• No results found

Verslag IIA Round Tables Lancering ‘3 Lines-model’ Hieronder staan de resultaten van de groepsdiscussies tijdens de diverse sessies die IIA Nederland heeft verzorgd over het nieuwe 3L-model

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "Verslag IIA Round Tables Lancering ‘3 Lines-model’ Hieronder staan de resultaten van de groepsdiscussies tijdens de diverse sessies die IIA Nederland heeft verzorgd over het nieuwe 3L-model"

Copied!
6
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 6 pagina )

Hele tekst

(1)

Verslag IIA Round Tables Lancering ‘3 Lines-model’

Hieronder staan de resultaten van de groepsdiscussies tijdens de diverse sessies die IIA Nederland heeft verzorgd over het nieuwe 3L-model1. Deze sessies zijn:

• De Round Table op 20 augustus, waarin het nieuwe model is gepresenteerd2 en besproken;

• De daarop volgende Discussiebijeenkomsten op 25, 27 en 31 augustus.

In de discussies is met name ingegaan op:

1. de voor- en nadelen, ofwel de pro’s & con’s van het nieuwe model;

2. de tips & tricks voor de toepassing van het nieuwe model.

De resultaten daarvan worden hieronder samengevat en samengevoegd weergegeven3.

1. Pro’s en con’s

Pro’s

De volgende pluspunten zijn in de discussies genoemd:

• Meer samenwerken, minder silo's.

Initieert samenwerking.

Waarde creëren door samenwerken over de lijnen heen.

• Focus op de organisatiedoelen – dat is gemeenschappelijke doel van alle lijnen.

• Focus op toegevoegde waarde/ waardecreatie, minder stoplichtjes rapporteren.

Weglaten woord ‘defense’ (dat vaak een negatieve connotatie gaf).

• Principle-based; meer flexibiliteit; minder star / keurslijf (door principes).

De mogelijkheid tot ‘blenden’.

NB dit leidt tegelijkertijd voor anderen tot minpunten: minder duidelijkheid en meer risico op rolvervaging.

NB Aanvullende wet-/regelgeving kan blenden van lijnen verbieden, zoals in de Financiële Sector.

NB Bewust wordt niet meer gesproken over ‘blurring the lines’, zoals in de Exposure Draft.

Blurring suggereert een vervaging en onduidelijkheid. Dat is echter niet de bedoeling; heel duidelijk dient te worden benoemd wie waarvoor verantwoordelijk is.

Geeft meer mogelijkheden om eigen inkleuring te geven en aan te passen op het bedrijf. Meer flexibiliteit en minder keurslijf. Meer oog voor verschillen tussen bedrijven.

Meer flexibiliteit maakt model beter toepasbaar voor kleinere organisaties

1Het nieuwe 3L-model is beschikbaar op: https://www.iia.nl/kenniscentrum/vaktechnische-publicaties/three-lines- model-updated-nl

2 De handout is beschikbaar op:

https://www.iia.nl/SiteFiles/Evenementen/Presentatie%20lancering%203%20Lines%20model%2020-08-20.pdf De presentatie zelf kan worden bekeken op: https://vimeo.com/449668120

3 Wellicht ten overvloede wordt opgemerkt dat de resultaten (zoveel mogelijk letterlijk) de meningen van de deelnemers weergeven; deze notitie is dus geen position paper vanuit het IIA. De cursieve tekst is een nadere duiding door de Manager Vaktechniek van het IIA.

(2)

• Denken in rollen in plaats van afdelingen, waarbij een afdeling meerdere rollen kan hebben.

Benoemen rollen waardoor flexibiliteit.

Redeneren vanuit rollen i.p.v. (zoals eerder) vanuit (starre) structuur.

NB door het denken in rollen (i.p.v. structuren) wordt benadrukt dat het model niet moet worden gezien als ‘blauwdruk’ van een goede governancestructuur, maar als (denk)model om te komen tot een goede governance.

• Breder dan het vorig model.

