Das Positionspapier „The Three Lines of Defense in Effective Risk Management and Control“ unterstützt die Interne Revision sowie andere interessierte Gruppen, die nicht der Berufsgruppe der Internen Revision angehören, beim Verständnis von wesentlichen Themen im Bereich Führung und Überwachung sowie Risiko und Kontrollen.

Tätigkeiten in Bezug auf das Risikomanagement und Kontrollen werden zunehmend auf mehrere Abteilungen und Divisionen verteilt. Unternehmen stehen demzufolge vor der Herausforderung Aufgaben sorgfältig und klar zu koordinieren, um sicherzustellen, dass Risiko- und Kontrollprozesse angemessen funktionieren und weder Kontrolllücken einerseits noch Doppelarbeiten andererseits entstehen. In diesem Zusammenhang wird das „Three Lines of Defense Modell“ (kurz: TLoD) als Rahmenwerk für ein funktionsfähiges Kontroll- und Überwachungssystem diskutiert, welches unabhängig von Art, Struktur und Komplexität der Organisation anwendbar ist.

Leitungsorgan, Führungskräfte und Überwachungsinstanzen sind verantwortlich für die Strategie- und Zielfestlegung sowie die erforderlichen Maßnahmen zur Umsetzung; sie bilden die primären Stakeholder und unterstützen oder leiten ggf. die Implementierung der Strukturen des TLoD-Modells:

• Die erste „Verteidigungslinie“ bildet das operative Management, welches für die Sicherstellung der Identifizierung, Beurteilung, Kontrolle sowie entsprechender Verminderung der Risiken im Rahmen des Tagesgeschäfts verantwortlich ist. Zusätzlich gewährleistet das operative Management die Übereinstimmung der Aktivitäten mit den Unternehmenszielen.
• Die zweite „Verteidigungslinie“ beinhaltet Risikomanagement-, Controlling- und Compliance-Funktionen, um die in der ersten „Verteidigungslinie“ konzipierten Kontrollen auszubauen und zu überwachen. Die Geschäftsleitung implementiert diese Funktionen, um sicherzustellen, dass die erste „Verteidigungslinie“ ordnungsgemäß aufgebaut ist und effektiv funktioniert.
• Die „dritte Verteidigungslinie“ stellt als objektive und unabhängige Prüfungs- und Beratungsinstanz die Interne Revision dar. Die Interne Revision unterstützt in dieser Funktion Geschäftsleitung, Führungskräfte und Überwachungsinstanzen und gibt Sicherheit über die Angemessenheit und Wirksamkeit der Überwachungs-, Risikomanagement- und Kontrollstrukturen.

Alle drei „Verteidigungslinien“ sollten nach diesem Positionspapier in jeder Organisation – unab-hängig von der Größe und Komplexität – eingerichtet werden. Je nach Größe und Struktur der Organisation unterscheidet sich das TLoD-Modell in seiner konkreten Ausgestaltung.

Zusätzlich können auch externe Instanzen, wie z.B. der Abschlussprüfer und Aufsichtsbehörden, die Überwachungsstruktur der Organisation unterstützen und somit eine tragende Rolle einnehmen. Häufig etablieren z.B. Abschlussprüfer weitere Anforderungen an ein Risikomanagementsystem und beurteilen die drei „Verteidigungslinien“ in ihrer Gesamtheit.

Das TLoD-Modell kann in folgender Abbildung abschließend zusammengefasst und veranschaulicht werden:

Quelle: In Anlehnung an: ECIIA/FERMA: Guidance on the 8th EU Company Law Directive. Article 41, S. 9 und IIA Position Paper: Three Lines of Defence in Effective Risk Management and Control. January 2013, S. 2.

Unabhängig von der Größe oder Komplexität sollten alle drei „Verteidigungslinien“ in jeder Organisation vorhanden sein. Jedoch können aufgrund von spezifischen Situationen – vor allem in kleineren Unternehmen – Linien zusammengefasst werden.

Für den vollständigen Text des Positionspapiers „The Three Lines of Defense in Effective Risk Management and Control“ vgl. die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).

Literatur:

• European Confederation of Institutes of Internal Auditing (ECIIA) / Federation of European Risk Management Associations (FERMA): Guidance on the 8th EU Company Law Directive. Article 41
• The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2011, Altamonte Springs, Florida, USA
• Deutsches Institut für Interne Revision (DIIR), Frankfurt am Main, Institut für Interne Revision Österreich (IIA Austria), Wien und Schweizerischer Verband für Interne Revision (IIA Switzerland), Zürich (Hrsg.): Internationale Standards und Praktische Ratschläge für die berufliche Praxis der Internen Revision 2011