Het blijft me verwonderen: de worsteling met risicoverantwoordelijkheden in veel organisaties. Dit ondanks het ogenschijnlijk simpele Three Lines of Defence model, in 2020 omgedoopt tot het Three Lines model. Veel organisaties hanteren dit model, waarin risicoverantwoordelijkheden zijn geregeld. Althans, op papier. In de praktijk blijken het nogal eens drie lijnen in het zand: één golf en weg zijn ze. Wat kunnen controllers hieraan doen?