Nu wordt ingegaan op de governance; dat omvat risicomanagement (dat centraal stond in de 3LoD-position paper).

Risicomanagement is vaak wat lastig om mee aan de slag te gaan. Governance is breder en daarmee beter bespreekbaar.

• 1e lijn verantwoordelijk blijft voor beheersing risico’s (2e lijn stelt ‘slechts’ kaders en monitort).

Duidelijk dat management integraal verantwoordelijk is voor risicomanagement.

• 1e en 2e lijn dichter bij elkaar (onder verantwoordelijkheid van management).

• 2e lijn beter omschreven en flexibeler dan oude model, waarin 2e lijn alleen controleur was.

Duidelijkheid over verdeling staf in 1e en 2e lijn.

NB De meningen verschillen over de duidelijkheid waarmee de 2e lijn is omschreven – zie ook hieronder.

Con’s

De volgende min- en aandachtspunten zijn in de discussies genoemd:

• De acceptatie door externe toezichthouders (DNB, AFM, …) en externe accountants is nog de vraag – is niet expliciet getoetst; de Exposure draft is niet expliciet met hen besproken.

Vraag is of Risk Management bereid is zich te conformeren aan dit nieuwe model.

Vraag is of de wijzigen wel goed zijn uit te leggen aan de 1e lijn?

NB Het 3L-model moet specifiek en concreet worden gemaakt voor de eigen organisatie; in de totstandkoming daarvan is afstemming met de andere lijnen en met de toezichthouder en externe accountant noodzakelijk.

• Door ontbreken van rol externe auditor en toezichthouders: geen aandacht voor assurance

‘over de gehele keten heen’.

NB Het 3L-model is een ‘intern’ model – het gaat in op de governance binnen de organisatie en niet zozeer op de relatie met en rol van externe partijen.

• Flexibiliteit vraagt om duidelijkheid in rollen en verantwoordelijkheden.

Uitlegbaarheid van model richting de praktijk complexer.

Flexibiliteit maakt maatwerk mogelijk, maar kan tot rolvervaging leiden.

• Nog geen duidelijke 'handvatten' hoe dit model in de organisatie in te voeren.

(Hoofdstuk ‘Hoe het model toe te passen’ geeft die ook niet.)

Die handvatten zijn des te belangrijker gegeven de principle-based opzet.

Het blijft vaak nog lastig om de drie rollen goed te verwoorden en in te vullen.

NB In de volgende paragraaf wordt ingegaan op deze handvatten.

• In een organisatie waar Audit niet wettelijk verplicht is, en de 2e lijn niet goed is ontwikkeld, zorgt het vervagen van de standaard ervoor dat je als IAF minder munitie hebt om het gesprek

(3)

aan te gaan met de RvB en het senior management.

Model maakt gesprek met Bestuur niet makkelijker als de IA-functie geen wettelijke basis heeft.

NB Inherent in het principle-based model is dat de toegevoegde waarde van keuzes (incl. het instellen van een IAF (of bepaalde 2e lijn) en bepalen van de scope en jaarplan daarvan) moet kunnen worden uitgelegd; ofwel: we doen het niet omdat het in de wet staat, maar omdat het toegevoegde waarde oplevert.

• Governing Body:

o Minpunt is de one-tier benadering i.p.v. de in Nederland gebruikelijk two-tier structuur.

Het Bestuursorgaan omvat onze RvB en RvC. Hierdoor komen de verschillende rollen en de onafhankelijkheid tussen RvB en RvC onvoldoende naar voren.

o Suggestie aan IIA: naast de vertaling ook het plaatje iets aanpassen of 'toepassingsguidelines’ maken die de Nederlandse 2-tier situatie recht doen.

o Gebrek aan aandacht voor ‘besturing’ in de definitie van governance.

• 1e en 2e lijn

o 1e en 2e lijn dichter bij elkaar, waardoor risico van rolvermenging tussen 1e en 2e lijn groter.

