Das überarbeitete Drei-Linien-Modell - nur kosmetische Anpassungen?

Das Institute of Internal Auditors (IIA) hat das überarbeitete Drei-Linien-Modell, vormals das Modell der Drei-Verteidigungslinien, präsentiert. Das überarbeitete Drei-Linien-Modell soll Unternehmen dabei helfen, jene Strukturen und Prozesse zu identifizieren oder einzurichten, welche eine starke Governance und ein starkes Risikomanagement ermöglichen und damit die Zielerreichung am besten unterstützen.

Risikomanagement bekommt die (aktive) Rolle, die es benötigt

Wurde das bisherige Modell der Drei-Verteidigungslinien von Praktiker:innen als eher reaktiv und auf Absicherung der jeweiligen verantwortlichen Rollen (z.B. internen Kontrollfunktionen) bedacht ausgelegt, so setzt das überarbeitete Modell einen klareren Schwerpunkt auf die Zusammenarbeit der Akteure in den Drei-Linien und die klare Strukturierung der Verantwortlichkeiten und Aufgaben.

Ein wesentliches Ziel des überarbeiteten Ansatzes ist der oft geäußerte Wunsch, Risikomanagement aus einem defensiven Verständnis zu lösen und einen aktiveren Beitrag zur Erreichung von Unternehmenszielen zu leisten. Erste Ansätze dieses Wandels sehen wir bereits seit einiger Zeit in Gesprächen mit RisikoverantwortlichInnen aus allen Drei-Linien sowie der Geschäftsführung und das neue Modell bildet diese Entwicklung nun auch konzeptionell ab.

Die wesentlichen Neuerungen des Drei-Linien-Modells umfassen:

  • Das Modell ist nun viel mehr ein prinzipienbasierter Ansatz und kann flexibel in dem jeweiligen Unternehmen berücksichtigt und auf dessen Begleitumstände angepasst werden. Es wurde sich von den ursprünglichen isolierten Verteidigungslinien losgelöst.

  • Der Austausch zwischen den Kernrollen wird hervorgehoben, besonders wenn bisher die beratende Funktion der dritten Linie nicht oder nur sehr eingeschränkt in Anspruch genommen wurde. Die Grenze einer solchen beratenden Funktion bleibt weiterhin die notwendige Unabhängigkeit der internen Revision.

  • Im Vergleich zu dem Modell der Drei-Verteidigungslinien hebt das Drei-Linien-Modell auch die Pflichten der Leitungsorgane (Geschäftsführung und Aufsichtsrat in Österreich) hervor.

Nachstehend werden die sechs Prinzipien, auf denen das Drei-Linien-Modell basiert, veranschaulicht. [1]

Das Drei-Linien-Modell basiert auf folgenden sechs Prinzipien:

Prinzip 1

Prinzip 1: Governance

Nur durch eine gute Governance kann gleichzeitig Mehrwert für Aktionäre, Mitarbeiter, Kunden und Lieferanten und das Unternehmen geschaffen werden. Dabei tragen Leitungsorgane, alle Führungskräfte und Mitarbeiter sowie besonders die VerantwortlichInnen in den Drei-Linien dazu bei, dass Risiken für die Erreichung der Unternehmensziele rechtzeitig erkannt und durch eine angemessene Allokation von Ressourcen gesteuert werden.

Prinzip 2

Prinzip 2: Rollen des Leitungsorgans

Die Rollen der Leitungsorgane sollen sicherstellen, dass die angemessenen Strukturen und Prozesse für eine effektive Governance bestehen und dass die Unternehmensziele mit den priorisierten Interessen der Stakeholder abgestimmt sind. Zudem werden von den Leitungsorganen eine unabhängige, objektive und geeignete interne Revision geschaffen und überwacht.

Prinzip 3

Prinzip 3: Management und Rollen der ersten und zweiten Linie

Die Rollen der ersten und zweiten Linien des Managements können ineinander verschwimmen oder getrennt betrachtet werden. Die erste Linie ist operativ im Geschäftsfeld tätig und die zweite Linie widmet sich dem Risikomanagement. Experten für bestimmte Geschäftsfelder der zweiten Linie können die erste Linie unterstützen oder sich auf bestimmte Themengebiete des etablierten Risikomanagements fokussieren.

Prinzip 4

Prinzip 4: Rollen der dritten Linie

Die interne Revision, als dritte Linie, prüft die Angemessenheit und Wirksamkeit der im Unternehmen vorhandenen Governance-Strukturen und berichtet an die Leitungsorgane, um eine fortlaufende Weiterentwicklung zu begünstigen.

Prinzip 5

Prinzip 5: Unabhängigkeit der dritten Linie

Die Unabhängigkeit der dritten Linie ist essentiell, um ein der Realität entsprechendes Bild weiterzugeben und unvoreingenommen Sachverhalte zu analysieren wie auch eine kritische Grundhaltung einzunehmen. Dafür erhält diese ungehindert Zugang zu den benötigten Informationen und Ressourcen.

