De meerwaarde van three lines of defence (3LOD)

door Gerrit Goud

De discussie over de rechtmatigheidsverantwoording brengt eveneens de rolverdeling op basis van 3LOD in het kader van interne beheersing ter sprake. 3LOD bestaat al vele jaren en is een krachtig en breed geaccepteerd model, maar in de praktijk komt dit model bij gemeenten niet echt tot wasdom. Wat is hiervan de oorzaak en hoe kunnen gesignaleerde drempels vermeden worden?

Je zou toch in eerste instantie denken dat 3LOD niet zo’n ingewikkeld model is. De 1^e verdedigingslijn is nadrukkelijk ingebed in de operationele bedrijfsprocessen en de leidinggevenden zijn hiervoor als eigenaar verantwoordelijk. De 2^e verdedigingslinie is voornamelijk een staffunctie ten dienste van de 1^e lijn en heeft een adviserende en monitoringrol op de risicoprofielen van bedrijfsprocessen en vervult hiermee de rol van poortwachter. De 3^e verdedigingslinie heeft een controlerende functie gericht op het toetsen van de effectiviteit van de 1^e en 2^e verdedigingslinies. Dus wat is het probleem?

The missing link

Het probleem is dat het fundament voor een effectief 3LOD niet of deels aanwezig is. Veel organisaties missen namelijk een actieve betrokkenheid en aansluiting van de 1^e lijn op het beheersingsmodel. En door deze missing link valt het hele fundament van 3LOD in elkaar. Met 2 verdedigingslinies kan een organisatie weliswaar een veldslag winnen, maar geen ‘oorlog’, omdat de grootste klappen voorkomen moeten worden door het treffen van beheersmaatregelen in de operationele processen. Een belangrijke oorzaak is dat bij de implementatie van 3LOD voortgeborduurd is op bestaande structuren en rollen (uit de 20^e eeuw). Eigenaarschap in de 1^e lijn voorzien van rugnummers en daarbij behorende verantwoordelijkheden, is simpelweg niet benoemd. Ja, natuurlijk… leidinggevenden zijn verantwoordelijk voor hun bedrijfsprocessen wat zo’n beetje in elk beleidsdocument staat, maar krijgen we daarmee de organisatie in beweging?

Een andere oorzaak is dat de 2^e lijn allerlei beheerstaken naar zich toe heeft getrokken die gewoon bij de 1^e lijn behoren te liggen. Dit is mede veroorzaakt door de alsmaar toenemende regeldruk van de afgelopen jaren. Daardoor is de focus in de 2^e lijn gelegd op risicomanagement en compliance met de daarbij vereiste transparantie om er voor te zorgen dat vooral toezichthouders en accountants tevreden zijn. Er werd echter niet gekeken naar de behoefte van de 1^e lijn, die bleef buiten schot en daardoor is een kloof ontstaan met als gevolg dat de 1^e verdedigingslinie niet tot wasdom is gekomen en de beheersorganisatie constant achter de feiten aanloopt en in een stroperig beheersingsproces is beland. Dat is een ernstige zaak, omdat het merendeel van de organisatie (> 90%) onder de 1^e verdedigingslinie valt.

Naast regeldruk zijn ook andere thema’s op het toneel verschenen zoals privacybescherming en informatiebeveiliging die ook te maken hebben met interne beheersing. Het vervelende is echter dat deze thema’s eigen eilandjes vormen in het landschap van interne beheersing en dat leidt tot verkokering gemanaged in aparte silo’s.

Al deze ontwikkelingen zorgden ervoor dat risicomanagement en compliance op zich zelf staande doelen zijn geworden in plaats van activiteiten die gerelateerd zijn aan primaire doelstellingen en daardoor de afstand tussen 1^e en 2^e lijn alsmaar groter werd. De samenhang en het overzicht van risicogebieden is nagenoeg foetsie en organisaties hebben hiermee onbedoeld een onbeheersbaar ‘monster’ gecreëerd met een hoog gehalte aan schijnzekerheid en overhead waarvan het resultaat niet breed gedragen wordt.

Het hier geschetste beeld is ook een van de redenen waarom de VIC geen aansluiting heeft met de rest van de organisatie. Adviezen uit VIC-rapporten worden nauwelijks opgevolgd simpelweg omdat de afstand tot de 1^e lijn te groot is en leidinggevenden niet de toegevoegde waarde zien van VIC. En helaas leidt dit in alle verdedigingslinies tot frictie en frustratie en dat draagt niet bij tot een gezonde samenwerking.

Hoe impasse doorbreken?

Een effectief beheersingsmodel gebaseerd op 3LOD vereist visie, ambitie en onderlinge afstemming. Dat begint in de top (directie en bestuur) waarbij de concerncontroller degene is die dit initiatief naar zich kan toetrekken en de directie en bestuur kan overtuigen van de noodzaak en urgentie. Een eerste stap hiervoor is het opstellen van een visiedocument integrale interne beheersing uitmondend in beleid. De scope van dit beleid behelst alle thema’s die de gemeente wenst te beheersen zoals privacybescherming, informatiebeveiliging en rechtmatigheid. Dan gaat het dus niet om de inhoud, maar om het algeheel intern beheersingsproces.

