Vi argumenterer i denne artikkelen for at trelinjemodellen ikke fungerer etter sin hensikt, ved at førstelinjen ikke får et tydelig nok ansvar for å eie og håndtere risiko.
Overordnet oppsummering
Konsekvensen er økt ressursbruk i andre og tredjelinjen, uten at dette nødvendigvis medfører bedre styring og kontroll i virksomheten. Vi mener at den åpenbare løsningen er å styrke førstelinjen gjennom et tydelig eierskap for ende-til-ende risikostyring samt styrke samhandlingen mellom alle linjene for å bygge ned silotankegang. Virksomheter må få på plass felles rolle- og ansvarsbeskrivelser, felles metoder og verktøy. Videre må førstelinjen sørge for å få på plass strategi, mål og resultatstyring, risikostyring på strateginivå og arbeidsprosesser som dekker finansielle risiko, operasjonelle risiko og compliance risiko. Kontroller og preventivt arbeid innen compliance må integreres i eksisterende førstelinjefunksjoner. Arbeidet med all type risiko (inkludert compliance risiko), må integreres i arbeid med i eksisterende risiko- og styringsprosesser og ikke være en egen prosess på siden. Fokus i andre og tredjelinjen bør være på største risiko og saker der uavhengige vurderinger er viktig.
Bakgrunn og kontekst
Trelinjemodellen ble utviklet i 2008-10 av Federation of European Risk Management Associations (FERMA) og European Confederation of Institutes of Internal Auditing (ECIIA) som en veiledning for det 8. EU-direktivet. Modellen skal gi styret og revisjonskomiteen en enkel veiledning som viser ansvaret for risikostyring, internkontroll og internrevisjon. Den forklarer hvordan disse funksjonene og aktivitetene forholder seg til hverandre og indikerer hva som skal overvåkes av hver funksjon eller aktivitet [1].
I en klassisk modell for tre linjer har man normalt følgende inndeling:
- Første linje: Funksjoner som eier og håndterer/behandler risiko i virksomhetens prosesser. De er ansvarlig for utformingen og implementering av risikoreduserende kontroller og tiltak i førstelinjens prosesser.
- Andre linje: Funksjoner som overvåker og følger opp risiko. Skal støtte førstelinjen med ekspertise og gjøre uavhengige vurderinger i saker som krever dette. Et eksempel på en slik funksjon er compliance-funksjonen. God praksis er også at compliance-funksjonen rapporterer direkte til ledelse og styrets revisjonskomite.
- Tredje linje: Funksjoner som gir uavhengig bekreftelse til ledelsen og styret.
Inndelingen vil selvsagt variere fra virksomhet til virksomhet avhengig av størrelse, driftsstruktur, risikostyringstilnærming og bransje. Innenfor bank, finans og forsikring er det lovpålagt med trelinje-funksjon og i 2015 kom rundskriv R-117 Internrevisjon i statlige virksomheter, som påla statlige virksomheter med inntekter eller utgifter over 300 millioner kroner å vurdere bruk av internrevisjon. En undersøkelse av DFØ viser at per 31. desember 2020 er det 46 av 184 statlige virksomheter som har etablert, eller skal etablere internrevisjon. KPMGs nordisk compliance survey 2021 viser at av totalt 115 virksomheter, hadde 68 prosent internrevisjon.
En klassisk kritikk av trelinjemodellen som er et konseptuelt rammeverk, er at den fører til silotankegang [2] og at linjene ikke evner å samarbeide og dele informasjon og kunnskap tilstrekkelig på tvers. I 2020 kom IIA med en oppdatering av trelinjemodellen og det ble lansert 6 nye prinsipper. I den nye utgaven skal virksomheter bedre kunne identifisere og strukturere samhandling og ansvarsområder i nøkkelfunksjoner og ledelse. Prinsipp nummer 3 berører forholdet mellom ledelsen og første og andre linje roller. Ledelsens ansvar for å oppnå virksomhetens målsetninger, omfatter både første og andre linjerollene. Første og andre linjerollene kan både blandes og separeres. De nye prinsippene skisserer ulike fokusområder for andre linje; etterlevelse, internkontroll, bærekraft, kvalitet, etc. Prinsippet er likevel helt tydelig på at ansvaret for å håndtere risiko hører til som en rolle for første linjen og en del av ansvaret for ledelsen.
De siste årene har vi sett en rekke mediasaker relatert til styring og kontroll i større norske virksomheter og i kjølvannet av dette har vi sett at stadig flere flere øker sin kostnadsbruk knyttet til trelinjemodellen. KPMG har nylig gjennomført en nordisk compliance survey blant over 100 nordiske virksomheter i privat sektor, for å finne ut hvor de befinner seg innen arbeid med etikk, compliance og trelinjemodellen. I Norge, Sverige og Island ser vi en økning på over 40 prosent på utgifter til trelinjemodellen, mens økningen i Finland og Danmark er på henholdsvis 33 og 18 prosent. Videre oppgir om lag 47 prosent av de undersøkte virksomhetene i de nordiske landene, at de har økt sine ressurser brukt på andre og tredjelinjen de siste tre årene. Samtidig oppgir 54 prosent av virksomhetene at trelinjemodellen har hatt uendret effekt på styring og kontroll. Dette er relativt tankevekkende funn og bør få toppledelsen til å tenke nøye gjennom om flere ansatte i andre og tredjelinjen er riktig strategi fremover. Vår påstand er at svaret ligger nærmere førstelinjen enn man tror.
