Samenwerking tussen de three lines

Op 20 juli 2020 werd de position paper over het nieuwe three lines model gepubliceerd door IIA Global. Peter Hartog, directeur van IIA Nederland, vertelt over het waarom van een nieuw model en de veranderingen ten opzichte van het oude model.

Waarom was een aanpassing noodzakelijk?

“In 2013 verscheen de eerste IIA-position paper ‘The three lines of defense in effective risk management and control’. Na zeven jaar was een evaluatie noodzakelijk. Zoals Richard Chambers het schreef in een van zijn blogs: “The intent was to reflect changes in modern risk management and governance, while at the same time preserving the model’s straightforward and clear approach”.
Het doel was dus om in te spelen op de moderne invalshoek van risicomanagement en governance. Daarbij was er, ondanks dat het model breed geaccepteerd was, ook wel kritiek op. Het model werd als star ervaren. Een ander punt van kritiek was dat het impliceerde dat de eerste en tweede lijn niet goed werken en dat daarom een derde lijn nodig is. Daarnaast werd het model als reactief en negatief ervaren door de focus te leggen op defense. Ook werden de lijnen te veel als silo’s gezien, ze werken los van elkaar.”

Wat zijn de grootste veranderingen?

“De rollen van de verschillende lijnen zijn explicieter gemaakt, het gaat nu over rollen en niet meer over functies. Uitgangspunt is dat de eerstelijnsrol primair verantwoordelijk is voor risicomanagement en de tweede- en derdelijnsrollen dit aanvullen. De tweede lijn door ondersteuning en monitoring en de derde lijn door het geven van onafhankelijke en objectieve assurance over het geheel (zie figuur 1). Deze rollen moet de organisatie verdelen over functies om zo te komen tot een structuur voor risicomanagement en governance. Het model is dus een hulpmiddel voor het proces om te komen tot een goede structuur in plaats van het voorschrijven van de eindsituatie.

Een andere verandering is dat het nieuwe model niet alleen meer uitgaat van het beschermen van waarde, maar ook van het toevoegen van waarde. Daarmee wordt governance reactief en proactief. Dit zie je ook in de titel terug van de paper ‘Three lines model’. Het woord defense staat er niet meer in. Ook is er in het model meer aandacht voor samenwerking aan de gezamenlijke organisatiedoelen. Zo ligt de focus niet alleen meer op risicomitigatie, maar ook op het benutten van kansen.”

Wat zijn de uitgangspunten geweest bij het opstellen?

“Het model moet generiek zijn. Daarnaast moet het flexibel en universeel toe te passen zijn. Hiervoor zijn in het model zes beginselen gedefinieerd. Deze beginselen gaan over de betekenis van governance, de rollen van de betrokken partijen (het bestuursorgaan, management en haar eerste- en tweedelijnsrollen en de derdelijnsrollen van de IAF), en het belang van de derdelijnsonafhankelijkheid. En ten slotte over het uiteindelijke doel: het creëren en beschermen van waarde.”

Wat zijn de aandachtspunten bij het implementeren?

“Laten we voorop stellen dat het een mooi model is dat ook goed bruikbaar is voor een IAF om zich te positioneren. Ik vind de paragraaf ‘het model toepassen’ niet sterk. Dit heeft meer het karakter van een nadere duiding van het model. Ik had verwacht dat er meer handvatten zouden worden gegeven over hoe het model in de eigen organisatie in te richten. Hier ligt nog een taak voor het IIA, bijvoorbeeld door een actualisatie van de practice guide Assurance mapping. Daarnaast is de beschrijving van het beginsel governance een eigen invulling van IIA Global. Ik zou hebben aangesloten bij de meer algemeen geaccepteerde definities zoals die van Mintzberg. Wat verder opvalt is dat in de definitie van het bestuursorgaan de focus op verantwoording ligt. Terwijl het bestuursorgaan primair bezig is – zou moeten zijn – met het geven van richting aan de organisatie.”

