Van three-lines-of-defense naar three lines

Van three-lines-of-defense naar three lines

Auteur: Drs. Huub van Hout RA CIA
3 min

Three lines of defense. Verdediging tegen wat eigenlijk?

Bij verdediging ligt de nadruk vaak eenzijdig op risicovermijding. Dit past minder goed bij bedrijven die uit zijn op groei. Goed om te zien dat het IIA korte metten heeft gemaakt met de three lines of defense door voortaan enkel te spreken van three lines.

Het is alweer zeven jaar geleden dat ik drie artikelen over de three lines of defense mocht schrijven in Audit Magazine. De analogie ging over dijkbewaking rondom rivieren. Drie dijken die samen het risico van wassend water moeten voorkomen, een waker, een slaper en een dromer. Drie gescheiden lijnen (dijken) en een duidelijk gevaar (water).

Er was ook toen al meer aan de hand. De waker (de belangrijkste dijk, de first line of defense) zou zich richten op risicomanagement. Echter, de verleiding van bonus, omzet- en winstgroei bleken de eerste dijk te kunnen afkalven. Met andere woorden, de eerste dijk was misschien niet zo krachtig als hij zou moeten zijn. Dit risico van dijkafkalving werd na de grote verliezen met rommelhypotheken in de Verenigde Staten overal onderkend en raakte veel banken midscheeps. Toezichthouders grepen in als nooit tevoren. Een lawine van regelgeving kwam op de banken af met serieuze boetes in geval van non-compliance. Niet alleen vanuit Bazel en ECB, maar ook vanuit DNB, AFM en de Autoriteit Persoonsgegevens. Soms zelfs conflicterende regelgeving, maar non-compliance was geen optie meer. De verleiding om een dijk te laten afkalven werd ingeruild voor een plicht om te voldoen aan alle regels of, anders gezegd, het wassende water ingeruild voor een kolkende rivier van regelgeving en regelgevers.

Inmiddels zijn niet alleen de interne three lines of defense hier druk mee. Ook externe accountants (denk aan de NOCLAR-regelgeving), nemen het niet voldoen aan regels nadrukkelijk mee bij hun audits. Een soort van vierde line of defense dus. Nog meer nadruk op verdediging. Aandeelhouderswaarde, winst en groei krijgen hierdoor veel minder nadruk. Risk taking lijkt het verloren te hebben van risk control. Banken bedenken zich wel drie (!) keer alvorens een nieuwe propositie te starten via een nieuw product of service. Direct bij de start moet zeker zijn dat voldaan wordt aan alle regels. Compliance by design heet dat. Dat maakt een nieuwe maar onzekere propositie erg duur en mogelijk zelfs te duur. Opnieuw, verdediging voert de boventoon.

Financiële instellingen, banken in het bijzonder, moeten zich verantwoorden voor hun maatschappelijke rol. Ze hebben poortwachtersfuncties gericht op de integriteit van het monetair verkeer en daar past risk taking veel minder bij. Regelgevers schroeven de kapitaalvereisten ieder jaar op, zeker bij risicovolle activiteiten. Risk taking in de zuivere vorm lijkt niet langer te passen in het three-lines-of-defensemodel. Startups en challengers die doorgaans buiten het toezicht van veel regelgevers opereren, kunnen wel blijven focusen op de offense. Net als big tech die doorgaans geen banklicenties hebben, maar wel dicht in de buurt komen van financiële dienstverlening.

Het is bijzonder om te zien dat het IIA de eenzijdige nadruk op verdediging met één pennenstreek weghaalt en spreekt van three lines zonder toevoeging. Een goede ontwikkeling. Door af te stappen van de nadruk op defense, ontstaat ook weer meer ruimte voor een focus op groei, verdienmodellen en waardecreatie binnen de drie lijnen. Hoewel veel professionals opgevoed in risk management nog wel zullen blijven denken vanuit defense, is het ook goed om na te denken over ‘offense’. Immers, zonder waardecreatie of een werkend verdienmode kun je niet overleven en heb je ook niets aan three lines of defense.

Complimenten voor het IIA!

Over
Huub van Hout werkt bij de ABN AMRO Bank als head Processes & Control Retail. Daarvoor werkte hij bij Group Audit van dezelfde bank. Van Hout is oud-redactielid van Audit Magazine.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.

Lees meer over dit onderwerp:

Taboe op verschillenblindheid

In 2017 schreven Merry en Boussaid in een artikel dat het goed is om diversiteit te omarmen. Zij constateren dat mensen die voorstanders zijn van diversiteit zich ironisch genoeg niet richten op het onderkennen van verschillen, maar op het minder gewicht toekennen aan verschillen. De auteurs beklemtonen dat deze ‘verschillenblindheid’ moet worden vermeden en dat […]

Lees meer

Ontdek je blinde vlek

“Zoals we weten zijn er dingen waarvan we weten dat we ze weten”, zei Donald Rumsfeld op 12 februari 2002. “Maar er zijn ook onbekende onbekendheden – de dingen waarvan we niet weten dat we ze niet weten.” Over dat laatste wil ik het hebben. Want het is bijna negentien jaar geleden dat de […]

Lees meer