Natuurlijk ligt de verantwoordelijkheid per definitie al in de lijn van de business. Dat geldt niet alleen voor kwaliteitsmanagement, maar ook voor thema’s als HR, risicomanagement, procesmanagement, compliance, privacy, veiligheid, business control, sales. De lijn moet alleen wel inspelen op de dynamiek van de business én voldoen aan de professionele standaarden. Dat is vaak een uitdaging, ook al staan business en standaarden natuurlijk niet los van elkaar. In dit artikel geven we tips voor de staf, de ‘tweede lijn’, om die ‘eerste lijn’ zo goed mogelijk te ondersteunen bij het nemen van hun lijnverantwoordelijkheid. Soms bewerkstelligt de tweede lijn – natuurlijk met de beste bedoelingen – namelijk juist het tegenovergestelde.
In organisaties werken mensen samen om de gezamenlijke missie te realiseren: bijvoorbeeld het verlenen van zorg, het geven van onderwijs, het verstrekken van hypotheken of het bezorgen van pakketjes. Er zijn teams die direct te maken hebben met de klant: de verpleegkundige, de docent, de hypotheekadviseur of de pakketbezorger die bij je aan deur komt. Én er zijn teams of functionarissen die zorgen dat zij hun werk goed kunnen doen: de planners, de HR-mensen, de communicatieadviseurs, de financiële mensen, de kwaliteitscoördinatoren, enz. Maar wie is er nu eigenlijk verantwoordelijk voor wat? Het Three lines of Defence-model kan daarbij helpen. Eind juli 2020 is een nieuwe versie gepubliceerd van dit model, waarin aansluiting is gezocht bij de vernieuwde normen ISO 31000 Risicomanagement en COSO 2017 voor Enterprise Risk Management.
Het Three Lines of Defence-model, kortweg 3LoD-model, wordt al meer dan twintig jaar in een groot aantal organisaties over de hele wereld gebruikt voor met name risicomanagement (IIA, Institute of Internal Auditors, 2013). Doel van het model is inzicht geven in de manier waarop uitvoerende en controlerende taken zijn verdeeld en hoe daarbij wordt samengewerkt.
Het model onderscheidt drie ‘verdedigingslinies’: de business, de support (staf) en de ‘internal auditor’ (niet te verwarren met de interne audits, die in de tweede lijn worden georganiseerd). In Nederland wordt het model bijvoorbeeld gebruikt bij financiële instellingen, de overheid, (semi) publieke organisaties als woningcorporaties, zorg- en onderwijsinstellingen. Figuur 1 geeft een schematische weergave van het 3LoD-model.
In dit artikel gaan we in op het samenspel van de eerste en tweede lijn. Dat doen we aan de hand van zes tips voor de tweede lijn om het de eerste lijn nog beter mogelijk te maken verantwoordelijkheid te nemen, zie ook figuur 2.
Natuurlijk weet je als adviseur alles van je eigen vakgebied. Je leest je literatuur, je bent actief op social media, je bezoekt (online) congressen met de nieuwste ontwikkelingen. En natuurlijk wil je dat jouw organisatie op jouw terrein ‘state of the art’ is. Daar wil je trots op zijn.
Om de eerste lijn te kunnen overtuigen heb je drie kwaliteiten nodig: inhoud en argumentatie (de logos), de ander kunnen raken (de pathos) én geloofwaardigheid (de ethos). Die heb je vast allemaal.
Om de lijn te overtuigen is er alleen meer nodig: je moet een ‘haakje’ – een belang – zien te vinden in de business van die eerste lijn. Wat wil de eerste lijn bereiken en hoe zou je daar met jouw kennis en enthousiasme een bijdrage aan kunnen leveren?
Besef dat in de eerste lijn álles samenkomt: de business die veel van de dagelijkse aandacht opvraagt, maar ook de interne bedrijfsvoering, de mensen en de systemen. Doe dus even een stapje terug, denk vanuit de business en kijk dan wat jij kunt betekenen. Denk niet krampachtig aan die ene oplossing die je er graag door wilt krijgen, houd het open: het gaat om de richting en er zijn altijd verschillende stappen mogelijk (Bruijn et al, 2016). Dat zorgt voor ontspanning bij jezelf en bij de lijn. Zo trap je niet in de zogenaamde dad-valkuil: decide, announce, defend.
