De Three Lines of Defense vernieuwd

Door Mattheus Wassenaar1 en Tjerk Budding2

 

Veel (publieke) organisaties hebben er de afgelopen jaren voor gekozen hun beheersings­organisatie in te richten volgens het ‘Three Lines of Defence’-model. Tegelijkertijd is er kritiek op een aantal aspecten van deze benadering. Deze zomer heeft de IIA (2020) een nieuwe versie van het model uitgebracht. In dit artikel beschouwen we deze vernieuwing tegen de achtergrond van de verschillende kritiekpunten.

Inleiding

Veel (publieke) organisaties hebben hun beheersingsorganisatie ingericht volgens het ‘Three Lines of Defence’-model. Tegelijkertijd is er de nodige kritiek op dit model. Dit artikel bespreekt deze kritiek en gaat na in hoeverre deze door het onlangs door het Institute of Internal Auditors uitgebrachte Three Lines Model weg wordt genomen.

Het ‘Three Lines of Defence’-model

Bij de organisatorische inrichting van een beheersingssysteem moet bepaald worden wie daarin welke verantwoordelijkheden draagt. Een veel gehanteerde benadering is die van het ‘Three Lines of Defense’-model. Het model onderscheidt drie verdedigingslinies (zie figuur 1; IIA, 2013; Budding en Wassenaar, 2018):

1. De eerste lijn wordt gevormd door het lijnmanagement van de organisatie. De lijnmanagers zijn de eerstverantwoordelijken voor de beheersing van hun onderdeel van de organisatie. Om deze verantwoordelijkheid waar te maken kunnen zij gebruik maken van beheersingssystemen (management controls) en interne controlemaatregelen.
2. De tweede lijn wordt gevormd door functies die het lijnmanagement ondersteunen bij de inrichting van de organisatie en afdelingen (bijvoorbeeld op het vlak van kwaliteitscontrole, het voldoen aan voorschriften en risicomanagement).
3. De derde lijn is die van de internal auditfunctie, die onder andere de inrichting en werking van de eerste en tweede lijn toetst.

Expliciet buiten het model worden de externe accountant en de externe toezichthouder geplaatst, want zij maken immers geen onderdeel uit van de organisatie. Omdat zij veelal echter wel een rol hebben in het beheersingssysteem worden zij ook wel als de respectievelijk vierde en vijfde lijn gezien. Hierbij verschaft de externe accountant zekerheid over de getrouwheid van jaarrekeningen en levert deze ook de managementletter op waarin, indien nodig, opmerkingen worden gemaakt over eventuele onvolkomenheden in de naleving van procedures en richtlijnen en de risico’s die dat vervolgens oplevert.

Het model kent niet de rol van business controller.

Het ‘Three Lines of Defense’-model is oorspronkelijk gericht op de vraag wie verantwoordelijk is voor risicobeheersing. In tegenstelling tot het COSO-model is bij dit model niet duidelijk wie als  ‘architect’ en wie als ‘eigenaar’ van dit model moet worden gezien (Budding en Wassenaar, 2018). Het eerste gedocumenteerde gebruik dateert uit 2003, toen de UK Financial Service Authority (FSA) aangaf dat dit het geprefereerde model was om risico’s bij banken te beheersen. De FSA stelde zelf dat het model gebaseerd was op ‘industriële praktijken’, maar anderen beweren dat het model gebaseerd is op inzichten uit de sport of uit het leger.

Waarschijnlijk mede geholpen door het ontbreken van een specifieke ‘eigenaar’ van het ‘Three Lines of Defense’-model, zijn er diverse varianten van dit model in omloop. Het meest gehanteerde model is dat van het Institute of Internal Auditors (IIA), zoals opgenomen in figuur 1. Doordat het model vanuit deze beroepsgroep is opgesteld, is wel het beeld ontstaan dat de derde lijn (hun positie) als centraal uitgangspunt heeft genomen.