Aandachtspunten zijn uiteraard de taken en verantwoordelijkheden in het kader van 3LOD met vermelding van eigenaarschap en het benoemen van kaders en uitgangspunten waarmee rekening dient te worden gehouden bij het vormen van integrale interne beheersing. Daaronder vallen ook spelregels zoals een handhavingsmechanisme ingeval spelregels worden overschreden. Een sprekend voorbeeld is het volgende: leidinggevenden zijn weliswaar verantwoordelijk maar dat geeft hen geen vrijbrief zelf te bepalen welk niveau van interne beheersing toereikend is. Dat mogen ze bepalen binnen de kaders en uitgangspunten die hierop van toepassing zijn. Indien een leidinggevende (bewust) een lager niveau van interne beheersing toepast dat niet in lijn is met het vastgestelde risicoprofiel dan behoort de 2^e lijn als poortwachter in te grijpen. Indien in zo’n situatie een impasse dreigt te ontstaan tussen de 1^e en 2^e lijn dan moet het mogelijk zijn dat de gemeentesecretaris binnen zijn bevoegdheden ingrijpt. Dit is ook een van de redenen dat de directie gepositioneerd is in de 2^e verdedigingslinie. Dit voorbeeld lijkt vanzelfsprekend maar is bij veel organisaties niet geregeld.

Normenkaders/doelstellingenmodellen

Uitvoering van het beleid is een andere uitdaging. Hoe zorg je ervoor dat de 1^e lijn actief betrokken raakt? Dat gaat natuurlijk niet vanzelf. De eerste stap is dat leidinggevenden zich bewust worden van hun rol in de 1^e verdedigingslinie en van de meerwaarde van de 2^e en 3^e lijn door hen een handreiking te geven om laagdrempelig deel te nemen aan het interne beheersingsproces. Het houden van workshops is hiervoor een beproefd middel.

Leidinggevenden moeten inzicht krijgen in hoeverre hun 1^e verdedigingslinie toereikend is ofwel hun bedrijfsprocessen voldoen aan de vereiste beheersdoelstellingen. We kijken dan niet met de 1^e lijn naar operationele risico’s want die zijn er genoeg, maar meer naar het ‘fort’ dat er vanuit interne beheersing behoort te staan en voldoende robuust moet zijn. Vooraf is al bepaald aan welke eisen dit ‘fort’ moet voldoen. Dat is namelijk gedaan tijdens een inventarisatie en risicoanalyse in de 2^e lijn uitmondend in een normenkader/doelstellingenmodel. Daarmee creëert de 2^e lijn toegevoegde waarde voor de verantwoordelijke leidinggevende. Een voorbeeld van een landschap van doelstellingenmodellen voor een gemeente is hieronder grafisch geïllustreerd.

Elk ‘blokje’ in het landschap bevat een eigen normenkader/doelstellingenmodel. Door te meten in hoeverre voldaan is aan beheersdoelstellingen, ontstaat vanzelf een beeld hoe de fortificatie in het landschap ervoor staat. Dat meten gaat vrij snel en geeft inzicht en een schat aan informatie die met elkaar besproken kan worden. Dat is de verbinding tussen de 1^e en 2^e lijn en awareness ten top om op een constructieve wijze verbeteringen door te voeren. Leidinggevenden raken met deze aanpak vertrouwd met hun beheersdoelstellingen en zijn daardoor beter in staat de bevindingen en adviezen uit VIC-rapporten in de juiste context te plaatsen waardoor de kans op acceptatie groter wordt. Dit laatste vereist wel dat VIC gebruik maakt van de reeds vastgestelde beheersdoelstellingen in het kader van hun werkzaamheden. En zo hoort het ook, immers de werkzaamheden van VIC zijn gericht op het toetsen aan vastgestelde normen en die normen ga je niet zelf bedenken als deze al zijn vastgesteld.

Met deze aanpak versterkt de gemeente het fundament van 3LOD als basis voor integrale interne beheersing met het doelstellingenmodel als gemene deler. Het doelstellingenmodel als ‘praatplaat’ levert namelijk toegevoegde waarde voor de 1^e lijn en zorgt voor een betere aansluiting en afstemming van activiteiten vanuit de 2^e en 3e lijn op de behoefte van leidinggevenden. En daarmee komen de 3 verdedigingslinies beter in balans.

Tot Slot

Ons GRC-platform ondersteunt het gebruik van doelstellingenmodellen en stimuleert daarmee de adoptie onder leidinggevenden en hun medewerkers om hen actief te betrekken in het interne beheersingsproces. Zij zijn de belangrijkste dragers van het hele fundament van interne beheersing en daar ligt ook de basis voor een In control Statement (ICS). Voor de 2^e en 3^e lijn biedt het doelstellingenmodel een opening voor samenwerking en een betere afstemming met de 1^e lijn.

Zoals eerder aangegeven begint het proces van interne beheersing met inzicht om met elkaar te komen tot continue verbeteringen. Voor veel gemeentelijke bedrijfsprocessen hebben wij inmiddels doelstellingenmodellen beschikbaar. Dat levert een aanzienlijke tijdbesparing op voor de 2^e lijn en onze doelstellingenmodellen kunnen direct worden ingezet om te meten en de 1^e lijn actief te betrekken in het intern beheersingsproces.

Wilt u meer weten over onze visie en aanpak over integrale interne beheersing en/of bent u geïnteresseerd in onze doelstellingenmodellen, neem dan gerust contact met ons op. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.