Voor veel organisaties én functies is het Three Lines Model een belangrijke leidraad bij het inrichten van de governance. Om op een adequate wijze invulling te geven aan het Three Lines Model is het belangrijk om een controlvisie vast te stellen. Daarmee kunt u structuur aanbrengen in de diverse controleactiviteiten.

In een brede controlvisie wordt vastgelegd hoe de beheersing binnen mijn organisatie wordt geregeld, zodat helder is wat ik moet doen om in control te zijn. Daarvan maakt de organisatie van de VIC deel uit. In de controlvisie wordt vastgesteld wat de 1^e, 2^e en 3^e lijns controle gaan oppakken. Daartoe moeten een aantal taken en randvoorwaarden voor de uitvoering van de verschillende controlewerkzaamheden worden geformuleerd. Helder moet zijn wie waarvoor verantwoordelijk is en daarop aangesproken kan worden.

Na vaststelling van de brede controlvisie wordt in een interne controleplan uitgewerkt wat er gedaan moet worden en in welke controlelijn deze werkzaamheden plaatsvinden. Een controleplan verschaft hierdoor inzicht in de wijze waarop de controlvisie is verankerd in de organisatie.

PDCA cyclus bij de controle

Om dat in goede banen te leiden is het belangrijk om de voortgang van de voorgenomen controleactiviteiten in de 1^e, 2^e en 3^e lijn te volgen. Ook de eventuele vervolgacties die daaruit voortvloeien, plus de beoordeling van de uitkomsten daarvan moeten goed in gaten worden houden. Zie je dat als organisatie over het hoofd, dan is de PDCA (Plan – Do – Check – Act) -cyclus niet afgerond en dan komt de verantwoording van de rechtmatigheid maar ook de getrouwheid in de knel.

1^e lijn: Lijnmanagement

Het lijnmanagement is verantwoordelijk voor de organisatie, de processen en het bereiken van de doelen van de afdeling. Het management zorgt ervoor dat alles binnen de bestaande regelgeving gebeurt. Het lijnmanagement adviseert aan het bestuur en de directeur/gemeentesecretaris. Hij draagt zorg dat de functiescheiding bij de interne controle (4-ogen principe) binnen de processen wordt gewaarborgd. Het lijnmanagement stuurt op integriteit, eigenaarschap en individuele verantwoordelijkheid van de medewerkers. Hij kent de risico’s die het realiseren van de doelen (waaronder de rechtmatigheid) in de weg staan en treft maatregelen om de risico’s te beheersen. Hij legt daarnaast verantwoording af over behaalde resultaten en afwijkingen in tijd, geld en kwaliteit.

2^e lijn: Ondersteunende functies

De 2^e lijns functies ondersteunen het management. Deze functies zijn ondergebracht bij bijvoorbeeld een afdeling Risicomanagement, Compliance, Kwaliteit, Interne Controle, Concerncontrole, of Business controlling. De ondersteunende functies zijn ook vaak ondergebracht in een afdeling waarin Concerncontrol & Audit zijn samengevoegd.

De 2^e lijn helpt het management bij de inrichting van de normenkaders (wet en regelgeving en beleidsregels) en de bewaking van de naleving. Voorts ondersteunt de 2^e lijn bij de monitoring en de verbetering van de interne beheersing van de processen inclusief het bijbehorende risicomanagement. De 2^e lijns ondersteuning analyseert en rapporteert of de interne beheersmaatregelen qua opzet en bestaan toereikend zijn om de risico’s in de bedrijfsprocessen te beheersen en stelt de werking van de processen van de 1^e lijn vast.

3^e lijn: VIC en andere onderzoekers

Internal Audit is de onafhankelijke 3e lijn, met een coördinerende rol in het geheel. In de 3^e lijn worden vier auditfuncties onderscheiden, te weten de VIC, de CISO, de FG en de concerncontroller.

