Three Lines of Defence Model bij kleine auditafdelingen 23 april 2015

Three Lines of Defence Model bij kleine auditafdelingen 23 april 2015

Huck Chuah bestuurslid IIA Nederland

Johan Scheffe secretaris LIO bestuur van de NBA

Issues binnen kleine IAF’s - PAS

Three Lines of Defence Model naar branche Three Lines of Defence model naar branche

Three Lines of Defence model wordt toegepast

Handel

24 %

Transport & logistiek

24 %

Productie

9%

Financiële dienstverlening

67 %

Zakelijke dienstverlening

14 %

Telecommunicatie, informatietechnologie en entertainment

33 %

Energie & utilities

22 %

Gezondheidszorg

12 %

Overheid / Non- profit

15 %

Three Lines of Defence model naar omzet

Three Lines of Defence model naar omzet

Three Lines of Defence model wordt toegepast

0 – 50 miljoen

10 %

51- 100 miljoen

19 %

101 -500 miljoen

28 %

501 miljoen – 1 miljard

42 %

> 1 miljard

74 %

Marcel Prinsenberg PwC

www.pwc.nl

Three Lines of Defence The benefits of multi-layer defence, if proper executed

Marcel Prinsenberg

April 2015

Lines of Defence dragen bij aan checks & balances en heldere functiescheiding Board of Directors / Audit Committee Senior management 1st line of defense

3rd line of defense

Financial control

Inspection Risk Management

Regulator

Security

External Audit

Quality

Internal Audit

Internal Control Measures

Management controls

Risk ownership

2nd line of defense

Compliance

Risk control

Risk assurance

“The danger from embedding risk managers within the line organization is that they “go native”- becoming deal makers rather than deal questioners” Three lines of Defence

Three Lines of Defence PwC

Source: HBR, june 2012, The Big Idea, Managing Risks: a new Framework

April 2015 9

3LoD draagt bij aan het verankeren van risico management in de organisatie Business operations – Risk and control in the business

1st LoD

• Owner of risk and reward, responsible for risk and compliance • Designs, maintain and performs control measures • Supervise correct execution of risk and compliance control measures • Identifies risks by risk self assessments

The oversight functions – Risk and compliance functions

2nd LoD

• Provides expertise, advice and case input to 1st LoD on risk and compliance • Sets risk and compliance minimum requirements • Stays abreast of developments and alerts management to emerging risks • Monitors effectiveness of risk management, controls and reports • Facilitates risk self assessments

Independent assurance providers – Internal Audit

3rd LoD

Strategic Risk (management) assessment PwC

• Provides highest level of objectivity within organization • Provides assurance on performance of 1st and 2nd LoD • Performs audits, where necessary and as requested by the Supervisory Board or the Management Board

10

Lines of Defence: communicerende vaten

1

Line of defence – Risk owners/Managers - Operationeel management

2

Line of defence – Risk Control & Compliance - Beperkte onafhankelijkheid - Rapporteren in 1e plaats aan mn

3

Line of defence – Risk Assurance - Interne audit - Meer onafhankelijkheid - Rapporteren aan bestuursorgaan

Recommended Practices
Risico en stuurprocessen dienen gestructureerd te worden in overeenstemming met het Three Lines of Defence model
Elk Line of Defence model dient te worden ondersteund door een passend beleid en roldefinities
Er dient een goede coördinatie te zijn tussen de afzonderlijke Lines of Defence om de efficiëntie en effectiviteit te bevorderen
Risico en stuurfuncties die op verschillende Lines opereren dienen adequaat kennis en info te delen om zo alle functies te helpen hun rol beter te vervullen op een efficiënte manier
Lines of Defence mogen niet worden gecombineerd of gecoördineerd op een wijze die afbreuk doet aan de doeltreffendheid
In situaties waar functies op verschillende Lines worden gecombineerd, moet het bestuursorgaan worden geadviseerd over de structuur en de impact ervan Three Lines of Defence PwC

* Source: IIA Position Paper “The three lines of defense in effective risk management and control”- January 2013

April 2015 11

Hoe willen we als 2e en/of 3e lijn gezien worden?