Utfordringer
Bakgrunnen er at vår erfaring som konsulenter og som ledere av compliance og internrevisjonsfunksjoner i store virksomheter, støtter opp om den klassiske kritikken av modellen. Vi ser at det ofte gjennom oppbygging av andre og tredjelinje funksjoner i virksomheter, skjer en passivisering av førstelinjen ved at ledelsen og de ansatte i for stor grad «lener seg» på andre og tredjelinjen.
Vi mener at pendelen i mange virksomheter har snudd for langt den andre veien; fra å ikke ha ressurser i andre og tredje-linjefunksjoner, har disse funksjonene nå blitt så « tunge» at førstelinjen blir “skviset” ut på sidelinjen. Dette til tross for at det er førstelinjen som er eksponert for de største risikohendelsene både strategisk, operasjonelt, finansielt og med hensyn til compliance.
Førstelinjen får dermed ikke eierskap til det ansvaret de har for å håndtere risiko. Et resultat av dette er at vi ofte finner at strategi, mål og resultatstyring og risikostyringen ikke henger sammen. I enkelte virksomheter vil for eksempel andre-linje compliance funksjonen selv gjennomføre alle bakgrunnsundersøkelser av eksterne parter og i mindre grad involvere første linjen, til tross for at første linjen har den direkte samhandlingen operasjonelt med den eksterne parten både før og etter undersøkelsen. Dette medfører at viktig kunnskap og læring går tapt «begge veier», blant annet ved at fakta førstelinjen sitter på ikke blir delt med andrelinjen. Videre ser vi at sentrale funn gjort i undersøkelsene foretatt av andrelinjen, ikke blir fulgt opp i etterkant av førstelinjen.
Et annet eksempel er compliance-opplæringsprogrammer og/eller kvalitetsarbeid som designes og/eller gjennomføres av andrelinjen uten tilstrekkelig medvirkning av førstelinjen. Dette medfører ofte at opplæringen blir for overordnet, generell og ikke adresserer de konkrete risikoene som den enkelte ansatte er eksponert for i sin rolle. Vår erfaring er at dette skaper mye frustrasjon og dårlig samarbeidsklima mot førstelinjen. Endelig finner vi ofte at første, andre og tredje linjer opererer i «siloer» og ikke samhandler i tilstrekkelig grad, noe som ofte resulterer i uklarheter i forhold til ledelsesrapportering spesielt og ineffektivitet i kontrollarbeidet generelt.
Løsning
Vi mener at den åpenbare løsningen er å styrke førstelinjen gjennom et tydelig eierskap for ende-til ende risikostyring samt styrke samhandlingen mellom alle linjene for å bygge ned silotankegang. Virksomheter må få på plass felles rolle- og ansvarsbeskrivelser, felles metoder og verktøy. Videre må førstelinjen sørge for å få på plass strategi, mål og resultatstyring, risikostyring på strateginivå og arbeidsprosesser som dekker finansielle risiko, operasjonelle risiko og compliance risiko. Kontroller og preventivt arbeid innen compliance må integreres i eksisterende førstelinjefunksjoner – eksempelvis opplæring av ansatte, bakgrunnsundersøkelser og kontroller av leverandører og andre tredjeparter.
Arbeidet med all type risiko (inkludert compliance risiko), må integreres i arbeid med i eksisterende risiko- og styringsprosesser og ikke være en egen prosess på siden. Andrelinjen bør tilrettelegge og holder seg oppdatert på nye krav og forventninger og «ruller ut» nye retningslinjer, metoder og verktøy i organisasjonen. Andre og tredjelinjen skal sammen bidra til kontinuerlig forbedring i organisasjonen, støtte med spisskompetanse og spiller førstelinjen god. Petter Kaarengs gode artikkel “Digital transformasjon av butikkrevisjon”, er etter vår mening et utmerket eksempel på at tredjelinjen spiller førstelinjen gode; Kaareng trekker frem at gjennom internrevisjonens arbeid har regions- og distriktssjefene reagert positivt, vist interesse for egne tall og årsakssammenhenger og tatt i bruk analysene i oppfølgingen av butikkene. Førstelinjen har med andre ord blitt styrket, både gjennom større risikoforståelse, men også gjennom å ta eierskap til egen risiko gjennom løpende oppfølging av disse i daglig drift.
Fokus i andre og tredjelinjen bør være på største risiko og saker der uavhengige vurderinger er viktig.
[1] Prof. T. F. Ruud, PhD Reflections on the Three Lines of Defense, EU Internal Audit Brussels November 24th, 2019
[2] Richard F Chambers, IIA 2019