Governance is Mensenwerk

23 december 2014
In dit artikel:

Het al of niet failliete Three Lines of Defence-model houdt de gemoederen flink bezig. De knuppel die Leen Paape in december 2013 in het hoenderhok gooide, leidde tot de nodige reacties in de vakpers en wakkerde ook de interne discussies bij financiële instellingen aan. [PAAP13] Achmea gebruikt dit model en ja, ook Achmea kent toch nog incidenten. Ieder model kent zijn eigen zwaktes en de werking van een model wordt sterk bepaald door menselijk handelen. Dat inzicht zorgt ervoor dat bij Achmea op het gebied van aansturing door directies en samenwerking binnen de risk- en compliance teams aandacht voor mensen is toegenomen zonder afbreuk te doen aan de aandacht voor regels. Waarom werkt het model bij Achmea wel?

Om deze vraag te beantwoorden, gaan we even terug in de tijd. Naar medio 2012 om precies te zijn. Zoals bij veel financiële dienstverleners werkte bij Achmea de afdeling Compliance strikt vanuit wet- en regelgeving. De heersende opvatting was dat de regels zich met de wet in de hand wel lieten afdwingen. Overtuigen deed de compliance officer vanuit ‘macht’, met opgeheven vinger en het wetboek binnen handbereik. Niet de meest sympathieke manier en draagvlak en acceptatie kwamen dan ook niet van binnenuit. Bij de afdeling Operational Risk lag het wat anders. Daar werd vooral met veel overtuiging betoogd dat risicomanagement onderdeel van de normale bedrijfsvoering zou moeten zijn, vóórdat besluiten worden genomen. Omdat risicomanagement niet door een wet wordt afgedwongen, moest de riskmanager zijn effectiviteit halen uit overtuigingskracht. Dat lukte deels en doeltreffendheid was veelal afhankelijk van de individuele manager. Dat wat gebeurde kwam dan wel van binnenuit, maar er gebeurde niet genoeg om adequaat de belangrijkste risico’s te beheersen.

De kentering kwam met name door het samenvoegen van de afdelingen Operational Risk en Compliance. Beide afdelingen gingen werken vanuit het principe: ‘helpen zolang het kan, afdwingen als het niet anders gaat!’ Compliance ging meer en meer proactief de boer op: adviseren en helpen zorgden voor een verschuiving van Macht naar Kracht en daardoor toenemende acceptatie en medewerking vanuit het eerstelijnsmanagement. Voor Risk management kwam er een stuk mandaat (Macht) bij en het zorgde voor een betere samenwerking tussen de risk en compliance medewerkers die in hun manier van optreden meer en meer met één gezicht naar buiten traden en elkaar steeds meer gingen aanvullen. Daar waar Achmea intern flinke progressie maakte, bleef het Three Lines of Defence-model ongewijzigd overeind. [DOUG11] Is het model goed genoeg en past het nog wel binnen de nieuwe werkwijze van Achmea? Genoeg reden om die discussie intern maar eens aan te gaan.

In een eerder artikel betoogde ik dat een Three Lines of Defence-model werkt zolang er wordt samengewerkt vanuit met name cultuur en gedrag in plaats van het uitsluitend volgen van regels. [PAUW13] We zijn nu twee jaar verder en maken de balans op met een aantal direct betrokken directieleden en managers. De vraag die centraal staat: Is het model echt zelf failliet of zit het failliet in de mensen binnen dat model? Een discussie over het failliet van het model is leuk maar minder zinvol zolang er geen goed alternatief voorhanden is. Uit artikelen die dit jaar zijn verschenen wordt één ding duidelijk. De deskundigen op het gebied van governance hebben geen van allen dat goede alternatief. [VEEN14] Paape spreekt over totaalvoetbal en pleit voor het toepassen van de op zich eenvoudige voetbalregels op het spel van risicomanagement en compliance. [PAAP13] Maar gaat het nu om regels of om mensen? Als er een groep is die snel geneigd is om regels aan hun laars te lappen zijn het voetballers. Voor hen geldt maar een ding: winnen. Die geldingsdrang leidt tot gele en rode kaarten, penalty’s en vooral veel kritiek vanaf de zijlijn als het even tegenzit. ­

Is een team te braaf, dan gebeurt er niets, is een team te opportunistisch dan gaan de hakken in het zand en wordt hen arrogantie verweten. Het laat maar weer eens zien dat het toch vooral gaat om de mensen die binnen het team samen moeten functioneren. Een punt dat Louis van Gaal, gelet op zijn resultaten op het WK 2014 goed begrijpt: als je geen model of structuur aanbrengt is samenwerken lastiger dan wanneer iedereen zijn plaats kent. Mensen binnen een structuur in hun kracht zetten leidt tot het beste resultaat.

