Drei-Linien-Modell des IIA

Das Drei-Linien-Modell des IIA (deutsche Bezeichnung) oder the IIA’s Three Lines Model (englisch) ist ein Modell des Revisionsweltverbandes Institute of Internal Auditors (IIA). Es beschreibt wirksame Strukturen und Prozesse innerhalb von Organisationen, die zur Erreichung der gesetzten Ziele beitragen und gleichzeitig eine starke Governance und ein starkes Risikomanagement unterstützen.^[1][2]

Das Modell wird seit 2020 beim IIA in überarbeiteter Fassung unter dieser neuen Bezeichnung geführt.^[1][2] Zuvor trug es die Bezeichnungen Modell der drei Verteidigungslinien (deutsch) bzw. Three Lines of Defense Model (englisch).

Einführung[Bearbeiten | Quelltext bearbeiten]

Nach Darstellung des IIA soll das Drei-Linien-Modell Organisationen (Unternehmen eingeschlossen) dabei helfen, Strukturen und Prozesse zu identifizieren, die die Erreichung der gesetzten Ziele am besten unterstützen und eine starke Governance und ein starkes Risikomanagement fördern. Das Modell soll laut IIA für alle Organisationen anwendbar sein. Als Vorteile des Modells werden angegeben:^[2]

• Die Wahl eines prinzipienbasierten Ansatzes und die Anpassung des Modells an die Ziele und Umstände der Organisation.
• Die Konzentration auf den Beitrag, den das Risikomanagement zur Erreichung der gesetzten Ziele und der Wertschöpfung leistet sowie auf Fragen der Verteidigung bzw. des Schutzes von Werten.
• Ein klares Verständnis der im Modell dargestellten Rollen und Verantwortlichkeiten und der Beziehungen zwischen ihnen.
• Umsetzungsmaßnahmen, die sicherstellen, dass die Aktivitäten und Ziele mit den vorrangigen Interessen der Interessengruppen in Einklang stehen.

Grundsätze des Drei-Linien-Modells[Bearbeiten | Quelltext bearbeiten]

Das Modell umfasst sechs Grundsätze:^[2]

Grundsatz 1: Governance[Bearbeiten | Quelltext bearbeiten]

Die Governance einer Organisation soll angemessene Strukturen und Prozesse aufweisen im Hinblick auf:

• Die Verantwortung eines Leitungsorgans gegenüber Interessengruppen für die organisatorische Beaufsichtigung durch Integrität, Führung und Transparenz.
• Tätigkeiten des Managements (das Risikomanagement eingeschlossen) zur Erreichung der Ziele der Organisation durch risikoorientierte Entscheidungen und Einsatz der Ressourcen.
• Prüfungssicherheit und Beratung durch eine unabhängige interne Revisionsfunktion, die Klarheit und Vertrauen schafft und kontinuierliche Verbesserungen durch gründliche Untersuchungen und aufschlussreiche Kommunikation fördert.

Grundsatz 2: Rollen des Leitungsorgans[Bearbeiten | Quelltext bearbeiten]

Das Leitungsorgan stellt sicher:

• Dass die für eine wirksame Governance angemessenen Strukturen und Prozesse vorhanden sind.
• Dass die Ziele und Aktivitäten der Organisation an die wichtigsten Ziele der Interessengruppen angepasst sind.

Das Leitungsorgan:

• Delegiert Verantwortung und stellt dem Management Ressourcen zur Verfügung, um die Ziele der Organisation zu erreichen und sicherzustellen, dass rechtliche, regulatorische und ethische Erwartungen erfüllt werden.
• Etabliert und beaufsichtigt eine unabhängige, objektive und kompetente interne Revisionsfunktion, die Klarheit und Vertrauen liefert bezüglich des Fortschritts bei der Erreichung der Ziele.

