Die Three Lines of Defence – Eine Einleitung

Das Governance, Risk & Compliance (GRC) System eines Unternehmens oder einer Organisation stellt unbestritten einen wesentlichen Bestandteil der Unternehmensführung („Corporate Governance“) dar. Verschiedene Managementfunktionen wie Risikomanagement, Compliance-Management, Internes Kontrollsystem, Sicherheitsmanagement, Datenschutz oder Notfall- und Krisenmanagement dienen dazu, das Unternehmen vor Gefahren und Risiken zu bewahren und den Fortbestand zu sichern.

Dabei spielt die technische und organisatorische Ausgestaltung dieser Funktionen eine entscheidende Rolle im Hinblick darauf, wie effektiv und effizient diese Aufgaben erfüllt werden können.

Beim Aufbau eines GRC-Systems gibt es grundsätzlich zwei Strategien, den Ansatz der isolierten Systeme, der sogenannten Management-Inseln, oder den integrierten Ansatz, der Synergien zwischen den einzelnen Funktionen schafft.

Im Zuge des ersten, des isolierten Ansatzes, definiert jede GRC-Funktion für sich ein Managementsystem, ohne Abhängigkeiten mit anderen GRC-Funktion zu berücksichtigen und ohne die Auswirkungen auf die operativen Einheiten zu bedenken. Vielversprechender im Vergleich dazu ist es, das GRC-System mit den verschiedenen Managementfunktionen integriert aufzusetzen.

Diese Gegenüberstellung macht deutlich, dass Unternehmen beim Aufbau ihres GRC-Systems auf einen integrierten Ansatz setzen sollten. Das bedingt zwar einerseits eine verstärkte Abstimmung zwischen den einzelnen Themenbereichen, die Vorteile eines integrierten GRC-Systems sprechen allerdings für sich. Als Basis für dessen Aufbau und Betrieb hat sich dabei das Three-Lines-of-Defence-Modell (kurz: TLoD; auch Modell der drei Verteidigungslinien) der European Confederation of Institutes of Internal Auditing (ECIIA) & der Federation of European Risk Management Associations (FERMA) bewährt, um die Interaktionen der verschiedenen Funktionen und Rollen zu beschreiben.

Das Modell der Three Lines of Defence ist ein anerkanntes und bewährtes Modell, um die verschiedenen Bestrebungen und Themen der Risikobewältigung eines Unternehmens zu gliedern und zu erklären. Das Modell unterteilt eine Organisation in 3 Verteidigungslinien, die sogenannten Three Lines of Defence, die die Aufgaben für die operativen Einheiten, die GRC-Funktionen bzw. die Überwachung definieren.

Operatives Management als 1st Line of Defence

Die 1st Line of Defence ist durch das operative Management gekennzeichnet. Dieses besteht aus Sicht der Aufbauorganisation typischerweise aus den Abteilungsleitern bzw. Bereichsleitern, die die fachliche Verantwortung aller Prozesse in diesem Bereich innehaben. Über diese Prozesse werden die Aufgaben innerhalb der Organisationseinheit strukturiert und definiert. Mit der Prozessverantwortung geht insbesondere die Verantwortung für Kennzahlen, Risiken, Kontrollen und die Einhaltung von Compliance-Vorgaben einher.

GRC-Funktionen oder Assurance-Services als 2nd Line of Defence

Die „Hüter der Systeme“ der verschiedenen Disziplinen befinden sich auf der 2nd Line of Defence und definieren das Vorgehen und die Methode, um die verschiedenen Aufgaben bzw. Pflichten innerhalb der jeweiligen Funktion wahrnehmen und erfüllen zu können. Dazu zählen Funktionen wie:

• Prozessmanagement
• Risikomanagement
• Internes Kontrollsystem
• Compliance-Management
• Corporate Security Management
• Datenschutz (DSGVO)
• aber auch Qualitätsmanagement, Umweltschutz und Arbeitssicherheit

Interne Revision als 3rd Line of Defence

Die interne Revision bzw. externen Prüfer übernehmen in der 3rd Line of Defence die Aufgaben der Überwachung und des Monitorings des GRC- bzw. Governance-Systems, sowie auch die Prüfung auf dessen Effektivität und Effizienz.

