Am 20. Juli 2020 hat das Institute of Internal Auditors (IIA) eine aktualisierte Fassung des Three Lines of Defense Models herausgebracht: The Three Lines Model. Nachfolgend möchte ich Ihnen zusammenfassen, welche Neuerungen das Modell beinhaltet.

Seit Jahren gilt das Three Lines of Defense Model als ein populärer Ansatz für Unternehmen, um ein wirkungsvolles Risikomanagement zu etablieren. Das Modell definiert drei sogenannte Verteidigungslinien: First, Second und Third Line. Diese drei Verteidigungslinien bestehen aus dem operativen Management (First Line), der Risiko- und Kontrollmanagementfunktionen (Second Line) und dem Internal Audit (Third Line).

Links: IIA Position Paper: Three Lines of Defense in Effective Risk Management and Control (January 2013). Rechts: The IIA’s Three Lines Model (July 2020).

Ein großer Kritikpunkt war immer, dass der Fokus dieses Modells nur auf der Verteidigung lag. Wahrscheinlich ist es deshalb auch nicht verwunderlich, dass das Wort „Defense“ seinen Platz räumen musste. Das neue Three Lines Model legt den Fokus auf einen ganzheitlichen Ansatz zur Umsetzung eines erfolgreichen Risikomanagements im Zusammenspiel mit der Erreichung der Unternehmensziele.

Was hat sich grundlegend verändert?

Auch wenn das Modell immer noch Three Lines Model heißt, ist die Übernahme des Wortes „Line“ nur als Anlehnung an das Three Lines of Defense Model gedacht. Eigentlich werden in dem neuen Modell verschiedene Rollen beschrieben. Auch wurden die Begriffe FirstSecond und Third Line aus dem ursprünglichen Modell übernommen, obwohl es einerseits nicht nur drei Schlüsselrollen gibt und andererseits keine Ordnung oder Rangfolge vorliegt. Alle Rollen werden in dem Modell gleichwertig betrachtet.

Das Paper, in dem das Modell veröffentlicht wurde, besteht aus vier Teilen. Im ersten Schritt werden dem Modell sechs Grundprinzipien für ein erfolgreiches Risk Management zugrunde gelegt. Diese sechs Prinzipien beinhalten auch die vier Schlüsselrollen, die im zweiten Teil näher beschrieben werden. Alle Schlüsselrollen stehen in einem bestimmten Verhältnis zueinander, welches im dritten Teil des Papers dargestellt wird. Im letzten Teil werden dem Leser Hilfestellungen zur Anwendung des Modells mit auf den Weg gegeben.

Die sechs Grundprinzipien des Three Lines Models

Wenn Sie die sechs Grundprinzipien lesen, werden Sie bemerken, dass diese keine grundsätzlich neuen Anforderungen sind:

Das erste Prinzip befasst sich mit der Governance des Unternehmens. Ein Unternehmen muss ein Leitungsgremium (governing body) stellen, welches gegenüber den Stakeholdern verantwortlich ist. Die Managementebene hat entsprechend der Unternehmensziele zu handeln und dabei risikobasierte Entscheidungen zu treffen. Im letzten Schritt muss durch die Funktion des Internal Audits das Handeln der Managementebene bestätigt werden.

Im zweiten Prinzip wird die Rolle des Leitungsgremiums näher beschrieben. Die Aufgaben des Leitungsgremiums befassen sich mit der Einrichtung von Strukturen und Prozessen zur Unternehmensführung und der Sicherstellung, dass die Unternehmensziele und -aktivitäten mit den Anforderungen der Stakeholder übereinstimmen. Um diese Aufgaben zu erfüllen, werden die nötigen Aktivitäten und Ressourcen an das Management weiterdelegiert und eine entsprechende Internal Audit Funktion zur Überwachung eingerichtet.

Das dritte Prinzip befasst sich mit dem Management und der Rolle der ersten und zweiten Linie. Dabei wird die Rolle der ersten Linie durch das operative Management gebildet. Darunter fallen auch Back-Office-Funktionen, wie bspw. der Personalleiter oder das Gebäudemanagement. Die Rolle der zweiten Linie bilden Funktionen, die sich mit risikorelevanten Themen beschäftigen, bspw. der Risk- oder Compliance-Manager.

Das vierte Prinzip beschreibt die Rolle der dritten Linie, das Internal Audit. Wie schon unter dem ersten Prinzip beschrieben, obliegt dem Internal Audit die Aufgabe objektiv das Governance und Risk Management des Unternehmens zu überwachen, zu bestätigen und auch beratend dem Leitungsgremium und dem Management zur Seite zu stehen. Das Ziel besteht aus einer kontinuierlichen Verbesserung des Governance und Risk Managements.

