Three Lines of Defense: Die 1,5-Linie erweitert das klassische Model

Das Three-Lines-of-Defense-Modell

Ein Organisationskonzept zur Steuerung von Risiken

Keyfacts:

  • Das Three-Lines-of-Defense-Modell ist ein Modell zur Organisation des Risikomanagements, das insbesondere in der Finanzbranche hohe Akzeptanz gefunden hat.
  • Es unterscheidet drei Verteidigungslinien, die in ihrer Gesamtheit ein hoch leistungsfähiges Risikomanagement in Organisationen sicherstellen sollen.
  • Das grundlegende Modell ist in den vergangenen Jahren zum Three-Lines-Modell weiterentwickelt worden. In der Praxis etabliert sich außerdem zusätzlich immer wieder eine 1,5-Linie.

    Die Anforderungen an das Risikomanagement in Unternehmen sind in den vergangenen Jahren erheblich gestiegen. Um diese zu erfüllen, sind leistungsstarke und gleichzeitig effiziente Organisationsstrukturen und Prozesse sowie eine klare Definition von Aufgaben, Kompetenzen und Verantwortlichkeiten im Risikomanagement nötig.

    Das Three-Lines-of-Defense-Modell

    Als ein Konzept zur Organisation des Risikomanagements hat sich – insbesondere in der Finanzbranche – das Three-Lines-of-Defense-Modell (TLod) etabliert. Dieses wesentlich von der Federation of European Risk Management Associations (FERMA), der European Confederation of Institutes of Internal Auditing (ECIIA) und dem Institute of Internal Auditors (IIA) entwickelte Modell teilt die Unternehmensfunktionen zur Steuerung der Risiken in drei Bereiche ein, die sogenannten Verteidigungslinien:

    • Die 1. Verteidigungslinie besteht aus allen Fachbereichen, die das operative Geschäft verantworten und auf deren Tagesgeschäft sich unternehmerische Risiken auswirken können. Sie sind die Risikoeigentümer und damit dafür zuständig, Risiken in ihrem operativen Geschäft frühzeitig zu erkennen, zu beurteilen, zu steuern, zu überwachen und zu reduzieren.
    • Die 2. Verteidigungslinie umfasst alle Bereiche, die das operative Geschäft steuern und überwachen. Hierzu gehören unter anderen die Festlegung von Methoden und Verfahren für das Risikomanagement, die Vorgaben durch Leit- und Richtlinien sowie das Reporting an die Unternehmensleitung.
    • Die 3. Verteidigungslinie bildet die Interne Revision. Sie prüft als objektive und unabhängige Prüfungs- und Beratungsinstanz sowohl das operative Geschäft (1. Verteidigungslinie) als auch die Überwachungsinstanzen (2. Verteidigungslinie). Gegenüber der Unternehmensleitung und den Aufsichtsgremien soll sie sicherstellen, dass die Risiken wirksam erkannt, bewertet und gesteuert werden.

    Ergänzt werden diese drei Verteidigungslinien durch externe Instanzen, zu denen insbesondere Wirtschaftsprüfer, Behörden und die Aufsicht zählen. Sie tragen zur Überwachungsstruktur der Organisation zusätzlich bei und stehen mit den drei Verteidigungslinien im Austausch und bereichern diese durch externe Expertise. Sie werden daher häufig auch als 4. Verteidigungslinie bezeichnet.

    Quelle: KPMG in Deutschland, 2022.

    Vom TLoD zum TLM

    Zu den größten Stärken des TLoD zählt insbesondere, dass es sich um ein leicht verständliches, effektives und flexibles Modell handelt. Mit seiner Hilfe lassen sich die wesentlichen Aufgaben und Verantwortlichkeiten der Beteiligten eingängig darstellen und voneinander abgrenzen. Gleichzeitig erhöht das TLoD das Bewusstsein und das Verständnis für die Ziele und Aktivitäten der unterschiedlichen Bereiche. Diese Vorteile haben wesentlich dazu beigetragen, dass sich das TLoD schnell auf internationaler Ebene etablieren konnte und in vielen Unternehmen Anwendung findet.