Figuur 1 Het ‘Three Lines of Defense’-model | Bron: IAA (2013)

Kritiekpunten

Hoewel in veel (publieke) organisaties er voor gekozen is de governance en het beheersingssysteem langs deze lijnen in te richten, is er in de loop van de jaren ook op een aantal aspecten kritiek op het model ontstaan.3 We onderscheiden er zes.

a.    Gedrag

Het model suggereert dat het inrichten van de verschillende rollen en functies voldoende waarborgen biedt om de organisatiedoelstellingen te beheersen en de risico’s te minimaliseren. De praktijk heeft echter bewezen dat dat niet per definitie het geval is. De werking is sterk afhankelijk van de organisatiecultuur en de wijze waarop het management met deze manier van denken omgaat, het gedrag dat de actoren in het model laten zien moet ook conform zijn (Paape, 2013).

Hiermee samenhangend vormt de scheiding tussen de verschillende verdedigingslinies ook een belangrijk aandachtspunt. Idealiter voorkomt het denken in drie lijnen dat werkzaamheden dubbel worden uitgevoerd en versterken de verdedigingslinies elkaar, in plaats van dat zij rigide ten opzichte van elkaar opereren. Het denken in drie lijnen versterkt echter wel het risico van silovorming, wat in figuur 1 ook gesuggereerd wordt doordat de pijlen alleen opwaarts getekend zijn en niet tussen de lijnen. Het risico is dat er eilanden ontstaan, waarbij samenwerking en het delen van informatie ontbreekt. De coördinatie van de werkzaamheden moet dan op een hoger niveau plaatsvinden. Tegelijkertijd wordt wel gesteld dat de linies onafhankelijk van elkaar zouden moeten functioneren wat een spanningsveld kan opleveren.

b.    Risico’s vs. waardecreatie

Het model is vooral gericht op het beheersen van organisatierisico’s om daarmee de waarde van de organisatie te borgen en heeft daardoor een defensieve oriëntatie. Het model is daarmee negatief en reactief. Het aspect van waardecreatie en de verantwoordelijkheden die actoren daarin spelen komt niet aan de orde. Daarmee samenhangend komt de dubbelrol die de controller in Nederlandse organisaties heeft – zowel gericht op de creatie van waarde als op de beheersing van risico’s (Van der Ven, 2014; Budding & Wassenaar, 2018) niet uit de verf.

c.     Angelsaksische benadering

Het model lijkt – mede omdat het ontwikkeld is in Amerika – gebaseerd op de governancestructuur die in Angelsaksische organisaties gebruikelijk is (met een one-tier-board, dus niet met een afzonderlijke raad van toezicht). Daarmee wijkt het af van de situaties in Nederlandse organisaties. De rolverhouding tussen het besturend (bijvoorbeeld de Raad van Bestuur) en het toezichthoudend orgaan (de Raad van Toezicht) wordt in het model niet zichtbaar. Dat is ook van belang omdat er in veel gevallen de derde lijn in de uitoefening van haar verantwoordelijkheden een rechtstreekse lijn naar de toezichthouder (vaak in de vorm van het auditcommittee), waarmee een zekere onafhankelijke rolinvulling is geborgd. In een aantal organisaties is dat geformaliseerd door de personele besluiten ter goedkeuring voor te leggen aan het AC of de RvT.

