In de wereld van control hebben we het vaak over de drie lijnen van defence. Alsof er een oorlog aan de gang is om het beschikbare geld en we vanuit ‘Control’ de verdedigingslinies overzien. Maar letten we daarbij op de juiste zaken? En zouden we naast de drie lijnen van defence niet ook naar de drie lijnen van gedrag moeten kijken? Daar denk ik met je over na in deze blog!
Laten we eerst eens kijken waar de focus op ligt als het gaat om control. Die ligt vooral op wat er fout kan gaan. Waar kan er misbruik gemaakt worden van overheidsgeld? Waar lopen we het risico dat we handelen buiten de gestelde wetten en regels? Waar kan er meer uitgegeven worden dan begroot? Dat is waar we in de wereld van control graag en veel over nadenken.
Dat doen we tegenwoordig aan de hand van ‘de drie lijnen’ of het ‘Three Lines Model’ zoals het Institute of InternaI Auditors (IIA) het noemt. In de nadere uitwerking gaat het nog altijd over de drie lijnen van control met voor elke lijn een duidelijke rol en verantwoordelijkheid. Deze drie lijnen kunnen we als volgt duiden:
Daarnaast kennen we nog externe controlerende actoren als accountants, rekenkamers en toezichthouders. In dit blog laten we deze rollen verder buiten beschouwing.
Management
Op basis van de theorie kunnen we op hoofdlijnen het volgende verwachten van het management (de eerste lijn van control). De belangrijkste taak van het management is dat zij erop gericht is de doelstellingen van de organisatie te realiseren. Zij krijgt mandaat om middelen in te zetten, acties te ondernemen en leiding en sturing te geven. Verwacht wordt ook dat zij passende structuren en processen ontwikkelt en onderhoudt voor het beheren van activiteiten. Het management is verantwoordelijk voor de interne beheersing van de processen inclusief risicobeheersing. Vanuit het bestuur wordt ook verwacht dat het management zich houdt aan wet- en regelgeving en aan ethische normen en waarden.
Ondersteunende experts
De rol vanuit de tweede lijn betreft ‘aanvullende’ expertise, ondersteuning, monitoring en een kritische blik. Gericht op risicomanagement, op het niveau van processen, systemen en entiteiten. Vanuit deze rol worden analyses en rapportages gemaakt over de toereikendheid van risicomanagement. Het gaat dan om zaken als:
Een breed pallet waarbij kaders van belang zijn en ook gedragscodes. Het gaat hier om de vraag of we ‘compliant’ zijn en daar werkbare checks en balances voor hebben ingericht.
Onafhankelijke auditors
De derde lijn is die van de onafhankelijke auditors. Vanuit een onafhankelijke rol wordt er getoetst of de governance en het risicomanagement toereikend en effectief is. De bevindingen worden, inclusief adviezen, gericht aan het bestuur. Daarbij gaat het vooral om de vraag in hoeverre de doelstellingen van de organisatie in het geding zijn.
In alle drie rollen komt de gerichtheid op risicobeheersing en doelrealisatie naar voren. Het is dan ook van belang dat medewerkers op alle niveaus in de organisatie weten aan welke doelen gewerkt wordt. Als we verder inzoomen op die verschillende rollen en verantwoordelijkheden, dan valt op dat het nadrukkelijk gaat over gedrag. Wat is gewenst gedrag dat past bij de eerste lijn, tweede lijn en derde lijn van control? En welk gedrag zien we in de praktijk?
In een onlangs gehouden webinar over de drie lijnen van control dachten we daar over na met financiële medewerkers van met name gemeenten. De meerderheid daarvan werkt als tweedelijns of derdelijns adviseur. Opvallend is de uitkomst op de vraag ‘voor welke lijn loop jij de gaten dicht’. Daaruit komt naar voren dat tweedelijns adviseurs veelal gaten dichtlopen voor de eerste lijn. En derdelijns adviseurs lopen op hun beurt de gaten dicht voor de tweede lijn.
Een beperkt aantal deelnemers gaf aan geen gaten dicht te lopen. Bewust niet. Wat zij wel doen is het gesprek aangaan met de desbetreffende verantwoordelijken om van daaruit samen tot oplossingen te komen. Dan hoeven er geen gaten te vallen. Dat vraagt mogelijk wel om andere competenties in de wereld van control. Gespreksvaardigheden zijn steeds belangrijker. En ook begrip voor elkaars rol en verantwoordelijkheid plus het elkaar daarop durven aanspreken.
Naast het dichtlopen van gaten is aandacht besteed aan de gedragselementen van de desbetreffende lijnen van control. Daarin gaat het om twee elementen van gedrag: willen en kunnen. De vragen die spelen zijn:
Vanuit de reacties van de deelnemers kunnen we stellen dat het management, in hun beleving, enigszins gemotiveerd is hier invulling aan te geven. Het vermogen om dat ook te kunnen ligt echter lager.
Binnen organisaties is het belangrijk inzicht te hebben in deze elementen van gedrag. Op basis daarvan kan men gericht aandacht schenken aan bijvoorbeeld het vermogen van de eerste lijn van control. Wat maakt risico- en interne beheersing moeilijk voor het management? Dan voeren we ineens heel andere gesprekken dan waar we het in het begin van dit blog over hadden. Het gaat dan niet primair om waar het fout kan gaan, maar over wat er nodig is om dat te signaleren. Zulke gesprekken zijn de basis voor een beter begrip. Vanuit begrip kan er vervolgens gewerkt worden aan het versterken van het vermogen op lijn 1. Als het begrip en het vermogen groeit is er zo maar de kans dat de motivatie ook toeneemt. Die kans moeten we niet laten liggen!
Wil je hier meer over weten en verder over nadenken? Binnen onze online leernetwerken Rechtmatigheid & Procesbeheersing en Planning & Control gaan we dieper in op procesinrichting, rollen en verantwoordelijkheden. Als lid van zo’n leernetwerk kan je onder meer deelnemen aan praktijkdagen, waarin we nadrukkelijk ook nadenken over gedrag binnen de drie lijnen van control. En hoe je daarop kunt bijsturen. Dat doen we vanuit onze passie en bevlogenheid en in het vertrouwen dat we samen bezieling over kunnen brengen binnen lokale overheidsorganisaties.
Ook meedoen? Meld je aan via https://finolia.nl/aanbod/lidmaatschap-finoliaportaal/