Grundsatz 3: Management und Rollen der ersten und zweiten Linie[Bearbeiten | Quelltext bearbeiten]

Zur Erreichung der Ziele der Organisation umfasst die Verantwortung des Managements sowohl Rollen der ersten als auch der zweiten Linie.

• Rollen der ersten Linie: hauptsächlich verbunden mit der Lieferung von Produkten oder Dienstleistungen an Kunden. Darin eingeschlossen sind auch Unterstützungsfunktionen.
• Rollen der zweiten Linie: leisten Unterstützung beim Management von Risiken.

Grundsatz 4: Rollen der dritten Linie[Bearbeiten | Quelltext bearbeiten]

Die Interne Revision bietet Sicherheit durch unabhängige und objektive Prüfungen und Beratung in Bezug auf die Angemessenheit und Wirksamkeit der Governance und des Risikomanagements. Sie erreicht dies durch Kompetenz und Expertise bei der Anwendung systematischer und zielgerichteter Prozesse. Ihre Erkenntnisse berichtet sie dem Management und dem Leitungsorgan, um kontinuierliche Verbesserungen zu fördern. Sie kann die von anderen internen und externen Anbietern erbrachten Prüfungsleistungen berücksichtigen.

Grundsatz 5: Unabhängigkeit der dritten Linie[Bearbeiten | Quelltext bearbeiten]

Die Unabhängigkeit der Internen Revision von den Verantwortlichkeiten des Managements ist von kritischer Bedeutung für ihre Objektivität, Autorität und Glaubwürdigkeit. Erreicht wird sie durch Verantwortung gegenüber dem Leitungsorgan, ungehinderten Zugang zu Menschen, Ressourcen und Daten, die für die Durchführung der Tätigkeiten erforderlich sind, sowie unvoreingenommene und frei von Einflussnahme durchgeführte Planung und Erbringung von Revisionsleistungen.

Grundsatz 6: Wertschöpfung und Schutz von Werten[Bearbeiten | Quelltext bearbeiten]

Alle innerhalb des Unternehmens bzw. der Organisation zusammenarbeitenden Rollen tragen gemeinsam zur Wertschöpfung und zum Schutz der Werte bei, wenn sie miteinander und mit den vorrangigen Interessen der Interessengruppen in Einklang gebracht werden. Durch Kommunikation, Kooperation und Zusammenarbeit wird die Abstimmung der Aktivitäten erreicht. Damit wird die Zuverlässigkeit, Kohärenz und Transparenz der Informationen gewährleistet, die für risikoorientierte Entscheidungen benötigt werden.

Wichtige Rollen im Drei-Linien-Modell[Bearbeiten | Quelltext bearbeiten]

In Organisationen gibt es große Unterschiede bei der Zuordnung von Verantwortlichkeiten. Die folgenden übergeordneten Rollen sind im Rahmen des Drei-Linien-Modells besonders bedeutsam.^[2]

Das Leitungsorgan[Bearbeiten | Quelltext bearbeiten]

• Ist rechenschaftspflichtig gegenüber den Interessengruppen für die Aufsicht über die Organisation.
• Arbeitet mit den Interessengruppen zusammen
• Pflegt eine Kultur, die ethisches Verhalten und Rechenschaftspflicht fördert.
• Richtet Strukturen und Prozesse für die Governance ein.
• Delegiert Verantwortung und stellt dem Management Ressourcen zur Verfügung, um die Ziele zu erreichen.
• Bestimmt die Risikobereitschaft der Organisation und übt die Aufsicht über das Risikomanagement (einschließlich der Internen Kontrollen) aus.
• Beaufsichtigt die Einhaltung rechtlicher, regulatorischer und ethischer Erwartungen.
• Errichtet und beaufsichtigt eine unabhängige, objektive und kompetente interne Revisionsfunktion.

