Three Lines of Defence
Als commissaris of lid van de raad van toezicht wordt u gevraagd om een ‘second opinion’ te vormen over het beleid van het bestuur en de algemene gang van zaken. Een van de zaken waar men naar moet kijken is hoe de Three Lines of Defense (3 LoD) binnen de organisatie zijn geborgd. Om een tweede opinie te kunnen vormen is het noodzakelijk om een eerste opinie te hebben. Tonny Dekker en Will Weerts van EY zetten de huidige aardverschuiving binnen het 3LoD-model uiteen en helpt u met het vormen van deze opinie.
Hoe ziet een betrouwbare duurzame onderneming eruit in de digitale wereld van morgen? Ongetwijfeld zal deze organisatie vertrouwen op de Three Lines of Defense (3LoD). Het 3LoD-model is een risicobeheersingsmodel waarmee bedrijven op efficiënte wijze het vertrouwen van hun klanten en andere belanghebbenden kunnen verdienen en behouden. Volgens het model staat elke ‘verdedigingslinie’ gelijk aan een of meer bedrijfsfuncties die verantwoordelijk zijn voor het ontwerpen van, het uitvoeren van en het toetsen van elementen van het interne controle- en risicobeheersysteem van het bedrijf. Een toezichthouder zal dus derhalve goed moeten kijken naar de balans tussen deze ‘verdedigingslinies’.
Drie linies
De eerste verdedigingslinie bestaat uit de primaire processen van de organisatie. Dit zijn meestal de mensen die direct betrokken zijn bij inkoop, productie, levering en verkoop van goederen en diensten. De tweede verdedigingslinie bestaat uit mensen die controles en processen ontwerpen en controles uitvoeren op de eerste linie om ervoor te zorgen dat primaire activiteiten nauwkeurig en veilig worden uitgevoerd en naar behoren worden verantwoord. Deze verdedigingslinie bestaat meestal uit de financiële, IT en compliance afdelingen. De derde verdedigingslinie is internal audit. Deze linie valideert op onafhankelijke wijze de effectiviteit van het beleid en de procedures die door zowel de eerste verdedigingslinie als de tweede verdedigingslinie zijn ontworpen en uitgevoerd.
Eerste linie goes digital
De digitale revolutie van vandaag draagt zowel bij aan vertrouwen (meer data-informatie is beschikbaar voor analyse) als aan wantrouwen door bijvoorbeeld oneigenlijk gebruik te maken van media of datalekken. De digitalisering van vertrouwen veroorzaakt aardverschuivingen in termen van hoe bedrijven het 3LoD model toepassen. Meer en meer transactieactiviteiten worden gedigitaliseerd en ingebouwd in de eerste lijn van een bedrijf door het automatiseren van processen en controles. Tot voor kort voerde de tweede verdedigingslinie een deel van deze controles uit. De eerste verdedigingslinie ‘goes digital’.
Veranderingen op komst
Wat betekent dit nu voor de tweede en derde verdedigingslinie? Wij verwachten dat de aard van de activiteiten van deze linies aanzienlijk gaat veranderen. Het adviserende karakter van de tweede linie ten aanzien van de kwaliteit van de processen en procedures zal verder toenemen omdat er minder ruimte is voor fouten in het ontwerp. Door de onderlinge samenhang en de hoge mate van automatisering kunnen kleine ontwerpfouten grote gevolgen hebben in latere fasen van bijvoorbeeld verkoop (datalek, cyber attack, onjuiste betaling, etc.). Het ontdekken en oplossen van deze fouten is veel complexer dan voorheen in een handmatige omgeving. De tweede linie zal vervolgens de digitale primaire processen continue gaan monitoren op bijzonderheden door middel van technologie. Het handmatig toetsen of controles hebben gewerkt door de tweede linie, zal naar verwachting naar de achtergrond verdwijnen.
Nieuw perspectief derde lijn
De tweede, maar ook derde verdedigingslinie zal de focus verleggen naar het grotere geheel en ‘de punten verbinden’. De linies zullen ook proberen kansen voor het bedrijf te creëren door meer aandacht te besteden aan externe risico’s en strategische risico’s dan voorheen, bovenop de traditionele focus op proces risico’s. Door data scientists op te nemen in het internal audit team en beter gebruik te maken van extern en intern beschikbare data kan de derde lijn nieuwe perspectieven toevoegen. Verder kan benchmarking de kwaliteit van het interne controle- en risicobeheerssysteem en de risicobewustwording omtrent strategische en externe risico’s vergroten.
Digitale aardverschuiving
De ‘digitale aardverschuivingen’ die het 3LoD model veranderen, hebben het potentieel om aanzienlijke nieuwe kansen voor bedrijven te creëren. Tegelijkertijd creëren ze ook risico’s voor bedrijven als ze niet goed worden beheerd. Hoe kunnen bedrijven nu het beste de vruchten van deze aardverschuivingen plukken? Waar moet een toezichthouder naar kijken als er zich zulke aardverschuivingen zich voordoen:
1. Toets of er experts en leiders uit de tweede en derde lijn bij het herontwerpen en de digitalisering van de eerste lijn betrokken zijn. Om in de beste positie te zijn om marktkansen te benutten, moet een onderneming haar controles, samen met haar risico- en controleactiviteiten, correct hebben ingebouwd in de eerste lijn – first time right. Als u dit niet doet, kunnen er problemen optreden die op een later tijdstip moeten worden opgelost tegen hoge kosten en eventueel reputatieschade.
2. Benadruk bij het toezicht houden het belang van investeringen in verandermanagement. Voor eerstelijnspersoneel is het een grote verandering dat processen meer en meer worden geautomatiseerd. Het achteraf aanpassen van een fout of het gebruik van excel om het systeem te omzeilen kan niet meer. Dit vereist aanpassing van bewustzijn en gedrag. Nieuwe digitale risico’s doen hun intrede naast de nog steeds bestaande risico’s. Het verhogen van bewustzijn en het aanpassen van gedrag vereist nieuwe vaardigheden van de tweede- en derde lijn. Ervaring met verandermanagement is nodig om deze verandering effectief door te voeren.
3. Valideer dat er sprake is van teaming. Wanneer alle drie verdedigingslinies gecoördineerd samen werken dan is de kans het grootst dat een bedrijf een risicobeheersstructuur- en cultuur bereikt die het mogelijk maakt om de kansen en risico's van zakendoen in het digitale tijdperk in evenwicht te brengen. Zonder deze samenwerking zou het bedrijf kunnen eindigen met controles die niet relevant zijn voor de eerste lijn, wat zou leiden tot een bredere ontkoppeling tussen alle drie verdedigingslinies.
Trust by design
Bij EY hebben ze de vraag overwogen hoe bedrijven hun risicobeheerstrategieën kunnen gebruiken om vertrouwen op te bouwen als onderdeel van een 'Trust by Design'-raamwerk. Het 3LoD model vormt ongetwijfeld nog steeds de basis voor elke betrouwbare, duurzame onderneming in de toekomst - op voorwaarde dat hun activiteiten worden hervormd in overeenstemming met de aardverschuivingen die worden veroorzaakt door transformatie, digitalisering en de toepassing van technologie om krachtige zakelijke inzichten te leveren.
==
Kijk hier voor meer info of contact met Tonny Dekker of meer over EY.