Vrijwel iedereen in de tweede lijn heeft het wel eens meegemaakt. De lijnmanager die je vraagt: “Jij bent de expert, doe jij het even voor me? Wij zijn al zo druk.” Je voelt je gevleid en je hecht veel waarde aan de relatie. En je doet het ‘even’: een evaluatierapport schrijven, een presentatie maken, de norm of standaarden uitleggen voor de groep, soms zelfs een moeilijk gesprek voeren. Ooit deelde een collega zijn dilemma met mij: “Los ik het op of maak ik de organisatie sterker?”
Wanneer je het overneemt – uiteraard met de beste bedoelingen – dan toon je eigenlijk geen respect voor de verantwoordelijkheid van de lijn. Je geeft het verkeerde voorbeeld: eerste en tweede lijn lopen door elkaar. En de kans op een herhalingsvraag is groot. Geef je ook daar gehoor aan, dan ontstaat er al snel een structurele ‘work around’ en draag je ongewild bij aan het maskeren van een probleem. En je maakt de organisatie bovendien afhankelijk van jouw persoonlijke inzet. Ik ken iemand die overspannen is geworden van het structureel en hoog gewaardeerd oplossen van problemen van anderen. Zijn taak kwam in geen enkele procesbeschrijving voor, maar hij was er een belangrijk deel van zijn werktijd mee kwijt.
Moet je dan altijd zo rigide zijn in het scheiden van de eerste en tweede lijn? Natuurlijk niet. Er zijn situaties waarop je als collega’s alle zeilen bijzet. En dat kan ook bij minder heftige situaties als de huidige coronacrisis. Of het is een handige manier om aansluiting te vinden. Benoem duidelijk dat je graag helpt, maar leg uit waarom het een uitzondering is. Ondersteun (daarna) bijvoorbeeld in procesverbeteringen of het organiseren van scholing. Dan maak je de organisatie sterker en minder afhankelijk van de ‘work arounds’ die zich ontegenzeggelijk altijd tegen je keren.
In een kleine organisatie werkt een beperkt aantal mensen in de tweede lijn, soms als deeltaak. In een grote organisatie gaat het vaak om ondersteunende diensten met een groot aantal functionarissen. Al die diensten hebben regelmatig contact met hun ‘accounts’ in de eerste lijn. Zo is in de gehele tweede lijn veel kennis van wat er speelt, waar successen zijn geboekt en waar fouten zijn gemaakt. Het heeft veel toegevoegde waarde die kennis te delen, samen leerpunten te benoemen en die weer mee te nemen in de dienstverlening naar alle accounts.
Om de betrokkenheid op de business van de eerste lijn te benadrukken, benoemen stafadviseurs zich steeds vaker als ‘business partner’. Wanneer meerdere stafadviseurs dat doen, wordt het er voor de eerste lijn niet duidelijker op. Het is van veel toegevoegde waarde dat de business partners met elkaar afstemmen en integrale adviezen geven.
De tweede lijn heeft een natuurlijke neiging zaken te standaardiseren, soms geïnitieerd door directie en management. Dan is de werkwijze overal hetzelfde, dat maakt zaken overzichtelijk en efficiënt, en draagt bij aan een ‘in control’ ervaring. Ga alleen goed na of standaardisering past bij de dynamiek van de business, de mogelijke verscheidenheid in het producten- en dienstenportfolio, de ontwikkelfase van een business unit, enzovoort.
In een grote onderwijsinstelling is ooit geprobeerd een gestandaardiseerd evaluatieformulier voor cursussen en docenten in gebruik te nemen. Daar is lang over gesproken, met vrijwel alle partijen. Toen het formulier beschikbaar kwam, werd het maar nauwelijks gebruikt. In een latere fase heeft de ondersteunende kwaliteitszorg van de onderwijsinstelling na consultatie van de onderwijsmanagers een licentie aangeschaft voor een digitaal evaluatiesysteem. Boodschap aan de onderwijscollega’s: we ondersteunen jullie graag met evaluaties, maar alleen bij gebruik van dit systeem; jullie bepalen zelf de vragen en natuurlijk kunnen we daar wel bij adviseren. Na ruim een jaar deed 80% mee. Docenten spreken elkaar bij de koffieautomaat over de uitkomsten die van betekenis zijn voor hun eigen aanpak. Belangrijke constatering: er wordt met regelmaat geëvalueerd en het leidt tot verbeteringen – en daar was het om begonnen.
Elke organisatie heeft een jaarlijkse begrotingscyclus, ook wel de planning & control cyclus genoemd. In die cyclus komen richting, uitvoering en resultaten bij elkaar (inderdaad: het nieuwe EFQM-model). Op deze cyclus zit altijd spanning. Aan de ene kant wil je zo vroeg mogelijk beginnen om plannen te kunnen maken met betrokkenheid van zoveel mogelijk teams. Aan de andere kant wil je zo laat mogelijk beginnen om de resultaten van het lopende jaar mee te nemen, zodat je weet wat je prioriteit moet geven.