NB daar tegenover als pro genoemd: duidelijker dat kerntaak van 2e lijn de ondersteuning van de 1e lijn is; in de notitie wordt expliciet aangegeven dat afhankelijk van de aard van het risicogebied de onafhankelijkheid van de 2e t.o.v. de 1e lijn belangrijk(er) kan zijn, en zelfs een direct relatie tussen 2e lijn en Bestuursorgaan wenselijk kan maken.

o De 2e-lijnsfunctie als objectieve kritische lijn is onderbelicht: 2e lijn wordt nu beetje weggezet als hulpje.

Visueel lijkt het plaatje weer te geven dat het Bestuursorgaan de 1e lijn is, Management de 2e en Audit de 3e - plaatje kan dus verkeerde indruk wekken.

o Meningen verschillen over de duidelijkheid waarmee de 2e lijn is omschreven.

Expliciet wordt aangegeven dat uitvoerende staf-activiteiten moeten worden gezien als 1e lijn.

NB 2e lijn wordt veelal geassocieerd met ‘de staf’; Mintzberg (Structures in five) maakt v.w.b. de staven het onderscheid tussen ‘Support Staff’ (die uitvoerende taken uitvoert, zoals de Financiële Administratie, Facilitaire zaken en Inkoop) en de ‘Technostructure’, die vanuit haar expertise adviezen en richtlijnen geeft voor de te hanteren werkwijzen en procedures. De 2e lijn betreft de Technostructure.

• 2e en 3e lijn

o Onduidelijkheid over schil in advies vanuit 2e en 3e lijn.

Expliciet wordt gezegd dat de Audit ook een consulterende rol heeft (staat haar

onafhankelijkheid niet in de weg). Consulterende rol van Audit is echter iets ander dan de consulterende rol van de 2e lijn.

o 1e en 2e lijn worden dichter bij elkaar gezet, waarbij Audit (verder) apart wordt gezet.

Gevaar is dat Audit steeds verder apart (op afstand) komt te staan.

Audit staat in het model erg los. Dat moet wel goed toegelicht worden.

• Helaas niet aangesloten op bekende, geaccepteerde management-modellen, zoals Mintzberg.

Eigen definitie van governance (i.p.v. aangesloten bij andere, reeds bestaande).

(4)

2. Tips & tricks voor de toepassing

“Zo’n model dat iedereen moet passen blijft toch altijd wel moeilijk om goed vorm te geven.”, zo zei één van de deelnemers. Juist daarom is ook expliciet gesproken over hoe het model toe te passen c.q. uit te rollen in de eigen organisatie.

Tips succesvolle toepassingen

Er zijn diverse tips voor het uitdragen van het nieuwe model door het IIA:

• Guidelines voor toepassing vanuit IIA, ook richting de toezichthouder en govening bodies.

IIA moet boodschap uitdragen richting toezichthouders.

• Toelichting of addendum op het model maken hoe dit model in een 2-tier situatie werkt.

• Betere uitwerking en toelichting op de belangrijkste wijzigingen van het model, zodat IA-

functies de rollen/taken/verantwoordelijkheden duidelijk kunnen uitwerken en zo ‘comfort’ bij de toezichthouder kunnen creëren.

o Kijk naar wenselijke uitwerking per sector, bijv. voor decentrale overheid.

• Draag het model uit naar toezichthouders en belangenbehartigers (zoals Nederlandse Vereniging voor Banken, VNG, Aedes voor corporaties en Verus/PO-raad/VO-raad voor onderwijsinstellingen, …) en naar andere beroepsorganisaties (zoals NBA-LIO en NOREA).

• Het definiëren van best practices voor implementatie nieuwe model.

T.a.v. de toepassing van het model in de eigen organisatie:

• Het nieuwe model is een goed moment om weer eens met elkaar om de tafel te gaan.

Goed moment om nu de situatie in kaart te brengen en te evalueren.

• Maak de toegevoegde waarde helder (waarom doen we dit)?

