Organisaties hebben te maken met een wereld welke steeds onzekerder, complexer, meer onderling verbonden en volatiel wordt. Doorgaans hebben ze te maken met meerdere stakeholders en hebben te maken met verschillende, veranderende en soms tegengestelde belangen. Stakeholders vertrouwen het toezicht op de organisatie toe aan een bestuursorgaan, dat op zijn beurt middelen en bevoegdheden aan het management delegeert om passende actie te ondernemen, met inbegrip van risicomanagement. Hierdoor hebben organisaties effectieve structuren en processen nodig welke het mogelijk maken doelstellingen te realiseren, en die tegelijkertijd een sterke governance en risicomanagement ondersteunen. Aangezien het bestuursorgaan van het management rapportages over activiteiten, resultaten en prognoses ontvangt, rekent zowel het bestuursorgaan als het management erop dat internal audit bij alle vraagstukken onafhankelijke, objectieve assurance en adviezen verstrekt, en innovatie en verbetering bevordert en faciliteert. Het bestuursorgaan is eindverantwoordelijk voor de governance, die door de acties en handelwijzen van het bestuursorgaan, het management en internal audit wordt verwezenlijkt.
Het Three Lines Model, voorheen ook wel bekend als het ‘Three Lines of Defense’ risicomanagement model, ondersteunt organisaties structuren en processen in kaart te brengen die het beste bijdragen aan het realiseren van doelstellingen en die een sterke governance en risicomanagement faciliteren. Het model optimaliseert door het volgende:
1. Een op principes gebaseerde aanpak hanteren en het model aanpassen aan de doelstellingen en omstandigheden van de organisatie.
2.Focussen op de bijdrage die risicomanagement levert aan het realiseren van doelstellingen en het creëren van waarde, en ook aan de ‘verdediging’ en het beschermen van waarde.
3.Een helder inzicht in de rollen en verantwoordelijkheden in het model en de onderlinge relaties.
4.Maatregelen nemen om ervoor te zorgen dat activiteiten en doelstellingen zijn afgestemd op de voornaamste belangen van stakeholders.
Voor wie is het model bedoeld?
Het beoogde publiek voor het model is iedereen die geïnteresseerd is in het succes van organisaties. Meer in het bijzonder zijn de voordelen van het model bestemd voor diegenen die belast zijn met governance, management, risicomanagement, externe assurance, en internal audit. Niet alleen kunnen internal auditors hun waardering voor de belangrijkste relaties en de bijdrage van internal audit aan succes verdiepen, zij kunnen het model ook delen met degenen die invloed kunnen uitoefenen op de wijze waarop internal audit wordt beschouwd, gestructureerd en van middelen wordt voorzien, en hoe het functioneert. Dit omvat concreet:
- Bestuursorganen en auditcomités
- Degenen die nauw samenwerken met de interne audit, met name het management, risicogerelateerde functies, externe auditors en andere leveranciers van zekerheid
- Externe dienstverleners
- Toezichthouders, met name in de financiële dienstensector
- Wetgevers, beleidsmakers, denkers, opleiders en loopbaanadviseurs
- Normstellers voor aanverwante beroepen en activiteiten, met name externe audit, risico, governance, boekhouding en financieel beheer
- Degenen die interne auditors in dienst nemen, met inbegrip van HR- en wervingsbureaus
- Nationale, regionale en mondiale organisaties en personen die invloed uitoefenen op een van de bovengenoemde.
DE PRINCIPES
De principes van het model vormen de kern van het kader en laten samen zien hoe succesvol bestuur werkt.
Principe 1: Governance
Governance van een organisatie vereist passende structuren en processen die het volgende mogelijk maken:
- Verantwoording door een bestuursorgaan aan belanghebbenden voor organisatorisch toezicht door integriteit, leiderschap en transparantie.
- Acties (met inbegrip van risicobeheersing) door het management om de doelstellingen van de organisatie te bereiken door risicogebaseerde besluitvorming1 en toepassing van middelen.
