Three Lines of Defense-Modell und Risikomanagementsystem

PrintMailRate-it
zuletzt aktualisiert am 10. Januar 2018  
     
Das Three Lines of Defense-Modell kann als Ordnungsrahmen für ein ganzheitliches Governance, Risk und Compliance Management System (GRC-System) zur Steuerung der Unternehmensrisiken dienen. Im Modell werden die Rollen und Verantwortlichkeiten des Internen Kontrollsystems des Unternehmens in ein ganzheitliches GRC-System eingebettet, indem die den jeweiligen Ver­tei­di­gungs­linien zugeordneten Funktionen mit den Aufgaben des Risikomanagements verknüpft werden, die regelmäßig mit einem klassischen Managementregelkreis beschrieben werden. Ein angemessen skaliertes Risikomanagementsystem, in dem der Kern des Modells Berücksichtigung findet, ist bei mittelständischen Familienunternehmen bereits ausreichend, sofern die Risiken des Unternehmens effektiv gesteuert werden.


 

Der Ordnungsrahmen

Für ein solches ganzheitliches Governance, Risk und Compliance Management System (GRC-System) zur Steuerung der Unternehmensrisiken kann das Three Lines of Defense-Modell, veröffentlicht durch das Institute of Internal Auditors (IIA), als Ordnungsrahmen dienen.

Bild angelehnt an FERMA/ECIIA: Guidance on the 8th EU Company Law Directive, article 41
 
Das Modell bettet die wesentlichen Rollen und Verantwortlichkeiten des Internen Kontrollsystems des Unternehmens in ein ganzheitliches GRC-System ein und hilft, die effektive Koordination und Kommunikation im Risikomanagement zu veranschaulichen. Das IIA empfiehlt die Systematisierung des Risikomanagements unabhängig von der Größe und Komplexität der Organisation und stellt fest: „Risk management normally is strongest when there are three separate and clearly identified lines of defense”.
 
Kern des Modells ist die Gliederung von Unternehmensfunktionen, die der Steuerung der Risiken dienen, in 3 von Aufsichtsrat und Vorstand zu überwachende Bereiche – sog. „Verteidigungslinien”.
 
In der ersten Verteidigungslinie ist das operative Management im Tagesgeschäft laufend mit unter­nehmerischen Risiken konfrontiert. Es ist verantwortlich, diese Risiken möglichst früh zu erkennen und zu analysieren sowie effektive Kontrollmaßnahmen im Wertschöpfungsprozess einzurichten, die der Steuerung der Risiken dienen.
 
Je nach Geschäftsmodell – und damit verbunden die Häufigkeit bzw. Wahrscheinlichkeit sowie potenzielle Schadenshöhe von Risiken – werden vom Vorstand Funktionen im Unternehmen eingerichtet, die v.a. die Kontrollaktivitäten der ersten Verteidigungslinie überwachen und der zweiten Verteidigungslinie zuzuordnen sind. Aufgrund umfangreicher Planungs- und Informationsaufgaben kommt in dem Hinblick v.a. dem Controlling in vielen Unternehmen eine entscheidende Bedeutung zu.
 
Die dritte Verteidigungslinie bildet insbesondere bei großen Unternehmen und komplexen Organisationen die Interne Revision. Sie gewährleistet umfassende Sicherheit bei der Steuerung der unternehmerischen Risiken, basierend auf dem höchsten Level von Unabhängigkeit und Objektivität innerhalb des Unternehmens.
 
Der Abschlussprüfer und die Regulatoren (z.B. Deutsche Prüfstelle für Rechnungslegung, kurz: DPR oder BaFin) sind im Modell außerhalb des Unternehmens und der Verantwortung von Vorstand und Aufsichtsrat angesiedelt. Nichtsdestotrotz haben sie besonders in stark regulierten Branchen eine herausragende Rolle in der Governance von Unternehmen, tragen aber nur punktuell und nahezu ausschließlich rechnungs­legungsbezogen zum Risikomanagement des Unternehmens bei.
 

Die Aufgaben des Risikomanagements im Unternehmen

Die im Three Lines of Defense-Modell den jeweiligen Verteidigungslinien zugeordneten Funktionen sind mit den Aufgaben des Risikomanagements zu verknüpfen, die regelmäßig mit einem klassischen Management­regelkreis beschrieben werden.
 

