Archieftoezicht: compliance-gericht of risico-gebaseerd?

  • okt 2020
  • Hans Hut
  • ·
  • Aangepast 27 jun
  • 1
  • 99
Hans Hut
Toezicht
  • Wolter van de Wetering
  • Layla Hassan
  • KIA Community Manager
  • Marius Jansen

Ik werd getriggered door een zinnetje in de presentatie van Arnaud Glaudemans over de nieuwe VNG Archief KPI-formulieren. Op één van de slides somde Arnaud wat toekomstige ontwikkelingen op onder de titel ‘toekomstmuziek’.
Één van de ontwikkelingen die hij noemde was ‘risico-gebaseerd toezicht’. Een interessante ontwikkeling, maar een wat vreemde in het kader van de KPI’s die toch primair compliance-gericht zijn ingestoken.

Laat ik voor de goede orde de twee termen uit de titel wat nader proberen te duiden. Compliance is een oorspronkelijk uit de Engelse taal afkomstig begrip, dat het eenvoudigst te vertalen is met “naleven”. En dan gaat het daarbij vooral om het naleven van wet- en regelgeving, beleidsregels, gedrags- en beroepsregels, e.d. Regels dus! En de naleving van regels, en daarmee ook het toezicht op die naleving is redelijk binair: je leeft na, of je leeft niet na, met de mogelijkheid van deels naleven daar ergens tussenin. En daarmee is ook redelijkerwijs het risico bepaald: namelijk het risico van niet naleven, hetgeen mogelijk consequenties heeft van financiële, juridische, personele, of zelfs politieke aard.
Risico-gebaseerd is een term die vooral in de laatste 25 jaar binnen de audit-discipline opgeld doet. Auditors zijn namelijk eens schaars goed, en het is dus zaak om die schaarste te managen. Dat betekent je beperkte capaciteit daar inzetten, waar die het meeste effect kan hebben. Deze aanpak is mogelijk omdat auditing in beginsel niet-binair is, maar zich vooral beweegt binnen verschillende ‘shades of gray’. Dat is ingegeven door het feit dat auditors in beginsel geen absolute uitspraken doen. Zij verklaren hooguit dat iets een ‘getrouw beeld’ geeft, niet of iets goed of fout is. Zij geven hooguit aanvullende zekerheid, maar altijd aangevuld met een zekere mate van waarschijnlijkheid, en die laatste is nooit 100%. Er bestaat namelijk niet zoiets als absolute zekerheid!

Rekening houdend met deze nadere duiding is het aanvullend goed om in dit kader het veel geciteerde, maar weinig begrepen ‘three lines of defence’ model aan te halen. Dit model is oorspronkelijk bedoeld als een risico-management structuur, waarbij de verschillende verantwoordelijkheden met betrekking tot risico en risico-management eenduidig worden vastgelegd in hun onderlinge samenhang. Drie lagen die elkaar versterken om ervoor te zorgen dat dat risico-management zo effectief en zo efficiënt mogelijk wordt uitgevoerd, zonder overlap en zonder witte vlekken, en met duidelijk gedefinieerde rollen, taken en verantwoordelijkheden:

  • De eerste lijn is verantwoordelijk voor het managen van de risico’s die met de operationele activiteiten samenhangen en voor de volledigheid en betrouwbaarheid van de verantwoordingsinformatie.

  • De tweede lijn is verantwoordelijk voor beleidsvoorbereiding, ondersteuning van de eerste lijn bij het inrichten van dat risico-management, en voor het monitoren van de naleving van (lees: compliance met) dat beleid.

  • De derde lijn houdt toezicht op de goede werking van het risico-management en daarmee dus op de kwaliteit van functioneren van de eerste én de tweede lijn.

Wanneer we dit vervolgens transponeren op informatie- en archiefbeheer dan volgt daaruit dat:

  • De uitvoerende organisatieonderdelen binnen de overheid verantwoordelijk zijn voor het beheer van de onder hen ressorterende informatie, en daarover periodiek verantwoording afleggen, door bijv. zelf-evaluaties, exceptie-rapportages e.d.

  • Informatiebeheerders, records managers, DIV’ers verantwoordelijk zijn voor het doen van beleidsvoorstellen op het gebied van informatie- en archiefbeheer, het ondersteunen van de uitvoerende organisatieonderdelen bij het inrichten van hun informatiebeheer, alsmede het monitoren van de naleving van het beleid. Dit laatste is een compliance taak, die eventueel kan worden verbijzonderd (bijv. bij de archiefinspectie als we die als tweedelijns functie zien).

  • Archiefinspectie houdt namens de gemeentearchivaris toezicht op de goede werking van het risico-management m.b.t. informatie- en archiefbeheer en daarmee dus ook op de kwaliteit van functioneren van de eerste én de tweede lijn op dat vlak. Tenminste…als we de archiefinspectie als een derdelijns functie zien.

En daar zit dus de crux: is de toezichthouder op het informatie- en archiefbeheer nu een tweedelijns of een derdelijns functie? Of, met andere woorden: is het toezicht op informatie- en archiefbeheer primair compliance-gericht (tweedelijns), of risico-gebaseerd (derdelijns)?