    Die Schwächen des TLoD bestehen vor allem darin, dass die Einteilung in drei Verteidigungslinien das Silo-Denken tendenziell fördert und die zwischen den Verteidigungslinien stattfindenden Prozesse nicht abbildet. Ein weiterer Kritikpunkt ist, dass die Anwendungsexpertise in der 2. Verteidigungslinie nicht immer vorhanden ist und so die Vorgaben häufig an der praktischen Umsetzung scheitern und das Bewusstsein für die operativen Risiken aus der Arbeit der 1. Verteidigungslinie fehlt. Auch wird in dem Modell auf Verantwortlichkeiten abgestellt und weniger auf Rollen und Funktionen der Organe und Bereiche. Kritisiert wird außerdem, dass das TLoD nicht flexibel genug für kleinere, öffentliche und nicht regulierte Organisationen sei und sich seine Anwendbarkeit daher auf größere, insbesondere kapitalmarktorientierte Organisationen beschränke.

    Die IIA hat 2018 daher ein Projekt zum Review des TLoD gestartet, dessen Ergebnisse 2020 veröffentlicht wurden. Vorgeschlagen wurde dabei, das Three-Lines-of-Defense-Modell zum sogenannten Three-Lines-Modell (TLM) zu präzisieren. Das TLM basiert auf den folgenden sechs Grundsätzen: Governance, Rollen des Leitungsorgans, Management und Rollen der ersten und zweiten Linie, Rollen der dritten Linie, Unabhängigkeit der dritten Linie sowie Wertschöpfung und Schutz von Werten. Dabei stellt es im Vergleich zum TLoD weit mehr auf die Rollen der Organe und Bereiche ab und stellt Beziehungen zwischen den Kernrollen her.

    Die 1,5-Linie

    Marktbeobachtungen zeigen, dass insbesondere Unternehmen mit ausdifferenzierten Risikomanagementsystemen zwischen der 1. und der 2. Verteidigungslinie noch eine zusätzliche Linie einrichten. Diese auch als 1,5-Linie bezeichnete Ebene ist eine Folge der immer höheren Komplexität im Risikomanagement, die insbesondere durch eine steigende Anzahl von Krisen, durch den technischen Fortschritt und durch zunehmende regulatorische Anforderungen verursacht wird. Dies gilt im Besonderen für Finanzdienstleister, da diese durch zahlreiche Gesetze und Verordnungen dazu verpflichtet sind, detaillierte Governance- und Complianceanforderungen im Risikomanagement und in der IT umzusetzen.

    Die 1,5-Linie soll sowohl die 1. als auch die 2. Verteidigungslinie unterstützen und ihnen ermöglichen, sich auf ihre Kernaufgaben zu konzentrieren. Hierzu übernimmt die 1,5-Linie die Rolle des Übersetzers, Mittlers und Experten. So konkretisiert die 1,5-Linie beispielsweise die Vorgaben der 2. Verteidigungslinie und erstellt Umsetzungsanweisungen für die 1. Verteidigungslinie. Sie berät die 1. Verteidigungslinie bei der Umsetzung von Anforderungen und dient der 2. Verteidigungslinie als Feedbackgeber. Darüber hinaus übernimmt sie Kontrollaufgaben und unterstützt im Reporting. Ihr Ziel ist dabei stets, die möglicherweise bestehende Lücke zwischen den Vorgaben der 2. Verteidigungslinie und ihrer Umsetzung in der 1. Verteidigungslinie zu schließen bzw. zu verkleinern und so auch der Tendenz des Silodenkens entgegenzuwirken.

    Quelle: KPMG in Deutschland, 2022.

    Ob die Implementierung einer 1,5 Linie sinnvoll ist, muss individuell nach Organisation entschieden werden. Sie kann sich beispielsweise in der Einrichtung einer zentralen IDV-Stelle (Individuelle Datenverarbeitung) oder eines Cloud Center of Competence zeigen: In beiden Fällen fungieren diese Bereiche als Unterstützer der Facheinheiten bei der regulatorisch konformen Umsetzung und Dokumentation von Sollmaßnahmen. Ihre Unterstützungsleistungen bestehen zum Beispiel in der Entwicklung von Vorgaben auf Basis der Verwaltungsrichtlinie, in der Marktbeobachtung und -analyse, in der Durchführung von Schulungen, im Führen eines Inventars sowie der Durchführung von Kontrollen. Dadurch können sie die Bereiche der 1. und 2. Verteidigungslinie entlasten und Leistungen übernehmen, die typischerweise innerhalb der Schnittmenge dieser beiden Linien liegen. Da die Rollen und Verantwortlichkeiten klar definiert sind, können Doppelstrukturen vermieden werden.