Benadruk de toegevoegde waarde, gericht op bijdrage aan de organisatiedoelen.

• Heel snel gebruiken om de rollen en verantwoordelijkheden helder krijgen; definiëren van de rollen in resultaten (resultaatgericht werken).

• In overleg met elkaar.

Zoeken van toenadering tot andere lijnen/vakgroepen/disciplines.

Gebruik het model om een soort GRC-platform in te richten binnen je organisatie.

Maak een gemeenschappelijke charter voor 2e en 3e lijn.

Creëer draagvlak bij 1e en 2e lijn.

NB Suggestie: definieer per risicogebied / kwaliteitsaspect de betrokken partijen en werk het 3L in overleg met elkaar uit.

NB Bespreek ook per risicogebied/kwaliteitsaspect het belang daarvan voor de organisatie en de vraag in welke mate coördinatie en interne afspraken op dat punt relevant zijn en of dus een aparte 2e lijn op dat gebied is gewenst.

• Leg goed het verschil uit tussen oude en nieuwe model.

• Begin met Senior Management/ Audit Committee. Hun steun is van wezenlijk belang. Zonder steun weinig kans van slagen.

Aangrijpen als marketing tool richting RvB en AC, om de governance tegen het licht te houden.

(5)

• Zoek een juiste sponsor in de organisatie, die uitrol van dit model kan steunen, bijv. hoofd RvB.

NB Uiteindelijk ligt de verantwoordelijkheid voor de implementatie (en dus voor de keuzes die gemaakt worden t.a.v. de invulling van de governance-structuur) bij het Bestuursorgaan.

• In de praktijk is het vaak lastig om 1e en 2e lijn in afdelingen te benoemen. Het aansluiten bij c.q.

uitgaan van rollen is echt een verbetering om vanuit IA in gesprek te gaan.

NB Denk vanuit rollen, maar beleg deze vervolgens wel expliciet als verantwoordelijkheid bij afdelingen of functionarissen (dus in de structuur).

• Definieer verboden voor het blenden van rollen (vanuit wet-/regelgeving) voorafgaand aan de bespreking.

• Zorg ervoor dat rollen worden beschreven en worden afgestemd met de toezichthouder van de organisatie.

• Pas model toe in combinatie met assurance mapping (waarin per risicogebied/kwaliteitsaspect wordt beschreven wie welke rol (lijn) heeft).

• Gebruik visualisaties.

• Samenwerking tussen de 3 lijnen: iedereen moet zijn rol pakken (en niet alleen maar naar

‘rechts’ kijken).

o Positioneer duidelijk de monitoringrol (2e lijn).

o Blijf de onafhankelijkheid benadrukken en borgen (koesteren) (wellicht 2e lijn, zeker 3e lijn).

Aandachtspunten / valkuilen:

• Gebruik model als discussiemiddel en niet als sjabloon.

Noem het geen model.

• Enkel het model zal niet direct voor verandering zorgen, het is nodig om hierover in gesprek te gaan met de organisatie.

• Model komt te holistisch over / wellicht te weinig nieuws.

• Uitgangspunt zal moeten zijn dat de 1e lijn richting geeft aan wat er nodig is.

NB hier werd ook tegenover gezet:

Oppassen dat de 1e lijn te gemakkelijk zegt het wel alleen af te kunnen.

• Mogelijk gebrek aan draagvlak bij toezichthouders.

Bespreek daarom de invulling (vertaling) van het nieuwe model voor de eigen organisatie en de argumentatie daarvoor.

• Houdt rekening met de bestaande wet-/regelgeving, zoals in de Financiële Sector.

• Zorg voor evenwicht tussen mogelijkheden vanuit de capaciteit van de organisatie en de behoefte vanuit de interne beheersing.

NB Het nieuwe model is niet bedoeld om kosten te besparen, wel om de governance effectief én efficiënt in te richten.

