Evolutie van drie linies

Op 20 juli 2020 publiceerde het Institute of Internal Auditors (IIA), een vooraanstaande wereldwijde beroepsorganisatie voor interne accountants, een actualisering van het zogenaamde three lines of defense model.1 De meeste publicaties vanuit deze beroepsgroep en van deze organisatie zullen de aandacht van veel lezers van dit tijdschrift ontsnappen, maar deze specifieke publicatie is ook voor juristen binnen het financieel recht, in bijzonder juristen binnen financiële ondernemingen, zeer de moeite waard. Het three lines of defense model vormt voor veel financiële ondernemingen immers het uitgangspunt voor de inrichting van hun risicobeheer en interne controle raamwerk en daarmee ook een hulpmiddel om te komen tot een beheerste bedrijfsvoering. Anders gezegd, veel financiële ondernemingen gebruiken het three lines of defense model als hulpmiddel om aan de eisen van art. 3:17 e.v. Wft te kunnen voldoen. Daarbij moet overigens wel worden benadrukt dat het model een hulpmiddel is en geen doel op zichzelf.

Op internationaal niveau moet het three lines of defense model overigens worden onderscheiden van het zogenaamde COSO Internal Control-Integrated Framework, dat veelal in één adem met het three lines of defense model wordt genoemd. ‘COSO’ staat voor het Committee of Sponsoring Organizations of the Threadway Commission, waar onder meer het IIA en het American Institute of Certified Public Accountants onderdeel van uitmaken. Het COSO raamwerk beschrijft welke componenten, principes en andere elementen noodzakelijk zijn voor een effectief risicobeheersysteem door middel van een interne controle systeem. Het raamwerk beschrijft echter niet wie exact verantwoordelijkheid heeft voor de verschillende elementen van het COSO-raamwerk. Het three lines of defense model is juist daarvoor een veel toegepast model. In dit model wordt uitgewerkt op welke wijze verantwoordelijkheden zouden kunnen worden belegd en op elkaar afgestemd. Het COSO-raamwerk en het three lines of defense model zijn op deze manier in veel opzichten complementair.

Het voert te ver om het three lines of defense model op deze plaats uitgebreid te bespreken, maar het uitgangspunt van het model is dat verschillende activiteiten binnen een organisatie worden onderverdeeld in 3 linies: de 1e linie is de eigenaar en beheerder van de risico’s en interne controle-mechanismen, de 2e linie monitort risico’s en interne controle-mechanismen en de 3e linie biedt onafhankelijke assurance aan het beleidsbepalend orgaan en het senior management over de effectiviteit van het risicobeheer en interne controle. Het beleidsbepalend orgaan en het senior management maakt in het model geen onderdeel uit van een van de linies, maar draagt wel de verantwoordelijkheid voor de activiteiten in de eerste en tweede linie.2 Zij bepalen de doelstelling en strategie van de organisatie en dragen ook de verantwoordelijkheid voor de organisatiestructuur met betrekking tot de verantwoordelijkheden ten aanzien van risicobeheer en controle.

Zoals aangegeven is het three lines of defense model een veelgebruikt hulpmiddel in de praktijk om te komen tot een beheerste bedrijfsvoering van - onder meer - financiële ondernemingen. De praktijk is echter weerbarstig en de complexiteit van organisaties leidt regelmatig tot vragen over de toepassing van het model, onder meer over de mogelijkheden en onmogelijkheden tot het combineren van activiteiten tussen de eerste en tweede linies en het voorkomen van onnodige duplicatie van werkzaamheden en expertise. Ofschoon DNB samenwerking tussen sleutelfuncties en de linies niet uitsluit, lijkt zij de mogelijkheden tot het combineren van activiteiten wel vrij restrictief op te vatten. Zo verwacht DNB in ieder geval dat sleutelfuncties (los van de toepassing van het three lines of defense model) van elkaar en van andere functies gescheiden zijn.3

De publicatie van het IIA van 20 juli 2020 laat zien dat de ontwerpers van het model zich rekenschap geven van de noodzaak van een evolutie van het three lines of defense model. De meest in het oog springende aanpassing is de benaming van het model: niet langer wordt gesproken over drie defensie-linies, maar over drie linies, vanaf nu het three lines model dus. Hiermee wordt tot uitdrukking gebracht dat door zowel het beleidsbepalend orgaan, het senior management als de drie linies, cruciale onderdelen van het governance-systeem, wordt gewerkt aan zowel waarde-creatie als aan de bescherming en het behoud van waarde voor de onderneming en haar stakeholders. Een punt van kritiek op de eerdere versie van het model was dat de nadruk teveel was komen te liggen waarde-behoud, de defensieve kant van het model. Behalve in de herziene naam van het model wordt de bredere focus ook tot uitdrukking gebracht in de beschrijving van de rol van het beleidsbepalend orgaan. Tot uitdrukking wordt gebracht dat de verschillende rollen en functies in het model, waaronder van het beleidsbepalend orgaan, niet zijn beperkt tot risicobeheer maar betrekking hebben op de algehele governance van de onderneming.

Een belangrijke aanpassing in het herziene model is verder de formulering van zes principes waarop het model is gebaseerd. Ofschoon wellicht een aantal van deze principes als vanzelfsprekend kunnen worden ervaren, kan de expliciete formulering van deze principes toegevoegde waarde hebben bij de toepassing van het model in de praktijk. Wat mij betreft zijn de principes 3 en 6 het meest vermeldenswaardig:

Principe 3: Management's responsibility to achieve organizational objectives comprises both first- and second-line roles. First-line roles are most directly aligned with the delivery of products and/or services to clients of the organization, and include the roles of support functions. Second-line roles provide assistance with managing risk.

Principe 6: All roles working collectively contribute to the creation and protection of value when they are aligned with each other and with the prioritized interests of stakeholders.

Hieruit klinken naar mijn mening twee zaken door: In de eerste plaats dat de toedeling van verantwoordelijkheden in het three lines model nog steeds een nuttig hulpmiddel kan zijn bij de inrichting van de bedrijfsvoering, maar dat dit niet zou moet leiden tot een rigide afbakening van verantwoordelijkheden tussen functies of linies.4 In tweede plaats de eerder vermelde gezamenlijke verantwoordelijkheid voor waarde-creatie en waarde-behoud binnen een organisatie, ook voor functies die zich wellicht traditioneel meer met één van deze beide perspectieven bezig hielden.

Gegeven de wijdverbreide toepassing van het three lines model in de praktijk is het interessant om te zien hoe deze actualisering van het model in de praktijk zal worden ontvangen en antwoorden biedt op de uitdagingen die de toepassing van het oorspronkelijke model met zich mee heeft gebracht. De eerder vermelde DNB Q&A lijkt in dat kader nog te sterk te leunen op de defensieve kant van het model (waarde-behoud) en strikte scheiding tussen de linies. Het zou naar mijn mening goed zijn als bij een (mijns inziens wenselijke) actualisering van deze Q&A door DNB, net als door de IIA, ook meer aandacht wordt besteed aan de rol van sleutelfuncties bij waarde-creatie en explicieter aan de mogelijkheden tot effectieve samenwerking tussen de functies en de linies en het voorkomen van duplicatie van activiteiten en expertise, uiteraard met behoud van een duidelijke afbakening van ieders specifieke verantwoordelijkheden.