We're hiring! Word onderdeel van het RiskChallenger team. Bekijk onze vacatures
nl
en

Three Lines Model: zo beleg je verantwoordelijkheid in risicomanagement

29 mei 2026
Team RiskChallenger

Als er iets misgaat in een project, wie is er dan verantwoordelijk? De projectleider die het werk deed? De risicomanager die had moeten waarschuwen? Of het bestuur dat toezicht houdt? In veel organisaties blijft die vraag te lang hangen, en eindigt het ermee dat iedereen aanneemt dat een ander het oppakte. Het Three Lines Model bestaat juist om dat te voorkomen. Het legt vast wie risico's neemt, wie ze bewaakt en wie onafhankelijk vaststelt dat het geheel werkt.

In deze blog lees je wat het model inhoudt, wat er in de vernieuwde versie is veranderd, en hoe je het laat werken zonder dat het verzandt in papierwerk.

Wat is het Three Lines Model?

Het Three Lines Model is een principe-gebaseerd raamwerk dat rollen en verantwoordelijkheden rond governance en risicomanagement belegt. Het is ontwikkeld door het Institute of Internal Auditors (IIA) en wordt wereldwijd gebruikt om een risicomanagementsysteem in te richten.

De gedachte is eenvoudig. Er zijn drie soorten rollen, en elke rol heeft een eigen functie in het beheersen van risico's. Door die rollen expliciet te benoemen voorkom je gaten en dubbel werk. Het model geeft daarmee antwoord op een vraag die in elke organisatie speelt: wie beslist, wie voert uit en wie controleert dat het klopt?

Een veelgemaakte misvatting is dat het model alleen over verdediging gaat, over het afweren van bedreigingen. Dat is achterhaald. De huidige versie benadrukt dat risicomanagement evengoed draait om het pakken van kansen en het creëren van waarde.

Van Three Lines of Defense naar Three Lines Model

Het raamwerk heette oorspronkelijk de Three Lines of Defense en stamt uit de vroege jaren 2000. In 2020 heeft het IIA het grondig herzien en de naam ingekort tot Three Lines Model. Dat was geen kosmetische aanpassing.

Het woord "defense" wekte de indruk dat risicomanagement vooral een beschermende bezigheid is. Die eenzijdige nadruk is losgelaten. Risicogestuurd beslissen gaat net zo goed over kansen als over gevaren. Tegelijk kreeg het bestuur een duidelijker plek in het model en ligt er nu meer nadruk op samenwerking en communicatie tussen alle betrokkenen.

Die verschuiving past goed bij hoe wij bij RiskChallenger naar risicomanagement kijken. Voor ons is het geen eenzame controletaak van één persoon, maar een gesprek dat door de hele organisatie loopt. In september 2024 volgde nog een aanvulling die de terminologie in lijn bracht met de actuele internationale auditstandaarden.

De drie lijnen uitgelegd

De kern van het Three Lines Model bestaat uit drie lijnen. Elke lijn draagt een eigen verantwoordelijkheid.

Eerste lijn: wie het werk doet en de risico's bezit

De eerste lijn is het management en de operationele teams die dagelijks het werk uitvoeren: projectleiders, uitvoerders, teamleiders. Zij leveren het werk aan klanten of burgers en moeten daarbij inherent risico's nemen. Daarmee zijn ze ook de eersten die die risico's zien aankomen en er met concrete maatregelen op reageren.

Juist deze groep blijft bij traditioneel risicomanagement vaak buiten beeld. Dat is zonde, want hier zit de meeste kennis over wat er echt kan misgaan.

Tweede lijn: wie bewaakt en uitdaagt

De tweede lijn ondersteunt en bewaakt de eerste. Hier zitten de mensen voor risicomanagement, compliance en kwaliteit. Ze stellen kaders op, prikken door makkelijke aannames heen en houden overzicht over hoe risico's door de hele organisatie heen worden beheerst. Ze doen het werk niet zelf, maar zorgen dat het op de goede manier gebeurt.

Derde lijn: wie onafhankelijk zekerheid geeft

De derde lijn is de interne audit. Die geeft het bestuur en de directie een onafhankelijk en objectief oordeel over de vraag of governance, risicomanagement en interne beheersing echt werken. Onafhankelijkheid is hier het sleutelwoord. Maar dat betekent in de vernieuwde versie nadrukkelijk niet dat de interne audit op een eiland zit. Ook deze lijn hoort mee te denken over verbeteringen.

De rol van bestuur en governance

Boven de drie lijnen staat het bestuur, de governing body. In de oude opzet zat dat orgaan er minder bovenop. Het vernieuwde model trekt het bestuur er juist bij in. Het bestuur blijft eindverantwoordelijk voor het toezicht, maar laat het halen van de doelen aan het management.

Ook externe partijen krijgen een plek, zoals accountants en toezichthouders. Zij leveren aanvullende zekerheid. Zo ontstaat een compleet beeld van iedereen die binnen en buiten de organisatie bijdraagt aan betrouwbaar risicomanagement.

