Corporaties zijn met elkaar op zoek om een goede invulling te geven aan de onafhankelijke control-functie. Wanneer we kijken naar het Three Lines of Defence model en de rol van de onafhankelijke controller in het Three Lines of Defence model zien, zien we dat deze strikt genomen in de derde lijn zit. Bij kleinere corporaties zien we dat er geen volledige FTE beschikbaar is om deze rol te vervullen. Het is bij deze corporaties gebruikelijk dat de tweede en derde lijn een gecombineerde functie is. Men noemt dit dan concern controller, business controller of gewoonweg controller. Deze gecombineerde tweede/derde lijn functie is dan ook uitdagend. Niet alleen vanwege het aantal taken en verantwoordelijkheden, maar ook op de wijze waarop hier invulling aan wordt gegeven.
Tips control-functie binnen het Three Lines of Defence model
NARIS geeft enkele tips om een goede invulling te geven aan de control-functie binnen het Three Lines of Defence model.
Functiescheiding waar mogelijk.
Het Three Lines of Defence model blijft een theoretisch model, waarmee in de praktijk pragmatisch gewerkt kan worden. De eerste regel blijft wel, scheid de functies zoveel als mogelijk. Voor de grotere corporaties betekent dit een compleet gescheiden functie. Voor de kleinere corporaties dient bij elke audit of interne controle de afweging te worden gemaakt of een onafhankelijk oordeel gegeven kan worden. En daarbij ook aan te geven of er vanuit de tweede lijn te veel betrokkenheid in het proces is. Dit kan een onafhankelijk oordeel in de weg staan. Ga dan op zoek naar een externe of iemand die een meer onafhankelijk oordeel kan geven over het proces of onderwerp.
Faciliteer op het gebied van risicomanagement
Als functionaris in de tweede lijn behoort risicomanagement weliswaar tot de verantwoordelijkheden. Dit houdt niet in dat deze persoon zelf alle risico’s formuleert en kwantificeert. Maak de eerste lijn eigenaar van de risico’s en laat de functionaris in de tweede lijn zichzelf periodiek (kwartaal) informeren over de stand van zaken. De verantwoordelijkheid ligt bij de eerste lijn (MT). Zij weten immers beter wat de risico’s zijn, wanneer deze optreden, wat de impact is en welke mitigerende maatregelen worden getroffen. De tweede lijnfunctionaris is verantwoordelijk voor het corporatie brede risicoprofiel en dient hier overzicht in te houden. En belangrijker, bij te sturen waar nodig.
Uitvoeren van interne controles
Veelgehoord is het excuus dat er geen tijd is om een interne controle of audit uit te voeren. “Wij hebben een laag risicobewustzijn binnen de corporatie.”, is ook een veel gehoord excuus. Echter, zal het uitvoeren van interne controles een bijdrage leveren aan een hoger risicobewustzijn van de organisatie. Niet alleen omdat de bevindingen en aanbevelingen worden aangekaart maar juist door de dialoog die plaatsvindt. Wat is de impact van de bevinding op de organisatie? Wat betekent dit voor het risicoprofiel van de corporatie? Dit inzicht creëert een hoger risicobewustzijn bij de eerste lijn. Neem de eerste lijn mee in het denkproces van de derde lijn.