In het vorige deel heb ik de vergelijking gemaakt van het PDCA cyclus met een ecosysteem en verder ingegaan op de stap "Plan". In dit tweede deel ga ik verder in op de stappen Do en Check. Deel 3 zal ik afronden met de stap Act en een samenvatting.
Do: uitvoering door de juiste lijnen
Het three lines model bepaalt wie wat doet: de eerste lijn voert controls uit, de tweede lijn monitort en adviseert, de derde lijn toetst onafhankelijk. Cruciaal is dat men begrijpt waaróm ze iets moeten doen en daar ook de resources voor krijgen. Maak het zo concreet mogelijk, bijvoorbeeld door een control handleiding per eigenaar.
-
Wat moet je doen: beschrijving van de control werkzaamheid
-
Waarom moet je het doen: beschrijving van het gekoppelde risico
-
Hoe bewijs je het: concrete opsomming van de bewijseisen
-
Waar leg je het vast: specificatie van opslaglocatie
-
Wanneer: frequentie en specifieke data
-
Wie controleert jou: concrete tweede en derde lijn functies met waar mogelijk verwachte planning
-
Wat als je het niet doet: risico voor de organisatie en rapportage naar management
De drie lijnen werken symbiotisch in een geïntegreerd assurance-raamwerk en community: wie toetst wat, wanneer, en hoe gebruiken we elkaars bevindingen? Dat voorkomt dat dezelfde controls en/of afdelingen drie keer worden getoetst terwijl andere risicogebieden onderbelicht blijven. De afstemming vindt periodiek plaats in bijvoorbeeld een ‘Assurance Community of Practice’. Die kan bijvoorbeeld ook als collectief alle assurance wensen en eisen coördineren. Zowel van binnen de organisatie (interne audit agenda, compliance assessments etc) als van buiten (externe audit, certificering, ‘right to audit’ van klanten etc).
Check: van 'we doen het' naar 'we bewijzen het'
Een control die "aanwezig" is, zegt weinig. Toets op drie niveaus:
-
Opzet (goed ontworpen?): Vraag bijvoorbeeld ”Dekt de toegangsprocedure alle scenario's af, inclusief uitdiensttreding en functiewijziging?"
-
Bestaan (wordt uitgevoerd?): Vraag bijvoorbeeld "Hoeveel reviews zijn afgelopen kwartaal daadwerkelijk uitgevoerd versus gepland?"
-
Werking (is effectief?): Vraag bijvoorbeeld "Hoeveel overbodige rechten zijn bij de laatste drie reviews ingetrokken? Als dat er nul zijn, waarom?"
Vaak wordt blind gekeken naar groene vinkjes. Een control die nooit afwijkingen vindt, is óf perfect óf doet zijn werk niet. Dat laatste is vaker waar.
Monitoring draait niet alleen om bevestigen dat het goed gaat. Het gaat vooral om het (tijdig) vinden van wat níet werkt, de verstoringen in je ecosysteem. Controls die niet uitgevoerd worden of niet effectief blijken, controls die groen gerapporteerd worden op alleen eerste lijn monitoring, nieuwe risico's die nog niet afgedekt zijn en afhankelijkheden die niet meer kloppen.
Geïntegreerde assurance betekent het ecosysteem als geheel toetsen. Niet alleen qua planning, uitvoering van monitoring en rapportage, maar ook naar onderlinge afhankelijkheden. De many-to-many structuur uit deel 1 maakt dit mogelijk: je ziet direct welke wetten, risico's en controls geraakt worden als ergens iets misgaat. En het bewijs wordt vervolgens meervoudig benut, voor auditors, toezichthouders én klanten.
In het volgende blog ga ik verder in op de stappen Act en Samenvatting.
Lees ook:
- De bredere context: Losse compliance projecten? Start met duurzaam risico- en compliance management
-
Vorige blog: Je risico- en controleraamwerk als ecosysteem: zo houd je duurzame compliance levend (deel 1)
/31.png?width=600&height=300&name=31.png)