NB Er is geen minimum omvang van de organisatie vermeld, maar zeker in kleine organisaties zal het moeilijk zijn alle 3 lijnen separaat in te richten. Tegelijkertijd zal dat vaak ook niet nodig zijn, juist gegeven die kleine omvang, die coördinatie en bewaking van aspecten vergemakkelijkt.

• Pas op voor de rol van IA als implementator van het model. Kan gevolgen hebben voor haar onafhankelijkheid.

(6)

NB IA kan de implementatie en goede invulling van het model faciliteren, door de gesprekken met de betrokken lijnen (functionarissen) te initiëren en te faciliteren, en daarbij het model en de toegevoegde waarde toe te lichten. Sowieso is het belangrijk dat er op de diverse materiële risicogebieden overleg tussen de lijnen plaatsvindt om de totaliteit van taken te bespreken vanuit de vraag of deze voldoende zijn, effectief zijn en geen onnodige overlap kennen.

IA neemt daarbij echter niet de besluiten. Formeel ligt de verantwoordelijkheid voor de Inrichting/implementatie bij het Bestuursorgaan.

Voor de toepassing de toepassing van het 3L-model zijn vanuit het IIA diverse hulpmiddelen beschikbaar, zoals:

• De Practice Guide Coordination and Reliance: Developing an Assurance Map, over de aanpak van de invulling van de samenwerking van de IAF met andere assurancefuncties en het gebruik van een assurance map daarbij:

https://na.theiia.org/standards-guidance/recommended-guidance/practice- guides/Pages/coordination-and-reliance-developing-an-assurance-map.aspx

• De White Paper Combining Internal Audit and Second Line of Defense Functions?, waarin aandacht wordt besteed aan het mogelijk ‘blenden’ van de 3e lijn met 3e lijns-rollen en de daartoe noodzakelijke maatregelen:

https://www.iia.nl/SiteFiles/IIA%20NL%20Combining%20functions%202014.pdf

• De bekende waaier met rollen van de IAF t.a.v. risicomanagement, die de kernrollen, mogelijke rollen en te vermijden rollen aangeeft:

https://na.theiia.org/standards-

guidance/Public%20Documents/PP%20The%20Role%20of%20Internal%20Auditing%20in%

20Enterprise%20Risk%20Management.pdf

Referenties

Download het nu ( PDF - 6 pagina - 460.64 KB )

GERELATEERDE DOCUMENTEN

eventmanager bij IIA Nederland

Ik krijg ook regelmatig complimenten van andere organisaties, dat wij in staat zijn om ver van te voren een planning voor zoveel trainingen en events op te stellen.. Daarnaast

van het IIA

Als amateurs hebben we er een mooie professionele club. van gemaakt De focus op

IIA Nederland en de

Deloitte en Ahold sponsorden het eerste President’s Dinner in 2002 en werden het jaar daarop opge- volgd door PwC en vervolgens door Jefferson Wells en FSV Risk Advisory?. Zonder

Persbericht: John Bendermacher nieuwe voorzitter IIA Nederland

De heer Bendermacher volgt Vincent Moolenaar op die bij Koninklijke Ahold de functie van Senior Vice President/Global Integration Program Leader heeft aanvaard.. De heer

Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland

Alle IAF’s waar IIA Nederland leden heeft, zullen één maal in een periode van 5 jaar aan een externe kwaliteitstoetsing worden onderworpen, met dien verstande dat deze termijn met een

Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland

Alle IAF’s waar IIA Nederland leden heeft, zullen één maal in een periode van 5 jaar aan een externe kwaliteitstoetsing worden onderworpen, met dien verstande dat deze termijn met een

HET THREE LINES MODEL VAN HET IIA

 Communiceert onafhankelijke en objectieve assurance en adviezen aan het management en het bestuursorgaan met betrekking tot de toereikendheid en effectiviteit

Lancering nieuwe ‘3LoD’-model

• Wat zijn uw 3 belangrijkste tips voor een succesvolle toepassing van het nieuwe model. • Wat zijn de 3 belangrijkste