d.    De business controller en internal auditor

Een ander aspect dat samenhangt met de Angelsaksische benadering is dat het model niet de rol van de business controller kent. Er wordt alleen gesproken over een financial controller, als onderdeel van de tweede lijn. In de Nederlandse context heeft de controller veelal zowel een ondersteunende rol, waarbij er nauwe aansluiting is met het lijnmanagement (eerste lijn), als een kritische rol richting datzelfde management, waarmee hij zich meer in de tweede lijn bevindt. Voor woningcorporaties geldt zelfs dat sprake is van een wettelijke verankering van een onafhankelijke controlfunctie (art. 105e lid 4 Besluit toegelaten instellingen volkshuisvesting 2015, waarin wordt gesteld dat corporaties met meer dan 2.500 verhuureenheden de controlfunctie ’in een afzonderlijke organisatie-eenheid is opgenomen en zowel gevraagd als ongevraagd het bestuur en de raad van toezicht kan adviseren omtrent in het kader van het financiële beleid en beheer te nemen maatregelen’). Dat de controlfunctie in een afzonderlijke organisatie-eenheid dient te worden opgenomen wijst erop dat deze functie onafhankelijk moet zijn van andere functies die betrekking hebben op de financiële sturing van de corporatie. Hiermee kan worden betoogd dat deze functie bij corporaties als onderdeel van de derde lijn kan worden gezien.

Bij dit model niet duidelijk wie als 'architect' en wie als 'eigenaar' van dit model moet worden gezien.

Tegenover de vrij zware invulling die in Nederlandse organisaties veelal aan de rol van business controller wordt gegeven, staat dat de rol van de internal auditor in de praktijk veelal beperkter is. Juist laatstgenoemde rol is in het IIA model visueel echter prominent aangegeven.

e.    Relatie met buitenwereld

Het model richt zich vooral op de interne organisatie en de interne beheersing. De relatie met de buitenwereld wordt slechts summier vermeld en komt alleen terug in de vorm van de externe accountant en toezichthoudende organen (regulators). In Nederland zien we dat in diverse organisaties (met name kleinere) de derde lijn afwezig is en deze rol wordt ingevuld door de vierde lijn. Ook heeft die vierde lijn veelal een aanvullende rol op de andere lijnen, zoals tot uitdrukking komt in de adviezen van de externe accountant in de management letter. Verder kan er sprake zijn van diverse ‘regulators’ zoals bij een gemeente de lokale rekenkamer en bij een zorgorganisatie de Inspectie voor de Gezondheidszorg. Het belang en de diversiteit van al deze functies is slechts beperkt zichtbaar in het model.

f.     Modelmatige benadering

Eigen aan een modelmatige benadering is dat de praktijk veelal complexer is en zich niet verhoudt tot een specifiek model. Diverse organisaties zeggen het model toe te passen, maar geven een eigen draai aan de feitelijk invulling. Daarnaast zien we dat het model op een aantal vlakken interpretatieruimte geeft, die leidt tot verschillen in de praktijk. Voorbeelden van dergelijke verschillen zijn hoe wordt aangekeken tegen de positionering van:

• De verbijzonderde interne controle – sommige organisaties zien dit vanwege de onafhankelijke rol als onderdeel van de derde lijn en andere vanwege de ondersteunende rol als onderdeel van de tweede lijn.
• Decentrale controllers – zitten deze in de eerste lijn (dicht bij het management en het primaire proces, vaak meer business controllers), of de tweede lijn (meer ondersteunend, vaak meer financial controllers). Dit hangt soms ook samen met de hiërarchische ophanging.
• Concerncontrol – veelal wordt hiervoor de derde lijn gekozen vanuit het punt van onafhankelijkheid4, maar vanwege de gevraagde adviesrol van concerncontrol is ook het nodige te zeggen voor een positionering in de tweede lijn.
• Een eigen gemeentelijke accountantsdienst, zoals Amsterdam en Den Haag die kennen. – vormt deze onderdeel van de vierde lijn (want de taken zijn vergelijkbaar met die van externe accountants) of moeten deze toch als onderdeel van de derde lijn worden gezien, omdat deze diensten onderdeel zijn van de interne organisatie.

Tot slot, het is sterk de vraag of bij kleinere organisaties (en dat geldt bijvoorbeeld al voor het gros van de gemeenten) de rolverdeling te organiseren is met een echte functiescheiding.

