Drei-Linien-Modell des IIA
Das Three-Lines-of-Defense-Modell (kurz: TLoD; auch Modell der drei Verteidigungslinien) ist ein Modell zur systematischen Herangehensweise an Risiken, die in Unternehmen und Organisationen auftreten können. Diese müssen frühzeitig erfasst, identifiziert, analysiert und bewertet, sowie innerhalb der Unternehmung kommuniziert werden.[1]
Allgemeines und gesetzliche Grundlagen
Das Ausgangsproblem liegt darin, dass Unternehmen komplexer werden. Sie werden zunehmend untergliedert und in verschiedene Abteilungen aufgeteilt. Dennoch müssen alle Teile gemeinsam koordiniert und mögliche Risiken für das gesamte Unternehmen identifiziert werden.[2] Diese Aufgabe wird von Abteilungen, Teams oder einzelnen Personen, die sich mit dem Management der Risiken auseinandersetzen, übernommen. Die Risiken werden identifiziert und ihre Größe eingeschätzt.[3]
Mit dem Inkrafttreten des KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) am 30. April 1998 fiel das Management von Risiken auch endgültig den Vorständen und Geschäftsführern zu (vgl. § 91 Abs. 2 AktG). Zudem werden die Einrichtung von Risikoüberwachungssystemen, sowie die Pflicht sich mit Risiken innerhalb des Unternehmens auseinanderzusetzen (§ 93 Abs. 1 Satz 1 AktG bzw. § 43 Abs. 1 GmbHG) gefordert. Das daraus resultierende Risikomanagement im Unternehmen soll sicherstellen, dass Risiken frühzeitig erfasst, analysiert, bewertet, koordiniert und innerhalb des Unternehmens weitergeleitet werden. Zur Umsetzung muss ein im Unternehmen akzeptiertes Risikomanagement als Basis des unternehmerischen Handelns aufgebaut werden.[1]
Für das Erfüllen der Richtlinien gibt es verschiedene Möglichkeiten, eine davon ist das Three-Lines-of-Defense-Modell.
Aufbau
Das Modell erlaubt ein systematisches Herangehen an Risiken im Unternehmen. Sowohl die Verbesserung der Kommunikation innerhalb der Organisation, als auch die genaue Aufgabenidentifikation einzelner Personen, erlaubt ein effektives Risikomanagement.[3] Zudem ist die Anwendung des Modells nicht größen- oder strukturgebunden.
Folgende drei (zusammenhängende) Verteidigungslinien bilden das Risikomanagementsystem: die First Line of Defense (operatives Management), die Second Line of Defense (dient u. a. dem Risikomanagement) und die dritte Verteidigungslinie (interne Revision).[2]
First Line of Defense
Die erste Verteidigungslinie bildet das operative Management. Probleme des Alltagsgeschäftes werden hier bewertet, beobachtet und gegebenenfalls behoben. Es geht um Fragen wie: Sind alle Unternehmensaktivitäten und Risikomanagementaktivitäten mit den Unternehmenszielen im Einklang? Mängel im Unternehmensprozess werden korrigiert. Mögliche Risiken werden identifiziert, bewertet und nach der Höhe eingeschätzt. Bei Bedarf werden Risiken sofort umgeleitet.[3]
Second Line of Defense
Die zweite Verteidigungslinie dient der Überwachung und Unterstützung der ersten. Durch Risikomanagementfunktionen werden die Tätigkeiten des operativen Managements erleichtert und kontrolliert. Das Höchstrisiko, dem ein Unternehmen ausgesetzt werden kann, wird definiert bzw. das Gefährdungspotential hergeleitet. Außerdem erfolgt hier das Reporting der Risiken innerhalb des gesamten Unternehmens und an CEO, das Board of Directors, u. ä. Das Board of Directors ist für die generelle Übersicht des Risikomanagements verantwortlich, wobei hier wichtig ist, dass jeder im Unternehmen für das Risikomanagement eine wichtige Rolle spielt.[4] Die Second Line of Defense prüft zusätzlich die Konformität des Unternehmens mit Gesetzen und Regeln des Unternehmens. Weitere Aufgaben sind das Financial Reporting und die Kontrolle von Health & Safety, Umweltrichtlinien und Qualität.[3] Zusammenfassend dient diese Line der Sicherstellung der Effektivität der ersten Line.
