3 Lines of Defence

Organisation eines Managementsystems nach den Drei – Verteidigungslinien

Einleitung

Das Drei-Linien-des-Verteidigungsmodell (3 Lines of Defence) ist ein weitverbreitetes Rahmenwerk im Bereich des Managements, um ein Managementsystem zu organisieren bzw. zu implementieren. Es hilft das Unternehmen zu organisieren, Risiken zu ermitteln und effektiv zu überwachen und zu steuern. Dieses Modell unterteilt die Verantwortlichkeiten und Aufgaben in drei klare Linien: operative Management, Compliance und die Überwachung (interne Audit, Revision).

Operatives Management (1st Line of Defence)

Die erste Linie der Verteidigung besteht aus dem operativen Management, das für die tägliche Überwachung und -steuerung verantwortlich ist. Diese Linie umfasst die Geschäftsbereiche und operativen Einheiten eines Unternehmens, die direkt mit der operativen Arbeit konfrontiert sind und dafür sorgen müssen, dass diese adäquat gemanagt werden.  Zu den Aufgaben dieser Linie zählen:

  • Identifikation und Bewertung von Risiken im operativen Geschäft
  • Implementierung und Überwachung von internen Kontrollen
  • Dokumentation und Berichterstattung über identifizierte Risiken und getroffene Maßnahmen
  • Steuerung der Prozesse
  • Einhaltung der Compliance 
  • Dokumentation der operativen Prozesse
  • Dokumentation der Nachweise zur Einhaltung der Prozesse. 
  • Risikoeigentümer
  • Behebung von Risiken

Compliance (2nd Line of Defence)

Die zweite Linie der Verteidigung besteht aus der Compliance-Management-Funktionen, die unabhängig vom operativen Management arbeitet. Diese Linie unterstützt das Management dabei, Risiken zu identifizieren und zu steuern, und stellt sicher, dass die internen Kontrollen wirksam sind. Zu den Aufgaben dieser Linie zählen:

  • Überwachung und Beratung der operativen Einheiten bei der Einhaltung der Compliance 
  • Entwicklung von klaren Vorgaben zur Einhaltung der jeweiligen Compliance-Anforderung (Gesetze, ISO-Normen, Verträge)
  • Entwicklung und Implementierung Compliance-Programmen
  • Regelmäßige Überprüfung und Aktualisierung der internen Kontrollen
  • Schulung und Sensibilisierung der Mitarbeiter zu den Compliance-Anforderungen
  • Erstellen von Vorgaben des jeweiligen Managements 
  • Risikobewertung und Controlling

Überwachung (3rd Line of Defence, interne Audits, Revision)

Die dritte Linie der Verteidigung ist das interne Audit oder eine Revision. Diese prüft unabhängig von den anderen beiden Verteidigungslinien die Einhaltung der Anforderungen und die Effektivität und Effizienz der ersten und zweiten Verteidigungslinie. Zu den Aufgaben zählen:

  • Durchführung von Prüfungen (Audits)
  • Bewertungen der internen Kontrollen (KPIs) und Prozesse
  • Überprüfung der Einhaltung der Compliance-Anforderungen (Gesetze, ISO-Normen, Verträge)
  • Berichterstattung der Ergebnisse an das obere Management 
  • Empfehlungen zur Verbesserung der internen Kontrollen und Prozesse.

Vorteile des Drei-Linien-Des-Verteidigungsmodells

Das Drei-Linien-Des-Verteidigungsmodell bietet zahlreiche Vorteile für Unternehmen:

  • Klare Trennung der Verantwortlichkeiten und Aufgaben im Risikomanagement
  • Verbesserte Überwachung und Steuerung von Risiken
  • Stärkung der internen Kontrollen und Compliance-Funktionen
  • Unabhängige und objektive Prüfung und Bewertung der internen Kontrollsysteme
  • Erhöhte Transparenz und Rechenschaftspflicht im Risikomanagementprozess

Herausforderungen und Grenzen des Modells

Trotz seiner Vorteile stößt dieses Modell auch auf Herausforderungen und Grenzen:

  • Effektive Kommunikation und Zusammenarbeit zwischen den drei Linien
  • Ressourcen- und Kostenaufwand für die Implementierung und Aufrechterhaltung des Modells
  • Abhängigkeit von der Unternehmenskultur und dem Engagement des Managements
  • Mögliche Doppelarbeit und Überschneidungen der Verantwortlichkeiten

Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.

Informationssicherheit: → ISO 27001, TISAX

Qualitätsmanagement: → ISO 9001

Compliance Management: → ISO 37301

Datenschutz: → DSGVO, ISO 27701

Business Continuity Management: → ISO 22301

Unser Partner  ↗ IT-Richtlinien.de bietet Vorlagen für Managementsysteme an.

Diese Vorlagen sind für die Zertifizierung geeignet. 

Vorheriger Beitrag Phishingmails und wie man sie erkennen kann
Nächster Beitrag Der VDA ISA TISAX Katalog Version 6
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von Dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.

Die Einwilligung zum setzen der Cookies wird nach dem Ablaufen der Session erneut angefragt.