Three Lines Model

Medio dit jaar werd het nieuwe ‘Three Lines Model’ uitgebracht, als update van het hiervoor beschreven 'Three Lines of Defense'-model (IIA, 2020). De reden voor de aanpassingen lag met nam in de wens tegemoet te komen aan de kritiekpunten die de afgelopen jaren naar voren kwamen. Hierna beschrijven we eerst kort het Three Lines Model, waarna we de verschillende aspecten uit de kritiek op de voorganger langslopen. Het model wordt grafisch weergegeven in figuur 2.

Figuur 2 Three Lines Model

Volgens de opstellers is een belangrijk uitgangspunt in het Three Lines Model dat de functies in het model er niet alleen op zijn gericht om de waarde van de organisatie te beschermen, maar ook om deze te vergroten. Om die reden wordt er dan ook niet meer gesproken over ‘Lines of Defense’. Centraal voor alle functies staan de doelen van de organisatie. De verschillende functies zijn geen silo’s, maar stemmen af en werken samen; ieder vanuit de eigen rol. De praktische inrichting van het model moet worden afgestemd op de risico’s en specifieke situatie van de organisatie. Ongewijzigd in het model is de prominente rol van de Internal Audit en die blijft nog steeds de onafhankelijke derde lijn, met een coördinerende rol in het geheel, waarbij niet wordt aangegeven waar die coördinatie uit bestaat. Het model is verder gebaseerd op een aantal beginselen die hierna kort worden samengevat (IIA, 2020):

1. Governance. Voor de governance van een organisatie zijn passende structuren en processen nodig, gericht op:

• verantwoording af leggen, door het bestuurslichaam aan de stakeholders;
• acties (inclusief risicomanagement) van het management om de doelstellingen van de organisatie te realiseren door risico-gebaseerde besluitvorming en de inzet van middelen;
• assurance en adviezen door een onafhankelijke internal auditfunctie.

1. Het hoogste bestuursorgaan zorgt voor een effectieve governance:

• Structuren en processen zijn ingericht op een effectieve besturing.
• De doelstellingen en activiteiten van de organisatie zijn afgestemd op de voornaamste belangen van stakeholders.
• Het bestuursorgaan delegeert verantwoordelijkheid en stelt het management middelen beschikbaar om de doelstellingen van de organisatie te realiseren.
• Creëert en houdt toezicht op een onafhankelijke, objectieve en competente internal auditfunctie om helderheid en vertrouwen te verschaffen over de voortgang in het realiseren van doelstellingen.

1. Management en eerste- en tweedelijnsrollen.

De verantwoordelijkheid van het management om doelstellingen van de organisatie te realiseren omvat zowel eerste- als tweedelijnsrollen. Eerstelijnsrollen zijn het meest direct afgestemd op het leveren van producten en/of diensten aan opdrachtgevers van de organisatie, inclusief ondersteunende functies. Tweedelijnsrollen verlenen assistentie bij risicomanagement. De verantwoordelijkheid voor het managen van risico’s blijft echter onderdeel van de eerstelijnsrollen en onder de scope van het management vallen.

Eerste- en tweedelijnsrollen kunnen worden gemixt of gescheiden blijven. Sommige tweedelijnsrollen kunnen aan specialisten worden toegewezen om aanvullende expertise, ondersteuning, monitoring en een kritische blik te bieden voor degenen met een eerstelijnsrol. Tweedelijnsrollen kunnen zich richten op specifieke doelstellingen van risicomanagement.

1. De derde lijn.

De interne auditfunctie geeft onafhankelijke en objectieve assurance en adviezen over de toereikendheid en effectiviteit van governance en risicomanagement en rapporteert daarover aan het management en het bestuursorgaan om continue verbetering te bevorderen en te faciliteren.

1. Derdelijnsonafhankelijkheid.

De onafhankelijkheid van internal audit van de verantwoordelijkheden van het management is cruciaal voorhaar objectiviteit, autoriteit en geloofwaardigheid.

