Verschillen tussen de 'internal auditfunctie' en de interne archiefinspectie
Domein. De interne audit kan alle aspecten van beheersing en sturing betreffen,
een archiefinspectie gaat over één aspect daarvan, het archief- en informatiebeheer.
Basis. De archiefinspectiefunctie is iets van de overheid en heeft een basis in de wet.
Een interne auditfunctie is ook en, vooralsnog, meer iets van het bedrijfsleven en
heeft in de regel geen wettelijke basis. De relatie 'overheid' en 'internal auditing' is
tweeledig: niet alleen bestaan er bij de Rijksoverheid en bij een aantal provincies en
gemeenten interne auditfuncties, maar de overheid bevordert ook uit hoofde van het
toezicht de instelling van interne auditfuncties (bij banken en verzekeraars is dat
zelfs bij wet geregeld).
(Organisatie)doel. Archiefinspecties richten zich vanouds primair op naleving
van Archiefwet cum annexis - het doel van rechtmatigheid (compliance) dus. Interne
audits richten zich op andere organisatiedoelen (efficiency, risicobeperking etc.) en
veronderstellen daarbij (de borging van) rechtmatigheid. Archiefinspecties richten
zich niet zelden (en steeds meer) ook op organisatiedoelen anders dan rechtmatig
heid.
Focus. Bij archiefinspecties wordt vanouds meer naar de output van organisatie en
processen gekeken: strookt die output (in casu het archief en de wijze van beheer
ervan) met de bestaande regels? Die benadering heeft overeenkomst met die van de
accountancy - het vakgebied waaruit de professie van internal auditing is ontstaan.
De interne auditor kijkt primair en vanuit de optiek van de manager naar de
organisatie (beleid, organisatie, interne regels, procesinrichting et cetera) die een
of andere output of een of ander product of dienst levert.
...en een 'overeenkomst'
Met name deze verandering van focus is voor archiefinspecties nuttig en naar mijn
oordeel zelfs onvermijdelijk. In een moderne, digitale procesgerichte overheidsorga
nisatie hangt namelijk de rechtmatigheid van het archief en de wijze van beheer
ervan (output) steeds meer af van hoe die output tot stand komt (beleid, organisatie,
interne regels, procesinrichting et cetera)Wil je een goed oordeel kunnen vellen
over die rechtmatigheid, dan zul je naar beleid, processen en dergelijke moeten
kijken. Met die verandering van focus ligt tevens de weg open om in het verlengde
van de rechtmatigheidstoets ook andere organisatiedoelen ten aanzien van het
archief- en informatiebeheer in inspecties audits aan de orde te stellen. Bij dit alles
zijn de methoden en de technieken ontwikkeld binnen de internal auditing bijzonder
bruikbaar.
Ik behandel hieronder drie thema's, die in de leergang uitgebreid aan de orde
komen, en geef bij de bullets aan hoe ik in mijn inspectiepraktijk gebruik maak van
elementen die verband houden met theorie en methodieken van interne auditing -
of althans dat probeer. Op zichzelf zijn de zaken genoemd achter de bullets niet
nieuw (gelukkig maar), overall geven ze, zo is de bedoeling, een idee van hoe de
verbanden liggen.
Governing Body/Audit Committee
A
1st Line of Defense
iior Management
A
2nd Line of Defense
Financial Control
Security
Risk management
Quality
Inspection
Compliance
3rd Line of Defense
Paradigma: referentiemodel van een organisatie en
'plaats' van archiefinspectie
Het Three Lines of Defense model (schema) verschaft een helder en uit de praktijk
geboren model van de beheersing en sturing binnen moderne organisaties.4 Het
weerspiegelt de audit-manier van kijken naar organisaties: het audit-paradigma.
Idealiter is, in dit model, beheersing en sturing in het (primaire) proces geïntegreerd
(eerste line of defense, blokje links). Omdat dat niet altijd lukt, kunnen voor aspecten
van sturing en beheersing van de processen bijzondere afdelingen of functionarissen
zijn ingesteld die kwaliteit, compliance etc. van de processen moeten borgen (tweede
line of defense, blokje midden)De interne auditor beziet intern of dit geheel van
beheersing en sturing adequaat is en goed werkt (derde line of defense, blokje rechts)
De externe auditors (bijvoorbeeld externe accountant) en de regulators (bijvoor
beeld interbestuurlijk toezichthouder) staan buiten de organisatie en worden wel
aangeduid als de vierde line of defense.
Waar in het plaatje de interne archiefinspectie dan wel zit, daarover lopen de
opvattingen uiteen: tweede of derde linie? Gezien de gebondenheid aan de taak van
nalevingstoezicht op rechtmatigheid en de plaatsing onder het college ligt de tweede
linie voor de hand. Ook als een archiefdienst (en de inspectie) voor gemeenten werkt
'via' een gemeenschappelijke regeling, lijkt dat uiteindelijk het geval. Komen echter
bij de archiefinspecties ook andere doelen dan rechtmatigheid aan de orde, dan gaat
het richting derde lijn. Van een directe rapportagelijn met de Raad - die de onafhan
kelijke positie borgt - is geen sprake. De benoeming van de archiefinspecteur door het
college (of vergelijkbaar gremium) levert wel, gecombineerd met de archiefwettelijke
PROFESSIONALISERING
208
ARNOUD GLAUDEMANS DE LEERGANG OPERATIONAL AUDITING EN DE PRAKTIJK VAN ARCHIEFINSPECTIE
A
Manage
Internal
ment
Control
Controls
Measures
Internal
Audit
The Three Lines of Defense Model.
Adepted from ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41
4 Zie https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Three%20Lines%20
of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf.
209