Drei-Linien-Modell des IIA

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 17. Juni 2016 um 16:25 Uhr durch Duden Dude (Diskussion | Beiträge). Sie kann sich erheblich von der aktuellen Version unterscheiden.
Zur Navigation springen Zur Suche springen
Dieser Artikel wurde am 17. Juni 2016 auf den Seiten der Qualitätssicherung eingetragen. Bitte hilf mit, ihn zu verbessern, und beteilige dich bitte an der Diskussion!
Folgendes muss noch verbessert werden: vollprogramm, sofern relevant--Lutheraner (Diskussion) 17:14, 17. Jun. 2016 (CEST)

Das Three Lines of Defense-Modell (kurz: TLoD; auch Modell der drei Verteidigungslinien) ist ein Modell zur systematischen Herangehensweise an Risiken, welche in Unternehmen und Organisationen auftreten können. Diese müssen frühzeitig erfasst, identifiziert, analysiert und bewertet, sowie innerhalb der Unternehmung kommuniziert werden.[1]

Allgemeines und gesetzliche Grundlagen

Das Ausgangsproblem liegt darin, dass Unternehmen komplexer werden. Sie werden zunehmend untergliedert und in verschiedene Abteilungen aufgeteilt. Dennoch müssen alle Teile gemeinsam koordiniert und mögliche Risiken für das gesamte Unternehmen identifiziert werden.[2] Diese Aufgabe wird von Abteilungen, Teams oder einzelnen Personen, welche sich mit dem Management der Risiken auseinandersetzen, übernommen. Die Risiken werden identifiziert und ihre Größe eingeschätzt.[3] Mit dem in Kraft treten des KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) am 30.04.1998 fällt das Management von Risiken auch endgültig den Vorständen und Geschäftsführern zu (vgl. §91 Abs. 2 AktG). Zudem wird die Einrichtung von Risikoüberwachungssystemen, sowie die Pflicht sich mit Risiken innerhalb des Unternehmens auseinander zu setzen (§03 Abs. 1 Satz1 AktG bzw. §43 Abs.1 GmbHG) gefordert. Das daraus resultierende Risikomanagement im Unternehmen soll sicherstellen, dass Risiken frühzeitig erfasst, analysiert, bewertet, koordiniert und innerhalb des Unternehmens weitergeleitet werden. Zur Umsetzung muss ein im Unternehmen akzeptiertes Risikomanagement als Basis des unternehmerischen Handelns aufgebaut werden.[1] Für das Erfüllen der Richtlinien gibt es verschiedene Möglichkeiten, eine davon ist das Three Lines of Defense Modell.

Aufbau des TLoD-Modells

Das TLoD-Modell erlaubt ein systematisches Herangehen an Risiken im Unternehmen. Sowohl die Verbesserung der Kommunikation innerhalb der Organisation, als auch die genaue Aufgabenidentifikation einzelner Personen, erlaubt ein effektives Risikomanagement.[3] Zudem ist die Anwendung des TLod Modells nicht größen- oder strukturgebunden.

Folgende drei (zusammenhängende) Verteidigungslinien bilden das Risikomanagementsystem: die First Line of Defense (operatives Management), die Second Line of Defense (dient u.a. dem Risikomanagement) und die dritte Verteidigungslinie (interne Revision).[2]

First Line of Defense

Die erste Verteidigungslinie bildet das operative Management. Probleme des Alltagsgeschäftes werden hier bewertet, beobachtet und gegeben falls behoben. Es geht um Fragen wie: Sind alle Unternehmensaktivitäten und Risikomanagementaktivitäten mit den Unternehmenszielen im Einklang? Mängel im Unternehmensprozess werden korrigiert. Mögliche Risiken werden identifiziert, bewertet und nach der Höhe eingeschätzt. Bei Bedarf werden Risiken auch sofort umgeleitet.[3]

Second Line of Defense

Die zweite Verteidigungslinie dient der Überwachung und Unterstützung der Ersten. Durch Risikomanagementfunktionen werden die Tätigkeiten des operativen Managements erleichtert und kontrolliert. Das Höchstrisiko, dem ein Unternehmen ausgesetzt werden kann, wird definiert bzw. das Gefährdungspotential hergeleitet. Außerdem erfolgt hier das Reporting der Risiken innerhalb des gesamten Unternehmens und an CEO, das Board of Directors, u.ä. Das Board of Directors ist für die generelle Übersicht des Risikomanagements verantwortlich, wobei hier wichtig ist, dass jeder im Unternehmen für das Risikomanagement eine wichtige Rolle spielt.[4] Die Second Line of Defense prüft zusätzlich die Konformität des Unternehmens mit Gesetzen und Regeln des Unternehmens. Weitere Aufgaben sind das Financial Reporting und die Kontrolle von Health & Safety, Umweltrichlinien und Qualität.[3] Zusammenfassend dient diese Line der Sicherstellung der Effektivität der ersten Line.

