Verschillende organisaties kijken op verschillende manieren aan tegen de vraag hoe je risicomanagement inricht. In de financiële sector wordt vooral gewerkt met het Three Lines of Defence model. Ik blijf nog maar even de ‘oude’ term hanteren, omdat die wijze van inrichten nog het meest wordt gebruikt.
Dat model gaat ervan uit dat de organisatie zelf (de eerste lijn) de risico’s beheerst en de tweede lijn daar toezicht op houdt. De derde lijn (audit) houdt daar dan weer toezicht op. En dat is dan nog los van intern toezicht, actuaris en accountant, die er ook nog een oordeel over moeten geven. Veel controle dus. En dat kan. Hoe meer mensen ernaar kijken, hoe kleiner de kans dat je iets over het hoofd ziet.
Maar het hoeft niet op die manier. Voordat ik in de financiële sector ging werken, zag ik buiten die sector veel organisaties die hun risico’s beheersten. En ook goed beheersten. En toch deden ze dat niet met drie, maar met twee linies: de business (eerste lijn) en internal audit. Het voornaamste verschil was dat het beheersen van de risico’s bij die organisatie in de lijnorganisatie verwerkt is. Het is een intrinsiek onderdeel van het werk.
Risicomanagement is niet alleen een functie of een taak, maar vooral een competentie. Internal audit beoordeelt geregeld of alle processen nog zo lopen zoals we hadden afgesproken en of wat we hadden afgesproken nog wel past bij de doelstellingen.
En daar is de afweging: maak je het een intrinsiek onderdeel van het werk, waarbij de organisatie ervan doordrongen is en uit zichzelf ‘het goede’ wil doen? Of willen we een extra slot op de deur en zetten we vóór internal audit nog een twee lijn die in een vroeger stadium de eerste lijn bij kan sturen?
De nadelen? Bij de eerste optie mis je de extra check. Dus als je niet zeker bent of het goed zal gaan, kom je er pas op een later moment achter. Maar een nadeel van veel toezichtsfuncties (de tweede optie) is dat bij elke laag die je erbovenop stapelt het verantwoordelijkheidsgevoel van de lagen daaronder vermindert. ‘Er kijken toch nog zoveel mensen naar’, en ‘kennelijk gaat het toch niet om wat ik ervan vind’. En bij iedere ‘hogere’/latere toezichtrol zal de kwaliteit van de controle afnemen, ‘want er hebben toch al heel veel mensen vóór mij naar gekeken’. Het is dus niet per se gezegd dat meer toezicht ook meer kwaliteit garandeert.