GRC en IRM: controle en monitoring

Aangeven is dat de management- of PDCA-cyclus gebruikt wordt voor het beheer van het ISMS (of desgewenst GON). De ‘Check’ heeft dan betrekking op alle maatregelen die betrekking hebben op monitoring en (interne) controle, inclusief audits. Het verschil tussen deze begrippen zit in de frequentie van uitvoering en wie verantwoordelijk is voor de uitvoering. Omdat verschillende bronnen verschillende terminologie hanteren, is het verstandig om als organisatie één begrippenkader te hanteren zodat bij iedereen duidelijk is wat daaronder wordt verstaan. Dit dan in combinatie met termen als logging, accounting en auditing op systeemniveau Wat de ene leverancier logging noemt, valt bij de ander onder auditing. Voorsts moet duidelijk zijn wie verantwoordelijk is voor de uitvoering. Schalen we dit onder ‘interne controle’ dan zien we ook daar verschillende definitiess. In de Nederlandse literatuur (Starreveld) was het gebruikelijk om onderscheid te maken tussen eerst externe controle en interne controle en vervolgens binnen de interne controle tussen: • zelfcontrole: de controle door de medewerker op de resultaten van zijn eigen werkzaamheden (hierbij kan dus gebruik worden gemaakt van monitoring hulpmiddelen); • de controle in de lijn: binnen de procesgang in opeenvolgende stappen en/of de controle door het lijnmanagement) • verbijzonderde interne controle: de interne controle functionaris of -afdeling. Deze laatste categorie kwam vooral in beeld in organisaties waarin er geen sluitende waardenkringloop is, met controleverbanden tussen enerzijds de geldbeweging en anderzijds de goederenbeweging. Om deze reden beschikken banken en verzekeringsmaatschappijen van oudsher over intern controle afdelingen (later accountantsdiensten en nu audit departments). Mijn persoonlijke ervaring binnen de overheid is dat daar interne controle in de tweede betekenis door lijnmanagers in uitvoerende diensten vaak als minder interessant werd ervaren, zodat er vaak een voorkeur was om dit soort werkzaameden onder te brengen bij een interne controle functionaris.Door bezuinigingen en efficiency slagen zijn deze vaak gesaneerd. Recenter wordt ten aanzien van interne controle echter steeds meer gesproken over ‘three lines of defense’. Onder meer de IIA (het Instituut van Internal Auditors) heeft een publicatie uitgebracht die nader ingaat op deze indeling. • As a first line of defence, operational management has ownership, responsibility, and accountability for assessing, controlling, and mitigating risks together with maintaining effective internal controls. • As a second line of defence, the controller, risk management, compliance, and similar functions facilitate and monitor the implementation of effective risk management practices by operational management and assist the risk owners in reporting adequate risk-related information up and down the organization. •  As a third line of defence, the internal auditing function will, through a risk-based approach, provide assurance on the effectiveness of governance, risk management, and internal control to the organization’s governing body and senior management, including the manner in which the fi rst and second lines of defence operate. This assurance responsibility covers all elements of an institution’s risk management framework: i.e., from risk identification, risk assessment, and response to communication of risk related information (throughout the organization and to senior management and the governing body). Gegeven de indeling (inclusief onderbouwing0 van Starreveld, de primaire verantwoordelijkheden van het lijnmanagement, ook ten aanzien van controle en risicomanagement en het streven naar ‘lean’ organisaties, kunnen vraagtekens gesteld worden bij deze indeling. Organisaties zullen m.i. daarom duidelijk moeten motiveren waarom zij kiezen voor een bepaalde indeling. Samengevat moet duidelijk zijn: • hoe de verantwoordelijkheden ten aanzien van controle (en monitoring) in de organisatie zijn belegd; • welke controles met welke frequentie moeten worden uitgevoerd (zie bijvoorbeeld documenten van SEC en PCAOB richting externe maar daarmee ook interne audits, waarbij dan SOx als uitgangspunt geldt) • wie daarbij rapporteert aan wie, met welke frequentie en in welk format; het draagt bij aan de effectiviteit als hierbij aansluiting wordt gezocht bij de bestaande planing&control-cyclus; • dat het niet blijft bij rapportages maar indien de rapportage daartoe aanleiding geeft, ook concreet wordt ingegrepen; in dit geval wordt de effectiviteit geholpen als de problematiek ook onderdeel is van de jaarlijkse beoordelingsgesprekken met managers (halen zij ook hun doelstellingen op gebieden als GRC en IRM.