Management[Bearbeiten | Quelltext bearbeiten]

Rollen der ersten Linie[Bearbeiten | Quelltext bearbeiten]

• Leitet und lenkt die Tätigkeiten – auch das Risikomanagement – und den Ressourceneinsatz, um die Ziele der Organisation zu erreichen.
• Ist im Dialog mit dem Leitungsorgan und berichtet über Ergebnisse und Risiken.
• Errichtet und unterhält geeignete Strukturen und Prozessse für das Management des Betriebs und der Risiken (interne Kontrollen eingeschlossen).
• Stellt die Einhaltung gesetzlicher, regulatorischer und ethischer Anforderungen und Erwartungen sicher.

Rollen der zweiten Linie[Bearbeiten | Quelltext bearbeiten]

• Bietet ergänzende Fachkenntnisse, Unterstützung, Überwachung und Aufgaben im Zusammenhang mit dem Risikomanagement, einschließlich
  • Entwicklung, Implementierung und kontinuierliche Verbesserung von Risikomanagementpraktiken (einschließlich interner Kontrollen) auf Ebene von Prozessen, Systemen und Entitäten.
  • Erreichung von Risikomanagement-Zielen, wie z. B. Einhaltung von Gesetzen, Regulierungen und akzeptablem ethischem Verhalten, interne Kontrollen, Informations- und Technologiesicherheit, Nachhaltigkeit und Qualitätssicherung.
• Bereitstellung von Analysen und Berichten über die Angemessenheit und Wirksamkeit des Risikomanagements (einschließlich interner Kontrollen).

Interne Revision[Bearbeiten | Quelltext bearbeiten]

• Bewahrt die primäre Rechenschaftspflicht gegenüber dem Leitungsorgan und die Unabhängigkeit von den Verantwortlichkeiten des Managements.
• Vermittelt dem Management und dem Leitungsorgan unabhängige und objektive Prüfungssicherheit und Beratung hinsichtlich der Angemessenheit und Wirksamkeit der Governance und des Risikomanagements (interne Kontrollen eingeschlossen), um die Erreichung der Ziele der Organisation zu unterstützen und zu kontinuierlichen Verbesserungen beizutragen.
• Meldet dem Leitungsorgan Beeinträchtigungen der Unabhängigkeit und Objektivität und setzt bei Bedarf Schutzvorkehrungen um.

Externe Prüfungsdienstleister[Bearbeiten | Quelltext bearbeiten]

Bieten zusätzliche Prüfungssicherheit bezüglich der

• Erfüllung von gesetzlichen und regulatorischen Erwartungen.
• Erfüllung von Wünschen des Managements und des Leitungsorgans zur Ergänzung interner Quellen von Prüfungssicherheit.

Beziehungen zwischen den Kernrollen[Bearbeiten | Quelltext bearbeiten]

Das Modell beschreibt die Beziehungen zwischen den Kernrollen wie folgt:^[2]

Zwischen Leitungsorgan und Management[Bearbeiten | Quelltext bearbeiten]

In der Regel gibt das Leitungsorgan durch die Definition der Vision, des Auftrags, der Werte und der Risikobereitschaft die Richtung der Organisation vor. Es delegiert die Verantwortung für die Zielerreichung mit den erforderlichen Ressourcen an das Management. Das Leitungsorgan erhält vom Management Berichte über die Ergebnisse und über Risiken und das Risikomanagement.

Zwischen Management und Interner Revision[Bearbeiten | Quelltext bearbeiten]

Die Unabhängigkeit der Internen Revision vom Management gewährleistet, dass sie in ihrer Planung und bei der Durchführung ihrer Arbeit frei von Behinderungen und Voreingenommenheit ist und ungehinderten Zugang zu den erforderlichen Personen, Ressourcen und Informationen hat. Dem Leitungsorgan gegenüber ist die Interne Revision rechenschaftspflichtig. Ein regelmäßiger Austausch zwischen Interner Revision und Management ist erforderlich.