Pas als die vraag is beantwoord, kan een zinnige discussie worden gevoerd over of en hoe we die risico-gebaseerde aanpak gaan inrichten, of niet.
Welke risicofactoren gaan we hierbij definiëren? Welke impactcategorieën gaan we onderscheiden? Welke indeling gaan we hanteren bij de kans van optreden (probalititeit of waarschijnlijkheid)? En hoe gaan we hierover rapporteren en aan wie?

Dus: toekomstmuziek is het zeker. Maar het begint allemaal met het beantwoorden van de vraag: is de toezichthouder een tweedelijns compliance functionaris, of een derdelijns audit functionaris? Een Functionaris Informatie- en archiefbeheer?
Een FI, analoog aan de FG, de Functionaris Gegevensbescherming. Als ik de toelichting op de concept tekst van de nieuwe Archiefwet goed heb begrepen, dan neigt de wetgever sterk in die richting. Sterker nog, die betreffende analogie wordt letterlijk aangehaald in de toelichting.
Maar als dat de bedoeling is, dan is het zaak dat de inspectieverantwoordelijkheid wordt losgekoppeld van de archivaris, zeker wanneer het toezicht zich – volgens diezelfde concept tekst – ook gaat uitstrekken over het overgebrachte deel van de informatie. Anders ligt het risico van ‘eigen vlees keuren’ wel erg op de loer.
En zo vreemd is dat loskoppelen niet. Op rijksniveau is die loskoppeling al langer een feit (Nationaal Archief vs. Inspectie Overheidsinformatie en Erfgoed).

Reacties

één reactie, 1 november 2020
  • Interessant punt. Persoonlijk zie ik geen toegevoegde waarde wanneer een toezichthouder alleen maar vaststelt of wet- en regelgeving wordt nageleefd (compliance), los van het feit of je dan vanuit de KPI’s of andere instrumenten doet. Om vervolgens een andere lijn/functie te laten bepalen waar wel of geen bedrijfsrisico’s worden gelopen. Wetgeving en naleving is zijn geen doel op zich, maar instrumenten om risico’s uit te sluiten. Het enkel vaststellen of iets wel-niet of deels aan voldoet impliceert de mate van eventuele bedrijfsrisico’s. Ze liggen in elkaars verlengde. Vaststellen van risico’s lijkt mij vrij ondoenlijk zonder de resultaten van het vaststellen van de mate van naleving. Vaststelling en relateren welke risico’s dit tot gevolg kan hebben wordt het sterkst zichtbaar wanneer dit in één verslag in samenhang wordt verbonden, en niet vanuit separate functies. Denk wel dat het benadrukken van deze risico’s in KPI/toezichtverslagen nog een wereld te winnen is.

    Wat betreft die ‘three lines of defence’ kan je dit, los van de oorsprong, binnen het archiefbestel naar mijn inschatting vanuit meerde perspectieven duiden, kort door de bocht, horizontaal (intern) en verticaal (extern).
    Op een simpele manier samengevat.
    Horizontaal:
    1e – Sturen en beleid van voorwaarden en facilitering voor uitvoering, en kwaliteitszorg.
    2e – Uitvoering geven aan uitvoering van beheer en kwaliteitszorg (kwaliteitscontroles).
    3e - Toezichthouder (archivaris/archiefinspecteur) Voldoen deze aan wet- en regelging, en worden deze nageleefd. En wat mij betreft vertaal je dat in het verslag ook naar de bedrijfsrisico’s.

    Verticaal:
    1e – 1 en 2 van horizontaal
    2e – 3 van horizontaal
    3e – IBT (provinciaal toezicht)
    Waarbij ik twijfel of dit generiek toezicht landelijk eenduidig en risicogericht is ingestoken. In dat geval blijft boor de horizontale toezichthouder geen keus om de KPI-resultaten te verbinden met de risicogevolgen.

    Het is maar net vanuit welke versie we de toezichthouder plaatsen. Daar is nog geen consensus over. Wat de nieuwe Archiefwet betreft lijkt mij de vergelijking met de functie van de FG meer het verplichte karakter van de aanwijzing wordt bedoeld. Alleen hoeft deze niet meer aan diploma-eisen te voldoen. Maar wordt wel verwacht te beschikken over voldoende professionele kwaliteiten, deskundigheid op het terrein van de wetgeving en de praktijk van de archivistiek en het informatiebeheer. Maar waar meet je dat dan weer aan af? En wie gaat dat dan bepalen? Oké een soort van certificering, maar is een diploma ook niet een soort van certificaat van bekwaamheid?
    Een ander verschil met een FG is dat een archivaris tevens beheerder wordt van dezelfde informatie en archiefbescheiden in de volgende levensfase als overgebrachte archiefbesheiden. Een degelijke vorm voor een FG is mij niet bekend.

    Dat het toezicht van de archivaris is verruimd met deze overgebrachte archiefbescheiden heeft geen oplossing gekregen in de nieuwe Archiefwet, en leidt inderdaad tot ‘het eigen vlees keuren’. Niet eens een risico, maar een feit. Dan is het loskoppelen van de inspectietaak voor minstens die levensfase wel degelijk wenselijk.

    Marius Jansen