För att säkerställa ett välfungerande och ändamålsenligt ramverk för styrning, intern kontroll och riskhantering, i enlighet med Finansinspektionens föreskrifter om styrning, riskhantering och kontroll (FFFS 2014:1), har Brocc etablerat en modell baserad på principen om tre försvarslinjer. Modellen utgör ett centralt verktyg för att tydliggöra och strukturera roller, ansvar och ansvarsskyldighet avseende beslutsfattande, riskhantering och intern kontroll inom organisationen.
Första försvarslinjen
Första försvarslinjen utgörs av Broccs affärsenheter, vilka ansvarar för den operativa riskhanteringen och kontrollen i den dagliga verksamheten. Affärsenheterna ska säkerställa att det finns väldefinierade processer och rutiner för att identifiera, bedöma, hantera och rapportera risker inom respektive ansvarsområde.
Andra försvarslinjen
Andra försvarslinjen består av de funktioner som övervakar och kontrollerar risker, främst riskkontrollfunktionen och funktionen för regelefterlevnad (Compliance). Dessa funktioner är organisatoriskt och funktionellt oberoende från den första försvarslinjen. De har till uppgift att övervaka, granska och stödja den löpande riskhanteringen samt säkerställa att verksamheten bedrivs i enlighet med tillämpliga lagar, föreskrifter och interna regelverk. Vidare ansvarar de för att utveckla och upprätthålla metoder och ramverk för riskhantering, identifiera och följa upp nya och framväxande risker samt stödja en god riskkultur inom organisationen. Den andra försvarslinjen rapporterar till verkställande direktören, ledningsgruppen och styrelsen.
Tredje försvarslinjen
Tredje försvarslinjen utgörs av den oberoende granskningsfunktionen, internrevisionen. Den ansvarar för att genomföra oberoende och objektiva granskningar samt bedömningar av såväl den första som den andra försvarslinjen, i syfte att säkerställa att processer för styrning, riskhantering och intern kontroll är effektiva och ändamålsenliga. Internrevisionen rapporterar direkt till styrelsen.