Innerhalb des fünften Prinzips wird definiert, dass das Internal Audit bei seiner Tätigkeit uneingeschränkten Zugriff auf Personen, Ressourcen und Daten haben muss, dem Leitungsgremium direkt unterstellt ist und seine Unabhängigkeit bewahrt werden muss.

Zu guter Letzt befasst sich das sechste Prinzip mit der Schaffung und dem Schützen von Werten durch die Zusammenarbeit, Kommunikation und Kooperation der vier Schlüsselrollen. Durch dieses Zusammenspiel ist es möglich, zuverlässige Informationen zu erhalten, um risikoorientierte Entscheidungen treffen zu können.

Nachdem die einzelnen Rollen nochmals näher erläutert werden, wird auch die bekannte fünfte Rolle des externen Prüfungsdienstleisters (External Assurance Provider) kurz genannt und beschrieben.

Beziehung der Rollen zueinander

Im weiteren Verlauf befasst sich das Modell mit den Beziehungen der Rollen zueinander. Einerseits gibt das Leitungsgremium die Richtung des Unternehmens vor und definiert bspw. den Risikoappetit. Um dies zu verwirklichen, werden Ressourcen und Aufgaben an das Management (erste und zweite Linie) weitergegeben. Diese berichten im Umkehrschluss über den Plan/Ist der Ergebnisse oder die Risiken.

Wie bereits im Prinzip fünf erläutert, muss das Internal Audit unabhängig in seiner Planung und Ausführung seiner Tätigkeiten sein. Dies schließt allerdings nicht aus, dass keine Kommunikation zwischen dem Management und dem Internal Audit stattfinden kann. Ein regelmäßiger Austausch ist unabdingbar, um einerseits feststellen zu können, ob die Tätigkeiten des Internal Audits mit den Unternehmenstätigkeiten und ihren Bedürfnissen übereinstimmen und ob es ggf. Doppelungen in den Tätigkeiten des Managements und des Internal Audits gibt. Außerdem baut das Internal Audit durch seine Tätigkeiten ein relativ großes Wissen über die Strukturen und Abläufe im Unternehmen auf und kann durchaus als Berater und strategischer Partner angesehen werden.

Das Leitungsgremium beaufsichtigt das Internal Audit, stellt sicher, dass eine unabhängige Funktion des Internal Audits etabliert ist und ist für die Einstellung des Head of Internal Audit zuständig. Der Head of Internal Audit berichtet regelmäßig dem Leitungsgremium und kann uneingeschränkt auf ihn zugreifen.

Durch die sechs Prinzipien, den daraus resultierenden Schlüsselrollen und den Beziehungen der Rollen untereinander ist ein neues Modell entstanden, welches nur dann erfolgreich sein kann, wenn alle beteiligten Rollen untereinander kooperieren, kommunizieren und zusammenarbeiten.

The IIA’s Three Lines Model (July 2020).

Im letzten Teil des Papers werden verschiedene Ansätze zur Umsetzung des Modells beschrieben. Es werden Möglichkeiten für unterschiedlichen Unternehmensstrukturen und -größen dargestellt, die eine gute Hilfestellung bieten können.

Fazit und Bewertung

Die Hauptfunktionalitäten des Three Lines of Defense Models werden durch das neue Modell nicht verändert. Allerdings bietet die neue Ausrichtung des Three Lines Modelseinen neuen Ansatz zur Unterstützung eines erfolgreichen Risikomanagementsystems. Durch den Fokus auf den Beziehungen und der Zusammenarbeit unter den einzelnen Schlüsselrollen, wurde ein Modell geschaffen, welches nicht nur die Verteidigung, sondern auch die Schaffung von Mehrwerten berücksichtigt. Es wird deutlich, was die Aufgabe der einzelnen Rollen darstellt und wie wichtig diese Abgrenzung ist, um das Unternehmen vor Risiken zu schützen und somit die Unternehmensziele im Sinne der Stakeholder zu erreichen.

In vielen Projekten, in denen ich bisher tätig war, ist das Zusammenspiel von den einzelnen Parteien zweitrangig und gerade das Internal Audit wird oftmals als Gegenspieler gesehen. Daher freut es mich, dass in diesem Modell noch einmal die Wichtigkeit dieser Zusammenarbeit und auch der Funktion des Auditors als strategischer Partner und Berater hervorgehoben wird.

Sie haben immer noch nicht genug
von Änderungen des Three Lines of Defense Model?

Mit unserem Newsletter erhalten Sie alle zwei Wochen

  • aktuelle Artikel und Whitepaper,
  • unsere Kategorien "schon gewusst?" und "was uns gerade inspiriert"
  • und die aktuellen Termine unserer Audinare.

Was erhalten wir dafür?

  • Die Chance Sie von uns und unserem Know-how zu überzeugen.