Wat is het Three Lines of Defense-model (3LoD)?

Het Three Lines of Defense-model is een gereguleerd framework dat is ontworpen om een gestandaardiseerde, alomvattende aanpak van governance en risicobeheer te bieden.

Operationeel risico wordt gedefinieerd als het risico van verlies als gevolg van inadequate of mislukte interne processen, externe gebeurtenissen, mensen of systemen. Nog niet zo lang geleden rustte de verantwoordelijkheid voor het beheersen van operationele risico's binnen een bedrijf vaak op de schouders van individuele vaste experts. Op basis van hun eigen ervaring en beperkte interne auditfuncties zouden ze zich inzetten om duidelijke zwakke plekken of gemiste punten te identificeren die het bedrijf zouden kunnen blootstellen aan onnodige risico's. De auditor was de enige echte verdedigingslinie tussen de organisatie en een hele reeks gevaren.

Nu nemen het aantal en de complexiteit van bedrijfsrisico's toe. Om deze risico's af te stemmen en te beperken stappen veel bedrijven over op een ander governancemodel: Three Lines of Defense (3LoD).

Zoals de naam al suggereert, bestaat het Three Lines of Defense-model voor risicobeheer uit drie verschillende beschermingsniveaus. Deze zijn ontworpen om redundante ondersteuning voor risicobeheer te bieden, en om te helpen garanderen dat gevaren worden geïdentificeerd en aangepakt voordat ze een negatieve invloed op de bedrijfsvoering kunnen hebben. Tegelijkertijd legt de meest recente versie van het 3LoD-model de nadruk op afstemming van samenwerking, verantwoordelijkheid, en een focus op doelstellingen, waardoor het een belangrijk framework is, niet alleen voor verdediging, maar ook voor het herkennen en benutten van kansen wanneer ze zich voordoen.

Hier bekijken we elk van de Three Lines of Defense in risico, hoe 3LoD zich verhoudt tot operationele veerkracht en wat we kunnen verwachten van de drielijns aanpak in de komende jaren.

De eerste verdedigingslinie (1st LoD) is operationeel beheer, bestaande uit front-line-managers die verantwoordelijk zijn voor de dagelijkse activiteiten op het gebied van risicobeheer. Deze managers houden toezicht op werknemers terwijl ze binnen bedrijfssystemen en -toepassingen werken, en zorgen ervoor dat de juiste procedures voor risicobeheer worden gevolgd. Zij zijn ook verantwoordelijk voor het implementeren van corrigerende maatregelen in het geval dat er tekortkomingen in het proces en de controle optreden.

Het operationele bedrijfsbeheer is in wezen verplicht om adequate interne controles te onderhouden, risicoprocedures uit te voeren, risico's te identificeren en beoordelen, intern beleid te begeleiden en implementeren, en ervoor te zorgen dat alle activiteiten vastgestelde doelen ondersteunen, en dat alles dagelijks. Het algehele doel van deze eerste verdedigingslinie is voortdurende compliance en het vermogen om snel controleverstoringen, ontoereikende processen of opkomende gebeurtenissen te identificeren.

Dagelijkse activiteiten spelen een cruciale rol in operationele risico's. Om die reden is deze eerste verdedigingslinie absoluut cruciaal en moet deze worden ondersteund door interne mechanismen, zoals betrouwbare beheercontroles en interne controlemaatregelen. Deze worden ontwikkeld en geïmplementeerd met sterk toezicht van het operationele beheer, en moeten regelmatig worden getest op functionaliteit en effectiviteit.

De derde verdedigingslinie (3rd LoD) in het 3LoD-model is de interne auditor. Auditors zijn verantwoordelijk voor het beoordelen van alle processen, procedures en frameworks voor risicobeheer, en bieden uitgebreide zekerheid over de effectiviteit van governance en interne controles. Deze verdedigingslinie ondersteunt de twee vorige linies, maar moet volledig onafhankelijk kunnen functioneren, een objectief standpunt innemen en rechtstreeks rapporteren aan het hogere management en een hoger(e) bestuursorgaan, raad of auditcomité.

Als laatste verdedigingslinie moeten interne audits in staat zijn om een reeks doelstellingen te ondersteunen die gerelateerd zijn aan operationele efficiëntie en effectiviteit, betrouwbaarheid van de rapportage, naleving van regelgeving en meer.

Hoewel de derde verdedigingslinie voornamelijk wordt geassocieerd met interne audits, kunnen ook externe audits worden ingevoerd om deze linie verder aan te vullen en een extra zekerheidslaag toe te voegen. In sommige gevallen (zoals bij het verkrijgen van SOC1- of SOC2-compliance, het maken van een PCI-rapport of het documenteren van de effectiviteit van SOX-404-controle) kan een externe auditor een vereiste zijn.

De drie verdedigingslinies zijn ontworpen om de operationele veerkracht van een organisatie te ondersteunen en verbeteren.

Operationele veerkracht is het vermogen van een organisatie om zijn klanten te blijven bedienen, producten en services te leveren, en zijn personeel te beschermen tegen negatieve operationele gebeurtenissen. Dit wordt bereikt door te anticiperen op, voorkomen en herstellen van, en zich aan te passen aan ongewenste gebeurtenissen. Mogelijke gebeurtenissen kunnen zijn: pandemieën, gegevensinbreuk, branden, destructief weer en netwerkuitval.

De principes van operationele veerkracht zijn als volgt:

Governance

Governance beschrijft de systemen en mechanismen waarop een organisatie vertrouwt voor de bedrijfsvoering en waarmee zij en haar werknemers verantwoordelijk worden gehouden. Zowel risicobeheer als compliance vallen onder governance. Effectieve governancestructuren stellen organisaties in staat om betrouwbare plannen en benaderingen voor operationele veerkracht op te stellen, waardoor ze beter kunnen reageren op en herstellen van verstorende gebeurtenissen.

