Jarenlang is het vakgebied van (financiële) verantwoording, interne beheersing, interne controle en compliance redelijk stabiel gebleven. Maar bestuur en hoger management kan niet heen om de steeds sneller veranderende wereld met grote maatschappelijke opgaven, oneindige technologische mogelijkheden en een kritische burger. Beschikbare technieken zoals data-analyse GRC-software en continuous monitoring nemen een vlucht. Daarnaast hebben informatieveiligheid en privacy-wetgeving een flinke invloed. Hoe ga je dit slim vertalen naar de beheersing en verantwoordingsfunctie van de organisatie?

In het vorige artikel “Eigenaarschap en het decentraal beleggen van kwaliteitsmanagement en de verantwoording over informatieveiligheid en privacy” lieten we zien dat het betrekken van medewerkers bij de verantwoording over onderwerpen als kwaliteitsmanagement, informatieveiligheid, risicomanagement en compliance vanuit integraliteit geen sinecure is. Toch is er een belangrijke verschuiving waar te nemen bij ministeries en andere overheidsorganisatie. Men wil de bestaande verkokering doorbreken en focust steeds meer op het vinden en verbinden en het denken in ketens. Dit is ook terug te vinden in het nieuwe ‘Three Lines Model’, een brede en wereldwijd geaccepteerde standaard voor het opzetten van een goede governance en effectieve verantwoording. Vandaar dat we in deel vier van deze reeks dieper ingaan op het thema governance en het Three Lines Model.

Het Three Lines Model is vorig jaar vernieuwd. In het oude model lag de focus voornamelijk op het beschermen, controleren en beheersen van de organisatieprocessen. Het nieuwe model focust zich meer op de waarde die in de organisatie gecreëerd en vergroot wordt door een effectieve interne beheersing.

De interne beheersing en verantwoordingsfunctie van een organisatie dienen in het nieuwe model vooral ter ondersteuning van het behalen van de doelstellingen – en niet enkel meer als verdediging van de processen. Een verschuiving van ‘three lines of defense’ naar het nieuwe, waardegerichte Three Lines Model. Deze update maakt het model positiever, flexibeler en meer gericht op samenwerking met de lijnorganisatie.

Wij zijn zelf erg positief over deze gedachte en ontwikkeling. De filosofie en inrichting sluiten volledig aan bij een moderne verantwoordingsfunctie. Namelijk de filosofie dat een moderne verantwoordingsfunctie procesgericht is en alleen kan functioneren zonder barrières tussen en binnen organisaties. Ook een onderwerp als informatiebeveiliging is niet alleen de verantwoordelijkheid van de CISO of BV’er, maar de verantwoordelijkheid van ieder proces en iedere afdeling binnen een organisatie. Belangrijk is dat dit gebeurt in synergie en samenwerking, waarbij gezamenlijk innovaties worden opgepakt en de medewerkers ervan overtuigd zijn dat ze een gemeenschappelijk doel en een gemeenschappelijke verantwoordelijkheid hebben. Oftewel vanuit integraliteit en eigenaarschap.

Three Lines Model in de praktijk

De implementatie van het Three Lines Model is het meest effectief wanneer wordt gekeken naar de omstandigheden en specifieke situatie van de organisatie. Toch zijn er ook drie belangrijke algemene veranderingen waar te nemen ten opzichte van de oude ‘three lines of defense’ gedachte.

  • Ten eerste staan doelen, acties en waarde creëren voortaan centraal voor alle functies. Niet voor niets komt ‘defense’ niet meer voor in de naam van het nieuwe model, aangezien niet alleen het beschermen van waarde, maar ook het vergroten ervan centraal staat.
  • Ten tweede zijn de verhoudingen en relaties tussen de rollen meer geïntegreerd waardoor samenwerking wordt bevorderd. Het denken in ‘eilandjes’ of ‘silo’s’ is verleden tijd en de interne beheersfunctie coördineert de activiteiten en samenwerking tussen de verschillende rollen.
  • Ten derde stelt het nieuwe model organisaties in staat om sneller en effectiever maatregelen te nemen die bijdragen aan een efficiënte coördinatie van activiteiten, doelstellingen en de belangen van stakeholders. Kortom, het nieuwe model vormt een goede basis voor de implementatie van moderne en effectieve governance, waarbij een positief en waardevergrotend perspectief het fundament vormt. Net als draagvlak binnen de lijnorganisatie.

In de praktijk betekent dit vooral dat de oude ‘lines of defense’, vaak in de vorm van afdelingen of structuren, overgaan in rollen met een specifieke taak en governance. Functies en personen kunnen taken hebben die horen bij de eerstelijnsrollen en taken die horen bij tweedelijnsrollen. Eerstelijnsrollen, met de focus op het managen van risico’s en het behalen van de organisatiedoelstellingen, staan nu dichter bij de meer sturende en monitorende tweedelijnsrollen. Samen zorgen de eerste- en tweedelijnsrollen voor het continu verbeteren van de processen. Het behalen van resultaat en het creëren van waarde komen centraal te staan.

Klaar voor ‘Three Lines’?

Voor veel organisaties die van het nieuwe model willen uitgaan ligt de uitdaging in het ophalen van informatie uit verschillende plekken in de organisatie en het sturen op doelstellingen vanuit verschillende rollen en functies. De oplossing schuilt in het werken met een informatievoorziening waarmee u integraal inzicht heeft en kunt sturen op het behalen van de beheersdoelstellingen van de organisatie. Denk hierbij aan kwalitatieve doelstellingen, maar uiteraard ook aan het voldoen aan informatiebeveiliging of privacy aspecten. Het Three Lines Model gaat u helpen als uw organisatie de verantwoording echt integraal wil inrichten met eigenaarschap binnen de organisatie.

Meer informatie?

In deze reeks bespreekt Edwin Lodder de laatste ontwikkelingen op dit gebied bij ministeries en overheid, die voor de opgave staan om hun verantwoordingsfunctie te moderniseren. Op basis van een rondje langs de velden zet Edwin de zes belangrijkste ontwikkelingen op een rij binnen deze nieuwe dynamiek.Wij helpen graag bij het zetten van de eerste stappen naar een moderne verantwoordingsfunctie. Laat het ons weten!

Contact

Edwin Lodder
https://www.linkedin.com/in/edwinlodder/
elodder@yellowtail.nl

Edwin Lodder is als managing director bij Yellowtail Conclusion verantwoordelijk voor de risicomanagement portefeuille. Daarnaast is hij verantwoordelijk voor de Key Control Dashboard dienstverlening. Het Key Control Dashboard is markleider binnen de rijksoverheid. De GRC, ISMS en PMS software van het Key Control Dashboard helpt organisatie op een effectieve, efficiënte en data-gedreven wijze invullen te geven aan een moderne verantwoordingsfunctie. U wilt als organisatie toch ook aantoonbaar In Control zijn!