Third Line of Defense

Nach dem IDW Prüfungsstandard 340 ist eine unabhängige Instanz gefordert, welche das Risikomanagement eines Unternehmens überwacht. Dies ist die Aufgabe der Third Line of Defense.[5] Sie bildet die interne Revision. Das Unternehmen wird hier von einer unabhängigen, objektiven Seite betrachtet und die Effektivität, interne Kontrollmechanismen sowie die Arbeit der ersten beiden Lines bewertet. Eine weitere Aufgabe ist das Reporting an Senior Management und Governing Bodies. Hier sind beispielsweise die Unternehmensziele, Vermögensschutz, Integrität, die Einhaltung der Regulierungen und der Umgang mit Risiko Thema.[3] Somit unterstützt die Third Line die Geschäftsleitung und die Überwachungsinstanzen bei den Überwachungs- und Risikomanagementaufgaben.[2]

External Auditors

External Auditors sind externe Instanzen welche bei der Überwachung der drei Verteidigungslinien behilflich sind. Dazu gehören beispielsweise Abschlussprüfer.[2]

Der Aufsichtsrat im TLoD-Modell

Der Aufsichtsrat (engl.: Governing Bodies oder Board of Directors) spielt für das Unternehmen und für das Risikomanagement eine wichtige Rolle. Er ist der primäre Stakeholder. Das bedeutet, er wird als erstes über die Geschehnisse im Unternehmen informiert. Der Aufsichtsrat ist für die Umsetzung der verschiedenen Strategien im Unternehmen verantwortlich, er reflektiert und bewertet die Situation im Unternehmen. Zudem werden hier die allgemeinen Zielfestlegungen des Risikomanagements bestimmt und weitergeleitet.[3]

Harmonisierung der Lines

Grundsätzlich sollte jedes Unternehmen über alle drei Verteidigungslinien verfügen. Wie sie im Unternehmen angesetzt werden hängt von der Größe und der Struktur jedes Einzelnen ab. Durch regelmäßige Überprüfung der Tätigkeiten, sowie durch das Kombinieren oder Verknüpfen der Lines, kann die Effektivität gesteigert werden.[6] Generelle Anweisungen über die Regeln und Aufgabenfelder müssen von den Governing Bodies oder dem Board of Directors kommen. Sie müssen dem Risikomanagement sagen, welche Erwartungen und Ziele zu erfüllen sind.[3]

Literatur

  • Martin K. Welge und Marc Eulerich: Corporate-Governance-Management: Theorie und Praxis der guten Unternehmensführung, Springer-Verlag (2014), ISBN 978-3-8349-4539-6

Einzelnachweise

  1. a b [1] Füser, K. & Gleißner, W. (1999). in: Risikomanagement (KonTraG) - Erfahrungen aus der Praxis in Der Betrieb(15), S. 753-758. Abgerufen am 01. Juni 2016.
  2. a b c d Bungartz Dr., O. (2013). Interne Revision Digital. [2].Abgerufen am 1. Juni 2016.
  3. a b c d e f g IIA Position Paper. (Januar 2013). Three Lines of Defence in Effective Risk Management and Control. S. 1-7.
  4. Luzzi, Jorge (FERMA); Dittmeier, Carolyn (ECIIA)(2011). Guidance on the 8th EU Company Law Directive. Article 41. European Confederation of Institutes of Internal Auditing (ECIIA) / Federation of European Risk Management Associations (FERMA).
  5. [3]Gleißner, W., & Romeike, F. (2015).in: Implikation des IIR-Revisionsstandard Nr. 2 - Prüfung des Risikomanagement durch die Interne Revision. in: RISIKO MANAGER(1), S. 31-34. Abgerufen am 01.Juni 2016.
  6. Daumann, M. (2015). Drei Verteidigungslinien - erfolgreiche Verzahnung. in: Die Bank(10), S. 58-61.