Operationeel risicobeheer

Operationeel risicobeheer (ORM) is een continue cyclus die risicobeoordeling, besluitvorming over risico's en implementatie van risicobeheersing omvat, wat resulteert in de acceptatie, beperking of vermijding van risico's.

Continuïteitsplannen

Bedrijfscontinuïteitsplanning is het creëren, implementeren, trainen en volgen van continuïteitsplannen voor een reeks crisisscenario's. Het doel van continuïteitsplanning is het creëren van betrouwbare strategieën om te zorgen voor een voortdurende levering van kritieke activiteiten wanneer er sprake is van potentieel verstorende gebeurtenissen.

Toewijzing van onderlinge afhankelijkheid

In de toewijzing van onderlinge afhankelijkheid worden interne en externe verbindingen en onderlinge afhankelijkheden geïdentificeerd en in kaart gebracht, waarbij duidelijk wordt gemaakt welke onderlinge afhankelijkheden nodig zijn voor kritieke activiteiten en de voortdurende levering van services in het geval van een mogelijke onderbreking.

Risicobeheer bij derden

Risicobeheer bij derden beschrijft de tools en methoden voor het beheer van relaties met derden, waarbij externe entiteiten worden geïdentificeerd die essentieel zijn voor kritieke activiteiten.

Incidentbeheer

Incidentbeheer verwijst naar processen die samenhangen met het opstellen van respons- en herstelplannen voor specifieke incidentscenario's. Deze plannen moeten voortdurend worden verfijnd en bijgewerkt met behulp van inzichten uit gegevensanalyse en eerdere incidenten.

Informatie-, communicatie- en cyberbeveiligingstechnologie

Informatie-, communicatie- en cyberbeveiligingstechnologie moeten regelmatig worden getest en verbeterd om de voortdurende levering van cruciale activiteiten te ondersteunen.

Het Three Lines of Defense-model is een beproefde aanpak van risicobeheer. Maar net zoals de plannen voor continuïteit en veerkracht regelmatig moeten worden bijgewerkt om beter rekening te houden met veranderende situaties, heeft 3LoD sinds de introductie een aantal revisies ondergaan.

Onlangs heeft het Basel Committee on Banking Supervision (BCBS) revisies gepubliceerd voor de Principles for the Sound Management of Operational Risk. Hoewel deze herzieningen van het 3LoD-model specifiek zijn bedoeld voor banken en verwante organisaties, kunnen ze net zo gemakkelijk worden toegepast op niet-bancaire bedrijven om hun risicobeheerprofielen verder te verbeteren.

Basel 3LoD-updates omvatten:

  • Meer nadruk op de rol van het senior management bij de uitvoering van activiteiten voor operationeel risicobeheer.
  • Duidelijkere beschrijvingen van andere rollen binnen het Three Lines of Defense-model.
  • Grotere articulatie van opkomende risicobronnen.
  • Een afzonderlijke focus op operationele veerkracht.

Naarmate risico's diverser worden, moet het Three Lines of Defense-model zich ook blijven aanpassen. Deze waarheid heeft mogelijk het meest direct betrekking op de derde linie: interne audits. Interne auditors en hun processen moeten flexibeler worden en meer vooruitdenken, en positieve veranderingen bevorderen in de rest van het 3LoD-model. In de toekomst zal van auditors verwacht worden dat ze een veel actievere rol zullen spelen in het adviseren en anticiperen, en in het opleiden van belanghebbenden op alle niveaus.

Naast interne audits zullen andere vorderingen het 3LoD-model blijven vormgeven. Nieuwe innovaties, waaronder automatisering, machine learning en AI-implementatie, zullen het identificeren en verhelpen van risico's vergemakkelijken. Op vergelijkbare wijze zullen organisaties zich meer richten op het menselijke element van de drie verdedigingslinies, door te werken aan het verbeteren van de coördinatie, communicatie en methoden in teams en afdelingen.

Het beheersen van operationele risico's is een essentieel aspect van moderne bedrijfsvoering. Het 3LoD-model bestaat om redundante beveiligingslagen toe te voegen om een betere beveiliging te bieden tegen een reeks mogelijke bedreigingen. Maar op zichzelf is 3LoD misschien niet genoeg om organisaties volledig te beschermen tegen ontwikkelende gevaren. ServiceNow, de marktleider op het gebied van IT-beheer, biedt de oplossing.

Operational Risk Management van ServiceNow stelt organisaties in staat om continu toezicht te houden, relevante gegevensinzichten uit de hele onderneming op te nemen, en sneller prioriteiten te stellen en op opkomende risico's te reageren dan anders mogelijk zou zijn. De GRC-toepassing van Operational Risk Management omvat tools voor zelfevaluatie van risico's, controle, testen, registratie van incidenten en verliezen, en geautomatiseerde bewaking. Ondersteund door geavanceerde analyse en rapportage, geïntegreerd, met voorspellende intelligentie verbeterd probleembeheer en meer, biedt Operational Risk Management de verhoogde bescherming waar organisaties van nu van afhankelijk zijn om te overleven en te bloeien.

Operationele verliezen verminderen. Bouw veerkracht en betrouwbaarheid op. Verlaag de kosten en verbeter de productiviteit. En dankzij dit alles kunt u genieten van volledige, realtime zichtbaarheid van alle risico- en controletoleranties. Operational Risk Management van ServiceNow maakt het allemaal mogelijk.

Aan de slag met SecOps

Herken, prioriteer en reageer sneller op dreigingen.

Contact
Demo