In data 20 luglio 2020 The Institute of Internal Auditors (IIA) ha pubblicato il documento denominato “The IIA’s Three Lines Model. An update of the Three Lines of Defense” (documento integrale) che chiarisce e rafforza i principi alla base delle tre linee di difesa, ampliandone il campo di applicazione e spiegando come i ruoli organizzativi chiave devono lavorare insieme per facilitare una forte governance e la gestione del rischio.

Il Three Lines Model sostituisce quello che era noto come il Three Lines of Defense e pone maggiore attenzione alla governance supportando sia la creazione di valore sia la protezione ed occupandosi sia degli aspetti offensivi sia difensivi della gestione del rischio, diversamente dal precedente modello il cui focus primario era la difesa.

La principale novità riguarda l’identificazione di sei principi chiave su cui si basa il nuovo Modello:

– Principio 1 “Governance”;

– Principio 2 “Governing body roles”;

– Principio 3 “Management and first and second line roles”;

– Principio 4 “Third line roles”;

– Principio 5 “Third line independence”;

– Principio 6 “Creating and protecting value”.

L’approccio principles-based del nuovo Modello è stato progettato per fornire agli utenti una maggiore flessibilità in quanto gli organi di governo, l’executive management e l’internal audit non sono suddivisi in ruoli rigidi.

Secondo i primi due principi, una governance efficace, e la conseguente individuazione dei ruoli degli organi di governo, richiede strutture e processi appropriati che garantiscano la responsabilità dell’organo di governo nei confronti delle parti interessate per la supervisione, l’azione del management, inclusa la gestione del rischio, per raggiungere gli obiettivi organizzativi, nonché l’assurance e la consulenza di una funzione di internal audit che sia indipendente per fornire comprensione, fiducia e incoraggiamento perseguendo un miglioramento continuo.

Per quanto riguarda il terzo principio, la responsabilità del management per il raggiungimento degli obiettivi organizzativi comprende i ruoli sia di prima linea, i quali sono più direttamente allineati con la fornitura di prodotti e/o servizi ai clienti, sia di seconda linea che forniscono assistenza nella gestione del rischio.

Con particolare riferimento all’internal audit, invece, il quarto principio stabilisce che questa figura debba fornire garanzia e consulenza indipendente sull’adeguatezza e sull’efficacia della governance e della gestione del rischio. Il quinto principio, poi, sancisce l’indipendenza della funzione di revisione interna dalle responsabilità del management al fine di garantirne la sua obiettività, autorità e credibilità.

Da ultimo, il sesto principio prevede che i diversi soggetti coinvolti devono lavorare insieme per contribuire alla creazione ed alla protezione del valore considerando gli interessi prioritari degli stakeholder.

La sfida per le organizzazioni sarà quella di applicare e adattare il Three Lines Model alle proprie esigenze e priorità, variando, per esempio, la portata dei ruoli di prima e seconda linea sulla base della propria dimensione e complessità.