Verschillen tussen de 'internal auditfunctie' en de interne archiefinspectie Domein. De interne audit kan alle aspecten van beheersing en sturing betreffen, een archiefinspectie gaat over één aspect daarvan, het archief- en informatiebeheer. Basis. De archiefinspectiefunctie is iets van de overheid en heeft een basis in de wet. Een interne auditfunctie is ook en, vooralsnog, meer iets van het bedrijfsleven en heeft in de regel geen wettelijke basis. De relatie 'overheid' en 'internal auditing' is tweeledig: niet alleen bestaan er bij de Rijksoverheid en bij een aantal provincies en gemeenten interne auditfuncties, maar de overheid bevordert ook uit hoofde van het toezicht de instelling van interne auditfuncties (bij banken en verzekeraars is dat zelfs bij wet geregeld). (Organisatie)doel. Archiefinspecties richten zich vanouds primair op naleving van Archiefwet cum annexis - het doel van rechtmatigheid (compliance) dus. Interne audits richten zich op andere organisatiedoelen (efficiency, risicobeperking etc.) en veronderstellen daarbij (de borging van) rechtmatigheid. Archiefinspecties richten zich niet zelden (en steeds meer) ook op organisatiedoelen anders dan rechtmatig heid. Focus. Bij archiefinspecties wordt vanouds meer naar de output van organisatie en processen gekeken: strookt die output (in casu het archief en de wijze van beheer ervan) met de bestaande regels? Die benadering heeft overeenkomst met die van de accountancy - het vakgebied waaruit de professie van internal auditing is ontstaan. De interne auditor kijkt primair en vanuit de optiek van de manager naar de organisatie (beleid, organisatie, interne regels, procesinrichting et cetera) die een of andere output of een of ander product of dienst levert. ...en een 'overeenkomst' Met name deze verandering van focus is voor archiefinspecties nuttig en naar mijn oordeel zelfs onvermijdelijk. In een moderne, digitale procesgerichte overheidsorga nisatie hangt namelijk de rechtmatigheid van het archief en de wijze van beheer ervan (output) steeds meer af van hoe die output tot stand komt (beleid, organisatie, interne regels, procesinrichting et cetera)Wil je een goed oordeel kunnen vellen over die rechtmatigheid, dan zul je naar beleid, processen en dergelijke moeten kijken. Met die verandering van focus ligt tevens de weg open om in het verlengde van de rechtmatigheidstoets ook andere organisatiedoelen ten aanzien van het archief- en informatiebeheer in inspecties audits aan de orde te stellen. Bij dit alles zijn de methoden en de technieken ontwikkeld binnen de internal auditing bijzonder bruikbaar. Ik behandel hieronder drie thema's, die in de leergang uitgebreid aan de orde komen, en geef bij de bullets aan hoe ik in mijn inspectiepraktijk gebruik maak van elementen die verband houden met theorie en methodieken van interne auditing - of althans dat probeer. Op zichzelf zijn de zaken genoemd achter de bullets niet nieuw (gelukkig maar), overall geven ze, zo is de bedoeling, een idee van hoe de verbanden liggen. Governing Body/Audit Committee A 1st Line of Defense iior Management A 2nd Line of Defense Financial Control Security Risk management Quality Inspection Compliance 3rd Line of Defense Paradigma: referentiemodel van een organisatie en 'plaats' van archiefinspectie Het Three Lines of Defense model (schema) verschaft een helder en uit de praktijk geboren model van de beheersing en sturing binnen moderne organisaties.4 Het weerspiegelt de audit-manier van kijken naar organisaties: het audit-paradigma. Idealiter is, in dit model, beheersing en sturing in het (primaire) proces geïntegreerd (eerste line of defense, blokje links). Omdat dat niet altijd lukt, kunnen voor aspecten van sturing en beheersing van de processen bijzondere afdelingen of functionarissen zijn ingesteld die kwaliteit, compliance etc. van de processen moeten borgen (tweede line of defense, blokje midden)De interne auditor beziet intern of dit geheel van beheersing en sturing adequaat is en goed werkt (derde line of defense, blokje rechts) De externe auditors (bijvoorbeeld externe accountant) en de regulators (bijvoor beeld interbestuurlijk toezichthouder) staan buiten de organisatie en worden wel aangeduid als de vierde line of defense. Waar in het plaatje de interne archiefinspectie dan wel zit, daarover lopen de opvattingen uiteen: tweede of derde linie? Gezien de gebondenheid aan de taak van nalevingstoezicht op rechtmatigheid en de plaatsing onder het college ligt de tweede linie voor de hand. Ook als een archiefdienst (en de inspectie) voor gemeenten werkt 'via' een gemeenschappelijke regeling, lijkt dat uiteindelijk het geval. Komen echter bij de archiefinspecties ook andere doelen dan rechtmatigheid aan de orde, dan gaat het richting derde lijn. Van een directe rapportagelijn met de Raad - die de onafhan kelijke positie borgt - is geen sprake. De benoeming van de archiefinspecteur door het college (of vergelijkbaar gremium) levert wel, gecombineerd met de archiefwettelijke PROFESSIONALISERING 208 ARNOUD GLAUDEMANS DE LEERGANG OPERATIONAL AUDITING EN DE PRAKTIJK VAN ARCHIEFINSPECTIE A Manage Internal ment Control Controls Measures Internal Audit The Three Lines of Defense Model. Adepted from ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41 4 Zie https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Three%20Lines%20 of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf. 209

Periodiekviewer Koninklijke Vereniging van Archivarissen

Jaarboeken Stichting Archiefpublicaties | 2013 | | pagina 106