De vraag waarom het model binnen Achmea wel werkt leggen we voor aan een aantal directieleden binnen het Achmea-huis. Robert Otto, directievoorzitter van de divisie Schade en Inkomen vertegenwoordigt de eerste lijn. Hij gelooft heilig in de benadering van totaalvoetbal.

We moeten ondernemer-schap en autonomie van de 2e lijn waarderen

Robert: ‘Een bedrijf zonder regels gaat niet. Er is governance nodig om aan de bedrijfsdoelstellingen te werken. Zonder een consequent toegepast governancemodel ben je minder in control en loop je dus meer risico! Executie van beleid, gevolgd door monitoring door de tweede lijn verkleint de kans op fouten aanzienlijk maar incidenten zijn nooit helemaal te voorkomen. Er zullen altijd fouten worden gemaakt, dat kan een model niet voorkomen! Voorwaarde voor succes is wel dat het model gestructureerd wordt ingevoerd. De risk- en compliancefunctie moet onderdeel van het ondernemen zijn en daarbij moeten we ondernemerschap en autonomie van de 2e lijn waarderen. Risk management en Compliance moeten intrinsiek worden beleefd binnen alle Lines of Defence: samen, als drie lijnen, belangrijke vraagstukken te lijf gaan. Daarbij staat het ondernemersbelang voorop. Als ieder zijn rol kent en we elkaar op tijd betrekken bij belangrijke besluitvorming wordt er naar mijn overtuiging een goed besluit genomen. Ik vind wel dat bij meningsverschillen ieder zijn rol moet pakken en dat een tweede en derde lijn de eerste lijn moeten aanspreken als daar aanleiding toe is. Het belang van de klant, het bedrijf en een integere bedrijfsvoering zijn dus gedeelde belangen. Mijn ideale tweede lijn werkt op deze manier. Begrip tonen, maar op het juiste moment een streep trekken. Als een organisatie nog niet zover is, legt dat druk omdat men niet weet waar men aan toe is. Dat moet wat tijd hebben om te groeien.’

Mensen en de kwaliteit van mensen maken het verschil

Binnen Achmea kennen we de discussie rondom het Three Lines of Defence-model al wat langer. In het eerder genoemde artikel ‘Risk en Compliance: van macht naar kracht’ betoogde ik al dat cultuur en gedrag de plaats hebben ingenomen van het sec volgen van de regels. Wel binnen het Three Lines of Defence-model, waarbij de eerste lijn bestaat uit het lijnmanagement, de tweede lijn onder andere uit de afdelingen Risk management, Compliance en Integrity en de derde lijn uit Internal Audit. In het voorbije jaar is binnen Achmea ondanks alle commotie niet gedacht over het afschaffen van het model maar is juist nog meer geïnvesteerd in samenwerking tussen de drie lijnen. Nog beter samenwerken binnen het model zagen we als de beste weg naar verbetering: alle lijnen in hun kracht zetten.
De lijst met merkbare veranderingen als gevolg van die intensievere samenwerking werd langer en langer. Begrijpelijke businesstaal en gewoonten nemen steeds vaker de plaats in van jargon. Zaken worden niet langer als ‘man made liability risk’ benoemd, maar Compliance en Risk Management helpen om risico’s op te lossen, te signaleren en proactief te handelen. In plaats van met de vinger wijzen is er aandacht voor transparantie en een open blik naar binnen en buiten. Duidelijke verantwoordelijkheden, máár blijven samenwerken aan haalbare doelstellingen: hard op de bal en zacht op de relatie. Geen ‘ivoren toren’ maar decentraal wat kan, centraal wat moet. Door uit te gaan van: ‘in de business gebeurt het’ ontstaat meer en meer integraal risicomanagement dat uitgaat van het principe dat risico’s in de eerste lijn ontstaan en daar ook moeten worden beheerst met behulp van de deskundigen uit de tweede lijn.