Grote organisaties beginnen al ruim voor de zomer. Voor de tweede lijn is het van belang de planning van activiteiten af te stemmen op deze cyclus. Een management review in conform de ISO-normen voor managementsystemen in januari lijkt dus geen handig moment in een organisatie waar dan nét de plannen en de begroting zijn vastgesteld.
Met een juiste planning kan je zorgen voor integrale plannen waarin alle aspecten aan bod komen. En voorkom je losse en – voor de lijn vaak tijdrovende – verzoeken als ‘welke maatregelen gaan jullie nemen naar aanleiding van het recente onderzoek naar medewerkerstevredenheid?’.
De verdeling van verantwoordelijkheden over eerste en tweede lijn zoals weergegeven in figuur 1 maakt duidelijk hoe er loyaliteitsconflicten kunnen ontstaan. Bij je ondersteuning kunnen er bij jou in de tweede lijn risico’s zichtbaar worden die de organisatie als geheel raken. De eerste lijn zou die moeten rapporteren aan het eigen management en waarschijnlijk ook aan de directeur. Dat vind jij. Wat als de eerste lijn dat niet doet, moet jij dat dan doen vanuit de tweede lijn?
Omgekeerd kan de directeur de tweede lijn verzoeken om informatie over risico’s bij een bepaalde business unit in de eerste lijn. Wat als jij dat in de tweede lijn eigenlijk niet wilt doen omdat je een vertrouwensband hebt met de eerste lijn: lever je nu support aan de eerste lijn of aan de directeur? Op het moment dat dit zich als een dilemma voordoet, zegt dat iets over de (kwaliteits)cultuur in de organisatie. Wanneer er sprake is van een dilemma, leg dat dan voor om het bespreekbaar te maken. Bied bijvoorbeeld aan het gesprek in de lijn te ondersteunen. Er zijn organisaties waarbij het geen probleem is wanneer beoogde resultaten niet worden gehaald; het is wél een probleem wanneer dit niet tijdig is gemeld.
Het Three Lines of Defence-model biedt een uitgesproken kans om het eigenaarschap in organisaties te versterken (Voskuilen, 2016). Wie zorgt voor resultaat? En wie zorgt daarbij voor adequate support? De tweede lijn is als eerste aanspreekbaar op de effectiviteit van de systematiek, niet op alle specifieke prestaties in de eerste lijn. Wanneer de prestaties in algemene zin achterblijven, dan raakt dat uiteraard wel de systematiek en dus de tweede lijn. Samen kom je verder!
Eind juli 2020 heeft het IIA een nieuwe versie gepubliceerd van het Three Lines of Defence model. Er is aansluiting gezocht bij de vernieuwde normen ISO 31000 Risicomanagement en COSO 2017 voor Enterprise Risk Management. Het model verbindt risicobeheersing nu meer met waardecreatie. De naam van het model is daarom veranderd naar Three Lines Model (zonder ‘defence’). Een andere vernieuwing zien we meteen in het ‘plaatje’ van het model: de kolomkopjes ‘business’ en ‘support’ zijn samengevoegd tot ‘management’. Dit om de afstemming tussen de eerste en tweede lijn meer te benadrukken. Er kan sprake zijn van een ‘blended’ relatie waarbij de tweede lijn ook meer verantwoordelijk kan worden gehouden. Dat maakt het misschien niet duidelijker; toch sluit het vaak beter aan bij specialistische risicobeheersing (zoals wet- en regelgeving) en ook een gezamenlijke verantwoordelijkheid. Verder geeft het model meer ruimte om de toepassing beter af te stemmen op de praktijk van de eigen organisatie. Referenties: The IIA’s Three Lines Model (IIA, 2020), Nieuwe versie van Three lines of defence IIA = 3LM (blog Robert ’t Hart, 2020).
Referenties en verdieping
Ouke J. Pijl verzorgt vanuit Kwaliteit.pro de Workshop 'Teams voor Kwaliteit', werkt als adviseur bedrijfsvoering en kwaliteitsmanagement bij Hogeschool Utrecht, en is bestuurslid van het Nederlands Netwerk voor Kwaliteitsmanagement (NNK). Reacties zijn welkom: ouke@kwaliteit.pro.
Dit artikel verscheen in Kwaliteit in Bedrijf juli-augustus 2020.