Prinzip 6

Prinzip 6: Wertschöpfung und Schutz von Werten

Eine optimale Wertschöpfung unter Einhaltung der Unternehmenswerte und der Schutz des Vermögens werden erreicht, wenn alle Rollen bei der Erfüllung ihrer Aufgaben strukturiert zusammenarbeiten und Entscheidungen im Unternehmen risikobasiert und unter Berücksichtigung der Interessen aller Stakeholder getroffen werden.

Die Kernrollen sind bereits in den Prinzipien berücksichtigt. Weiters geht das überarbeitete Drei-Linien-Modell auf die Schlüsselrollen und den Austausch zwischen den Instanzen ein. Diese sind in der nachfolgenden Grafik dargestellt. [2]

Linien modell 2

Das Leitungsorgan trägt die Verantwortung für die Formulierung einer aus der Vision, Mission und den Werten des Unternehmens abgeleiteten Strategie. Im Einklang mit einer definierten Risikobereitschaft ist eine effektive und effiziente Aufbau- und Ablauforganisation einzurichten. Das Leitungsorgan in seiner Aufsichtsfunktion beaufsichtigt und überwacht Entscheidungsprozesse, Maßnahmen und die Leistung des geschäftsführenden Leitungsorganes bei der Umsetzung der Strategie und Erreichung der Ziele des Unternehmens. Mitglieder der Leitungsorgane erhalten von den Drei-Linien geeignete Informationen zur Entscheidungsfindung, für die Überwachung des Erfolges, zur Risikofrüherkennung sowie Kommunikation mit externen Stakeholdern wie etwa Investoren.

Die Rollen der ersten und zweiten Linie des Managements sollen bei ihren Aufgaben/Beiträgen für eine gute Governance nicht mehr getrennt betrachtet werden. Die erste Linie ist operativ im Geschäftsfeld tätig und steht im regen Austausch mit dem Leitungsorgan und ist für den Aufbau und die Anpassung von angemessenen Strukturen und Prozessen sowie das Management der Chancen und Risiken im eigenen Geschäftsbereich verantwortlich.

Interne Kontrollfunktionen (z.B. Risikomanagement, Compliance, IKS, Controlling, Qualitätssicherung etc.) der zweiten Linie unterstützen Managemententscheidungen und -maßnahmen durch Überwachung, Beratung, Vorschläge für Richtlinien, Analysen und geeignete Informationen. Zudem leiten sie mit ihrer Expertise die laufende Weiterentwicklung des Risikomanagements im gesamten Unternehmen.

Durch die Beratung und Berichterstattung über die Ergebnisse der Prüfungstätigkeit der unabhängigen internen Revision erhalten das Management und die Leitungsorgane objektive Informationen über die Angemessenheit und Wirksamkeit der eingerichteten Strukturen und Prozesse. Damit leistet die interne Revision ihren Beitrag zu einer effektiven Überwachung durch die Leitungsorgane und letztendlich die Erreichung der Unternehmensziele.

Externe Prüfungsdienstleister sind weiterhin im Modell berücksichtigt und können zusätzliche Prüfungssicherheit in Spezialbereichen geben.

Unabhängigkeit der Revision bedeutet jedoch nicht deren Isolation.

Das neue Drei-Linien-Modell gibt Empfehlungen wie etwaige Silos innerhalb der Organisation aufgebrochen werden können. Insbesondere die dritte Verteidigungslinie, wurde oft mit der Argumentation der geforderten Unabhängigkeit in manchen Unternehmen als autonome “Insel” ohne Schnittstellen mit den vorgelagerten Linien gesehen. Das neue Modell findet hierfür klare Worte (“Unabhängigkeit bedeutet jedoch nicht Isolation”). Explizit empfohlen wird ein reger Austausch zwischen den Drei-Linien soweit mit ihren Aufgaben und Anforderungen vereinbar sowie Koordination und Abstimmung der Anforderungen an die Drei-Linien, um die Unternehmensziele bestmöglich zu erreichen.

Das überarbeitete Modell ermöglicht es Unternehmen mit den Grundsätzen des Drei-Linien-Modells und den Rollen die eigene Ablauf- und Aufbauorganisation kritisch zu hinterfragen und auf das neue Verständnis von Risikomanagement auszurichten. Eine effektive (interne) Governance benötigt klare Verantwortlichkeiten, eine strukturierte Zusammenarbeit und einen geregelten Austausch von relevanten Informationen zwischen den verschiedenen Rollen sowie auch eine Ausrichtung der Organisation auf Unternehmensziele.

Haben Sie Fragen, wie sich der neue Ansatz auf Ihre Organisation auswirken kann? Unsere SpezialistInnen unterstützen Sie gerne.

[1] In Anlehnung IIA (2020): DAS DREI-LINIEN-MODELL DES IIA, S.2ff    
[2] Vgl. IIA (2020): DAS DREI-LINIEN-MODELL DES IIA, S. 4

Kontakt

Tanja Picker

Tanja Picker

Senior Manager, Risk & Regulation, PwC Austria

Tel: +43 676 549 13 15

Folgen Sie uns