Vom «Three Lines of Defence» Modell zum «Three Lines Model»

Autor
InfoGuard
Veröffentlicht
23. Februar 2023

Das weiterentwickelte «Three Lines Model» unterstützt Organisationen im Risikomanagement sowie zur Erreichung ihrer Unternehmensziele. Obwohl alle drei Ebenen des Three Lines Models für den Aufbau eines einheitlichen Risikomanagementprozesses unerlässlich sind, ist der Rahmen heute flexibler. 

Das «Three Lines Model» des Institute of Internal Auditors ähnelt dem bekannten «Three Lines of Defence» («3LoD») Modell, dient jedoch im Gegensatz dazu, die zugrundeliegenden Prinzipien klarer darzustellen. Gleichzeitig bietet es Erläuterung zu den Aufgaben und Zuständigkeiten der wichtigsten organisatorischen Funktionen. Das «Three Lines Model» dient als Leitfaden für die Umsetzung und Durchführung von Massnahmen, welche die Unternehmensziele mit den Hauptinteressen der verschiedenen Interessengruppen in Einklang bringen.

 

Cyber_Security_Blog_3LoD

«3LoD» Modell versus «Three Lines Model» – die Neuerungen

Die wichtigste Neuerung vom «3LoD»-Modell zum «Three Lines Model» ist der Übergang zu einem prinzipienbasierten Ansatz. Die Prinzipien legen den Schwerpunkt auf die Rolle des Einzelnen und nicht auf die der operativen Linie. Andere wichtige Änderungen betonen:

  • die Bedeutung einer guten Koordination und Kommunikation zwischen den einzelnen Verteidigungslinien
  • die Notwendigkeit einer direkten Beziehung zwischen dem Leitungsorgan und der Geschäftsführung in der ersten und zweiten Linie
  • die Stärkung der direkten Beziehung zwischen dem Leitungsorgan und des Internal Audit in der dritten Linie

Das überarbeitete Modell stützt sich auf die folgenden sechs Grundsätze:

  • Grundsatz 1 – Führung / Governance:
    Die Leitung einer Organisation erfordert geeignete Strukturen und Prozesse, die Rechenschaftspflicht, Massnahmen zur Erreichung der Organisationsziele und Sicherheit ermöglichen.
  • Grundsatz 2 – Aufgaben des Leitungsorgans / «governing body roles»:
    Das Leitungsorgan stellt sicher, dass geeignete Strukturen und Verfahren für eine wirksame Leitung vorhanden sind. Dazu gehören eine angemessene Aufsicht und die Anpassung an die Anforderungen der Interessengruppen.
  • Grundsatz 3 – Aufgaben der Leitung und der ersten und zweiten Führungsebene / «management and first and second line roles»:
    Die Verantwortung des Managements für die Erreichung der Unternehmensziele umfasst sowohl Aufgaben der ersten als auch der zweiten Führungsebene. Die Aufgaben der ersten Ebene sind auf die Bereitstellung von Produkten oder Dienstleistungen für die Kunden der Organisation ausgerichtet und umfassen auch Unterstützungsfunktionen. Die Aufgaben der zweiten Ebene unterstützen das Risikomanagement.
  • Grundsatz 4 – Aufgaben der dritten Ebene / «third line roles»:
    Die Rolle des Internal Audit bietet Sicherheit sowie unabhängige und objektive Beratung über die Angemessenheit und Wirksamkeit von Governance sowie Risikomanagement. Dabei kann sie auch andere interne und externe Anbieter in Betracht ziehen.
  • Grundsatz 5 – Unabhängigkeit in dritter Linie / «third line independence»:
    Die Unabhängigkeit des Internal Audit vom Management ist für ihre Objektivität, Autorität und Glaubwürdigkeit von wesentlicher Bedeutung.
  • Grundsatz 6 – Schaffung und Schutz von Werten / «creating and protecting value»:
    Alle Funktionen, die zusammenarbeiten, tragen gemeinsam zur Schaffung und zum Schutz von Werten bei, wenn sie aufeinander und auf die vorrangigen Interessen der Stakeholder abgestimmt sind. Kommunikation, Kooperation und Zusammenarbeit sind dabei unerlässlich.