Dennis Boersen is manager bij de Interne accountantsdienst van Achmea en representant van de derde lijn. Hij heeft de wereld zien veranderen, vooral door het op een open manier omgaan met elkaar.

Audit is niet meer de politieagent maar een gesprekspartner met een duidelijke rol

Dennis: ‘Als derde lijn hebben we de ruimte gepakt om veel concreter te zijn in onze aanbevelingen in plaats van het benoemen van zogenaamde ‘container issues’. De eerste lijn snapt daardoor beter wat er bedoeld wordt met issues en aanbevelingen. We zijn erop gericht om elkaar te helpen, er is veel meer acceptatie, wil om te leren en het besef dat Audit een ‘tool of management’ is. Audit is niet meer de politieagent maar een gesprekspartner met een duidelijke rol. De derde lijn is meer betrokken aan de voorkant en het sec verlenen van assurance is aangevuld met advies, vertrouwen en samenwerking. Dat moet ook wel, want de financiële wereld is zo complex geworden dat we veel moeten investeren in kennis en samenwerking tussen audit en de business om kennis op niveau te houden en ons speelveld te blijven snappen.’

Is het dan zo, dat als we maar samenwerken alles goed gaat?

Robert van de Graaf is als directeur Finance & Risk bij de divisie Schade & Inkomen verantwoordelijk voor Risk en Compliance binnen zijn divisie en is er als vertegenwoordiger van de eerste lijn nog niet helemaal van overtuigd dat samenwerken alles oplost. Hij ziet nog verbeterpotentieel op het terrein van ‘forward looking’. Weten wat er speelt in de wereld en daar proactief op inspelen.

Het 3 LoD model is hygiëne, de mensen maken het verschil

Robert: ‘Het 3 LoD-model is hygiëne, de mensen maken het verschil. Maar dat is nog niet alles, je hebt ook de toezichthouders, maatschappelijke en wereldse ontwikkelingen, wet- en regelgeving; het zijn allemaal factoren die van invloed zijn op onze bedrijfsvoering. Als het KNMI een rapport uitbrengt over de klimaatveranderingen op lange termijn dan verwacht ik dat we daarmee actief aan het werk gaan en anticiperen op dat rapport. Als tweede lijn moet je die signaalfunctie hebben en de eerste lijn meenemen en adviseren. De adviezen die je als tweede lijn geeft mogen best dwingend zijn.’

Elk bedrijf zou zichzelf een kritsiche tweede lijn moeten gunnen

Marco Vet, groepsdirecteur Risk, deelt deze mening.

Marco: ‘Een model is nodig om verantwoordelijkheden te definiëren. Zonder zo’n model wordt het een rommeltje, en dan vind ik dat het Three Lines of Defence-model goed werkbaar is. Maar een model moet je ook zien in relatie tot een aantal andere zaken die minstens even belangrijk zijn. Aanvullende controles, volwassenheid van de organisatie en een open cultuur waarin verantwoordelijkheden over en weer geaccepteerd worden. Een eerste lijn moet het niet erg vinden dat de inconvenient truth gezegd wordt. Risicodenken moet intrinsiek zijn en dat is nog niet overal het geval, terwijl verzekeraars juist leven van risico’s. De tweede lijn vult een groot deel van dit risicodenken in. Daarom zou elk bedrijf zichzelf een kritische tweede lijn moeten gunnen. Maar er kan nog veel gewonnen worden door nog meer proactief te acteren en richting de eerste lijn ook af en toe de tanden te laten zien en de rug recht te houden. Elkaar aanspreken op zaken helpt. (relativerend) Tegen misbruik is geen model bestand. Met de juiste controls kun je veel voorkomen, maar niet alles, dat kan pas als iedereen zijn verantwoordelijkheden neemt.’

Niet failliet maar…

Het Three Lines of Defence-model is lang niet failliet, maar op zichzelf niet zaligmakend. Het zijn vooral de mensen binnen het model die het verschil maken. Maar wat maakt nu dat de mensen het verschil kunnen maken? Maken we een vergelijking met de luchtvaart dan is de rol van de eerste lijn te vergelijken met die van piloot. Die checkt elke keer weer, voor de start een vaste lijst controlepunten. Niettemin is het goed dat er een tweede en derde lijn zijn die zorgen voor extra zekerheid, de navigator, het grondpersoneel en de luchtverkeersleiding. Ze snappen dat ze een gezamenlijk doel dienen, de veiligheid in het luchtruim en ze doen dat ook echt samen, vanuit een intrinsieke risicobeleving. Dat werkt bij verzekeraars ook zo. Verzekeraars hebben geen lager risicobewustzijn dan partijen die actief zijn in de luchtvaart. Het risicobewustzijn is wel minder zichtbaar, omdat veel zich binnen de haarvaten van het bedrijf afspeelt. De risico- en compliance functie in de financiële sector hebben zich de laatste jaren sterk ontwikkeld. We snappen hoe belangrijk deze functie is en zien ook nog volop kansen om te verbeteren.

