infoguard-cyber-security-blog-three-lines-of-defence

Vom «Three Lines of Defence» Modell zum «Three Lines Model»

Veröffentlicht am 23. Feb 2023 | von InfoGuard | Cyber Security

Das weiterentwickelte «Three Lines Model» unterstützt Organisationen im Risikomanagement sowie zur Erreichung ihrer Unternehmensziele. Obwohl alle drei Ebenen des Three Lines Models für den Aufbau eines einheitlichen Risikomanagementprozesses unerlässlich sind, ist der Rahmen heute flexibler. 

Das «Three Lines Model» des Institute of Internal Auditors ähnelt dem bekannten «Three Lines of Defence» («3LoD») Modell, dient jedoch im Gegensatz dazu, die zugrundeliegenden Prinzipien klarer darzustellen. Gleichzeitig bietet es Erläuterung zu den Aufgaben und Zuständigkeiten der wichtigsten organisatorischen Funktionen. Das «Three Lines Model» dient als Leitfaden für die Umsetzung und Durchführung von Massnahmen, welche die Unternehmensziele mit den Hauptinteressen der verschiedenen Interessengruppen in Einklang bringen.

 

Cyber_Security_Blog_3LoD

«3LoD» Modell versus «Three Lines Model» – die Neuerungen

Die wichtigste Neuerung vom «3LoD»-Modell zum «Three Lines Model» ist der Übergang zu einem prinzipienbasierten Ansatz. Die Prinzipien legen den Schwerpunkt auf die Rolle des Einzelnen und nicht auf die der operativen Linie. Andere wichtige Änderungen betonen:

  • die Bedeutung einer guten Koordination und Kommunikation zwischen den einzelnen Verteidigungslinien
  • die Notwendigkeit einer direkten Beziehung zwischen dem Leitungsorgan und der Geschäftsführung in der ersten und zweiten Linie
  • die Stärkung der direkten Beziehung zwischen dem Leitungsorgan und des Internal Audit in der dritten Linie

Das überarbeitete Modell stützt sich auf die folgenden sechs Grundsätze:

  • Grundsatz 1 – Führung / Governance:
    Die Leitung einer Organisation erfordert geeignete Strukturen und Prozesse, die Rechenschaftspflicht, Massnahmen zur Erreichung der Organisationsziele und Sicherheit ermöglichen.
  • Grundsatz 2 – Aufgaben des Leitungsorgans / «governing body roles»:
    Das Leitungsorgan stellt sicher, dass geeignete Strukturen und Verfahren für eine wirksame Leitung vorhanden sind. Dazu gehören eine angemessene Aufsicht und die Anpassung an die Anforderungen der Interessengruppen.
  • Grundsatz 3 – Aufgaben der Leitung und der ersten und zweiten Führungsebene / «management and first and second line roles»:
    Die Verantwortung des Managements für die Erreichung der Unternehmensziele umfasst sowohl Aufgaben der ersten als auch der zweiten Führungsebene. Die Aufgaben der ersten Ebene sind auf die Bereitstellung von Produkten oder Dienstleistungen für die Kunden der Organisation ausgerichtet und umfassen auch Unterstützungsfunktionen. Die Aufgaben der zweiten Ebene unterstützen das Risikomanagement.
  • Grundsatz 4 – Aufgaben der dritten Ebene / «third line roles»:
    Die Rolle des Internal Audit bietet Sicherheit sowie unabhängige und objektive Beratung über die Angemessenheit und Wirksamkeit von Governance sowie Risikomanagement. Dabei kann sie auch andere interne und externe Anbieter in Betracht ziehen.
  • Grundsatz 5 – Unabhängigkeit in dritter Linie / «third line independence»:
    Die Unabhängigkeit des Internal Audit vom Management ist für ihre Objektivität, Autorität und Glaubwürdigkeit von wesentlicher Bedeutung.
  • Grundsatz 6 – Schaffung und Schutz von Werten / «creating and protecting value»:
    Alle Funktionen, die zusammenarbeiten, tragen gemeinsam zur Schaffung und zum Schutz von Werten bei, wenn sie aufeinander und auf die vorrangigen Interessen der Stakeholder abgestimmt sind. Kommunikation, Kooperation und Zusammenarbeit sind dabei unerlässlich.

Summarisch zielen diese Grundsätze darauf ab, die persönliche Verantwortlichkeit zu verbessern und den Schwerpunkt auf die Rolle des Einzelnen innerhalb der drei Linien zu verlagern. 

