34
MCA: april 2014, nummer 2THREE LINES OF DEFENCE MODEL REVISITED
Internal auditing:
Prof.dr. Leen Paape RA RO CIA:
Ik hadu ook beloofd nog eens na te denken over een mogelijke oplossing voor het probleem, nu ja op- lossing… tenminste nieuwe ideeën. Ik vond ze slechts ten dele in de replieken en commentaren die ik ontving. Die waren veelal meer van hetzelf- de. Sommigen kwamen zelfs met een ‘five lines of defence’ model op de proppen! Dat nu lijkt me het geheel alleen nog maar ingewikkelder te ma- ken. Ik moest daarbij sterk denken aan ‘robust- yet-fragile’; vanuit de complexiteitstheorie weten we dat door het toevoegen van regels en nieuwe maatregelen aan systemen deze steeds com- plexer worden. Die complexiteit leidt tot nieuwe risico’s en onzekerheden, die ook nog eens on- derling op elkaar kunnen inwerken. Zeker de financiële sector, waar het huidige three lines of defence model erg populair is, wordt toch al ge- plaagd door een groot aantal regels.
Meer eenvoud?
Als het three lines of defence model de oplossing niet heeft kunnen bieden en als we veronderstellen dat dit deels komt door de toegenomen complexi- teit – zoals Anniek Bakker ook suggereert wan- neer ze spreekt over gebrek aan integraal overzicht en het ontbreken van samenhang –, dan zouden we wellicht de oplossing moeten proberen te zoe- ken in meer eenvoud. Jaap Winter, gerenommeerd corporate governance denker en spreker, stelt vast dat we te weinig rekening houden met de (ir)ratio- naliteit van de mens en de behoefte aan vertrou- wen en verbinding tussen mensen onderling. Re- gels staan regelmatig haaks op die behoefte en als ze dan ook leiden tot – zoals hij stelt – meer gaten;
gaten die de creatieve mens keer op keer weet te vinden (en waar hij soms toe aangetrokken wordt, als een nachtvlinder door licht), dan is meer een- voud zeer wenselijk.
Als voorbeeld van meer eenvoud wil ik de heden- daagse verkeersrotonde ten tonele voeren, ver- vanger van stoplichten en ingewikkelde verkeers- regels. De rotonde leidt tot betere doorstroming,
minder regels, minder ongelukken en heeft een simpele regel als uitgangspunt: hij/zij die op de ro- tonde rijdt heeft voorrang. Is zo’n simpele regel te vinden voor de samenwerking tussen meerde- re ‘lines’ in een organisatie? Ik denk het wel. Ik wil u meenemen in mijn denkwijze en ik hoor vast wel waar u denkt dat ik er naast zit.
De organisatie als voetbalteam
Stel, we beschouwen een organisatie als een voet- balteam. Een voetbalteam dat in Brazilië een gooi wil doen naar het wereldkampioenschap! Lang ge- leden bedachten Nederlandse trainers de term ‘to- taalvoetbal’. Mijn vertaling daarvan is dat er three lines of defence zijn in zo’n team, de voorhoede, het middenveld en de verdediging, we noemen ze alleen niet zo. De keeper tellen we even niet mee maar wie wil mag hem de vierde lijn noemen. De scheidsrechter, lijnrechters en de vierde en vijfde official langs de lijn mag u ook nog rekenen tot de
‘lines of defence’ als u daar prijs op stelt.
Het voetbalteam heeft een eenvoudige en geza- menlijke doelstelling: winnen – op een sportieve manier – en dus scoren. De huidige coach van het Nederlandse team, Van Gaal, verwacht dat de ver- dediger mee naar voren gaat als dat kan en hij ver- wacht dat de aanvaller meeverdedigt. In zijn analy- ses weet hij meestal fijntjes – doch niet subtiel – aan te geven dat het balverlies bij de aanvaller of op het middenveld het begin van het tegendoelpunt was.
Elke speler kent zijn taak en er dient snel omge- schakeld te worden van aanval naar verdediging en vice versa wanneer het spel daarom vraagt. Het in- tegrale overzicht wordt bewaakt door de coach en de aanvoerder in het veld. Indien spelers zich niet houden aan hun taak en elkaar eerder voor de voe- ten lopen dan helpen, is een wissel noodzakelijk. De enige ingewikkelde regel die het spel kent is de bui- tenspelval, de rest snapt elk kind.
