Ist es an der Zeit, die drei Verteidigungslinien neu zu definieren?

Daniel A. Clark

Daniel A. Clark

Director, Internal Audit, Washington Trust Bank

Sollten interne Prüfungen unabhängig bleiben oder stärker in die ersten beiden Verteidigungslinien integriert werden? Es könnte an der Zeit sein, das bestehende Modell zu überdenken.

Seit Jahren erklären einige Kollegen, die im Bereich der Kontrolle ihrer Unternehmen tätig sind, ihrer Geschäftsleitung und anderen interessierten Parteien immer wieder das Modell der drei Verteidigungslinien. Für diejenigen unter Ihnen, denen das Modell nicht bekannt ist: Es besagt, dass das Unternehmen selbst für die ersten beiden Verteidigungslinien gegen Risiken verantwortlich ist, die interne Revision hingegen für die dritte Verteidigungslinie. Für diese Segmentierung gibt es viele Gründe und gute Argumente.

Ich denke, dass es an der Zeit ist, das Modell weiterzuentwickeln, sodass es seine endgültige Form annimmt.

„Es ist nicht mehr von Vorteil, wenn die interne Revision als letzter Notbehelf alleine für das Risikomanagement zuständig ist.“

Wir alle sollten erkennen, dass die Separierung der internen Revision im Grunde nur eine Ausrede dafür ist, sie nicht dort einzubinden, wo sie den größten – und weitreichendsten – Nutzen bringen kann.

Die Integration der internen Revision in die ersten beiden Verteidigungslinien hat das Potenzial, das Risikomanagement merklich zu verbessern. Es könnte der Punkt sein, der die Echtzeitanwendung mit der Governance-, Risiko- und Compliance-Vision (GRC) des Unternehmens und den ERM-Erwartungen verbindet. Im Fußball kann eine durchdachte Verteidigungsstrategie in einen richtig guten Vorstoß münden – so gesehen ist es an der Zeit, mit der internen Revision in die Offensive zu gehen.

Wir möchten einige Möglichkeiten hierfür erkunden und gleichzeitig sicherstellen, dass die interne Revision ihre Unabhängigkeit bewahrt:

Überprüfung der Kontrollen des Unternehmens: Die erste Verteidigungslinie

Die unabhängige Bewertung der Effektivität von Kontrollen ist eine grundlegende Praxis der internen Revision. Es ist nichts dagegen einzuwenden, dass Prüfer Kontrollen in Augenschein nehmen, während Prozesse überarbeitet oder entwickelt werden – oder sogar während der Implementierungsphase neu gestalteter Prozesse. Dadurch erhält das Unternehmen eine Echtzeit-Überprüfung der empfohlenen Kontrollstruktur, und zwar in einer Weise, die es ermöglicht, Änderungen vorzunehmen, noch bevor die Kontrollen implementiert werden.

Nur ein Nebeneffekt der frühzeitigen Kontrollüberprüfung? Sowohl die Beseitigung überflüssiger Kontrollen als auch die Bestätigung, dass mehrere Kontrollen zusammen funktionieren, tragen zum Mindern der Risiken in der vom Unternehmen erwarteten Weise bei.

Überprüfung der Kontrollfunktionen: Die zweite Verteidigungslinie

Eine der Bedingungen des Modells der drei Verteidigungslinien lautet, dass sich die interne Revision auf verschiedene interne Kontrollfunktionen, die vom Management implementiert werden, stützen kann. Wenn wir diese Überzeugung für wahr halten – und das sollten wir tun – warum unterstützt die interne Revision dann nicht umgekehrt auch das Management, indem sie die richtige Organisation, die Fähigkeiten und die Prozesse empfiehlt, die zum Erreichen dieses Ziels erforderlich sind?

Die interne Revision prüft jede Kontrollfunktion (Compliance-Tests, Qualitätskontrolle, Kreditrisikoprüfung etc.) anhand von Standards, um vollständiges Vertrauen zu ermöglichen. Die interne Revision sollte diese Überprüfung bereits bei der Erstellung der Kontrollfunktionen vornehmen, um zuverlässigere und nachhaltigere Prozesse zu gewährleisten. Das spart dem Unternehmen Geld und stärkt zudem die zweite Verteidigungslinie.

Integriertes GRC: Das Lebenselixier von ERM

Schließlich handelt es sich bei GRC um einen gemeinsam genutzten Speicher für Informationen. Die interne Revision sollte sich aktiv an der erfolgreichen Implementierung und Nutzung von GRC-Lösungen für ERM-Zwecke beteiligen. Die Ergebnisse von Prüfungstests, Risikobewertungen und Prüfungsüberwachungen können dem Unternehmen eine unabhängige Bestätigung liefern, dass die Kontrollen und das Risikomanagement wirksam sind.

Wenn die interne Revision die GRC-Lösung des Unternehmens mit Daten speist, hat die Geschäftsleitung einen umfassenderen Überblick über die Risiken und Kontrollen zur Hand. Die interne Revision wird dann zu einem Partner im Risikomanagement und kann die Effektivität der Kontrollen unabhängig bestätigen. Auf diese Weise kommt die Geschäftsleitung in den Genuss von „One-Stop-Shopping“. Und die interne Revision kann sich sicher sein, dass Prüfer auf dem besten Weg sind, als vertrauenswürdige Berater zu fungieren.

Die Zeiten des sich Separierens müssen ein Ende haben. Im Kampf gegen Risiken können die interne Revision und der Rest des Unternehmens enge Verbündete werden. ERM und der Einsatz von GRC-Tools ermöglichen dies mehr denn je. Wir sollten uns alle dafür einsetzen.

E-Book

Steuern Sie Risiken nicht ohne Ihre internen Prüfer

Themen in diesem E-Book:

  • Wie man im Risikobewertungsprozess Risiken als niedrig, mittel und hoch bewerten kann
  • Möglichkeiten zur Priorisierung von Risiken mit Hilfe von Scorecards und Heatmaps
  • Best Practices für eine risikobasierte Prüfungsplanung, bei der Sie gleichzeitig über sich ändernde Risikoprofile auf dem Laufenden bleiben
  • Beispiele für Analysen zur Identifizierung von Risiken und Fallstudien aus dem öffentlichen und privaten Sektor
  • 6 Schritte zum Einsatz von Analysen zur Risikobewertung

E-Book herunterladen

Verwandte Beiträge

lang="de-DE"