Weiterentwicklung zum «Three Lines Model»

Es handelt sich beim «Three Lines Model» nicht um eine grundlegende Veränderung der bekannten drei Linien aus dem «3LoD»-Modell, sondern um eine Reihe von Verbesserungen, um sie zu stärken. Während die Schlüsselprozesse möglicherweise nicht aktualisiert werden müssen, können sich andererseits die Berichtslinien ändern, sobald die Rollen, Verantwortlichkeiten und Zuständigkeiten geklärt wurden. Zu den wichtigsten Überlegungen gehören:

  • Klärung aller Rollen, Verantwortlichkeiten und Zuständigkeiten für jede Rolle, einschliesslich möglicher Konflikte.
  • Aktualisierung der Zuständigkeitspläne. Wenn die Verantwortung für eine Senior-Management-Funktion aufgeteilt ist, müssen die spezifischen Verantwortlichkeiten für jeden Einzelnen klar und verständlich sein.
  • Integration und Verlagerung in die 1st- und 2nd-Line des Risikomanagements durch Aufklärung und Bewusstseinsbildung zur Verbesserung der Sicherheit, der Deckung und der Transparenz.
  • So wie es beim «3LoD»-Modell ausgestaltet ist, können die Risikoträger nicht gleichzeitig die Sicherheit bieten, so dass eine unabhängige Überprüfung erforderlich sein kann. Eine gründliche Prüfung der Verantwortlichkeiten, möglicher Hindernisse und etwaiger Unvereinbarkeiten mit bestehenden Strukturen wird einen reibungslosen Übergang zum aktualisierten «Three Lines Model» unterstützen.

«Three Lines Model» als Chance zur Verbesserung

Das überarbeitete «Three Lines Model» bietet verschiedene Chancen zur Verbesserung:

  • Austausch und Orientierung; verstärkter aktiver und kooperativer Austausch; Feedback geben sowie erhalten und sich basierend auf dem erhaltenen Feedbacks entwickeln
  • Kooperation und enge Zusammenarbeit mit allen involvierten Rollen
  • Kommunikation und aktiver Austausch mit den Rollen
  • «Compliance by Design» und nachhaltiger Fokus bei der Umsetzung von Geschäftszielen; Suche nach dem richtigen Weg zu deren Erreichung
  • Innovation: Probleme kreativ angehen und neue Techniken einsetzen
  • (Teil-)Automatisierung von typischen 2nd-Line-Aktivitäten und einige 1st-Line-Compliance-Aktivitäten
  • Koordinierung und Gestaltung von Prozessen zur Wahrnehmung der Verantwortung für die Gestaltung des Risikomanagements

Der interdisziplinäre Bereich des Risikomanagements umfasst alle Rollen des «Three Lines Models». Die 1st- und 2nd-Line identifizieren, bewerten, behandeln und überwachen Risiken; die 3rd-Line behält ein wachsames und unabhängiges Auge auf die Aktivitäten der 1st- und 2nd-Line. Darüber hinaus werden Abhilfemassnahmen und die damit verbundenen Aufgaben entkoppelt, um eine bessere Rück- und Nachverfolgbarkeit zu gewährleisten sowie die Zusammenarbeit innerhalb der gesamten Organisation zu erleichtern.

Praxisumsetzung? Unsere InfoGuard-Expert*innen helfen

Das «Three Lines Model» findet rasch Einzug in die Praxis. InfoGuard unterstützt Sie in der Umsetzung des «Three Lines Models» auf verschiedenen Ebenen:

  • BAS-Service zur Unterstützung der 1st-Line-Rollen
  • FINMA Operational Riskmanagement als ein Inkubator des «Three Lines Models» im Finanzsektor
  • ISMS als Träger und zur Ausformulierung der Rollen und der Zusammenarbeit in der Organisation

Dank unserer langjährigen Erfahrung und Expertise in verschiedensten Branchen sind wir der perfekte Partner, um das «Three Lines Model» erfolgreich in die Praxis umzusetzen. Wir freuen uns auf Ihre Kontaktaufnahme!

Kontakt aufnehmen
<< >>

Cyber Security

InfoGuard
Über den Autor / InfoGuard

InfoGuard AG

Weitere Artikel von InfoGuard

Ähnliche Artikel
ISO 27001:2022 – was sich geändert hat und was Sie unternehmen müssen
ISO 27001:2022 – was sich geändert hat und was Sie unternehmen müssen
Veröffentlicht am 24. Jan 2023 | von Fabian Illi | IT-Sicherheit | Cyber Security |

Im Oktober 2022 veröffentlichte das Internation Accreditation Forum (IAF) die neue Norm ISO/IEC 27001:2022 [...]
Sind Sie bereit für das neue FINMA-Rundschreiben 2023/1 «Operationellen Risiken und Resilienz – Banken»?
Sind Sie bereit für das neue FINMA-Rundschreiben 2023/1 «Operationellen Risiken und Resilienz – Banken»?
Veröffentlicht am 17. Jan 2023 | von InfoGuard | Data Governance | 0 Kommentare

Per 1. Januar 2024 treten das totalrevidierte FINMA-Rundschreiben 2023/1 zum Management der Operationellen [...]
GRC – Cyberrisiken im Griff behalten und gleichzeitig die Compliance erfüllen
GRC – Cyberrisiken im Griff behalten und gleichzeitig die Compliance erfüllen
Veröffentlicht am 23. Apr 2020 | von Patric Imhof | Data Governance | 0 Kommentare

Governance, Risk & Compliance (GRC) ist der Sammelbegriff für Themen und Prozesse wie [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.
Blog Updates abonnieren
Social Media
infoguard-cyber-security-ratgeber-2
Kategorien

Sie wollen keinen Beitrag mehr verpassen?

Abonnieren Sie jetzt unsere Blog-Updates und erhalten Sie wöchentlich die neusten Artikel bequem in Ihr Postfach!

Jetzt abonnieren!