Het Nieuwe 3-Lijnenmodel: Waarom Risicomanagement Vaak Faalt (en Hoe U Het Oplost)

Recent heeft het Institute of Internal Auditors (IIA) het welbekende 3 Lines of Defence model vernieuwd. De naam is veranderd naar het Three Lines Model, maar de belangrijkste wijziging zit in de inhoud: de rol van risicomanagement is explicieter en krachtiger gepositioneerd. In mijn praktijk als adviseur zie ik dit als een cruciale stap. Het model bevestigt wat wij bij Succesmanagement al jaren benadrukken: effectief risicomanagement is geen taak voor een aparte afdeling, maar een kernverantwoordelijkheid van de lijnorganisatie zelf.

De boodschap aan de eerste lijn is nu onmiskenbaar: jullie zijn eigenaar van de risico’s en de beheersing ervan. De tweede lijn vervult een specialistische, ondersteunende rol bij complexe vraagstukken. Deze verduidelijking is een perfecte aanleiding om de meest hardnekkige valkuilen van risicomanagement in de praktijk onder de loep te nemen.

Valkuil 1: Risico’s zonder Context – De Papieren Tijger

Ik kom regelmatig bij organisaties waar men trots een lange risicolijst presenteert. Maar als ik dan de simpele vraag stel: “Welk specifiek doel wordt door dit risico bedreigd?”, blijft het vaak pijnlijk stil. Dit is wat ik “zwevende risico’s” noem: lijsten vol potentiële gevaren die nergens aan gekoppeld zijn.

Het gevolg? Niemand voelt zich aangesproken. Risicomanagement wordt gezien als een bureaucratische verplichting die alleen maar negatieve energie kost. De oplossing is even simpel als effectief: koppel risico’s altijd aan de context. Identificeer risico’s niet in een vacuüm, maar direct vanuit de doelen, processen of projecten waar uw organisatie aan werkt.

Een risico is immers niets meer dan een onzekere gebeurtenis die het behalen van een doel kan dwarsbomen. Door deze koppeling te maken, worden risico’s direct relevant en concreet. De verantwoordelijkheid voor de identificatie komt dan ook precies te liggen waar deze hoort: bij de doel- of proceseigenaar. De eerste lijn dus.

Valkuil 2: Afgeschoven Verantwoordelijkheid – Wie is Eigenaar van het Risico?

Een veelgehoorde discussie in managementteams is de vraag wie nu écht verantwoordelijk is voor een specifiek risico. Wanneer risico’s echter structureel worden gekoppeld aan doelen en processen, verdwijnt deze discussie als sneeuw voor de zon. De eigenaar van het risico is simpelweg dezelfde persoon als de eigenaar van het doel of proces.

Wat ik in de praktijk soms zie, is dat de onduidelijkheid dieper ligt. Als niet helder is wie de proceseigenaar is, met name bij processen die meerdere afdelingen doorkruisen, ontstaat er een fundamenteel besturingsrisico. Dit is een signaal dat ik als adviseur uiterst serieus neem. Het betekent dat de organisatie niet zo effectief en efficiënt werkt als mogelijk is. Dit type risico ligt per definitie op het bord van het bestuur en wordt vaak door de derde lijn (interne audit) gesignaleerd.

Valkuil 3: Het Ontbreken van een Aanspreekcultuur

In veel organisaties, zeker in de publieke sector, zie ik een patroon waarbij de tweede lijn—vaak uit goede wil—de risico-inventarisatie van de eerste lijn overneemt. De eerste lijn pakt haar verantwoordelijkheid niet en, belangrijker nog, wordt hier niet op aangesproken. Op dat moment is er van effectief risicomanagement feitelijk geen sprake meer.

Vanuit onze visie bij Succesmanagement is de taak van een manager tweeledig:

1. Zorgen dat processen soepel lopen en het gewenste positieve effect realiseren.

2. Zorgen dat ongewenste gebeurtenissen de output of het resultaat niet verstoren, oftewel het negatieve effect beheersen.

Als die tweede verantwoordelijkheid niet wordt genomen, is de bedrijfsvoering uit balans. Een cultuur waarin managers elkaar en hun medewerkers hierop durven aanspreken, is daarom essentieel.

Van Weerstand naar Waarde: De Weg Vooruit

Het vernieuwde Three Lines Model biedt een uitstekend handvat om de effectiviteit van risicomanagement te vergroten. Maar ik begrijp de weerstand van veel lijnmanagers volkomen. Hun scepsis is vaak gebaseerd op slechte ervaringen, voortkomend uit de drie valkuilen die ik hierboven heb beschreven.

Deze negatieve perceptie, gecombineerd met een gebrek aan kennis, staat een succesvolle implementatie in de weg. Zolang de eerste lijn de toegevoegde waarde van risicomanagement niet inziet en ervaart, zal het nooit echt van de grond komen. Om deze impasse te doorbreken, is het cruciaal om de perceptie te veranderen en het negatieve beeld om te buigen. In een volgend artikel deel ik een concrete aanpak om dit te realiseren.

—

Over de auteur:

Drs. Geert Haisma is de drijvende kracht achter Succesmanagement. Tijdens zijn jarenlange werk als bestuurskundige zag hij hoe een integrale kijk op doelen, processen en risico’s leidt tot meer succes. Daarom ontwikkelt hij vooruitstrevende instrumenten die organisaties helpen om effectiever te worden met behulp van data, moderne ICT en AI.