• De VIC controleert van de belangrijkste financiële processen of de interne beheersing van deze processen op orde is. Ze kijkt hierbij minimaal naar getrouwheid en rechtmatigheid maar bijvoorbeeld ook naar efficiency en effectiviteit. Ze beoordelen op onafhankelijke wijze of het samenspel van de 1e en 2e lijns controle naar behoren functioneert en dat de grootste risico’s zijn afgedekt met de juiste beheersmaatregelen. Kortom: doen we wat we hebben beschreven en afgesproken?

• De CISO toetst hoe we ervoor staan op het gebied van informatiebeveiliging en of dit voldoet aan de normen van de BIO (Baseline Informatiebeveiliging Overheid) en ENSIA (Eenduidige normatiek single information audit). De CISO coördineert de controles op de werking van de informatiebeveiliging. Dat kan door middel van steekproefsgewijze themacontroles.

• De FG beoordeelt de stand van de gegevensbescherming volgens de AVG (Algemene Verordening Gegevensbescherming).

• De concerncontroller heeft een onafhankelijke positie binnen de organisatie en opereert zowel in de 2e lijn als in de 3^e lijn. De concerncontroller adviseert over rechtmatigheid, efficiency en effectiviteit. Daarnaast adviseert hij over sturing en beheersing, over risicomanagement, over naleving van kaders en richtlijnen bij besluitvorming en over de kwaliteit van het proces voor de P&C producten. Hij brengt gevraagd en ongevraagd advies uit, is onafhankelijk, verantwoordelijk voor de auditfunctie en voor het systeem van control. Verder is hij ook verantwoordelijk voor de inrichting van en regie over het proces van de VIC. De concerncontroller kan, indien wenselijk, zelfstandig audits doen. Hij bevordert de ontwikkeling van het kritisch en lerend vermogen van de organisatie. Hij is (mede)verantwoordelijk voor de uitvoering van de onderzoeken in het kader van artikel 213a van de Gemeentewet, gericht op doelmatigheid en doeltreffendheid.

De concerncontroller bewaakt de PDCA-cyclus en ziet erop toe dat de acties nauwgezet opvolging krijgen en verbeteracties in de risicoanalyses en de controles worden verwerkt.

Praktisch invullen

Vanzelfsprekend kun je niet in alle gemeenten de rollen van de 1^e, 2^e en 3^e lijn op dezelfde wijze organiseren. Dat zal sterk afhankelijk zijn van de grootte en omvang van de gemeente, maar ook van de positionering van de controles. Dat kan decentraal, maar ook centraal zijn diverse mogelijkheden te bedenken om de 1^e, 2^e en 3^e lijns controle in de organisatie te positioneren. Het inrichten van de drie controlelijnen is altijd een kwestie van maatwerk.

PDCA-cyclus

Om de planning (PLAN) van de controles uit te werken en de rollen van de 1^e, 2^e en 3^e lijns controles goed uit elkaar te houden, de onafhankelijkheid te waarborgen en de verbanden tussen de ‘Three Lines’ te kunnen leggen is een controleapplicatie voor de uitvoering (DO) en (CHECK) onmisbaar.

Daarnaast dienen de uit de drie controlelijnen voortkomende vervolgacties (ACT) goed worden bewaakt en beoordeeld. Dit resulteert in de verantwoording van de rechtmatigheid waar het allemaal om te doen is.

Checkpoint-IC verschaft ook inzicht in de PDCA-cyclus

De controleapplicatie van Checkpoint helpt u niet alleen op weg om uitvoering te geven aan het Three Lines Model, maar ondersteunt u ook om de acties binnen de PDCA-cyclus overzichtelijk bij te houden.

Meer weten hoe de 1^e, 2^e en 3^e lijnscontrole inclusief de PDCA-cyclus in één applicatie kunnen samenkomen, neem contact op met Wiljan de Jong wiljan@checkpoint-ic.nl .