“Er is in het model meer aandacht voor samenwerking aan de gezamenlijke organisatiedoelen. Zo ligt de focus niet alleen meer op risicomitigatie, maar ook op het benutten van kansen”

Een veelgehoord punt is het ‘samenvoegen’ van de eerste en tweede lijn  

“Over de tweedelijnsrol is best wel verwarring. De tweede lijn in het model is primair voor de support van de eerste lijn. De eerste lijn is verantwoordelijk voor bijvoorbeeld werving en selectie van medewerkers, waarbij de tweede lijn expertise levert over de wet- en regelgeving die daarop van toepassing is, en daar mogelijk ook op toetst (monitort). Tevens kunnen deze rollen worden samengevoegd, ‘blending the lines’, bijvoorbeeld als het aspect minder complex is en het risico minder groot. Dit moet dan wel bewust gedaan worden.
Dat geldt ook voor het samenvoegen van de tweede en derde lijn. In de financiële sector mag dat niet, maar elders bestaan die mogelijkheden wel, mits er compenserende maatregelen zijn getroffen. Sinds 2017 is daarover ook een aparte standaard voor beschikbaar: attribute standard 1112. In de werkzaamheden van deze lijnen kan ook overlap zitten, met name in de monitoring door de tweede lijn. Ik merk dat dit voor een aantal mensen duidelijker had gemogen. Ook voelen sommige auditors zich minder gesteund, het vorige model vonden zij duidelijker. Het voelt nu als: de eerste en tweede lijn zijn samen en wij als auditors staan aan de zijlijn. Maar die gedachte vind ik niet terecht.”

Hoe kan dit nieuwe model geïntroduceerd worden in een organisatie?

“Internal audit is in de lead om het model te introduceren en toe te passen. Assurance mapping kan hierbij helpen. Dit is het analyseren van de behoeften van de lines op basis van een risicoanalyse. Hiervoor is een practice guide van het IIA Coordination and reliance. Deze guide gaat over de samenwerking tussen de lijnen, de lijnen op elkaar af te stemmen om tot een zo efficiënt en effectief mogelijk geheel te komen. Het geeft handvatten om de behoeften en mogelijkheden te analyseren van de drie lijnen, te bepalen welke activiteiten bij welke lijn horen en hoe deze activiteiten vervolgens worden verdeeld onder functionarissen. Dit vergt afstemming en discussie.
Daarnaast bestaat een three lines model al bij veel organisaties. Het is aan hen om dit te evalueren aan de hand van het nieuwe model, en indien nodig aan te passen. Dit zal waarschijnlijk niet heel veel inspanning kosten. Het belangrijkste zal zijn het beantwoorden van de vraag: kijken we breder dan alleen waarde beschermen, kijken we ook naar waarde toevoegen? En vervolgens of de drie lijnen efficiënt samenwerken.” 

Wat vinden toezichthouders van het nieuwe model?

“Het staat nog op de agenda van IIA Nederland om daarover samen te spreken. Zij zijn niet actief geraadpleegd bij de conceptversie. Vanuit IIA Global zijn wel diverse stakeholders benaderd (onder andere in een advisory panel) en is de conceptversie publiekelijk bekendgemaakt waar door iedereen op gereageerd kon worden. Achteraf denk ik dat het goed was geweest als we vanuit IIA Nederland actief al de wijzigingen met de stakeholders hadden besproken, zoals de Autoriteit Financiële Markten (AFM), De Nederlandsche Bank (DNB) en Eumedion. De DNB zal vasthouden aan de gescheiden drie lijnen, en dat kan natuurlijk ook met het nieuwe model. Nu wordt soms de nadruk gelegd op de mogelijkheid van blenden, maar dat moet per aspect en per organisatie of sector worden bekeken. Het belangrijkste is dat de governancestructuur geen vaste blauwdruk is, maar wordt afgestemd op de specifieke risico’s. ”