Corresponding author: Edo Roos Lindgreen ( e.e.o.rooslindgreen@uva.nl ) Academic editor: Chris D. Knoops
© 2020 Edo Roos Lindgreen, Daco Daams.
This is an open access article distributed under the terms of the Creative Commons Attribution License (CC BY-NC-ND 4.0), which permits to copy and distribute the article for non-commercial purposes, provided that the article is not altered or modified and the original author and source are credited.
Citation:
Roos Lindgreen E, Daams D (2020) Internal audit: waker, slaper of dromer? Maandblad Voor Accountancy en Bedrijfseconomie 94(3/4): 81-82. https://doi.org/10.5117/mab.94.49595
|
Bijna elke Nederlander kent de Hondsbossche Zeewering, de machtige dijk bij Petten die Noord-Holland beschermt tegen de zee, inmiddels ingekapseld door een nieuw aangelegde duinenrij. Wat veel mensen niet weten, is dat landinwaarts nog een dijk ligt, die in de zestiende eeuw is aangelegd en de slaper wordt genoemd. Hij biedt bescherming als de hoofddijk doorbreekt en geeft de bevolking in dat geval tijd zich uit de voeten te maken. Tot in de jaren zeventig lag daarachter een nog oudere dijk, de dromer, maar die is inmiddels afgegraven. De waker, de slaper en de dromer. Zij kwamen ter sprake tijdens een vergadering van de programmaraad van de Executive M.Sc. of Internal Auditing aan de Universiteit van Amsterdam. Daar werden de voor- en nadelen van het “three lines of defense”-model besproken. Volgens dit model is de eerste verdedigingslinie het verantwoordelijk management; de tweede linie wordt gevormd door de verbijzonderde organisatieonderdelen die zich bezighouden met risicobeheersing, compliance en beleid; de derde linie ten slotte is de interne auditfunctie. De waker, de slaper en de dromer?
Ofschoon de oorsprong ervan onduidelijk is, wordt het “three lines of defense”-model al meer dan twintig jaar toegepast. Het is in 2013 door het IIA (2013) beschreven in een position paper, onder meer om de toen heersende versnippering van risicomanagement tegen te gaan. In de jaren daarna vond het model zijn weg in het COSO-model (Anderson 2015) en werd ondanks enige tegendruk (
Ondanks of wellicht dankzij zijn populariteit is de laatste jaren kritiek rond het model ontstaan.
a. Het “offense and defense”-model, waarbij de eerste, tweede en derde lijn lijnrecht tegenover elkaar staan. Dit model is volgens de auteurs in de praktijk niet altijd goed werkbaar, omdat het kan leiden tot onduidelijkheid over de taakverdeling, territoriumgedrag en suboptimalisatie.
b. Het “partnership”-model, waarbij de drie lijnen intensief samenwerken. Dit model leidt vaak tot goede resultaten, maar biedt niet altijd voldoende waarborgen voor een onafhankelijke invulling van risicomanagement.
c. Het “policy-and-policing”-model, waarbij de tweede lijn de kaders stelt waar de eerste lijn zich aan moet houden, en hier ook toezicht op houdt. Dit is de meest voorkomende variant, die als belangrijkste nadeel heeft dat de eerste lijn tegenstrijdige of schijnbaar tegenstrijdige aanbevelingen of aanwijzingen kan krijgen.
Ook sommen de auteurs een aantal kritische noten op, maar zij doen dat veel scherper dan
Tot zover de theorie. Hoe zit het met de appreciatie van het “three lines of defense”-model in de praktijk? Internal audit professionals zien geen reden om afscheid te nemen van het model. Uit persoonlijke gesprekken met leidinggevenden van interne auditfuncties van multinationals door de auteurs blijkt, dat de meesten de hierboven genoemde bezwaren wel onderschrijven. Maar evenals
In elk geval zag de IIA voldoende reden om het model te herzien (
Daarmee komen we op de vraag die in de titel van dit essay wordt gesteld – internal audit: waker, slaper of dromer? Deze vraag is net als het “three lines of defense”-model zelf misschien wel pakkend, maar tegelijkertijd ook iets te plat. Om in de beeldtaal van zeeweringen te blijven: de internal audit is geen dijk – het is eerder zo dat internal audit toezicht houdt op de beheerder van de dijk en daarover rapporteert aan de dijkgraaf. Waarbij zich direct de vraag opdringt: als het fout gaat en het land onder water staat, kan de buitenwacht de beheerder en de dijkgraaf dan nog verantwoordelijk stellen, of kunnen zij zich uit de voeten maken voor het wassende water en zich verschuilen achter het niet-geïnformeerd zijn door de internal auditor?
De voorlopige conclusie is dat het “three lines of defense”-model misschien zijn beperkingen kent, maar geen slecht instrument is om de samenwerking tussen eerste, tweede en derde lijn vorm te geven en internal audit een actievere rol te geven – een rol die de eerste lijn echter geenszins van zijn verantwoordelijkheid ontslaat. Het lijkt al met al passend af te sluiten met een fragment van
“Ik kon vannacht niet slapen, zoo heb ik gesmacht naar de eenige aardsche stem die mij nog kan verlossen: naar dat groot aangaan van de zee bij de Hondsbossche, de lange wering in het noorden van den nacht. Wel had een stem het buiten over heide en bosschen – maar heeft de nachtwind ooit een balling troost gebracht?”
Prof. dr. E.E.O. Roos Lindgreen RE is hoogleraar Data Science in Auditing aan de Universiteit van Amsterdam. Hij is programmadirecteur van het Executive Programme of Digital Auditing en de Executive M.Sc. of Internal Auditing en geeft daarnaast leiding aan het Institute of Executive Programmes van de Amsterdam Business School.
D. Daams RA is managing director Business Risk & Audit bij Randstad Holding. Daarnaast is hij vice-voorzitter van het bestuur van de Ledengroep Interne- en Overheidsaccountants (LIO) van de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA), lid van het curatorium voor de Executive Programme of Digital Auditing (RE) en de postmaster Accountancy (RA), alsmede de programmaraad van de Executive M.Sc. of Internal Auditing (RO) van de Universiteit van Amsterdam.