Three Lines of Defence is een veelgebruikt model voor risicomanagement. Dit model gaat uit van het principe dat het lijnmanagement de eerste verantwoordelijkheid heeft over de werkprocessen en controle daarop. De tweede lijn is de functie die de eerste lijn ondersteunt, adviseert, coördineert en controleert of de beheersmaatregelen in de lijn effectief zijn. De derde lijn betreft een overkoepelende en onafhankelijke controle op het systeem van maatregelen. Tot zover de theorie, wat betekent dit in de praktijk?
Een model op zich is niet zaligmakend, succes wordt vaak bepaald door de uitvoering. We zien dat risicomanagement, of vanuit een breder perspectief het inrichten van de AO/IC, vaak omgeven is door abstractie. In zekere mate is dat onontkoombaar. Het kan echter gebeuren dat door een te abstracte benadering te weinig oog is voor enkele concrete, simpele stappen die voor een groot deel de effectiviteit bepalen.
Processen
Het begint met het helder definiëren van processen. Belangrijk hierbij is om zo gedetailleerd mogelijk te werk te gaan, zonder daarbij de grote lijnen uit het oog te verliezen. Bepaal goed welke informatie essentieel is voor de organisatie om mee te nemen in de analyse. Het is beter om in deze fase iets meer tijd te nemen en zorgvuldig te werk te gaan, dan later een gedeelte van het werk opnieuw te moeten doen.
Het doel van de procesanalyse is in eerste instantie om een goed beeld te krijgen van mogelijke risico’s en bestaande beheersmaatregelen in de werkprocessen. Het inventariseren van de processen, risico's en beheersmaatregelen levert een enorme hoeveelheid informatie op, waar iets mee moet gebeuren. Daarbij is het misschien niet altijd duidelijk welke waarde de informatie heeft. Het is makkelijk om hier het overzicht en samenhang uit het oog te verliezen, met het gevolg dat er allerlei dubbelingen of onjuistheden ontstaan die weer opgeschoond moeten worden.
Om het overzicht te bewaren moet er minimaal enig inzicht zijn in de samenhang van het geheel, de overlap en eventuele blinde vlekken. De samenhang wordt duidelijk door het identificeren van de verschillende elementen en de relaties daartussen. Hierbij kan het helpen om alle processen, risico’s en beheersmaatregelen te voorzien van unieke ID’s. Om overlap en blinde vlekken in beeld te krijgen is het essentieel om de risico’s en beheersmaatregelen volgens een logische indeling te categoriseren. Wij gaan uit van de criteria van getrouwheid en rechtmatigheid als categorieën. Hiermee wordt toetsing op het hoogste niveau door de accountant op dezelfde manier gedefinieerd als op het laagste niveau in de dagelijkse werkzaamheden. Het is daardoor makkelijker om verbeteringen vanuit de accountantscontrole te vertalen naar procesverbeteringen.
Aan de hand van deze indeling kan een matrix gemaakt worden waarin zichtbaar wordt hoeveel risico’s en beheersmaatregelen per categorie gedefinieerd zijn. Bij een hoog aantal is er mogelijk sprake van overlap, of dubbelingen. Bij een laag aantal gaat het mogelijk om een blinde vlek. Om dit effectief te laten zijn, moet de categorisatie zelf ook geen overlap of blinde vlekken bevatten.
Verantwoordelijkheden
Nu er een duidelijk beeld is van de processen, risico’s en beheersmaatregelen is de volgende stap om verantwoordelijken aan te wijzen. Hiermee wordt bepaald hoe de drie defensielinies zijn ingericht.
Het toewijzen van de eerstelijns verantwoordelijkheden zal niet al te veel discussie opleveren. Met name bij de tweede lijn is men geneigd om de werkzaamheden bij financiën te beleggen. Dit hoeft geen enkel bezwaar te zijn, maar het risico hiervan is wel dat interne controle mogelijk gezien wordt als de verantwoordelijkheid van financiën. De focus moet liggen op een gezamenlijke inspanning en bewustwording bij alle medewerkers en afdelingen. Het is daarom aan te raden de proceseigenaren nauw te betrekken bij de interne controle.
De derde lijn is onafhankelijk van het lijnmanagement. Vooral bij kleinere gemeenten is er niet altijd een aparte functionaris die de derdelijnscontrole in kan vullen. In dat geval kunnen de werkzaamheden uitbesteed worden, of gespreid worden over meerdere medewerkers. Daarbij is het wel belangrijk dat de deskundigheid gewaarborgd is.
Een van de verantwoordelijkheden betreft het actualiseren van alle informatie die relevant is in dit kader. Hierbij kan het onder andere gaan om betrokken functies, te toetsen wetten en regels, processtappen, risico’s en beheersmaatregelen. Alle informatie is onderhevig aan verandering en interne controle is geen kwestie van alles eenmalig juist inrichten. Er moet continu geëvalueerd en bijgestuurd worden.
ICT
Om dit alles in goede banen te leiden is er nog een laatste aspect, in toenemende mate, belangrijk: ICT. De rol van ICT is tweeledig. Ten eerste is het zinvol om een audit te doen op het gebruik van ICT in de werkprocessen. Applicaties worden niet altijd juist gebruikt, of soms zelfs helemaal niet. Er is onvoldoende zicht op de noodzaak of het doel van applicaties, of de vertaalslag wordt niet gemaakt richting het inkoopproces van de applicatie. Dit is te zien in het feit dat inkoop van ICT een van de grootste aandachtspunten is op het gebied van rechtmatigheid. Een audit kan inzicht geven in mogelijke oplossingen, zoals het maken of aanpassen van werkbeschrijvingen, het geven van training of het aanschaffen, vervangen of helemaal uitfaseren van applicaties. De tweede rol van ICT heeft betrekking op het beheer van interne controle zelf. In veel organisaties is Excel nog steeds de applicatie bij uitstek voor dit soort zaken. Dat is begrijpelijk vanwege de flexibiliteit, maar het levert ook beperkingen op. Om de interne controle toekomstbestendig in te richten is het daarom aan te bevelen dit te borgen in een daarvoor ontworpen applicatie.
Wilt u meer weten of kunnen we ergens mee helpen? Mail info@talentvoordegemeente.nl of bel 0481 725 929.