1. Het creëren en beschermen van waarde

Alle rollen die samenwerken dragen gezamenlijk bij aan het creëren en beschermen van waarde wanneer zij op elkaar en op de voornaamste belangen van stakeholders zijn afgestemd. Het op elkaar afstemmen van activiteiten wordt gerealiseerd door communicatie, samenwerking en medewerking Dit zorgt ervoor dat de informatie die nodig is voor risicogebaseerde besluitvorming betrouwbaar, samenhangend en transparant is.

Analyse

Als we kijken naar de verschillende kritiekpunten zoals beschreven in de tweede paragraaf, zien we dat het aangepaste model zeker tegemoet komt aan de eerste twee beschreven kritiekpunten, het gedrag (punt a) en de waardecreatie (punt b). Het model is nu meer gericht op de onderlinge samenwerking tussen de verschillende rollen en waarschuwt expliciet voor eilandvorming. Zichtbaar is bijvoorbeeld dat de eerste en tweede lijn in het model dichter bij elkaar zijn geplaatst, en de derde lijn meer op afstand blijft.

Ook is er relatief meer aandacht voor de sturing op de doelstelling van de organisaties (de waardecreatie) in verhouding tot de risicobenadering, al blijft in de beschrijvingen het risicodenken dominant.

Toch blijft ook bij het hanteren van dit model een aantal aandachtspunten relevant, die deels samenhangen met het feit dat de Nederlandse context afwijkt van de Angelsaksische benadering – kritiekpunten c en d – en dat er in het model nog steeds weinig aandacht bestaat voor de relatie met de buitenwereld, punt e, doordat het model gericht is op interne sturing en beheersing. Daarnaast blijft gelden dat het een modelmatige benadering is, die een kritische blik vereist in de vertaalslag naar de eigen specifieke context.

Literatuur

• Budding, G.T. & M.C. Wassenaar (2018), De veranderende rol van de public controller, Den Haag, Boom Uitgevers.
• Chambers R (2018) Will the IIA redraw the lines of defense? https://iaonline.theiia.org/blogs/chambers/2018/Pages/Will-The-IIA-Redraw-the-Lines-of-Defense.aspx
• IAA (2013), The three lines of defense in effective risk management and control. Position Paper. Altamonte Springs, Florida, Institute of Internal Auditors.
• IAA (2020), Het three lines model van het IIA, Een update van de 'Three Lines of Defense', zie https://www.iia.nl/actualiteit/nieuws/belangrijke-update-three-lines-model (laatst geraadpleegd op 27 november 2020).
• Kempen, J. van, & A. Molenkamp (2019), De samenwerking tussen internal auditor en concern-controller, Tijdschrift voor Public Governance, Audit & Control 17(4): 23-26.
• Paape, L. (2013), Rabo en het ‘Three Lines of Defence’-model, MCA 17(6):28-29.              
• Roos Lindgreen, E. & D. Daams (2019), Internal audit: waker, slaper of dromer? Maandblad voor Accountancy en Bedrijfseconomie, 94(3/4):81-82.
• Ven, A. van der (2014), Controller en business partner, Maandblad voor Accountancy en Bedrijfseconomie, 88(2):84-91.

1 Mattheus Wassenaar is werkzaam als directeur Informatiepositie en Programmamanagement bij de Inspectie Leefomgeving en Transport. Daarnaast is hij als hoofddocent Public Controlling verbonden aan het Zijlstra Center, Vrije Universiteit Amsterdam. 

2 Tjerk Budding is opleidingsdirecteur van de public controllersopleidingen bij het Zijlstra Center van de Vrije Universiteit Amsterdam.

3 Deze punten zijn grotendeels gebaseerd op Budding & Wassenaar (2018), Roos Lindgreen & Daams (2019), en opdrachten uitgevoerd in het kader van de CPC-opleiding van het Zijlstra Center van de Vrije Universiteit Amsterdam.

4 Zie ook van Kempen en Molenkamp (2019)