Waarom organisaties met het Three Lines Model werken

De grootste winst van het Three Lines Model is duidelijkheid. Het geeft een gemeenschappelijke taal voor wie beslist, wie doet, wie uitdaagt en wie zekerheid geeft. Daarmee voorkom je de situatie waarin iedereen denkt dat een ander aan zet is en er dus niemand verantwoordelijk blijkt.

Wat het model in de praktijk oplevert:

  • Heldere verantwoordelijkheden, waardoor gaten en overlap verdwijnen.
  • Snellere besluiten, omdat duidelijk is wie waarover gaat en binnen welke risicobereidheid.
  • Ruimte om het aan te passen. Het model is op principes gebaseerd, dus kleinere organisaties mogen de eerste en tweede lijn deels combineren als een eigen risicoafdeling ontbreekt.
  • Aansluiting op bekende kaders zoals ISO 31000 en COSO ERM.

Het model wordt overal gebruikt, van financiële dienstverlening en de zorg tot de energie en publieke sector. In Nederland kom je het tegen bij waterschappen, gemeenten en grote infraprojecten.

Van model naar praktijk: maak het communicatief

Een model op papier verandert nog niets. De grootste valkuil van het Three Lines Model is dat het een mooi organogram blijft dat verder niemand gebruikt. De waarde ontstaat pas als die drie lijnen ook echt met elkaar praten.

En daar gaat het vaak mis. De eerste lijn, de mensen die de risico's kennen, haakt af zodra risicomanagement aanvoelt als een verplicht invuloefening in een spreadsheet. Niet voor niets legt het vernieuwde model zoveel nadruk op samenwerking. Onafhankelijkheid is iets anders dan isolement.

Bij RiskChallenger gaan we ervan uit dat risicomanagement een gesprek is en geen getal. Met interactieve brainstormsessies, waaraan teamleden meedoen via een QR-code zonder dat ze een account nodig hebben, betrek je de eerste lijn bij het benoemen en inschatten van risico's. Visuele dashboards en GIS-kaarten laten daarna aan de tweede en derde lijn zien wat er speelt, op strategisch, tactisch en operationeel niveau. Zo wordt het Three Lines Model geen statisch schema, maar een gesprek waarin de hele organisatie risicobewust raakt.

Conclusie

Het Three Lines Model is een beproefde manier om governance en risicomanagement te ordenen. Het verdeelt de verantwoordelijkheid over drie lijnen, geeft het bestuur een duidelijke toezichthoudende rol, en is sinds de update van 2020 gericht op waarde creëren in plaats van alleen verdedigen. De belangrijkste les: het werkt alleen als de lijnen met elkaar communiceren en de mensen die de risico's echt kennen worden betrokken.

Wil je zien hoe je het Three Lines Model omzet in een gesprek dat door de hele organisatie loopt? Start een gratis proefperiode van 30 dagen met RiskChallenger of plan een demo. Dan merk je zelf hoe risicomanagement er in de praktijk uitziet.

RiskChallenger is een Nederlands platform voor communicatief risicomanagement. Toegankelijker dan complexe enterprise-tools en effectiever dan Excel.

Heb je nog vragen over dit artikel?

Neem gerust contact met ons op via de live chat of via

support@riskchallenger.nl

Lees meer over

Alles
RiskChallenger Nieuws
Risicomanagement
Software Development
Klantverhalen

Gerelateerde blogs

Leer meer van onze blogs, en leer hoe jij risicomanagement kan toepassen in je dagelijkse projecten.

Alle blogs
Risicomanagement
Risicomanagement
Risicomanagement
Risicomanagement
Zo win je een tender op risicomanagement: 5 lessen uit de praktijk

Tenders winnen vraagt om meer dan alleen een sterke inhoudelijke aanpak. Onze adviseur Aurelia Bejenari deelt vijf praktijklessen over strategie, realisme en overtuigingskracht bij tendertrajecten.

Lees meer
Risicomanagement
Risicomanagement
Risicomanagement
Risicomanagement
AI en risicomanagement: Hype, realiteit en wat je vandaag al wel kunt doen

Iedereen heeft het over AI. Ook in risicomanagementland gonst het van de beloftes: automatische risico-identificatie, voorspellende analyses, slimme aanbevelingen. Maar wat kun je er vandaag echt mee?

Lees meer

Ervaar zelf de eenvoud en effectiviteit

Probeer onze software 30 dagen uit of maak een afspraak voor een software demo.

Start gratis trial
Demo aanvragen
info@riskchallenger.nl
+31 (0)33 2096 213
Hardwareweg 14, 3821 BM Amersfoort
Software
LicentiesBrainstormInteractief KwantificerenGeodata (GIS)VisualisatiesIntegratiesExtra's
Dienstverlening
OpleidingAbonnementTenderSupportDetachering
Over ons
Het teamVacaturesOnze markten
Support
SecurityFAQRelease notesSofware handleiding
Nieuwsbrief

Wil je op de hoogte blijven van ontwikkelingen bij RiskChallenger?

2026 RiskChallenger
Privacy StatementAlgemene voorwaarden
KVK 67345735
BTW NL856941104B01