Van three-lines-of-defense naar three lines

Three lines of defense. Verdediging tegen wat eigenlijk?

Bij verdediging ligt de nadruk vaak eenzijdig op risicovermijding. Dit past minder goed bij bedrijven die uit zijn op groei. Goed om te zien dat het IIA korte metten heeft gemaakt met de three lines of defense door voortaan enkel te spreken van three lines.

Het is alweer zeven jaar geleden dat ik drie artikelen over de three lines of defense mocht schrijven in Audit Magazine. De analogie ging over dijkbewaking rondom rivieren. Drie dijken die samen het risico van wassend water moeten voorkomen, een waker, een slaper en een dromer. Drie gescheiden lijnen (dijken) en een duidelijk gevaar (water).

Er was ook toen al meer aan de hand. De waker (de belangrijkste dijk, de first line of defense) zou zich richten op risicomanagement. Echter, de verleiding van bonus, omzet- en winstgroei bleken de eerste dijk te kunnen afkalven. Met andere woorden, de eerste dijk was misschien niet zo krachtig als hij zou moeten zijn. Dit risico van dijkafkalving werd na de grote verliezen met rommelhypotheken in de Verenigde Staten overal onderkend en raakte veel banken midscheeps. Toezichthouders grepen in als nooit tevoren. Een lawine van regelgeving kwam op de banken af met serieuze boetes in geval van non-compliance. Niet alleen vanuit Bazel en ECB, maar ook vanuit DNB, AFM en de Autoriteit Persoonsgegevens. Soms zelfs conflicterende regelgeving, maar non-compliance was geen optie meer. De verleiding om een dijk te laten afkalven werd ingeruild voor een plicht om te voldoen aan alle regels of, anders gezegd, het wassende water ingeruild voor een kolkende rivier van regelgeving en regelgevers.

Inmiddels zijn niet alleen de interne three lines of defense hier druk mee. Ook externe accountants (denk aan de NOCLAR-regelgeving), nemen het niet voldoen aan regels nadrukkelijk mee bij hun audits. Een soort van vierde line of defense dus. Nog meer nadruk op verdediging. Aandeelhouderswaarde, winst en groei krijgen hierdoor veel minder nadruk. Risk taking lijkt het verloren te hebben van risk control. Banken bedenken zich wel drie (!) keer alvorens een nieuwe propositie te starten via een nieuw product of service. Direct bij de start moet zeker zijn dat voldaan wordt aan alle regels. Compliance by design heet dat. Dat maakt een nieuwe maar onzekere propositie erg duur en mogelijk zelfs te duur. Opnieuw, verdediging voert de boventoon.

Financiële instellingen, banken in het bijzonder, moeten zich verantwoorden voor hun maatschappelijke rol. Ze hebben poortwachtersfuncties gericht op de integriteit van het monetair verkeer en daar past risk taking veel minder bij. Regelgevers schroeven de kapitaalvereisten ieder jaar op, zeker bij risicovolle activiteiten. Risk taking in de zuivere vorm lijkt niet langer te passen in het three-lines-of-defensemodel. Startups en challengers die doorgaans buiten het toezicht van veel regelgevers opereren, kunnen wel blijven focusen op de offense. Net als big tech die doorgaans geen banklicenties hebben, maar wel dicht in de buurt komen van financiële dienstverlening.

Het is bijzonder om te zien dat het IIA de eenzijdige nadruk op verdediging met één pennenstreek weghaalt en spreekt van three lines zonder toevoeging. Een goede ontwikkeling. Door af te stappen van de nadruk op defense, ontstaat ook weer meer ruimte voor een focus op groei, verdienmodellen en waardecreatie binnen de drie lijnen. Hoewel veel professionals opgevoed in risk management nog wel zullen blijven denken vanuit defense, is het ook goed om na te denken over ‘offense’. Immers, zonder waardecreatie of een werkend verdienmode kun je niet overleven en heb je ook niets aan three lines of defense.

Complimenten voor het IIA!