Es gibt eine Vielzahl an Teams, die der Organisation helfen, Risiken zu reduzieren. Beispielhaft seien die Interne Revision, das Risikomanagement, Compliance oder auch Forensik genannt. Jeder dieser Akteure hat eine einzigartige Perspektive auf die Organisation und kann unterschiedliche Stärken in das unternehmensweite Risikomanagement einbringen. Hieraus kann jedoch ein Koordinationsproblem entstehen, wenn die Verantwortungen der verschiedenen Abteilungen nicht klar geregelt sind. So könnten Abstimmungsprobleme dazu führen, dass Informationen nicht weitergeleitet werden, Bereiche doppelt geprüft werden oder sich der Überwachung entziehen. Das Three-Lines-of-Defense Modell ist ein Ansatz zur Strukturierung der verschiedenen Rollen, der unabhängig von der Größe oder Komplexität des Unternehmens anwendbar ist.
Auf der ersten Verteidigungslinie befindet sich das operative Management. Es trägt die Verantwortung für Risiken und muss diese über das interne Kontrollsystem oder Managementkontrollen steuern. Die zweite Verteidigungslinie beinhaltet Risikomanagement und Compliance, welche die Risiken überwachen. Die Interne Revision hingegen befindet sich auf der dritten Verteidigungslinie und soll die Angemessenheit und Wirksamkeit der vorangegangenen Verteidigungslinien sicherstellen. Die drei Verteidigungslinien bilden die interne Governance Struktur, während Wirtschaftsprüfer und Regulatoren außerhalb des Unternehmens Einfluss auf die Governance des Unternehmens nehmen (externe Governance Struktur).
Im Gegensatz zu den ersten beiden Verteidigungslinien hat die Interne Revision ein hohes Maß an Unabhängigkeit und Objektivität, mit der sie sicherstellen kann, dass die jeweiligen Funktionen ihre Stärken effektiv einbringen können. Auf diese Weise sichert sie die Effektivität der einzelnen Funktionen und der Verteidigungslinien, aber auch eine wirksame Koordination.
Um Risiken unternehmensweit erfolgreich zu managen, empfehlen wir:
- die Risiken und Kontrollprozesse anhand des Three-Lines-of-Defense-Modells zu strukturieren,
- die Rollen jeder Verteidigungslinien über Richtlinien festzulegen,
- die einzelnen Verteidigungslinien so zu koordinieren, dass sie möglichst effektiv und effizient funktionieren,
- den Informationsaustausch zwischen den Verteidigungslinien zu gewährleisten, damit die jeweiligen Funktionen ihre Rolle effektiv ausfüllen können,
- in Fällen, in denen vom Three-Lines-of-Defense-Modell abgewichen wird, auf die Auswirkungen hinzuweisen und den Stakeholdern zu vermitteln, wie eine effektive Governance erreicht werden soll.
Weitere Informationen finden Sie hier: