3LoD wordt 3LM
Op 20 juli 2020 heeft er een relevante ontwikkeling plaatsgevonden die wellicht geen directe consequenties heeft voor de inrichting van uw interne Governance structuur, maar die wel benadrukt dat risicomodellering en Governance voortdurend in beweging zijn.
Op genoemde datum heeft het Instituut van Internal Auditiors Nederland (IIA) een herzien 3LoD-model gelanceerd. Ook de naam is aangepast waarbij ‘Defence’ als niet langer passend werd gezien (reactief en negatief) ten opzichte van de actuele ontwikkelingen en voortschrijdende inzichten over hoe het model waarde dient toe te voegen voor de gebruikers. De nieuwe naam is het Three lines Model (3LM). Het lijkt een beetje op ‘oude wijn in nieuwe zakken’ zonder daarmee overigens af te willen doen aan het door IIA geïntroduceerde ‘nieuwe’ model.
3LoD
Het 3LoD model heeft een focus op de interne organisatie, functies en rollen en controleaspecten. Het model wordt (kort door de bocht geformuleerd) gebruikt om scheidslijnen te kunnen trekken tussen taken en verantwoordelijkheden van de verschillende onderdelen van een organisatie, en om een duidelijke knip te kunnen maken tussen operationele verantwoordelijkheden, intern toezicht en toezicht op de algehele organisatie. Voor wie onverhoopt toch niet zo bekend is met het 3LoD model zoals dat ook binnen de pensioensector al veel wordt gehanteerd, hier nog even een korte samenvatting van het ‘oude’ 3LoD model.
Afhankelijk van de grootte en complexiteit van de organisatie is het 3LoD model met meer of minder succes te gebruiken waarbij het logisch is dat pensioenfondsen als -over het algemeen- kleine organisaties, soms wat meer problemen hebben om een duidelijke scheidslijn te kunnen trekken. Belangrijk vanuit de gedachte van 3LoD is om vooral een duidelijke functiescheiding te maken tussen operations, controle en toezicht waarmee de onafhankelijkheid en objectiviteit van de verschillende functies en rollen wordt gewaarborgd. De recentelijk vanuit IORP II geïntroduceerde Sleutelfunctiehouders (SFH’s) en Sleutelfunctievervullers (SFV’s) maakt dat op basis van de beschrijving van de functies wel wat eenvoudiger voor de pensioensector maar dat is een ander onderwerp.
3LM
Zonder hier al te diep op het nieuwe 3LM model in te gaan geeft IIA aan dat het ‘oude’3LoD model te star was. IIA heeft de volgende belangrijke inzichten onderkend:
(G)een opgestoken vinger
Deze inzichten doen recht aan wat er in de praktijk al een poosje aan de gang is. De tijd dat bijvoorbeeld de tweede lijn (Compliance en Risk) als politieagent of ‘slot op de deur’ werden gezien is nog niet helemaal voorbij maar de meningen zijn gelukkig steeds meer aan het kantelen. Het afschudden van het negatieve beeld (Defence) waarbij Compliance vooral aan de achterkant van de processen stond opgesteld met een wijzend en opgestoken vingertje naar de business is ‘over tijd’.
In meer algemene zin sluit het weglaten van het woord ‘defence’ ook beter aan bij wat we vanuit het Nederlands Compliance Instituut ook graag uitdragen. Dat is dat ‘compliance’ als ‘unique selling point’ voor organisaties kan worden gebruikt. Een reputatie en/of imago als integere en maatschappelijk bewuste organisatie vergroot de kans op het aantrekken van nieuwe klanten en is een reden voor bestaande klanten om te blijven en wellicht hun afname van producten en diensten te vergroten. Zeker in een tijd dat ‘groen’ en ‘maatschappelijke verantwoordelijkheid nemen’ een steeds zwaardere afweging wordt binnen de financiële sector.
Een uitgestoken hand
Op een meer praktisch niveau moet Compliance aan de voorkant van het proces ‘de oorlog winnen’ door actieve en vroegtijdige betrokkenheid als adviseur. Daarmee wordt de rol van Compliance als partner van de business onderstreept en wordt bereikt dat ‘aan de achterkant’ minder herstelwerkzaamheden uitgevoerd hoeven te worden. Een voorbeeld van waar Compliance een rol aan de voorkant kan invullen is bij uitbestedingen en dan met name in de RFI en RFP fase, maar ook als een overeenkomst gesloten is en een pensioenfonds gedurende de looptijd (actief) zicht wil krijgen of houden op de naleving door de uitbestedingspartner van onderlinge afspraken. U kunt zelf vast nog wel andere voorbeelden bedenken waar Compliance eerder en directer een rol kan worden toebedeeld als geïntegreerd onderdeel van de governance structuur.
Wij beseffen dat het lastig wordt om deze rol goed in te vullen als Compliance ‘op afstand’ staat en slechts betrokken is bij een beperkt deel van de governance van pensioenfondsen. Wij stellen onszelf (en ook de pensioenfondsbestuurders) de vraag of dat op termijn nog wel wenselijk is of zelfs te handhaven is gezien de als maar toenemende regeldruk en de eisen die Toezicht stelt aan het interne(compliance) toezicht. Wij komen daar op een ander moment graag nog eens op terug.
Een laatste punt dat we willen aanhalen is dat er in de praktijk al langer en vaker sprake is van het doorbreken van ‘silo’s’. Een goed voorbeeld is de introductie van kwaliteitsmedewerkers bij banken die in de eerste lijn zijn opgesteld en functioneel worden aangestuurd door het lijn management, maar hiërarchisch worden aangestuurd door Compliance met een duale rapportagelijn. Bij pensioenfondsen wordt een dergelijke rol vaak ingevuld door de bestuursondersteuning die dan als spil fungeert tussen fondsbestuur en de externe compliance officer.
Zoals gezegd, een terechte aanpassing van het oude 3LoD model omdat daarmee weer aansluiting ontstaat bij een beweging die in de praktijk al een poosje aan de gang is, maar toch… een beetje ’oude wijn in nieuwe zakken’ … al is het wel goede wijn.
