De Tre Linjene med Forsvar – En hyllest til moderne virksomhetsstyring

Av Svein Roar Holt · Internkontroll AS

I disse moderne tider, hvor hvert møte akkompagneres av et imponerende arsenal av engelskspråklige akronymer og elegante diagrammer, er det betryggende å tro at vi har funnet den ultimate løsningen på alle våre utfordringer innen virksomhetsstyring: De Tre Linjene med Forsvar. Ah, for en saliggjørende tanke! Endelig kan vi lene oss tilbake i våre ergonomiske stoler, nippe til vår økologiske kaffe, og innbille oss at så lenge vi bare nevner disse tre linjene ofte nok, vil all risiko med tilhørende behov for faktisk virksomhetsstyring og internkontrollarbeid på magisk vis forsvinne.

Hvem trenger vel kjedelige ting som tydelige instrukser, oppdaterte rutiner, og – himmel forby – faktisk hensiktsmessig fungerende sjekklister, når vi kan delta på endeløse seminarer og workshops om hvordan «første linje eier risiko», «andre linje overvåker og gir råd», og «tredje linje gir uavhengig forsikring»? Det er nesten poetisk, ikke sant? Man kan nesten se for seg hvordan risikoene skjelver i buksene bare ved tanken på å bli diskutert i en powerpoint-presentasjon med en fancy 3D-modell av de nevnte linjene.

Og la oss ikke glemme den hellige gralen – «Risk management». Disse fargerike regnearkene, ofte befolket med obskure akronymer og subjektive vurderinger av «likelihoods» og «consequences», er selve symbolet på moderne risikostyring. Hvem trenger vel faktisk innsikt i reelle risikoer og deres potensielle innvirkning, når vi kan glede oss over en 5×5-tabell og samtidig føle en illusorisk trygghet om at alt er grundig og hensiktsmessig risikovurdert – og derfor allerede kan benevne oss som tilfredsstillende «risk managed» og «governanced» som nødvendig underlag for også å være «complianced»?

Bare ved å referere til lover og regler i generelle termer, og vise til et dyrt, men lite brukt, GRC-system, kan vi med god samvittighet krysse av boksen for «etterlevelse». For det er jo selvsagt slik at det å snakke om etterlevelse er nøyaktig det samme som å sikre etterlevelse. Hvem har tid til å faktisk lese alle disse kjedelige lovene og forskriftene for deretter å implementere konkrete tiltak?

Så neste gang du sitter i et møte hvor noen entusiastisk forklarer for femte gang forskjellen mellom første og andre linje, mens stabelen med uleste instrukser og risikovurderinger på pulten din vokser seg stadig høyere, husk da: Det viktigste er ikke hva vi gjør, men hvor mange ganger vi kan si «three lines of defense, governance, compliance og risk» med overbevisning.

For i denne nye æraen av virksomhetsstyring er det retorikken, ikke realiteten, som teller. Og med magiske powerpointpresentasjoner, drysset over våre velklingende fraser, kan vi alle sove trygt om natten – vel vitende om at all risiko, alle utfordringer og andre virksomhetsstyringsrelaterte behov er snakket bort.

Og avslutningsvis: Språkloven vår fortjener vel også litt omtanke og respekt mellom alle møtene om «governance» og «compliance». Det låter så mye mer profesjonelt og kunnskapsrikt enn «Virksomhetsstyring» og «etterlevelse» – som jo klinger litt vel… norsk. Men frykt ikke, språket vårt er trygt og vel «complianced»!

Svein Roar Holt

Grunnlegger av Internkontroll AS og arkitekt bak IS-modellen™. Spesialrådgiver innen virksomhetsstyring, regulatorisk etterlevelse og styrets personlige ansvar.

Om Svein Roar → LinkedIn →

Internkontroll AS · © 2026 Svein Roar Holt · Sist revidert: 07.05.2025