Hur de tre försvarslinjerna påverkar ditt ISK/GRC arbete

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Hur de tre försvarslinjerna påverkar ditt ISK/GRC arbete</span>
Skriven av
Karl Sandström
Lästid
2 min

En utmaning för intern styrning och kontroll (ISK eller GRC) arbetet är att det sker i silos och att dokumentationen samlas lokalt utan tillgång för resten av organisationen. Det här påverkar också samarbetet mellan olika verksamhetsområden. Låter det bekant? I det här inlägget klargör vi de tre försvarslinjerna.

Vad är de tre försvarslinjerna?

I organisationer som mognat något i sitt ISK/GRC arbete träffar man ofta på en implementering av begreppet ’tre försvarslinjer’. Det här begreppet är till för att definiera och klargöra ansvarsfördelningen mellan olika delar av verksamheten relaterat till risk, internkontroll, och ISK/GRC i sin helhet. Ibland talas det om fyra försvarslinjer med intern och extern revision separerade, men vi har valt att definiera all oberoende verifikation som en tredje linje.

Första försvarslinjen

Den första försvarslinjen i ISK/GRC-arbetet är linjechefer och personal. De utför det dagliga arbetet och även riskanalys, hantering och uppföljning. Utmaningen här är om det finns en bristande förståelse för syftet och hur arbetet stöttar beslutsfattande och verksamheten. Det kan leda till påtvingade formulärkryssningsövningar med lågt mervärde. Det blir då istället en fråga om att enbart fylla i rapporten snarare än att skapa en plan för förbättringsarbete.

Andra försvarslinjen

Den andra försvarslinjen i ISK/GRC-arbetet är stödjande specialistfunktioner, ofta centraliserade, som stöttar första linjen i frågor kring metodologi och specialistkompetens. Det kan till exempel vara riskstrateger och styrningsstöd. Utmaningen här är om andra försvarslinjen inte får tillräckligt med information (visibilitet) och bandbredd för att lämna bra och kvalificerat stöd. Det finns alltid en risk att första linjen ser råd som ovälkomna (en ledarskaps- och kulturutmaning i första linjen), eller att relationen präglas av professionellt gnällande mer än stöttande coaching (ett attitydproblem i andra linjen).

Tredje försvarslinjen

Den tredje försvarslinjen i ISK/GRC-arbetet är revision – detta kan göras internt eller genom externa aktörer men har oavsett den viktiga funktionen att lämna feedback på hur processerna i första och andra linjen fungerar och om det behövs justeringar. Utmaningen här är att revisonsgranskningar ofta ses som ovälkomna intrång och i ett motståndsperspektiv. Om så är fallet handlar det om ett kultur- och attitydproblem som organisationer bör hantera. Men viktigast är att det påverkar samarbetet och samverkan mellan första, andra, och tredje linjerna.

Utmaningar med att koordinera de tre linjerna

  • Arbetet sker i silos och är svårt att koordinera. Olika funktioner vill arbeta på sitt sätt.
  • Alla funktionerna behöver samma data att arbeta med men informationen existerar bara lokalt utan central synlighet.
  • Det finns inget centralt arbetsflöde/process som alla funktioner samlas kring.

Effekten av misslyckad koordination 

När de tre försvarslinjerna inte har en bra koordination är risken för silofiering högre. Varje ansvarig person måste rapportera till olika parter och ibland samma information men på olika sätt för att anses ha efterlevnad med silofierade krav.

Ett mindre urval av möjliga konsekvenser är:

  • Mer kraft lagd på att hämta in information än att analysera och förbättra
  • Chefer har svårt att förstå alla förväntningarna
  • Chefer får svårt att hantera krav och från flera silos på en gång och undvika duplicering

Stratsys verktyg för intern styrning och kontroll (ISK eller GRC) är en skalbar modell avsedd att möta ert behov oavsett storlek – men också för att skapa utrymme för en organisation att utveckla sitt risk- och kontrollarbete. Det är ett verktyg att växa i efter behov och i sin egen takt. Vill du veta mer om hur ett Stratsys verktyg för risk och kontroll? Läs mer om Stratsys produkt för Risk & Kontroll.