daarmee de organisatie, scherper te houden en te verbeteren?
DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Nieuwe spelregels voor DigiD-aansluitingen

    Hebben we eindelijk de boel op orde, veranderen ze de norm weer! Met nieuwe normen is het altijd weer uitzoeken wat er hetzelfde is gebleven, wat er veranderd is en wat je als organisatie nu moet gaan aanpassen.

    Lees verder
  • Verbeter de informatiebeveiliging

    Mijn ervaringen bij een middelgrote gemeente

    Lees verder
  • Vertrouwen door controle

    Vertrouwen is goed, controle is beter. Of was het nou andersom: controle is goed, vertrouwen is beter. Of zijn er mogelijk meerdere soorten vertrouwen en meerdere soorten controle?

    Lees verder
  • Oh nee, de auditor komt langs!

    Het zoemt als een mantra door de organisatie...de auditor komt langs, de auditor komt langs. Zorg dat alles op orde is. Laten we die ordner nog even bijwerken, is het datacenter netjes, laten we de rondslingerende papieren nog opruimen, etc.

    Lees verder
  • ​Help de auditor komt langs! (deel 2)

    Een audit wordt van tevoren vaak eng en vaag gevonden. Auditor Mark Tissink vertelt daarom wat je kan verwachten en hoe hij te werk gaat.

    Lees verder
  • Security awareness - Briefjes bij de koffieautomaat?

    Van elke medewerker wordt verwacht dat zij een bepaalde mate van security awareness hebben. Of in goed Nederlands, beveiligingsbewustzijn. Dat deze medewerker bewust is van de acties die zij dagelijks uitvoeren en wat voor een gevolgen dit kan hebben ten aanzien van de informatiebeveiliging.

    Lees verder
  • Patching: Theoretisch niet moeilijk

    Hét proces voor het op orde houden van de updates op al je machines. In elke norm voor informatie-beveiliging (ISO27001, BIR, BIG, NEN7510) komt patching terug en ook bij de DigiD-audit wordt de patching gecontroleerd. Hoe kan je in jouw organisatie ook dit proces voldoende op orde krijgen?

    Lees verder