Im Rahmen der Definition der Governance-Struktur sind alle Aufgaben umfasst, die es zu erledigen gilt, um das System für die jeweilige Aufgabe zu definieren. Dazu gilt es für jedes System grundlegende Festlegungen u.a. hinsichtlich Rollen, verwendete Methoden, Toolunterstützung, Knowledge-Management, Reifegradmessung oder Supportunterstützung der operativen Einheiten zu definieren. Diese Definitionen werden typischerweise in Handbüchern oder Richtlinien festgehalten, die für das operative Management als Handlungsanweisung dienen.

Im Kontext des integrierten GRC kommt diesem Aufgabengebiet eine besondere Bedeutung zu, da hier die Abstimmungen zu wesentlichen Themen (Rollendefinition, Methoden, Tool, usw.) funktionsübergreifend stattfinden.

Dem operativen Management kommt im Rahmen des Three-Lines-of-Defence-Modells eine besondere Bedeutung zu. Schließlich gilt es, alle Aufgaben seitens der GRC-Funktion neben dem Tagesgeschäft gewissenhaft und fristgerecht zu erledigen. Nicht selten kommt dies einem Drahtseilakt gleich, in dem die Balance zwischen den verschiedenen Aufgaben gefunden werden muss.

Daher ist es für die GRC-Funktionen umso wichtiger, sich auf Ebene der 2nd Line of Defence bestmöglich abzustimmen, um dem operativen Bereich eine effiziente Aufgabenerfüllung zu ermöglichen. In jedem Fall sollten doppelte oder mehrfache Datenerhebungen vermieden werden, um keine unnötigen Ressourcen auf operativer Ebene zu binden.

Generell muss das operative Management verschiedene Aufgaben für eine GRC-Funktion erfüllen. Dabei sollte es das oberste Ziel sein, gleiche Aufgaben für verschieden Systeme nur einmal erfüllen zu müssen.

Unbestritten eignet sich das Modell der Three Lines of Defence hervorragend dazu, um die einzelnen Themen und Aufgaben des unternehmensweiten Risikomanagements auf verschiedene Ebenen der Unternehmensführung aufzuteilen. Dieses Modell rein dafür zu nutzen, um Begriffe zu definieren bzw. Verantwortlichkeiten festzulegen, würde einige Potenziale auf der Strecke lassen. Den vollen Nutzen entfaltet dieser Ansatz, wenn die Systemverantwortlichen entlang der 2nd Line of Defence das Potenzial der Zusammenarbeit erkennen, um Querschnittsthemen gleichermaßen zu betrachten, und um dem operativen Management die Chance zu geben, die geforderten Aufgaben effizient, umfänglich und fristgerecht abzuschließen. Die Abbildung der Three Lines of Defence ermöglicht zudem die Line-übergreifende Zusammenarbeit, v. a. der 1st und 2nd Line of Defence. Darüber hinaus erspart der dabei entstehende integrierte, und zentrale Datenbestand der internen Revision bzw. externen Prüfern eine aufwändige Datensammlung und die sofort verfügbaren, übersichtlichen und historisch nachvollziehbaren Daten reduzieren den Aufwand für die Datenanalyse. Diese Aspekte verschaffen der Revision zusätzliche Ressourcen, die für die Ausarbeitung von Verbesserungspotenzialen sowie für Beratungstätigkeiten genutzt werden können.

Die Erfolgsfaktoren des integrierten GRC anhand des Three-Lines-of-Defence-Modells sind:

• Zusammenarbeit der Managementfunktionen entlang der 2nd line of Defence im Zuge der Definition der Governance-Struktur und im Bereich des strategischen Managements
• Definition von gemeinsamen Methoden und die Verwendung einer einheitlichen technischen Unterstützung
• Verwendung einer gemeinsamen Sprache für dieselben Themen innerhalb der Organisation

BOC Group verfügt über eine langjährige Erfahrung in der Beratung und der Einführung eines integrierten GRC-Systems und bietet dabei nicht nur Fachberatung, sondern auch eine umfassende Toolunterstützung sowie Trainings für eine erfolgreiche Umsetzung und den weiterführenden Betrieb. Gerne meistern wir gemeinsam mit Ihnen, Ihren Wandel in Richtung eines prozessorientierten, integrierten GRC-Systems!