Third Line of Defense
Nach dem IDW Prüfungsstandard 340 ist eine unabhängige Instanz gefordert, die das Risikomanagement eines Unternehmens überwacht. Dies ist die Aufgabe der Third Line of Defense.[5] Sie bildet die interne Revision. Das Unternehmen wird hier von einer unabhängigen, objektiven Seite betrachtet und die Effektivität, interne Kontrollmechanismen sowie die Arbeit der ersten beiden Lines bewertet. Eine weitere Aufgabe ist das Reporting an Senior Management und Governing Bodies. Hier sind beispielsweise die Unternehmensziele, Vermögensschutz, Integrität, die Einhaltung der Regulierungen und der Umgang mit Risiko Thema.[3] Somit unterstützt die Third Line die Geschäftsleitung und die Überwachungsinstanzen bei den Überwachungs- und Risikomanagementaufgaben.[2]
External Auditors
External Auditors sind externe Instanzen, die bei der Überwachung der drei Verteidigungslinien behilflich sind. Dazu gehören beispielsweise Abschlussprüfer.[2]
Der Aufsichtsrat im TLoD-Modell
Der Aufsichtsrat (englisch Governing Bodies oder Board of Directors) spielt für das Unternehmen und für das Risikomanagement eine wichtige Rolle. Er ist der primäre Stakeholder und wird als erstes über die Geschehnisse im Unternehmen informiert. Der Aufsichtsrat ist für die Umsetzung der verschiedenen Strategien im Unternehmen verantwortlich, er reflektiert und bewertet die Situation im Unternehmen. Zudem werden hier die allgemeinen Zielfestlegungen des Risikomanagements bestimmt und weitergeleitet.[3]
Harmonisierung der Lines
Grundsätzlich sollte jedes Unternehmen über alle drei Verteidigungslinien verfügen. Wie sie im Unternehmen angesetzt werden hängt von der Größe und der Struktur jedes Einzelnen ab. Durch regelmäßige Überprüfung der Tätigkeiten, sowie durch das Kombinieren oder Verknüpfen der Lines, kann die Effektivität gesteigert werden.[6]
Generelle Anweisungen über die Regeln und Aufgabenfelder müssen von den Governing Bodies oder dem Board of Directors kommen. Sie müssen dem Risikomanagement mitteilen, welche Erwartungen und Ziele zu erfüllen sind.[3]
Literatur
- Martin K. Welge und Marc Eulerich: Corporate-Governance-Management: Theorie und Praxis der guten Unternehmensführung, Springer-Verlag (2014), ISBN 978-3-8349-4539-6.
Einzelnachweise
- ↑ a b [1] Füser, K. & Gleißner, W. (1999). in: Risikomanagement (KonTraG) - Erfahrungen aus der Praxis in Der Betrieb(15), S. 753–758. Abgerufen am 1. Juni 2016.
- ↑ a b c d Bungartz Dr., O. (2013). Interne Revision Digital. [2]. Abgerufen am 1. Juni 2016.
- ↑ a b c d e f g IIA Position Paper. (Januar 2013). Three Lines of Defence in Effective Risk Management and Control. S. 1–7.
- ↑ Luzzi, Jorge (FERMA); Dittmeier, Carolyn (ECIIA)(2011). Guidance on the 8th EU Company Law Directive. Article 41. European Confederation of Institutes of Internal Auditing (ECIIA) / Federation of European Risk Management Associations (FERMA).
- ↑ [3]Gleißner, W., & Romeike, F. (2015).in: Implikation des IIR-Revisionsstandard Nr. 2 - Prüfung des Risikomanagement durch die Interne Revision. in: RISIKO MANAGER(1), S. 31–34. Abgerufen am 1. Juni 2016.
- ↑ Daumann, M. (2015). Drei Verteidigungslinien - erfolgreiche Verzahnung. in: Die Bank (10), S. 58–61.