Naeem Arif en Arie Molenkamp beschrijven het Three Lines of Defence-model als volgt:
Het Three Lines of Defencemodel maakt expliciet dat het management primair verantwoordelijk is voor de realisatie van de strategie, voor de daarvan afgeleide doelstellingen en voor de beoogde waardecreatie. Dat is naar onze overtuiging de belangrijkste notie van het model. Het lijnmanagement op de diverse organisatieniveaus is aanspreekbaar op de goede sturing en beheersing van de organisatie, op het managen van de risico’s die met de bedrijfsvoering samenhangen en op de volledigheid en betrouwbaarheid van de verantwoordingsinformatie. De tussen het decentrale management en de hoogste leiding te maken afspraken zijn doorgaans in managementcontracten opgenomen.
De tweede lijn is verantwoordelijk voor de structuur en inrichting van de organisatie. Het gaat daarbij bijvoorbeeld om de inbedding van concerncomités, om de positionering van decentrale controllers en om het ontwikkelen van voorschriften over toe te passen wet- en regelgeving. De tweede lijn ondersteunt het verantwoordelijke management bij het identificeren en bewaken van risico’s. De tweede lijn ontwikkelt systemen voor procesbeheersing, planning & control, informatieverwerking, communicatie en rapportage. Dit ter ondersteuning van de decentrale lijnmanager bij het bijsturen van de procesvoering, het uitvoeren van evaluaties en het afleggen van verantwoording.
De derde lijn in het model staat voor de internal auditfunctie (IAF). Deze voorziet de hoogste leiding van aanvullende zekerheid over de kwaliteit van sturing en beheersing. IAF is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control
zijn van de organisatie, IAF kan wel worden aangesproken op de mate waarin ze in staat is om de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken.
Bron: Controller en internal auditor: samen voor organisatiecontinuïteit, Naeem Arif, Arie Molenkamp, in AUDIT, nummer 4, december 2011