Three Lines of Defence PwC

April 2015 12

Mogelijke 2e/3elijn’s risicomanagement rollen

Business skills

Risk skills

Commentator:

Business Partner:

• Business recognises value of decision support available from risk and requests support as required • Provides risk commentary, does not necessarily influence business • Monitors risk impact of business activities

• Risk takes knowledge to business – ‘has a seat at the table’ • Acts as a business advisor and integrator • Provides insight and drives strategy

Score keeper:

Diligent caretaker:

• Role focussed on monitoring risk and compliance • Assurance provider • Efforts focussed on producing risk and compliance reports

• Forward looking – considers risk strategy and appetite • Works with business to ensure compliance and effective controls • Efficient processes monitored and managed for continuous improvement

Reactive focus Three Lines of Defence PwC

Role types typical to standalone risk functions

Role types typical in combined risk/internal audit functions

Proactive focus April 2015 13

Dilemma’s • Efficiency vraagstuk • Rol versus functie • Wat doet de 1e lijn • Wie/wat is de 2e lijn? • Objectiviteit versus onafhankelijkheid • Beste man/vrouw/afdeling voor de job • Pragmatisme

Three Lines of Defence PwC

April 2015 14

Bedankt! Voor meer informatie neem contact op met:

© 2015 PwC. All rights reserved. Not for further distribution without the permission of PwC. "PwC" refers to the network of member firms of PricewaterhouseCoopers International Limited (PwCIL), or, as the context requires, individual member firms of the PwC network. Please see www.pwc.com/structure for further details.

Thomas R. Malthusstraat 5 P.O. Box 9616 1006 GC Amsterdam The Netherlands T: +31 88 792 7665 M: +31 6 51 22 52 70 [email protected]

IIA position statement: The Role of Internal Audit in Enterprise-wide Risk Management

Source: IIA, The Role of Internal Audit in Enterprise-wide Risk Management, 2004 Three Lines of Defence PwC

April 2015 6

Leen Paape Nyenrode Business University

Three Lines of Defence: een gevaarlijk onnozel model

Auteur: Datum:

Leen Paape 23 april 2015

Leadership • Entrepreneurship • Stewardship [email protected] T + 31 (0)346-291 291 x www.nyenrode.nl

slide 19

Prof. Willem Wagenaar Als een probleem zo groot is dat het onoplosbaar is, dan zoeken we een ander probleem dat wel oplosbaar is!

© Nyenrode Business Universiteit

+31 (0)346 - 291 211

[email protected]

Find us on:

All models are wrong but some are useful

slide 21

Paul Moore, HBOS Risk Manager

22

slide 23

As long as the music is playing, we’ll keep on dancing….

© Nyenrode Business Universiteit

+31 (0)346 - 291 211

[email protected]

Find us on:

Waarom gaat het toch zo vaak mis? • Framing/disentanglement • Overflowing • How is it possible to become homo clausus when survival requires one to be homo apertus?

Callon (1998): Actor Network Theory (ANT)

slide 26

Wat is er mis met het 3LoD model? • Overgesimplificeerd model • Hopeloos ouderwets • Semantiek overheerst • Hamert teveel op verdedigen en niet op totaalvoetbal • De zwakste schakel……?? • Iedereen volgt het slaafs en daarmee krijgt het (onterecht) status • Dogmatische toepassing; het kan niet overall (SME’s) • Het werkt niet en heeft zich in de afgelopen tijd niet bewezen • Goed voor consultants, toezichthouders en internal auditors © Nyenrode Business Universiteit

+31 (0)346 - 291 211

[email protected]

Find us on:

Vragen? [email protected] 06-53644623 Twitter: @leenpaape

Sam Huibers Heineken

IIA PAS Ledenvergadering & NBA | S. Huibers Algemene Discussiebijeenkomst: Three Lines of Defense Model bij kleine 5 april 2012 internal audit afdelingen – 23 april 2015 29

