GRC • 3 min lästid

Hur de tre försvarslinjerna påverkar ditt ISK/GRC arbete

blogg
Alla Blogg Event Kundcase Nyheter Videos Produkt Guider
|Efter ämne

En utmaning för internstyrning och kontroll (ISK eller GRC) arbetet är att det sker i silos och att dokumentationen samlas lokalt utan tillgång för resten av organisationen. Det här påverkar också samarbetet mellan olika verksamhetsområden. Låter det bekant? I det här inlägget klargör vi de tre försvarslinjerna och erbjuder tips om hur man kan koordinera sitt ISK/GRC arbete.

I organisationer som mognat något i sitt ISK/GRC arbete träffar man ofta på en implementering av begreppet ’tre försvarslinjer’. Det här begreppet är till för att definiera och klargöra ansvarsfördelningen mellan olika delar av verksamheten relaterat till risk, internkontroll, och ISK/GRC i sin helhet.

De tre försvarslinjerna sammanfattade:

  1. Första linjen

    Linjechefer och personal. De utför det dagliga arbetet inklusive riskanalys, hantering, uppföljning, och så vidare.

  2. Andra linjen

    Stödjande specialistfunktioner, ofta centraliserade, som stöttar första linjen i frågor kring metodologi och specialistkompetens. Till exempel Riskstrateg, Styrningsstöd, och så vidare.

  3. Tredje linjen

    Revision – detta kan göras internt eller genom externa aktörer men har oavsett den viktiga funktionen att lämna feedback på hur processerna i första och andra linjen fungerar och om det behövs justeringar.

Utmaningar med att koordinera de tre linjerna:

  • Arbetet sker i silos och är svårt att koordinera. Olika funktioner vill arbeta på ’sitt’ sätt.

  • Alla funktionerna behöver samma data att arbeta med men informationen existerar bara lokalt utan central synlighet.

  • Det finns inget centralt arbetsflöde/process som alla funktioner samlas kring.

Effekten av misslyckad koordination

När de tre försvarslinjerna inte har en bra koordination är risken för silofiering högre. Varje ansvarig person måste rapportera till olika parter och ibland samma information men på olika sätt för att anses ha efterlevnad med silofierade krav.

Ett mindre urval av möjliga konsekvenser är:

  • Mer kraft lagd på att hämta in information än att analysera och förbättra
  • Chefer har svårt att förstå alla förväntningarna
  • Chefer får svårt att hantera krav och från flera silos på en gång och undvika duplicering

Vill du läsa mer om hur du kan koordinera ditt ISK/GRC arbete och de tre försvarslinjerna? Ta en titt på vår guide ”Stratsys ISK/GRC-modell och de tre försvarslinjerna”. Du kan ladda ned den via länken nedan.

Ladda ner guide

 

Senaste nytt från oss direkt till din inbox varje månad