Three lines of defense model - 3 Linien Modell

Das three line of defense model( 3 Linien Modell) stellt einen Kontrollrahmen dar, der auf unterschiedlichen Ebenen durch Kontrollen Risiken reduzieren soll. In der Aufbauorganisation sind diese Kontrollen so verteilt, dass diese im Prozesss erfolgen (first line), durch unabhängige Kontrollinstanzen im Risikomanagement wie der Compliancebereich (second line) sowie durch eine prozessunabhängige Instanz, die nicht in Geschäftsprozesse und Aktivitäten involviert ist wie die Interne Revision (third line). Als vierte Verteidungslinie kann der Aufsichtsrat oder ein Prüfungsverband angesehen werden.

first line of defense

Es handelt sich um die Kontrollbereiche des operativen Bereiches, die die Prozesse ausführen. Bereits bei der Prozessausführung sind Fehler zu vermeiden und entsprechende Kontrollen zu implementieren.

second line of defense

Auf Basis der MaRisk werden die "Besonderen Funktionen hier eingeordnet:

Compliance Funktion

Die Compliance-Funktion-Funktion gehört zu den "Besonderen Funktionen" nach MaRisk. Sie gehört wie die Interne Revision zu den "Three line of defense".An dieser Stelle wird über diese Funktion entsprechend der MaRisk berichtet. Beabsichtigt sind Hinweise zur Vorgehensweise in der Praxis, auch in Bezug zu den anderen "Besonderen Funktionen" nach AT 4.4 der MaRisk. Eine wirksame Compliance-Organisation stellt ein wesentliches Kriterium für wirksame Risikomanagementsysteme dar. Im Rahmen funktionsfähiger Kontrollprozesse über nimmt die CF eine wesentliche Aufgabe und trägt dazu bei, dass ein Organisationsverschulden minimiert bzw. im Einzelfall ausgeschlossen werden kann.

Nachstehende Compliance-Bereiche sind hierbei insbesondere von Bedeutung:
  • MaRisk-Compliance
  • WpHG-Compliance
  • IT Compliance
  • Tax-Compliance

  • Risikocontrolling-Funktion

    Die Risikocontrolling-Funktion gehört zu den „Besonderen Funktionen“ nach AT 4.4 der MaRisk. Unter AT 4.4.1 wird nachstehendes ausgeführt, dass jedes Institut über eine Risikocontrolling-Funktion verfügen muss, die für die unabhängige Überwachung und Kommunikation der Risiken zuständig ist. Die Risikocontrolling-Funktion ist aufbauorganisatorisch bis einschließlich der Ebene der Geschäftsleitung von den Bereichen zu trennen, die für die Initiierung bzw. den Abschluss von Geschäften zuständig sind. Den Mitarbeitern der Risikocontrolling-Funktion sind alle notwendigen Befugnisse und ein uneingeschränkter Zugang zu allen Informationen einzuräumen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Die Leitung der Risikocontrolling-Funktion ist bei wichtigen risikopolitischen Entscheidungen der Geschäftsleitung zu beteiligen. Diese Aufgabe ist einer Person auf einer ausreichend hohen Führungsebene zu übertragen. Sie hat ihre Aufgaben in Abhängigkeit von der Größe des Instituts sowie Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten grundsätzlich in exklusiver Weise auszufüllen. Wechselt die Leitung der Risikocontrolling-Funktion, ist das Aufsichtsorgan zu informieren.

    Weiter können als second line noch z.B. folgende Bereiche angesehen werden:

  • ISM
  • Datenschutz
  • Auslagerungsmanagement
  • Tax-Compliance
  • Es handelt sich um alle Bereiche, die außrhalb der Prozesse (Front- und Backoffice innerhalb der Prozesse) Überwachungsaufgaben wahrnehmen.

    third line of defense

    Third line of defense ist die Interne Revision.

    fourth line of defense

    In einzelnen Veröffentlichungen wird noch eine vierte Verteidiungslinie hinzugefügt. Als vierte Verteidigungslinie kann der Aufsichtsrat oder z.B. ein Prüfungsverband angesehen werden.