Bild angelehnt an Lück: Der Umgang mit unternehmerischen Risiken durch das Risikomanagementsystem und durch ein Überwachungssystem, in: Der Betrieb, 1998, S. 1925 –1930
 
Dem operativen Management in der ersten Verteidigungslinie kommen die Kernaufgaben des Risiko­managements zu, v.a. der Durchführung der Maßnahmen zur Risikosteuerung (z.B. Risikovermeidung, Risikoüberwälzung durch Versicherung, Risikominderung durch Brandschutz, Risikokompensation durch Datenbackup) sowie die Risikoidentifikation, -analyse und -bewertung.
 
In der zweiten Verteidigungslinie übernimmt in vielen Unternehmen das Controlling zusätzlich zum operativen Management wichtige Aufgaben der Risikoidentifikation und liefert Informationen zur Risikoanalyse und -bewertung. Darüber hinaus werden häufig Mitarbeitern des Controllings die Aufgaben der Risiko­bericht­erstattung übertragen, die dann für die Überwachung und Weiterentwicklung des Risikomanagements des Unternehmens verantwortlich sind. Hier werden die Stellen des Risiko-Managers bzw. des Compliance-Managers durch die Unternehmen geschaffen.
 
Kernaufgabe der Internen Revision als letzte unabhängige Instanz ist es, das Risikomanagement regelmäßig zu prüfen und damit v.a. dem Aufsichtsrat hinreichende Sicherheit über die Effektivität der vom Vorstand eingerichteten Maßnahmen des Risikomanagements, insbesondere der Maßnahmen der Risikofrüherkennung, zu geben. Damit stellt die Interne Revision selbst ein Instrument der Risikosteuerung dar.
 

Die Rolle des Abschlussprüfers

Letztlich wurde dem Abschlussprüfer durch den deutschen Gesetzgeber die Aufgabe zugewiesen, die vom Vorstand eingerichteten Maßnahmen des Risikomanagements zu prüfen, die dazu geeignet sind, für das Unternehmen bestandsgefährdende Risiken möglichst frühzeitig zu erkennen. Neben dem hier etablierten Prüfungsstandard IDW PS 340 zur Prüfung des sog. Risikofrüherkennungssystems gem. § 317 Abs. 4 HGB liegt nunmehr seit März 2017 mit dem IDW PS 981 der darüber hinausgehende Standard zur Prüfung des gesamten Risikomanagementsystems vor.
 

 Die Aufgaben des Risikomanagements im Ordnungsrahmen

 

Skalierung des Risikomanagementsystems

Gerade in kleineren Unternehmen fehlen die Ressourcen zum Aufbau und Aufrechterhaltung aller Aufgaben des Risikomanagements. Trotzdem kann ein entsprechend skaliertes Risikomanagementsystem für die eigenen Zwecke bereits ausreichend sein, sofern die Risiken des Unternehmens effektiv gesteuert werden, indem der Kern des Modells berücksichtigt wird:
  • Risk Ownership: Risiken ist direkt im Prozess durch das operative Management zu begegnen,
  • Risk Control: Kontrolle und Unterstützung der Risikosteuerungs­maßnahmen durch Risikomanagementfunktionen,
  • Risk Assurance: Überwachung und Prüfung des Risiko­managementsystems, so dass der Aufsichtsrat seine Entscheidungen auf unabhängige und damit verlässliche Informationen abstützen kann.
 
 Unternehmen, die keine eigene Interne Revision eingerichtet haben, lassen die vorhandenen Maßnahmen des Risikomanagementsystems (Risikoanalyse, -bewertung, -berichterstattung) sowie deren Wirksamkeit gerne von Wirtschaftsprüfern beurteilen, um die entsprechende hinreichende Sicherheit, aber auch Hinweise zu Ver­besserungen ihres Risikomanagementsystems zu erhalten.

Kontakt

Contact Person Picture

Steffen Freytag

Wirtschaftsprüfer, Steuerberater

Partner

+49 911 9193 2220

Anfrage senden

Contact Person Picture

Prof. Dr. Peter Bömelburg

Diplom-Kaufmann, Wirtschaftsprüfer, Steuerberater

Geschäftsführender Partner

+49 911 9193 2100

Anfrage senden

Profil

Deutschland Weltweit Search Menu