Contact NARIS
Contact
Email to
info@naris.com
De kracht van de 2e lijn!

De kracht van de 2e lijn!

Terug naar overzicht | | | Reageer op dit bericht

De verschillende implementatiemodellen op een rij en Best Practice Watermeloen+ model

Naar aanleiding van ons webinar ‘is de 2e lijn wel sterk genoeg?’ https://naris.com/nl/is-de-2e-lijn-wel-sterk-genoeg/

Er zijn ontzettend veel reacties binnengekomen op de verschillende modellen die wij gepresenteerd hebben. Met als eye-catcher het Watermeloen Model. Een nadere toelichting van dit model is gewenst en deze blog is hier een aanzet voor. In een vervolg blog zal ik ingaan op de resultaten die we gezien hebben bij klanten en hoe we het in NARIS GRC standaard beschikbaar maken.

Ons startpunt is altijd: Wat verwacht je? En van Wie? Maar vooral: Wat is het doel?

In onze ervaring cruciale uitgangspunten bij het bepalen van welk model het best past op je organisatie. Besef daarbij dat de 1e lijn geen expert is in het benoemen van risico’s….. en dit ook niet zal worden. Hetzelfde geldt voor het benoemen, monitoren en testen van controls.

De eerste vraag zegt iets over het feitelijke werk dat je verwacht. Hier komen de verschillende implementatiemodellen in beeld. Afhankelijk van het type bedrijf, cultuur, opleidingsniveau, sector, maatschappelijke impact, aantal externe toezichthouders, mate van toezicht, veiligheidsissues en ambitie moet er bepaald worden wat er geregistreerd moet worden en op welke wijze. Onderstaand geven we de mogelijkheden weer zonder daarin uitputtend te willen zijn.

Uit de tweede vraag leiden we af welke functies betrokken zijn bij het invulling geven aan Governance, Risicomanagement en Compliance. Willen we 1e lijn medewerkers echt betrekken en een rol laten spelen, of alleen de manager, of de businessunit manager? Dit kan ook nog verschillen per thema. Voor risicomanagement kan dit anders liggen dan voor compliance, kwaliteit, procesmanagement, etc.

Het antwoord op deze vraag bepaalt in belangrijke mate de reporting. Immers, de betrokken functies gaan alleen iets registreren als ze er ook inzicht en overzicht voor terugkrijgen. Nut en noodzaak moeten duidelijk zijn. Compliance is een driver maar zeker niet de enige.

Workshop Methode

Dit is van origine de meest gekozen methode. Vanuit de optiek dat zoveel mogelijk draagvlak moet worden gecreëerd en dat dit bereikt wordt door met elkaar te brainstormen over risico’s. Dit is een methode waarmee, mits goed uitgevoerd, veel creativiteit wordt bereikt, het risicobewustzijn wordt verhoogd en dus ook draagvlak. Nuttig en noodzakelijk in organisaties die veel en/of grote unieke projecten doen. Voor het reguliere proces is deze methode op het risico-identificatie proces niet echt nodig. Voor het identificeren en bepalen van de nut en noodzaak van controls kan het wel een aanvulling zijn.

Voordelen Nadelen
Creatief proces Kost veel tijd
Veel interactie met collega’s Kost veel onderhoud
Mogelijkheid tot maatwerk Openheid in de groep vraagt veel aandacht
Interactie tussen disciplines Heeft een sterk eenmalig karakter
Groepsstandpunt / draagvlak Individuele expertise kan ondersneeuwen

Wat verwacht je?

Parate kennis en goede verbale eigenschappen in een open cultuur. Je verwacht dat individuele expertise naar voren komt en dat iedereen elkaar aanvult.

Van wie: van alle workshopdeelnemers. Selectie is daarom cruciaal waarbij het voor het draagvlak altijd belangrijk is geen personen over te slaan. Teveel bias, zowel in samenstelling als iqua onderwerpen, moet je voorzichtig mee zijn. Vreemde ogen dwingen!

Risk Self Assessment Methode

In grotere organisaties of organisaties met veel stakeholders (supply chain, verbonden partijen) een veel gebruikt instrument. Sterker nog, veel van onze nationale toezichthouders gebruiken dit instrument vaak. Wij zijn overtuigd dat een regelmatige Self Assessment veel informatie kan opleveren over trends, wijzigingen en blind spots. Het blijft echter vaak wel aan de oppervlakte hangen en de grote vraag is dan ook of het voldoende inzicht geeft om goede conclusies te trekken? Onze ervaring leert dat het inzicht geeft maar dat daarna nog steeds een risico- en control analyse moet plaatsvinden om echt iets over de kwaliteit en volledigheid te kunnen zeggen.

