Weiterentwicklung des „Modells der drei Verteidigungslinien“ zum „Drei-Linien-Modell“

Hintergrund:

Das „Modell der drei Verteidigungslinien“ (Three lines of defence model) wurde ursprünglich entwickelt, um Unternehmen bei der Umsetzung der Anforderung ausgehend von Artikel 39 Absatz 6 c) der Richtlinie 2006/43/EG zu unterstützen. Darin heißt es, dass die Aufgabe des Prüfungsausschusses unter anderem darin besteht, die Wirksamkeit des Internen Kontrollsystems (IKS), des Risikomanagementsystems und gegebenenfalls der Internen Revision des Unternehmens – denn diese drei berühren die Rechnungslegung des geprüften Unternehmens – zu beobachten, ohne dass seine Unabhängigkeit verletzt wird. Dies gilt unbeschadet der Verantwortung der Mitglieder des Verwaltungs-, Leitungs- oder Aufsichtsorgans oder anderer Mitglieder, die von der Gesellschafterversammlung oder Aktionärshauptversammlung des geprüften Unternehmens bestellt werden.

Das „Modell der drei Verteidigungslinien“ hat sich seitdem erfolgreich in der Praxis etabliert und gilt als Best-Practice.

Es gab aber auch folgende Kritik an dem Modell:

  • Der Begriff „Verteidigungslinie“ assoziiere Abwehr und gehe daher nicht hinreichend aktiv auf den Umgang mit Chancen und Risiken ein.
  • Das Modell gebe Strukturen und Linien vor und fördert damit das sogenannte „Silodenken“ in Unternehmen.

Stattdessen seien die komplexen Strukturen in Unternehmen auf Zusammenarbeit und Austausch angewiesen – nicht nur, um die Effektivität und Effizienz insgesamt zu steigern, sondern auch, um Doppelarbeiten zu vermeiden und den umfassenden, u. a. aufsichtsrechtlichen Anforderungen gerecht werden zu können.

Grundsätze:

Vor diesem Hintergrund hat das „Institute of Internal Auditors“ (IIA) das Modell überarbeitet und im Juli 2020 das „Drei-Linien-Modell“ veröffentlicht. Mit der Aktualisierung des Modells wurden u. a. folgende Ziel verfolgt:

  • Verbesserung der Koordination und Zusammenarbeit zwischen den Linien, auch wenn dies bei Bedarf dazu führen kann, die Liniengrenzen zu verwischen
  • Förderung eines aktiven und ganzheitlichen Verständnisses in Bezug auf das Risikomanagement und in diesem Zusammenhang Verringerung der Assoziation mit dem Begriff „Verteidigung“; D. h., dass der Grundgedanke einer gemeinsamen Wertschöpfung durch die adäquate Einschätzung von Risiken mit einer aktiven Nutzung von Chancen und Potenzialen eine einseitige, defensive Haltung ablösen soll.

Abbildung entnommen:
The Institute of Internal Auditors (IIA): Das Drei-Linien-Modell des
IIA. Eine Aktualisierung der Three Lines of Defense. Übersetzt vom
Deutschen Institut für Interne Revision e. V. (DIIR), Juli 2020, S. 4.

Das neue Modell basiert auf sechs Grundsätzen (vgl. IIA: Drei-Linien-Modell (2020), S. 2 f.):

1. Governance: Die Governance einer Organisation erfordert angemessene Strukturen und Prozesse für die Verantwortung eines Leitungsorgans, für die Tätigkeiten des Managements (Erreichung von Zielen der Organisation) und für die Prüfungssicherheit und Beratung einer unabhängigen internen Revisionsfunktion.

2. Rollen des Leitungsorgans: Das Leitungsorgan stellt das Vorhandensein angemessener Strukturen und Prozesse für eine wirksame Governance sicher. Es delegiert Verantwortung und stellt dem Management Ressourcen zur Verfügung, um die Ziele der Organisation zu erreichen und gleichzeitig sicherzustellen, dass rechtliche, regulatorische und ethische Erwartungen erfüllt werden. Weiterhin etabliert und beaufsichtigt das Leitungsorgan eine unabhängige, objektive und kompetente interne Revisionsfunktion.

3. Management und Rollen der ersten und zweiten Linie: Die Verantwortung umfasst sowohl Rollen der ersten als auch der zweiten Linie. Die Rollen beider Linien können miteinander verwoben oder voneinander separiert sein; z. B. können Rollen der zweiten Linie Spezialisten zugeordnet sein, die ergänzende Expertise, Unterstützung, Überwachung und Anforderungen für jene mit Rollen der ersten Linie liefern.

4. Rollen der dritten Linie: Die Interne Revision bietet unabhängige und objektive Prüfungssicherheit und Beratung in Bezug auf die Angemessenheit und Wirksamkeit der Governance und des Risikomanagements.

5. Unabhängigkeit der dritten Linie: Die Unabhängigkeit der Internen Revision von den Verantwortlichkeiten des Managements ist von kritischer Bedeutung für ihre Objektivität, Autorität und Glaubwürdigkeit. Sie erfordert Verantwortung gegenüber dem Leitungsorgan, ungehinderten Zugang zu Menschen, Ressourcen und Daten sowie eine unvoreingenommene und frei von Einflussnahme durchgeführte Planung und Erbringung von Revisionsleistungen.

6. Wertschöpfung und Schutz von Werten: Alle Rollen arbeiten zusammen und tragen gemeinsam zur Wertschöpfung und zum Schutz von Werten bei, wenn sie miteinander und mit den vorrangigen Interessen der Interessengruppen in Einklang gebracht werden. Dies erfordert eine Abstimmung aller Aktivitäten durch Kommunikation, Kooperation und Zusammenarbeit.

Fazit:

Das „Drei-Linien-Modell“ ist eine modernisierte Fassung des „Modells der drei Verteidigungslinien“.

Es verdeutlicht die Beziehungen der Rollen untereinander, indem es stärker auf Kommunikation und Interaktion setzt, und es zeigt auf, dass die gebotene Unabhängigkeit von Funktionen keine Isolation in Verbindung mit Insellösungen bedeutet. „Es besteht ein Bedarf an Zusammenarbeit und Kommunikation zwischen der ersten und der zweiten Linie des Managements und der Internen Revision, um sicherzustellen, dass es keine unnötigen Doppelarbeiten, Überschneidungen oder Lücken gibt.“ (IIA: Drei-Linien-Modell (2020), S. 7) Dies ist auch in einem durch starke Regulierung geprägten Bankenumfeld möglich.

Handlungsbedarf:

  • Analysieren Sie die Governance-Struktur Ihres Unternehmens: Gibt es Insellösungen? Wird zusammen oder eher gegeneinander gearbeitet? Haben alle Beteiligten die Wertschöpfung und den Schutz der Unternehmenswerte zum Ziel? Können Synergien zwischen der Linien und, daraus entstehend, Chancen besser genutzt werden?
  • Identifizieren Sie Handlungsfelder wie z. B. die Vermeidung von Doppelarbeiten, die Nutzung von Analysen und Ergebnissen von Funktionen anderer Linien für die eigene Arbeit, die Steigerung des regelmäßigen Austausches zur Verringerung von Risiken, die Verbesserung des Risikomanagements und die Steigerung des Mehrwerts aller Rollen und Funktionen für das Unternehmen.
  • Entwickeln Sie Maßnahmen aus den Handlungsfeldern und setzen Sie diese nachhaltig um.

Kontakt

    * Pflichtfeld