Summarisch zielen diese Grundsätze darauf ab, die persönliche Verantwortlichkeit zu verbessern und den Schwerpunkt auf die Rolle des Einzelnen innerhalb der drei Linien zu verlagern. 

Weiterentwicklung zum «Three Lines Model»

Es handelt sich beim «Three Lines Model» nicht um eine grundlegende Veränderung der bekannten drei Linien aus dem «3LoD»-Modell, sondern um eine Reihe von Verbesserungen, um sie zu stärken. Während die Schlüsselprozesse möglicherweise nicht aktualisiert werden müssen, können sich andererseits die Berichtslinien ändern, sobald die Rollen, Verantwortlichkeiten und Zuständigkeiten geklärt wurden. Zu den wichtigsten Überlegungen gehören:

  • Klärung aller Rollen, Verantwortlichkeiten und Zuständigkeiten für jede Rolle, einschliesslich möglicher Konflikte.
  • Aktualisierung der Zuständigkeitspläne. Wenn die Verantwortung für eine Senior-Management-Funktion aufgeteilt ist, müssen die spezifischen Verantwortlichkeiten für jeden Einzelnen klar und verständlich sein.
  • Integration und Verlagerung in die 1st- und 2nd-Line des Risikomanagements durch Aufklärung und Bewusstseinsbildung zur Verbesserung der Sicherheit, der Deckung und der Transparenz.
  • So wie es beim «3LoD»-Modell ausgestaltet ist, können die Risikoträger nicht gleichzeitig die Sicherheit bieten, so dass eine unabhängige Überprüfung erforderlich sein kann. Eine gründliche Prüfung der Verantwortlichkeiten, möglicher Hindernisse und etwaiger Unvereinbarkeiten mit bestehenden Strukturen wird einen reibungslosen Übergang zum aktualisierten «Three Lines Model» unterstützen.

«Three Lines Model» als Chance zur Verbesserung

Das überarbeitete «Three Lines Model» bietet verschiedene Chancen zur Verbesserung:

  • Austausch und Orientierung; verstärkter aktiver und kooperativer Austausch; Feedback geben sowie erhalten und sich basierend auf dem erhaltenen Feedbacks entwickeln
  • Kooperation und enge Zusammenarbeit mit allen involvierten Rollen
  • Kommunikation und aktiver Austausch mit den Rollen
  • «Compliance by Design» und nachhaltiger Fokus bei der Umsetzung von Geschäftszielen; Suche nach dem richtigen Weg zu deren Erreichung
  • Innovation: Probleme kreativ angehen und neue Techniken einsetzen
  • (Teil-)Automatisierung von typischen 2nd-Line-Aktivitäten und einige 1st-Line-Compliance-Aktivitäten
  • Koordinierung und Gestaltung von Prozessen zur Wahrnehmung der Verantwortung für die Gestaltung des Risikomanagements

Der interdisziplinäre Bereich des Risikomanagements umfasst alle Rollen des «Three Lines Models». Die 1st- und 2nd-Line identifizieren, bewerten, behandeln und überwachen Risiken; die 3rd-Line behält ein wachsames und unabhängiges Auge auf die Aktivitäten der 1st- und 2nd-Line. Darüber hinaus werden Abhilfemassnahmen und die damit verbundenen Aufgaben entkoppelt, um eine bessere Rück- und Nachverfolgbarkeit zu gewährleisten sowie die Zusammenarbeit innerhalb der gesamten Organisation zu erleichtern.

Praxisumsetzung? Unsere InfoGuard-Expert*innen helfen

Das «Three Lines Model» findet rasch Einzug in die Praxis. InfoGuard unterstützt Sie in der Umsetzung des «Three Lines Models» auf verschiedenen Ebenen:

  • BAS-Service zur Unterstützung der 1st-Line-Rollen
  • FINMA Operational Riskmanagement als ein Inkubator des «Three Lines Models» im Finanzsektor
  • ISMS als Träger und zur Ausformulierung der Rollen und der Zusammenarbeit in der Organisation

Dank unserer langjährigen Erfahrung und Expertise in verschiedensten Branchen sind wir der perfekte Partner, um das «Three Lines Model» erfolgreich in die Praxis umzusetzen. Wir freuen uns auf Ihre Kontaktaufnahme!

Kontakt aufnehmen

Artikel teilen