DNB en AFM: 3 lines of defense
DNB en AFM verwachten van vergunninghoudende financiële instellingen dat zij voldoende functiescheiding doorvoeren.
Dit is echter niet weggelegd voor iedere financiële instelling vanwege beperkte omvang. De functies in de 2nd en de 3rd line of defense zijn bij kleinere instellingen veelal parttime functies.
De 3 lines betreffen de volgende 3 rollen binnen organisaties:
1st line of defense: management control (de business)
2nd line of defense: risk management / compliance (bijvoorbeeld juridische afdeling)
3rd line of defense: internal audit
Internal audit: een interne rol
Echter vaak kan de externe accountant de 3rd line of defense voor een kleinere financliële instelling waarnemen. Mits budgetair verantwoord en dit past binnen de controlepraktijk van de accountant. Niet iedere financiële instelling wil daarvoor overigens de externe accountant inhuren en dit liever gescheiden houden, waarvoor men dan wel een alternatief moet hebben om aan compliance eisen te kunnen voldoen.
De 2nd line of defense kan nooit door de externe accountant worden vervuld. Immers een (IT) riskmanager identificeert risico’s en adviseert de 1st line hoe deze risico’s kunnen worden behandeld. De externe accountant mag geen adviserende en bepalende rol vervullen in het risk management en tegelijkertijd controleren. Ook dit vraagt om oplossingen.
Het risk management beleggen bij de afdeling control is nota bene ook ongewenst omdat financial control gewoon onderdeel is van de 1st line of defense. In het bijzonder toezichthouders zijn van dergelijke dubbele rollen niet zo gecharmeerd.
Uitbesteden internal audit of (IT) riskmanagement?
Wilt u eens een keer bespreken hoe dit kan worden opgelost middels het parttime inhuren van een (IT) riskmanager of internal auditor, neem dan gerust contact met ons via 085-0020950 of info@capacit.nl