Waarom kunnen we die eenvoudige regels uit het voetbal niet van toepassing verklaren in het heden- daagse bedrijfsleven? De lijnmanager is de meta- forische aanvaller die ook mee dient te verdedi- In het december 2013 nummer verklaarde ik het three lines of defence model failliet. Nog nimmer heb ik zoveel reacties mogen ontvangen op een column. Mijn oproep om mee te denken werd ruim- schoots gehonoreerd. Ik ontving een repliek van Anniek Bakker, geplaatst in februari jl., kreeg mail met daarin andere replieken, een artikel uit The Financial Times waarin de betreffende columnist ook het model ter discussie had gesteld, verzoeken om een gesprek en werd regelmatig tijdens ont- moetingen hierover aangesproken; wat een genoegen!
35
MCA: april 2014, nummer 2 gen indien nodig. De tweede lijn risicomanager en
de derde lijn auditor mogen ook mee in de aan- val als het spel dat vraagt. U zult zich terecht af- vragen hoe dat in de praktijk dan moet werken. Nu dient meestal via veel papier en systemen achter- af te worden vastgesteld en gecontroleerd wat er is afgesproken en of dat mocht. Waarom zouden lijnmanager, sales, risicomanagement, compliance en audit elkaar niet vaker gezamenlijk rond de tafel treffen als er besluiten van belang dienen te wor- den genomen? Tijdens zo’n besluitvormende ver- gadering, die tegenwoordig ook via Skype, con- ference calls en Whatsapp kan plaatsvinden, mag ieders stem gehoord worden. Ik hoor u al zeggen:
en de functiescheiding dan? Mijn antwoord is dat functiescheiding uitgaat van tegengestelde belan- gen die er vaak niet echt zijn. Alle spelers willen winnen en scoren, hoe beter de organisatie pres- teert hoe beter dat is voor de winst en meestal de beloning of de carrière (of allebei). Daar is niets mis mee en als het misgaat wordt het hele team daar- op aangesproken zoals bij het succes iedereen daarin deelt. Natuurlijk kent het integrale (klant) team een voorzitter die de juiste competenties be- zit om tot een besluit te komen. Als de kaders hel- der zijn, zullen vele besluiten niet met het hele team hoeven te worden genomen, ze kunnen min of meer aan de automatische piloot worden over- gelaten, zo gebeurt dat ook in een vliegtuig. Alleen als het spannend wordt, komt de piloot, of het hele team, in actie. De flight recorder heeft alle hande- lingen van de (automatische) piloot dan wel de ge- sprekken en besluiten van het team vastgelegd.
Audit trail verzekerd en achteraf is prima vast te stellen wat goed en fout ging en daar kan weer van worden geleerd voor de toekomst.
Integraal overzicht
Het door Anniek Bakker geconstateerde gebrek aan een gezamenlijke doelstelling is dan snel op- gelost; immers, er dient door het gehele team zo-
iets te zijn wil het team goed kunnen werken. Het gebrek aan integraal overzicht wordt ook opgelost omdat het team meer in gezamenlijkheid werkt en elkaar beter zal aanspreken op de taakuitoefening.
Er is dan niet zoiets als een ingebakken ongelijk- heid tussen lijnmanagement, de risicomanager en de auditor. Ingebakken door de woordkeuze:
three lines of defence. Die ingebakken ongelijkheid leidt er in de praktijk toe dat de tweede en derde lijn nauwelijks een poot aan de grond krijgen om- dat ze pas achteraf hun input mogen leveren en de charismatische sterspeler/verkoper/lijnmana- ger altijd het voordeel van de twijfel krijgt. Hij eist de bal op, loopt naast zijn schoenen, wacht tot de bal in de voeten wordt gespeeld en verdedigt zeker niet mee. Verantwoording afleggen en besluiten van belang in gezamenlijkheid nemen, te min voor hem. Dat leidt tot ongelukken, ook omdat veelal het tegengeluid of niet werd geuit of niet werd ge- hoord, zie de Rabobank-case. De door mij gepro- pageerde ‘homo apertus’, de milde variant van de klokkenluider, wordt veelal niet geduld in een orga- nisatie, te lastig en een geboren bederver van elk feestje. Maar hij/zij is o zo nodig om als stofzuiger of robuuste verdediger bij te dragen aan het suc- ces van het team. Ja, hij mag zelfs ook scoren, ie- dereen juicht dan mee. De coach/voorzitter/aan- voerder dient te bevorderen dat het ‘tegengeluid’
direct de ruimte krijgt, achteraf helpt niet meer, het kalf is verdronken.
Ik ben dus een verklaard voorstander van totaal- voetbal en daarmee een tegenstander van het den- ken in lines of defence, hoeveel u er ook mag be- denken. Meer samenwerking, meer luisteren naar elkaar, meer aanspreken op gedrag, een betere cultuur, minder verkokering, meer begrip voor het afwijkend geluid, meer oog voor de factor mens en slechts simpele regels van het spel dienen nieuwe Rabo’s te helpen voorkomen. U wilt me vast wel helpen in het verder aanscherpen van de vraag of deze simpele regel zou kunnen helpen.
