U modelu “tri linije odbrane”, interne kontrole koje uspostavlja operativno rukovodstvo smatraju se prvom linijom odbrane u upravljanju rizikom, različite funkcije uspostavljene u cilju upravljanja rizikom i funkcije za nadzor usklađenosti smatraju se drugom linijom odbrane, dok nezavisno uveravanje predstavlja treću liniju . Svaka od ove tri linije ima posebnu ulogu u najširem okviru korporativnog upravljanja.
Kao prva linija odbrane, operativno rukovodstvo je vlasnik rizika i direktno upravlja njime . Uz to, operativno rukovodstvo je odgovorno za preduzimanje korektivnih mera za otklanjanje nedostataka u funkcionisanju procesa i kontrola. Operativno rukovodstvo je odgovorno za uspostavljanje efektivnog sistema internih kontrola i funkcionisanje uspostavljenih postupaka za kontrolu rizika na dnevnoj osnovi . Operativno rukovodstvo identifikuje, procenjuje, upravlja i ublažava rizik, razvijajući i primenjujući interne politike i procedure, obezbeđujući konzistentnost aktivnosti iz svoje nadležnosti sa postavljenim zadacima i ciljevima. 
Teorijski, možda bi samo jedna linija odbrane bila dovoljna da obezbedi efektivno upravljanje rizikom. U realnosti, međutim, jedna linija u funkciji odbrane najčešće nije adekvatno rešenje. Rukovodstvo uspostavlja različite funkcije za upravljanje rizikom i funkcije za usklađenost poslovanja, u cilju nadzora nad fukcionisanjem kontrola iz prve linije odbrane. Te specifične funkcije se razlikuju u zavisnosti od specifičnosti samih organizacija i delatnosti kojoj ove organizacije pripadaju, ali tipične funkcije druge linije najčešće uključuju funkciju upravljanja rizikom, funkciju usklađenosti koja vrši nadzor nad specifičnim rizicima neusklađenosti sa zakonom i pozitivnim propisima i kontroling, kao funkciju za nadzor finansijskih rizika i pitanja finansijskog izveštavanja.
Interna revizija obezbeđuje upravi i višem rukovodstvu značajno uveravanje zasnovano na visokom nivou nezavisnosti i objektivnosti koje ova funkcija ima u organizaciji. Ovaj visoki stepen nezavisnosti nije moguć u funkcijama druge linije odbrane. Interna revizija obezbeđuje uveravanje u efektivnost procesa upravljanja, upravljanja rizikom i internih kontrola, uključujući i način na koji prva i druga linija odbrane ostvaruju ciljeve upravljanja rizikom i funkcionisanja internih kontrola.
Eksterni revizori, regulatori i druga eksterna tela izvan okvira organizacione strukture mogu imati značajnu ulogu u sveukupnom organizacionom procesu upravljanja i internoj kontroli. Ovo posebno važi za za visoko regulisane delatnosti kakve su finansijske usluge ili osiguranje. Regulatori mogu da uspostavljaju zahteve koji imaju za cilj jačanje internih kontrola ovih organizacija, a takođe mogu da uzmu i drugu ulogu vršeći nezavisnu procenu svih ili nekih od linija zaštite prve, druge ili treće po pitanju usklađenosti sa postavljenim regulatornim zahtevima. Kada su efektivno koordinisani, eksterni revizori, regulatori i druge grupe koje deluju izvan organizacije, mogu se smatrati dodatnom linijom odbrane koja obezbeđuje uveravanje svim zainteresovanim grupama, uključujući pri tom i upravu i više rukovodstvo.