Veel vragenlijsten worden doorgezet naar medewerkers waardoor je nog niet weet wie met welke expertise de vragen heeft beantwoord. Daarnaast kost het invullen toch ook altijd best veel tijd want zaken moeten wel uitgezocht worden.

Voordelen Nadelen
Snel Veelal gericht op risico’s en niet op controls
Eenvoudig Afstandelijk
Groot bereik Expertise lastig in te schatten
Tooling eenvoudig in te zetten Pushen om informatie te verzamelen
Snelle reporting Multiple interpretabel

Wat verwacht je?

Adequate respons op de gestelde vragen en indien mogelijk een goede onderbouwing. Van de opstellers (veelal de 2e lijn) verwacht je een goede interpretatie van de antwoorden.

Van wie: van de geselecteerde respondenten. De kunst is om de uitvraag heel gericht te houden.

Watermeloen Model

Het Watermeloen model is gericht op de kwaliteit en volledigheid van bekende risico’s en controls. Het is dus veel directiever omdat risico’s en controls worden voorgeschreven door de 2e lijn. De 1e lijn zal moeten aangeven welke risico’s al dan niet van toepassing en zijn. En ook welke controls ‘in place’ zijn. Kijk voor meer informatie op: https://naris.com/nl/incontrol/

Voordelen Nadelen
Duidelijke structuur en daardoor RCM Veel voorbereidingstijd 2e lijn
Hogere mate van volledigheid Minder inbreng 1e lijn
Hogere kwaliteit Meer compliance driven
Eenvoudig in gebruik
Herleidbaar Risk Control Framework

Wat verwacht je en van wie?

Van de 2e lijn voorbereiding en organisatietalent om key risico’s en controls goed te beschrijven. De 1e lijn zal moeten aangeven welke risico’s en controls van toepassing zijn en in welke mate.

Watermeloen+ Model

Een uitbreiding op het Watermeloen model kan door de 1e lijn nog meer informatie te vragen. Dit met name op de assurance van controls. De 1e lijn moet aangeven of ze de controls ook daadwerkelijk getest hebben en of ze evidence kunnen bijvoegen. Hiermee bereiken we een zo goed als volledige In Control Verklaring met benodigd dossier, opgesteld en verantwoord door de 1e lijn. De 2e lijn vervult een duidelijk rol van adviseur en begeleider. De 3e lijn kan een objectief advies geven over opzet, bestaan en werking.

Voordelen Nadelen
Duidelijke structuur en daardoor Risk Control Matrix Veel voorbereidingstijd 2e lijn
Hogere mate van volledigheid Minder inbreng 1e lijn
Hogere kwaliteit Meer compliance driven
Eenvoudig in gebruik Begrip van controltesting nodig in 1e lijn
Herleidbaar Risk Control Framework Kost tijd om evidence te verzamelen
Volledig dossier voor de accountant
Duidelijke scheiding van verantwoordelijkheden tussen 1e, 2e en 3e lijn

Wat verwacht je en van wie?

Van de 2e lijn voorbereiding en organisatietalent om key risico’s en controls goed te beschrijven. De 1e lijn zal moeten aangeven welke risico’s en controls van toepassing zijn en in welke mate. De 1e lijn zal tevens controls moeten testen en evidence kunnen toevoegen. Omdat de 2e lijn de rol van adviseur en begeleider heeft is dit echter geen drempel.


Erik van Marle

De kracht van de 2e lijn!
Erik van Marle is directeur van Naris. Erik spreekt regelmatig op congressen en is als docent verbonden aan de Universiteit van Amsterdam en de Universiteit Twente. Daarnaast is hij bestuurslid van het Nationaal Netwerk Risicomanagement (NNR) en lid van de NEN-commissie Risicomanagement. Erik legt het verband tussen governance, risk management en compliance (GRC). Risicomanagement vraagt om gedeelde verantwoordelijkheid en transparantie. Zijn visie is basis voor de GRC Platform NARIS GRC®. Als ondernemer gaat hij internationaal partnerships aan om voorop te blijven lopen in het GRC vak.

Reageer op dit bericht

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *