Volgens PWC is het uitgangspunt bij het 'Three Lines of Defense' (3LoD) model dat het lijnmanagement (de business) verantwoordelijk is voor haar eigen processen.
Daarnaast moet er een functie zijn die de 1e lijn ondersteunt, adviseert, coƶrdineert en bewaakt of het management zijn verantwoordelijkheden ook daadwerkelijk neemt. Dit is de tweede lijn. De tweede lijn is ook verantwoordelijk voor bepaalde beleidsvoorbereidende taken en het organiseren van integrale risk assessments.
Binnen een organisatie is het wenselijk dat er een functie bestaat die controleert of het samenspel tussen de eerste en tweede lijn soepel functioneert en daarover een objectief, onafhankelijk oordeel velt met mogelijkheden tot verbetering. Deze functie is de derde lijn, een afdeling - vaak Internal Audit - die volledig los van alle andere organisatieonderdelen opereert.
