Elementar für eine effektive wie auch effiziente Unternehmenssteuerung ist die Schaffung eines allgemeingültigen und von allen Beteiligten akzeptierten Rahmens einer guten Corporate Governance (CG), innerhalb dessen diese funktionieren und gelebt werden können. Es bedarf einer effizienten Überwachungsstruktur.

Das Three Lines of Defence Modell ist ein Baustein innerhalb der CG, das der Internen Revision eine wichtige Rolle zuschreibt. Der Beitrag beschreibt im öffentlichen Teil die Grundlagen, im geschützten Bereich gibt es ein Praxisbeispiel.

Das Modell

Elementar für eine effektive wie auch effiziente Unternehmenssteuerung ist die Schaffung eines allgemeingültigen und von allen Beteiligten akzeptierten Rahmens einer guten Corporate Governance (CG), innerhalb dessen diese funktionieren und gelebt werden können. Es bedarf einer effizienten Überwachungsstruktur. Dafür braucht es

• Methodische Konzepte: Hier ist im Kontext von Unternehmenssteuerung und -überwachung ein international anerkanntes Rahmenwerk zu nennen, das bei konsistenter und konsequenter Anwendung sowohl eine klare Struktur liefern als auch für eine jederzeit transparente Kommunikationsbasis zwischen operativen Geschäft und Unternehmenssteuerung und -überwachung verwendet werden kann. Ein herausragendes Beispiel ist hier das sog. COSO 2 oder COSO-ERM-Modell. Dieses ist international weitgehend akzeptiert und etabliert und unterliegt einer regelmäßigen abgestimmten Weiterentwicklung. Es definiert zudem die Zuständigkeiten für verschiedene Elemente der CG.

• Prozesskonzepte: Hier bietet sich vor allem das EFQM-Modell an. 1988 entwickelte die European Foundation for Quality Management (EFQM) das gleichnamige System. Es hat seinen Ursprung im Qualitätsmanagement und nutzt zur Unternehmenssteuerung neben finanziellen auch nicht-finanzielle Kennzahlen. Das EFQM-System wird zwar meist zu Qualitätsmanagementzwecken eingesetzt, hat aber auch darüber hinaus Anwendungspotenzial. Mit Hilfe des EFQM-Systems werden die unternehmenseigenen Stärken und Schwächen bewertet, um jene Faktoren („Befähiger“) fördern zu können, die für sog. Exzellenz verantwortlich sind. Im Modell sind das: Führung, Strategie, MitarbeiterInnen, Partnerschaften und Ressourcen sowie Prozesse, Produkte und Dienstleistungen.

• Organisatorische Konzepte: Hier ist vor allem das „Three Lines of Defence Model for internal governance“ (3LoD) anzuführen, das vom Dachverband der europäischen Revisionsinstitute (ECIIA) herausgegeben wurde. Das Modell ist innerhalb der Finanzdienstleistungsbereichs bereits weit verbreitet. Die ECIIA hält fest, dass es eine ausgezeichnete Methode sei, um die unterschiedlichen Rollen zur internen Steuerung (der CG) und deren Zusammenspiel zu erklären und darzustellen.

„Defence“ (dt.: Verteidigung) klingt dabei im betriebswirtschaftlichen Zusammenhang etwas zu Unrecht martialisch, hat aber den Vorteil, dadurch besonders aufzufallen. Bei näherer Analyse erweist es sich durchaus als passend.

Das Modell bietet inhaltlich nichts Neues, attraktiv ist aber – ähnlich wie bei der BSC – die kompakte Darstellung und damit die Möglichkeit der leichten Kommunizierbarkeit der Inhalte.

 Es bildet auch die Grundlage eines 2012 erschienen Papiers der ECIIA und der Federation of European Risk Management Associations (FERMA), des „Leitfadens für die Geschäftsführung und Prüfungsergebnisse über die Umsetzung des Art 41.2 der 8. EU-Richtlinie. Das Modell kann wie folgt beschrieben werden:

• Als erste Verteidigungslinie hat das operative Management als „Risiko-Eigner“ die Verantwortung und Rechenschaftspflicht für die Beurteilung, Steuerung und die Reduktion von Risiken sowie für ein Risiko-Monitoring.
• Als zweite Verteidigungslinie ermöglicht und überwacht die Risikomanagement-(RM-) Funktion (sowie andere unterstützende Funktionen wie Compliance oder Qualität) die Umsetzung wirksamer RM-Methoden durch das operative Management und unterstützt die Risiko-Eigner in der Definition von Ziel-Risikoexposures und in der Berichterstattung über angemessene geeignete RM-Information innerhalb der Organisation. Zusätzlich zur zentralen RM-Funktion haben einige Unternehmen eine separate Compliance-Funktion eingerichtet, um Compliance-Risiken zu überwachen, d.s. Risiken einer Non-Konformität mit externen Regulativen und internen Normen (inkl. Fraud). Andere spezifische Überwachungsfunktionen sind Health & Security, Supply Chain Management und QM-Funktionen.
• Als dritte Verteidigungslinie wird bzw. soll die Interne Revision, die – aufgrund eines risikoorientierten Ansatzes – der Geschäftsführung und dem Senior Management Gewähr dafür bieten und zeigen, wie wirksam ein Unternehmen seine Risiken beurteilt und steuert und wie die erste und zweite Verteidigungslinie ihre Aufgaben erfüllen. Diese Sicherungsfunktion umfasst alle Elemente eines RM-Rahmenkonzepts: von der Risikoerkennung, Risikobewertung und -bewältigung bis zur Kommunikation risikobezogener Information (innerhalb der Organisation und an Senior Management und an Geschäftsführung).

Das externe Audit kann als vierte Verteidigungslinie gesehen werden, die Anteilsinhabern, Geschäftsführung und Senior Management Sicherungsaufgaben bzgl. einer true and fair view der Finanzberichterstattung bietet. Aufgrund ihres speziellen Auftrags sind die risikobezogenen Informationen, die das externe Audit sammelt, auf Risiken der Finanzberichterstattung beschränkt. Sie berücksichtigen daher nicht die Art, wie die Geschäftsführung und das Senior Management (strategische, operative oder Compliance-) Risiken managen.

Zu Teil 2