Die Bedeutung des „Three-lines-of-defence“ Modells
Das Modell der „Three-lines-of-defence“ hat in letzter Zeit stark an Popularität gewonnen. Das als Folge der 8. EU-Richtlinie (Abschlussprüfungs-Richtlinie) von Europäischen Fachverbänden entwickelte System ist eine gute Grundlage, die Koordination und Zusammenarbeit der verschiedenen Überwachungs- und Kontrollfunktionen in einem Unternehmen aufzuzeigen.
Neben der Verbesserung der Transparenz einerseits, lassen sich aber auch andererseits gut die verschiedenen Problembereiche der innerbetrieblichen Überwachung und Kontrolle thematisieren:
Inflation der Funktionen
Als Folge der zunehmenden Komplexität, Globalisierung und Beschleunigung haben sich in den letzten Jahren neue Funktionen etabliert. So war die Compliance-Funktion bis vor rund 20 Jahren vor allem im Finanzsektor präsent. Nun ist diese Funktion auch in den übrigen Sektoren nicht mehr wegzudenken. Auch das Risiko-Management als Funktion ist eher eine neuere Erscheinung, während die Interne Revision doch schon seit einigen Jahrzehnten aktiv ist. Die Ursache dieser „Inflation“ ist einerseits die Reaktion auf erhöhte Risiken und entsprechende Vorfälle, andererseits auch notwendig, um verschiedene Governance Standards einzuhalten. So empfiehlt der „Swiss Code of Best Practice for Corporate Governance“ die Einrichtung der vorgängig erwähnten Funktionen.
Unabhängigkeit versus Zusammenarbeit
Die im „Three-lines-of-defence“ Modell beschriebenen Funktionen haben die Tendenz, sich eigendynamisch zu entwickeln und sich allenfalls von den anderen Funktionen abzugrenzen. Dies hängt damit zusammen, dass Koordination und Abstimmung im unternehmerischen Alltag anstrengend sind und Kompromisse abverlangen. Wenn durch Führungsfunktionen (z.B. Audit Committee) oder durch den Regulator keine aktive Zusammenarbeit gefordert wird, können sich „Silo-Ansätze“ entwickeln. Dies kann zu Doppelspurigkeiten führen, die zusätzliche Kosten und auch Mehrarbeit bei den zu überwachenden Stellen (vielfach Front-Abteilungen) verursachen.
Distanz zum Geschäft
Die graphische Darstellung der „Three-lines-of-defence“ zeigt auch klar auf, dass die Funktionen ab der 2. Verteidigungslinie weiter weg vom betrieblichen Geschehen sind. Viele Risiken ergeben sich in der Geschäftstätigkeit aber gerade an der Front (z.B. im direkten Kontakt mit Kunden, in Handelsräumen etc), die durch ein funktionierendes Internes Kontrollsystem IKS abgefangen werden müssen. Aktuelle Beispiele – insbesondere auch im Finanzssektor (Stichworte Devisenmanipulation, Libor-Skandal, etc.) – zeigen auf, dass Funktionen ab zweiter Verteidigungslinie entsprechende Probleme zu spät erkennen, da sie oft zu weit weg sind.
Kosten
Die Graphik der „Three-lines-of-defence“ legt offen, dass die gesamte Überwachung und Kontrolle ein umfangreiches System umfasst, das auch entsprechende Kosten verursacht. Studien haben aber aufgezeigt, dass viele Unternehmen diesen „Assurance“-Kostenblock nicht gesamthaft überwachen und steuern. Die Kosten der externen Revisionsstelle sind oft ein Thema, aber eine umfassende Sichtweise aller „Assurance“-Kosten fehlt oft.
Das Konzept der „Three-lines-of-defence“ bildet eine gute Diskussionsgrundlage, um die verschiedenen Aspekte in der Effizienz und Effektivität der Überwachung und Kontrolle zu diskutieren. An der Konferenz „Three-line-of-defence“ werden diese und andere Themen zur Diskussion gestellt:
Autor: Hans-Ulrich Pfyffer, unabhängiger Verwaltungsrat/Bankrat, Pfyffer Governance und Vorsitzender der Tagung Three Lines of Defence
Kontakt: Kathrin Dietrich-Pfaffenbach, Conference Director EUROFORUM | XING