Zwischen Interner Revision und Leitungsorgan[Bearbeiten | Quelltext bearbeiten]

Die Interne Revision ist dem Leitungsorgan gegenüber rechenschaftspflichtig und gilt deshalb zuweilen auch als deren Auge und Ohr.

Das Leitungsorgan ist für die Aufsicht über die Interne Revision verantwortlich.

Zwischen allen Rollen[Bearbeiten | Quelltext bearbeiten]

Leitungsorgan, Management und Interne Revision haben unterschiedliche Verantwortlichkeiten. Gemeinsam ist ihnen, dass alle Aktivitäten auf die Ziele der Organisation abgestimmt sein müssen. Dazu bedarf es einer regelmäßigen und wirksamen Koordination, Zusammenarbeit und Kommunikation.

Anwendung des Modells[Bearbeiten | Quelltext bearbeiten]

Zur Anwendung des Modells werden u. a. folgende Aussagen getroffen:^[2]

Struktur, Rollen und Verantwortlichkeiten[Bearbeiten | Quelltext bearbeiten]

Am wirksamsten ist das Drei-Linien-Modell, wenn es an die Ziele und Umstände der Organisation angepasst wird. Die Strukturierung einer Organisation und die Verteilung der Rollen sind durch das Management und das Leitungsorgan festzulegen.

Die Leitung und Beaufsichtigung der Funktionen der zweiten Linie kann so gestaltet werden, dass ein gewisses Maß an Unabhängigkeit von denen der ersten Linie – oder auch von den obersten Managementebenen – gewährleistet ist, z. B. durch Rechenschaftspflichten und Berichtslinien gegenüber dem Leitungsorgan. Es sind so viele Berichtslinien zwischen Management und Leitungsorgan zulässig, wie erforderlich sind. Insbesondere in regulierten Finanzinstitutionen können solche Regelungen gesetzlich vorgeschrieben sein, um eine ausreichende Unabhängigkeit zu gewährleisten. Die Managementrollen der ersten Linie bleiben für das Risikomanagement aber verantwortlich.

Ein definierendes Merkmal der Funktionen der dritten Linie ist die Unabhängigkeit vom Management. Die Interne Revision hebt sich durch ihre Bedeutung und die Art der Unabhängigkeit von anderen Funktionen ab, was den besonderen Wert ihrer Prüfungs- und Beratungsleistungen erst ermöglicht. Die Unabhängigkeit der Internen Revision wird dadurch gewahrt, dass sie keine Entscheidungen trifft oder Tätigkeiten übernimmt, die zur Verantwortung des Managements gehören (einschließlich des Risikomanagements) und dass sie sich weigert, Aktivitäten zu prüfen, für die sie aktuell oder in jüngster Zeit verantwortlich ist oder war.

Beaufsichtigung und Prüfungssicherheit[Bearbeiten | Quelltext bearbeiten]

Das Leitungsorgan stützt sich auf Berichte des Managements der ersten und der zweiten Linie, der Internen Revision und anderer Prüfer, um die Beaufsichtigung auszuüben und die Ziele zu erreichen. Den Interessengruppen gegenüber ist das Leitungsorgan dafür rechenschaftspflichtig. Das Management bietet Sicherheit zu geplanten, tatsächlichen und prognostizierten Ergebnissen, zu Risiken und zum Risikomanagement. Die in der zweiten Linie Tätigen bieten zusätzliche Sicherheit zu risikorelevanten Sachverhalten. Die Interne Revision kann aufgrund ihrer Unabhängigkeit vom Management Prüfungssicherheit mit einem Höchstmaß an Objektivität und Vertrauen bieten. Weitere Prüfungssicherheit kann auch von externen Anbietern bezogen werden.

Koordination und Abstimmung[Bearbeiten | Quelltext bearbeiten]

Wirksame Governance erfordert eine angemessene Zuweisung von Verantwortlichkeiten sowie eine starke Koordination der Aktivitäten durch Kooperation, Zusammenarbeit und Kommunikation. Das Leitungsorgan erwartet die Bestätigung durch die Interne Revision, dass die Governancestrukturen und -prozesse angemessen gestaltet sind und ordnungsgemäß funktionieren.