- Assurance en advies door een onafhankelijke interne-auditfunctie om duidelijkheid en vertrouwen te scheppen alsook voortdurende verbetering te realiseren door middel van grondig, nauwgezet onderzoek en inzichtelijke communicatie.
Principe 2: Rol van het bestuursorgaan
Het bestuursorgaan draagt zorg voor:
- Passende structuren en processen voor effectief bestuur.
- De doelstellingen en activiteiten van de organisatie die zijn afgestemd op de prioritaire belangen van de belanghebbenden.
Het bestuursorgaan:
- Delegeert verantwoordelijkheid en middelen aan het management om de doelstellingen van de organisatie te bereiken, en zorgt er tegelijkertijd voor dat aan de wettelijke, regelgevende en ethische verwachtingen wordt voldaan.
- Stelt een onafhankelijke, objectieve en competente interne auditfunctie in om duidelijkheid en vertrouwen te verschaffen over de voortgang in het bereiken van de doelstellingen, en houdt hier toezicht op.
Principe 3: Management en eerste- en tweedelijnsrollen
De verantwoordelijkheid van het management voor acties (met inbegrip van risicobeheer) om de doelstellingen van de organisatie te bereiken, omvat zowel eerstelijns- als tweedelijnsfuncties. Eerstelijnsfuncties zijn het meest direct afgestemd op het leveren van producten en/of diensten aan opdrachtgevers van de organisatie, met inbegrip van ondersteunende functies om dit mogelijk te maken. Tweedelijnsfuncties bieden ondersteuning bij het beheersen van risico’s.
Eerste- en tweedelijnsfuncties kunnen gemengd of gescheiden zijn. Sommige tweedelijnsfuncties kunnen worden toegewezen aan specialisten die aanvullende deskundigheid, ondersteuning, toezicht en uitdaging bieden aan degenen met eerstelijnsfuncties. Tweedelijnsfuncties kunnen gericht zijn op specifieke doelstellingen van risicobeheer, zoals: naleving van wet- en regelgeving en aanvaardbaar ethisch gedrag; interne controle; informatie- en technologiebeveiliging; duurzaamheid; en kwaliteitsborging. Anderzijds kunnen tweedelijnsfuncties ook een bredere opdracht voor risicobeheer omvatten, zoals Enterprise Risk Management (ERM). De verantwoordelijkheid voor het beheer van risico’s blijft echter deel uitmaken van de eerstelijnsfuncties en valt onder de bevoegdheid van het management.
Principe 4: Derdelijnsfuncties
Interne audit verschaft onafhankelijke en objectieve zekerheid en advies over de toereikendheid en doeltreffendheid van het bestuur en het risicobeheer (met inbegrip van interne controle) door middel van de bekwame toepassing van systematische en gedisciplineerde processen, deskundigheid en inzicht. Zij rapporteert haar bevindingen aan het management en het bestuursorgaan om tot voortdurende verbetering aan te zetten. Daarbij kan het de zekerheid van andere interne en externe leveranciers in overweging nemen.
Principe 5: Onafhankelijkheid van de derde lijn
De onafhankelijkheid van de interne audit van de verantwoordelijkheden van het bestuur is van cruciaal belang voor haar objectiviteit, gezaghebbendheid en geloofwaardigheid. Dit wordt bereikt door verantwoording af te leggen aan het bestuursorgaan, vrije toegang te hebben tot mensen, middelen en gegevens die nodig zijn om het werk te voltooien, én vrij te zijn van vooringenomenheid of inmenging bij de planning en levering van auditdiensten.
Principe 6: Waarde creëren en beschermen
De rollen van het bestuursorgaan en die van de eerste, tweede en derde lijn dragen collectief bij aan het creëren en beschermen van waarde wanneer zij op elkaar, en op de prioritaire belangen van de belanghebbenden, zijn afgestemd. Afstemming van activiteiten wordt bereikt door middel van communicatie, samenwerking en medewerking, en ondersteunt de betrouwbaarheid, samenhang en transparantie van informatie die nodig is voor risicogebaseerde besluitvorming.
LITERATUUR
Global Institute of Internal Auditors
Reageer op dit bericht