In an in-depth field study, we investigate cyber security governance configurations vis-à-vis the five lines of accountability (5 LoA) – that is, the Three Lines Model extended by the accountability of executive management and the board of directors (IIA, 2020). The aim is to explore the configurations adopted by organizations in governing cybersecurity, and why it would matter for cyber security whether the five lines of accountability are adopted. We define the type of the 5 LoA adoption by: (i) the segregation of the lines that spans from blended to segregated and (ii) the level of engagement of those in line roles that ranges from low to high. In this way, we identify four types of adoption of the 5 LoA: ‘no adoption, ‘ostensible’, ‘implicit’, and ‘explicit’ adoption. We theorize how the type of adoption of the 5 LoA is affected by the interplay of institutional forces and organizations’ need for efficiency and effectiveness, and develop a pathway model for organizations’ adoption of the 5 LoA. We find that organizations that adopt the 5 LoA with clear segregation between these lines (‘ostensible’ and ‘explicit’ adoption) are those subject to prudential regulation (coercive forces), whereas efficiency motives and mimetic forces drive organizations to seek fluidity and flexibility by ‘blending’ the segregated lines (‘implicit’ adoption) to ensure fast reactions to changing environment. Regardless of the segregation between lines and whether they are blended or not, we found that all organizations see scope to improve the level of engagement in the 5 LoA to improve the effectiveness of cyber security governance.

在深入的实地研究中，我们调查了网络安全治理配置与五条责任线（5 LoA）的关系，即由执行管理层和董事会的责任延伸的三线模型（IIA ） , 2020）。目的是探讨组织在管理网络安全方面所采用的配置，以及为什么采用五项责任线对网络安全至关重要。我们通过以下方式定义 5 LoA 采用的类型：(i) 生产线的隔离（从混合到分离）以及 (ii) 生产线角色的参与程度从低到高。通过这种方式，我们确定了 5 LoA 采用的四种类型：“不采用”、“表面上”、“隐式”和“显式”采用。我们对 5 LoA 的采用类型如何受到制度力量和组织对效率和有效性的需求的相互作用的影响进行了理论分析，并开发了组织采用 5 LoA 的路径模型。我们发现，采用 5 LoA 并明确区分这些界限（“表面上”和“明确”采用）的组织是那些受到审慎监管（强制力）的组织，而效率动机和模仿力驱使组织通过以下方式寻求流动性和灵活性： “混合”隔离线（“隐式”采用）以确保对不断变化的环境做出快速反应。无论各条线之间是否存在隔离，也无论它们是否混合，我们发现所有组织都看到了提高 5 LoA 参与水平的空间，以提高网络安全治理的有效性。而效率动机和模仿力量驱使组织通过“混合”隔离线（“隐性”采用）来寻求流动性和灵活性，以确保对不断变化的环境做出快速反应。无论各条线之间是否存在隔离，也无论它们是否混合，我们发现所有组织都看到了提高 5 LoA 参与水平的空间，以提高网络安全治理的有效性。而效率动机和模仿力量驱使组织通过“混合”隔离线（“隐性”采用）来寻求流动性和灵活性，以确保对不断变化的环境做出快速反应。无论各条线之间是否存在隔离，也无论它们是否混合，我们发现所有组织都看到了提高 5 LoA 参与水平的空间，以提高网络安全治理的有效性。