Momenteel is het model van de zogeheten “Three Lines of Defence” weer actueel bij gemeenten. Onder meer vanwege de discussie over de kwaliteit van de interne controlefunctie bij gemeenten: kunnen accountants er wel op steunen? Maar ook door ontwikkelingen zoals de geplande rechtmatigheidsverklaring door het college van B&W.

Maar wat is het model van de ‘Three Lines of Defence’ ook al weer? En hoe verhoudt zich dat tot de zogenaamde controlepiramide?

Wie zijn de “Three Lines of Defence”?

Allereerst opgemerkt dat er verschillende interpretaties in de omloop zijn over het model. In het algemeen kenmerken de meeste varianten zich door een aantal principiële uitgangspunten (Bron: Arif, N. en A. Molenkamp, De internal auditor aan het woord’, Audit Magazine, december 2011):

1. Het management is primair verantwoordelijk voor de realisatie van de strategie en voor de daarvan afgeleide doelstellingen;
2. Het lijnmanagement op de diverse organisatieniveaus is primair verantwoordelijk voor de goede sturing en beheersing van de organisatie, op het managen van de risico’s die met de bedrijfsvoering samenhangen en op de volledigheid en betrouwbaarheid van de verantwoordingsinformatie
3. De tweede lijn is verantwoordelijk voor de structuur en inrichting van de organisatie;
4. De derde lijn in het model staat voor de interne auditfunctie: deze voorziet de hoogste leiding van aanvullende zekerheid over de kwaliteit van sturing en beheersing.

Waarvoor zijn de “Three Lines of Defence” verantwoordelijk?

De 1e lijn:
a. is primair verantwoordelijk voor een goede interne beheersing;
b. past de (door de 2e lijn ontwikkelde methoden en technieken) toe.

De 2e lijn:
a. ondersteunt het verantwoordelijke management bij het identificeren en bewaken van risico’s;
b. ontwikkelt systemen voor procesbeheersing, planning & control, informatieverwerking, communicatie en rapportage, dit ter ondersteuning van de decentrale lijnmanager bij het bijsturen van de procesvoering, het uitvoeren van evaluaties en het afleggen van verantwoording;
c. fungeert als een collectief van “architecten” voor de vormgeving van de structuur, de systemen en de procedures die nodig zijn voor de inrichting en het doen functioneren van de strategische, tactische en operationele processen.

De 3e lijn:
a. voorziet de hoogste leiding van aanvullende zekerheid over de kwaliteit van sturing en beheersing;
b. is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control zijn van de organisatie;
c. Is wel verantwoordelijk voor de mate waarin ze in staat is om de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken.

De “Three Lines of Defence” bij een gemeente

Als het model, beschreven voor een onderneming, wordt toegepast op een gemeente, dan kunnen de volgende rollen worden onderscheiden:

Wat is de relatie van het “Three Lines of Defence” model met de controlepiramide?

Soms komen wij in de praktijk tegen dat het “Three Lines of Defence” model in één zucht genoemd wordt in combinatie met de zogenaamde controlepiramide. De controlepiramide onderscheidt in het algemeen 3 soorten controles:

  1. Controles in het proces, ook wel procescontrols genoemd: dat zijn controles die in de inrichting (opzet) van het proces zijn ingebouwd. Voorbeelden zijn zelfcontroles, het 4-ogen principe, een collegiale toets, functiescheidingen en dergelijke.
  2. Kwaliteitscontroles: daarmee wordt veelal bedoeld de controle op de procescontrols die voor en onder verantwoordelijkheid van het lijnmanagement wordt uitgevoerd.
  3. Interne controle: de (meestal verbijzonderde) controlefunctie die in tegenstelling tot de kwaliteitcontroles onafhankelijk van lijnmanagement plaatsvindt.

Vaak wordt nog voor de volledigheid een 4e categorie genoemd, die van de externe controle: de controle door een externe accountant. Dit onderscheid (van de soorten controles) is onder meer van belang om controle op controle te voorkomen en de verschillende soorten van controles op elkaar effectief en doelmatig af te kunnen stemmen.

Wellicht dat de 3 soorten controles die in de controlepiramide worden genoemd, daarom in de praktijk wel eens verwisseld worden met de 3 Lines of Defence. Bij een grote onderneming zoals een multinational is sprake van specialistische functies omdat de omvang en schaalgrootte dat mogelijk maakt. Bij de gemiddelde gemeente gaat het vaak om functies waarbij sommige (delen van) taken gecombineerd worden. Het gevolg daarvan is de meeste functies niet exclusief tot 1 van de 3 Lines of Defence horen.

Een voorbeeld uit de gemeentelijke praktijk is de verbijzonderde interne controlefunctie. Ervan uitgaande dat die functie voldoet aan de (meeste van de) voorwaarden zoals in de uitgangspunten genoemd, is die functie in principe de 3e lijn volgens het model en de 3e categorie controles volgens de controlepiramide. Als het gaat om het uitvoeren van interne controles.

Wanneer de verbijzonderde controlefunctie betrokken wordt bij inrichtingsvraagstukken vanwege de specialistische kennis over rechtmatigheid, AO/IB (administratieve organisatie en interne beheersing) etc., dan heeft diezelfde functie een rol als 2e Line of defence. Als het gaat om het uitwerken van richtlijnen zoals rechtmatigheidseisen waaraan voldaan moet worden.

Heeft u nog vragen over dit artikel of heeft u belangstelling voor de presentatie die EFK heeft verzorgd over dit onderwerp, dan kunt u contact opnemen via info@efk.nl