Praxisbezug und gesetzliche Grundlagen[Bearbeiten | Quelltext bearbeiten]

Für die Praxis von Organisationen und Unternehmen und im Hinblick auf geltendes Recht ist das Drei-Linien-Modell des IIA u. a. im Zusammenhang mit den nachfolgenden Umständen von Bedeutung.

Organisationen und Unternehmen werden zunehmend komplexer. Sie werden deshalb untergliedert und in verschiedene Abteilungen aufgeteilt. Dennoch müssen alle Teile gemeinsam koordiniert und mögliche Risiken für das gesamte Unternehmen identifiziert werden.^[3] Diese Aufgabe wird von Abteilungen, Teams oder einzelnen Personen, die sich mit dem Management der Risiken auseinandersetzen, übernommen. Die Risiken werden identifiziert und ihr Umfang wird eingeschätzt.^[2]

Mit dem Inkrafttreten des KonTraG (des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich) am 30. April 1998 fiel das Management von Risiken auch endgültig den Vorständen und Geschäftsführern zu. Gesetzlich gefordert sind die Einrichtung von Risikoüberwachungssystemen sowie die Auseinandersetzung mit Risiken innerhalb des Unternehmens (§ 91 Abs. 2 AktG). Das daraus resultierende Risikomanagement im Unternehmen soll sicherstellen, dass Risiken frühzeitig erfasst, analysiert, bewertet, koordiniert und innerhalb des Unternehmens weitergeleitet werden. Um dies umzusetzen, bedarf es eines im Unternehmen akzeptierten Risikomanagements, das u. a. als Grundlage für unternehmerisches Handeln dient.^[4]

Im Bankenbereich verpflichtet die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die deutschen Banken durch die Mindestanforderungen an das Risikomanagement dazu, umfassende Vorgaben mit Bezug zum Risikomanagement zu befolgen.^[5]

In der Informationssicherheit spezifiziert die internationale Norm ISO/IEC 27001 (Information technology – Security techniques – Information security management systems – Requirements) die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementssystems.

Literatur[Bearbeiten | Quelltext bearbeiten]

• Martin K. Welge und Marc Eulerich: Corporate-Governance-Management: Theorie und Praxis der guten Unternehmensführung, Springer-Verlag (2014), ISBN 978-3-8349-4539-6.

Siehe auch[Bearbeiten | Quelltext bearbeiten]

• DIIR-Revisionsstandard Nr. 2 – Prüfung des Risikomanagementsystems durch die interne Revision

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ ^{a b} Institute of Internal Auditors (IIA): The IIA’s Three Lines Model – An update of the Three Lines of Defense, PDF-Datei (781 KB), zugänglich für IIA-Mitglieder. In englischer Sprache. Juli 2020. Abgerufen am 23. August 2022.
2. ↑ ^{a b c d e f g h} Deutsches Institut für Interne Revision: Das Drei-Linien-Modell des IIA – Eine Aktualisierung der Three Lines of Defense , PDF-Datei (1.423 KB), Juli 2020. Abgerufen am 22. August 2022.
3. ↑ Bungartz, Oliver (2013), in: Interne Revision Digital: Positionspapier – The Three Lines of Defense in Effective Risk Management and Control, noch auf Grundlage des alten Modells. Abgerufen am 22. November 2022.
4. ↑ Füser, K. & Gleißner, W.: Risikomanagement (KonTraG) – Erfahrungen aus der Praxis, in: Der Betrieb, Nr. 15, 16. April 1999, S. 753–758. Abgerufen am 23. August 2022.
5. ↑ Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Rundschreiben 10/2021 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk, 4. Mai 2022. Abgerufen am 25. November 2022.