Bijna elke Nederlander kent de Hondsbossche Zeewering, de machtige dijk bij Petten die Noord-Holland beschermt tegen de zee, inmiddels ingekapseld door een nieuw aangelegde duinenrij. Wat veel mensen niet weten, is dat landinwaarts nog een dijk ligt, die in de zestiende eeuw is aangelegd en de slaper wordt genoemd. Hij biedt bescherming als de hoofddijk doorbreekt en geeft de bevolking in dat geval tijd zich uit de voeten te maken. Tot in de jaren zeventig lag daarachter een nog oudere dijk, de dromer, maar die is inmiddels afgegraven. De waker, de slaper en de dromer. Zij kwamen ter sprake tijdens een vergadering van de programmaraad van de Executive M.Sc. of Internal Auditing aan de Universiteit van Amsterdam. Daar werden de voor- en nadelen van het “three lines of defense”-model besproken. Volgens dit model is de eerste verdedigingslinie het verantwoordelijk management; de tweede linie wordt gevormd door de verbijzonderde organisatieonderdelen die zich bezighouden met risicobeheersing, compliance en beleid; de derde linie ten slotte is de interne auditfunctie. De waker, de slaper en de dromer?

Ofschoon de oorsprong ervan onduidelijk is, wordt het “three lines of defense”-model al meer dan twintig jaar toegepast. Het is in 2013 door het IIA (2013) beschreven in een position paper, onder meer om de toen heersende versnippering van risicomanagement tegen te gaan. In de jaren daarna vond het model zijn weg in het COSO-model (Anderson 2015) en werd ondanks enige tegendruk (Paape 2013) wereldwijd omarmd (BIS 2015).

Ondanks of wellicht dankzij zijn populariteit is de laatste jaren kritiek rond het model ontstaan. Chambers (2018) noemt een aantal nadelen. Het model zou te kunstmatig zijn; de rigide afgrenzing van de drie verschillende verdedigingslinies leidt tot silo’s en zou niet goed zijn toegesneden op de dynamische dagelijkse praktijk, waarin het risicobeeld voortdurend verandert en waarin samenwerking tussen disciplines nodig is. Ten slotte ligt de nadruk in het model uitsluitend op het beschermen, en niet zozeer op het creëren van waarde.

Davies and Zhivitskaya (2018) gaan in op de effectiviteit van het “three lines of defense”-model vanuit het perspectief van risicomanagement in de financiële sector. Zij beschrijven drie mogelijke implementatievormen van het model:

a. Het “offense and defense”-model, waarbij de eerste, tweede en derde lijn lijnrecht tegenover elkaar staan. Dit model is volgens de auteurs in de praktijk niet altijd goed werkbaar, omdat het kan leiden tot onduidelijkheid over de taakverdeling, territoriumgedrag en suboptimalisatie.

b. Het “partnership”-model, waarbij de drie lijnen intensief samenwerken. Dit model leidt vaak tot goede resultaten, maar biedt niet altijd voldoende waarborgen voor een onafhankelijke invulling van risicomanagement.

c. Het “policy-and-policing”-model, waarbij de tweede lijn de kaders stelt waar de eerste lijn zich aan moet houden, en hier ook toezicht op houdt. Dit is de meest voorkomende variant, die als belangrijkste nadeel heeft dat de eerste lijn tegenstrijdige of schijnbaar tegenstrijdige aanbevelingen of aanwijzingen kan krijgen.

Ook sommen de auteurs een aantal kritische noten op, maar zij doen dat veel scherper dan Chambers (2018). Zo noemen zij onder meer onduidelijkheid in de verdeling van taken en verantwoordelijkheden, die kan leiden tot chaotische processen voor risicobeheersing en een vals gevoel van veiligheid. Ook signaleren zij een afgenomen gevoel van verantwoordelijkheid voor risicobeheersing in de business. Volgens de auteurs zit de tweede lijn in de praktijk vaak te dicht op de winstgedreven eerste lijn, en is daarmee onvoldoende onafhankelijk, en is de derde lijn vaak te laat om nog van betekenis te kunnen zijn. Ten slotte wordt genoemd, dat een strikte toepassing van het “three lines of defense”-model in de praktijk kan leiden tot excessieve bureaucratie en een minder aantrekkelijke werkomgeving.

Tot zover de theorie. Hoe zit het met de appreciatie van het “three lines of defense”-model in de praktijk? Internal audit professionals zien geen reden om afscheid te nemen van het model. Uit persoonlijke gesprekken met leidinggevenden van interne auditfuncties van multinationals door de auteurs blijkt, dat de meesten de hierboven genoemde bezwaren wel onderschrijven. Maar evenals Davies and Zhivitskaya (2018) merken deze leidinggevenden op dat het model zich nu eenmaal gevestigd heeft en een intuïtief aantrekkelijk raamwerk vormt om naar risicobeheersing te kijken en vooral ook om de doelstelling en werkzaamheden van de interne auditfunctie helder te maken. Niet overboord gooien dus, maar toepassen op een manier die past bij de huidige tijd en bij de doelstellingen van de organisatie.

In elk geval zag de IIA voldoende reden om het model te herzien (Chambers 2018). Een nieuw position paper werd aanvankelijk eind 2019 verwacht, maar een eerste concept hiervan riep veel reacties op, die natuurlijk zorgvuldig moeten worden verwerkt. De presentatie van het herziene model zal dus op zijn vroegst medio 2020 plaatsvinden. Onze persoonlijke verwachting is dat het model intact blijft maar wel iets versoepeld wordt, met enkele suggesties om de samenwerking tussen de eerste, tweede en derde lijn te verbeteren.

Daarmee komen we op de vraag die in de titel van dit essay wordt gesteld – internal audit: waker, slaper of dromer? Deze vraag is net als het “three lines of defense”-model zelf misschien wel pakkend, maar tegelijkertijd ook iets te plat. Om in de beeldtaal van zeeweringen te blijven: de internal audit is geen dijk – het is eerder zo dat internal audit toezicht houdt op de beheerder van de dijk en daarover rapporteert aan de dijkgraaf. Waarbij zich direct de vraag opdringt: als het fout gaat en het land onder water staat, kan de buitenwacht de beheerder en de dijkgraaf dan nog verantwoordelijk stellen, of kunnen zij zich uit de voeten maken voor het wassende water en zich verschuilen achter het niet-geïnformeerd zijn door de internal auditor?

De voorlopige conclusie is dat het “three lines of defense”-model misschien zijn beperkingen kent, maar geen slecht instrument is om de samenwerking tussen eerste, tweede en derde lijn vorm te geven en internal audit een actievere rol te geven – een rol die de eerste lijn echter geenszins van zijn verantwoordelijkheid ontslaat. Het lijkt al met al passend af te sluiten met een fragment van Roland Holst (1948), waarin een dromer verlangt naar de waker:

“Ik kon vannacht niet slapen, zoo heb ik gesmacht naar de eenige aardsche stem die mij nog kan verlossen: naar dat groot aangaan van de zee bij de Hondsbossche, de lange wering in het noorden van den nacht. Wel had een stem het buiten over heide en bosschen – maar heeft de nachtwind ooit een balling troost gebracht?”