Kijken we naar Achmea dan is een ander belangrijk punt dat alle Lines of Defence binnen Achmea het Three Lines of Defence-model omarmen, met al de sterke en minder sterke punten. We blijven investeren in de relaties binnen die lijnen. De lijnen accepteren en waarderen elkaars mening en rol in het model. Die investeringen liggen vooral in samenwerking in de keten. Met goede mensen die gewend zijn samen te werken, beschikken over voldoende vakkennis en op tijd hun verantwoordelijkheid nemen. Governance is mensenwerk!

Niet onbelangrijk is de mening van Henk Timmer, Chief Risk Officer van Achmea.

Three Lines of Ownership

Henk: ‘Ik zie op dit moment veel positieve beweging in de wijze waarop we binnen Achmea het Three Lines of Defence-model vanuit de verschillende disciplines beleven en toepassen. Het draagt bij aan het voeren van de goede discussie daarover. Een structuur zonder dogmatisch te zijn, waar het kan pragmatisch. Vooral gericht op het versterken van de business en de bedrijfsvoering, want daar gaat het allemaal om. Het Three Lines of Defence-model is een middel en geen doel op zich, dat moeten wij altijd voor ogen houden. In dat denken en doen past altijd relativering en aanscherping van het model, waarbij overigens het fundament eronder overeind blijft. De verschillende reacties in dit artikel geven in ieder geval aan dat het gedachtegoed erachter voldoende leeft: er is eigenaarschap. Een ieder pakt vanuit zijn eigen verantwoordelijkheid zijn rol. Three Lines of Ownership zou je dat kunnen noemen. Dat is noodzakelijk om de structuur te laten werken en de getoonde intervisie is van harte welkom. Deze alertheid is een grondhouding die vooral bedoeld is om steeds beter te worden. Deze verbetercultuur is wat mij betreft essentieel in de wereld van Governance, Risk, Compliance en Audit.’

Naschrift

Dit artikel is geschreven als vervolg op een eerder geschreven artikel en op basis van interviews door Wim Pauw (interviewer, auteur), Sander Smits (Divisie Compliance Officer bij Achmea, interviewer) en Reinier Groenendijk (interviewer, tekst & redactie).

Geïnterviewde personen:

– Robert Otto, divisievoorzitter Divisie Schade & Inkomen Achmea (1e lijn)
– Robert van de Graaf, directeur Finance & Risk Divisie Schade & Inkomen Achmea (1e lijn)
– Marco Vet, groepsdirecteur Risk Achmea (2e lijn)
– Dennis Boersen, Auditmanager Internal Audit (3e lijn)
– Henk Timmer, CRO (Raad van Bestuur Achmea)

Literatuur

[DOUG11] Doughty, K., The three lines of defence related tot risk governance, ISACA Journal, nr.5, 2011.
[PAAP13] Paape, L., RABO en het three Lines of defence model, MCA, nr. 6, december 2013.
[PAUW13] Pauw, W., Risk en Compliance: van macht naar kracht, de IT-Auditor, jrg. 22, nr. 1, 2013.
[VEEN14] Veen, M. van der, Internal auditing: tweede lijn en derde lijn… Wat dacht u van een hulplijn?, MCA, nr. 3, juni 2014.

Drs. W.J. (Wim) Pauw RE CISA CRISC

Senior Manager Risk en Compliance bij Achmea. Wim Pauw is al een aantal jaren als lijn- en change manager betrokken bij (Operational) Risk en Compliance en het optimaal laten werken van de three lines of defence binnen en buiten Achmea. Verder was hij verantwoordelijk voor risicomanagement in diverse grote (SAP-)projecten en is hij trainer bij de Achmea Academy en spreker over onder meer praktisch en pragmatisch risicomanagement.