Introductie Sam Huibers | Task force coordinator en auteur IIA White Paper Combining Internal and Second Line of Defense Functions? Download via Website IIA NL: Download iia.nl

White Paper IIA NL | Combining Internal Audit and 2nd Lines of Defense | S. Huibers

30

Thema IIA | Aanleiding 1. In praktijk komen veel combinaties voor Bij kleine audit functies Afhankelijk van maturity van organisaties 2. Dilemma: onafhankelijkheid auditor 3. White paper: randvoorwaarden en waarborgen

White Paper IIA NL | Combining Internal Audit and 2nd Lines of Defense | S. Huibers

31

Thema IIA | Aanleiding (2) Vraag 1: Wie werkt in een gecombineerde fuctie: internal audit en 2delijns functie (b.v. risk management, internal control, compliance)

White Paper IIA NL | Combining Internal Audit and 2nd Lines of Defense | S. Huibers

32

Thema IIA | Aanleiding (3) Vraag 2: Wie is de initiator van de combinatie? 1. Internal Audit 2. Raad van Commisarissen / Toezichthouder 3. Board / (Executive) Management 4. Meerdere partijen

White Paper IIA NL | Combining Internal Audit and 2nd Lines of Defense

33

Inrichting | perspectieven 1: Verschillende stakeholders !

Quote CAE “Ik ben in 4 verschillende organisaties hoofd internal auditor geweest en iedere keer zag de organsiatie van functies er anders uit” Management

RvC / AC White Paper IIA NL | Combining Internal Audit and 2nd Lines of Defense | S. Huibers

34

IIA | Standaarden

White Paper IIA NL | Combining Internal Audit and 2nd Lines of Defense | S. Huibers

35

IIA | Standaarden 2: IIA - 3 LoD is voorkeursmodel Combinaties mogelijk (b.v. bij kleine organisaties) met randvoorwaarden: Geen afbreuk effectiviteit

Communicatie impact en goedkeuring RvB / RvC

Management eindverantwoordelijk

Audit charter

Uitbesteding

Functiescheiding

White Paper IIA NL | Combining Internal Audit and 2nd Lines of Defense | S. Huibers

36

White paper | Rollen GRC 3: Bepalend is ook daadwerkelijke activiteiten niet alleen het label dat je op de functie plakt! Assurance    

Assurance 2de lijn Audits Risk reporting Evalueren risico’s / controls

Advies / Participerende rollen met randvoorwaarden        

Advies methode Advies frameworks Klankbord Training Faciliteren RM GRC initiatieven Documenteren QA Partner

Geen rol     

Bepalen risicovoorkeur Besluitvorming Eindverantwoording Opleggen GRC Implementatie

White Paper IIA NL | Combining Internal Audit and 2nd Lines of Defense | S. Huibers

37

IIA Global Benchmark Project Survey This survey is initiated by:

Sam Huibers | Lead Global Survey [email protected] Tel: 06 81871730 In collaboration with the Dutch IIA*

Global Benchmark Survey IIA NL | Project Auditing | S. Huibers

38

Bijlage: Thema | Dilemma’s 1. Geven van onafhankelijk oordeel over 2de lijn 2. Assurance over advies risk managers / internal control 3. Afbreuk (perceptie) objectiviteit m.b.t. deelgebieden waar 2de lijn is betrokken 4. (Perceptie) onafhankelijkheid t.o.v. CFO 5. (…)

White Paper IIA NL | Combining Internal Audit and 2nd Lines of Defense | S. Huibers

Bijlage | Practice Guide • Standard 2050: CAE verantwoordelijk voor effectieve verspreiding van info en coördineren van activiteiten met andere assurance verleners/adviseurs. Faciliteren RM door IAF • Geen managementbesluiten, design rol plan van aanpak afstemmen met AC. • Rollen helder in charter. Advies: IIA perform. stand. • Geen assurance RM – (intern) uitbesteden (1130)

Bijlage | Position Paper ERM