Ressourcen News „Three lines of defense“ im GRC

Die „Three lines of defense“ des GRC

Roth, Ellen | 08.02.2024
Gesetze, Normen & Standards
OMNINET GRC Football Defence DE Newsbeitrag Blogartikel 770x395
Inhaltsverzeichnis

Football und GRC

„Alert! Alert!“ Hören Defense-Spieler diesen Ausruf auf dem Footballfeld, heißt es, sofort auf eine neue Verteidigungsstrategie umschwenken, damit die Gegner im nächsten Zug nicht in die Endzone vordringen und Punkte erzielen können. Schnell muss sich das Team in drei Verteidigungslinien aufstellen, damit die eigene Endzone geschützt bleibt. Diese „Three lines of defense“ aus dem American Football lassen sich auch im Unternehmensalltag im Bereich Governance, Risk and Compliance (GRC) anwenden und können dort für eine höhere Sicherheit der Organisation sorgen.

Wie diese Verteidigungslinien im GRC aufgebaut sind, worauf dabei zu achten ist und welche Vorteile sie bieten, soll in diesem Artikel erörtert werden.

GRC als Footballfeld

Betrachtet man ein Footballfeld als GRC-Schauplatz, so entspricht die Endzone dem eigenen Unternehmen, das Team den Mitarbeitern und das gegnerische Team steht für alle potenziellen Compliance-Risiken wie Normen, Gesetze, Verordnungen und Notfälle. Die Coaches am Rand des Footballfeldes, die die Gegner schon im Vorfeld studieren, Spiel-Taktiken festlegen und Vorgaben zur Spielweise machen, verkörpern die Corporate Governance in Form von CEO, CIO, CISO, CRM usw.

Nicht jedes der Risiken versucht aktiv das Unternehmen zu attackieren, jedoch haben alle das Potenzial dazu. Um die Endzone also das Unternehmen zu schützen, gilt es, so konform wie möglich zu agieren und die Gegner (Risiken) permanent unter Kontrolle zu haben. Dazu dienen die drei Verteidigungslinien, die sich als Schutzbarrieren vor der Endzone aufstellen und die Corporate Compliance mit den Bereichen operatives Management, Querschnittsdisziplinen und interne Revision darstellen. Sie operieren dabei nicht unabhängig voneinander als separate Schutzmauern, sondern sind als Gesamtkonstrukt zu verstehen, in dem sich die einzelnen Linien gegenseitig stützen und verstärken. Dafür befinden sie sich in ständigem Austausch miteinander und mit den Trainern (Corporate Governance) am Spielfeldrand – dies ist essenziell für die stetige Optimierung der einzelnen Verteidigungslinien und der Prozesse darin.

GRC Three lines of defense Modell DE 03

Erste Verteidigungslinie (First line of defense)

Die erste Verteidigungslinie des GRC ist das Fachbereichs- oder operative Management.

Hier ist der Einsatz aller Mitarbeiter gefragt. Jeder Einzelne trägt die fachliche Verantwortung für alle Prozesse seiner organisatorischen Einheit. Dies schließt ebenfalls die Verantwortung für Risiken, Kontrollen und Kennzahlen mit ein.

In der ersten Verteidigungslinie geht es also darum, Aufgaben innerhalb der jeweiligen Organisationseinheit zu strukturieren, Prozesse hinsichtlich ihrer Compliance-Konformität zu überprüfen sowie die Einhaltung von Compliance-Vorgaben zu kontrollieren. Dazu gehört auch die Meldung frühzeitig erkannter Compliance-Verstöße.

Beispiel:

Sofortige Meldung einer Datenschutzverletzung durch ein verlorenes Notebook.
Verkündung einer relevanten Gesetzesänderung, die neue Anforderungen mit sich bringt.

Poster GRC 1500

 Beim Thema GRC muss man ganzheitlich denken. Unser GRC-Poster zeigt anschaulich, wie Sie von einem integrierten GRC-Ansatz profitieren.

 

Download GRC-Poster

Zweite Verteidigungslinie (Second line of defense)

Die zweite Verteidigungslinie formen die GRC-Querschnittsdisziplinen wie das interne Kontrollsystem (IKS), Prozess- und Risikomanagement, Arbeits-, Daten- und Umweltschutz, Compliance-Management, Auditmanagement usw.

Hier werden die relevanten Vorgaben definiert und die Vorgehensweise zur Umsetzung dieser im Unternehmen festgelegt. Wichtig ist dabei, dass das Potenzial zur Zusammenarbeit aller Querschnittsdisziplinen erkannt und ausgeschöpft wird.

Beispiel:

Es wird festgelegt, nach welchen Kriterien Risiken erfasst und bewertet werden müssen sowie welche Maßnahmen das jeweilige Risiko erfordert.

Dritte Verteidigungslinie (Third line of defense)

Die dritte Verteidigungslinie besteht aus der internen Revision (Audit).

Als unabhängige Instanz unterstützen regelmäßige interne Audits die beiden anderen Verteidigungslinien, indem sie diese und das gesamte GRC-System überwachen und auf Compliance-Verstöße, Effektivität und Effizienz überprüfen.

Beispiel:

Interne Auditoren des Fachbereichs IT überprüfen die Zugriffsrechte, Datenschutzrichtlinien und Sicherheitsmaßnahmen des Unternehmens, um mögliche Schwachstellen zu identifizieren.

Cover GRCC Raster 3er 600x460

Alles Wichtige zu GRC
finden Sie in unserem Flyer.

 

Download GRC-Flyer

Vorteile der „Three lines of defense“ im GRC

Der abteilungsübergreifende Austausch trägt beträchtlich zum Teamgefühl bei und formt ein klares Ziel – gemeinsam erfolgreich zum Sieg. Das „Three lines of defense“-Modell verbessert also maßgeblich die Kommunikation und Zusammenarbeit der verschiedenen GRC-Managementdisziplinen, was dem Unternehmen folgende Vorteile bringt:

  • Klare Verantwortlichkeiten in der Corporate Governance und im GRC-Umfeld:
    Jede Verteidigungslinie übernimmt spezifische Aufgaben, wodurch eine verbesserte Zuordnung von Verantwortlichkeiten und klaren Rollen entsteht.
  • Bessere Compliance-Einhaltung:
    Während die zweite Verteidigungslinie durch die Überwachung der Einhaltung von Compliance-Anforderungen und internen Richtlinien für ein gesteigertes Compliance-Bewusstsein sorgt, sichert die dritte Verteidigungslinie die Einhaltung und Konformität durch unabhängige Audits ab.
  • Transparentere Risikoberichterstattung:
    Die enge Zusammenarbeit der drei Verteidigungslinien ermöglicht bessere und transparente Reports.
  • Effektive Risikosteuerung:
    Indem die erste Verteidigungslinie die Risiken in operativen Prozessen direkt steuert, die zweite Linie dies überwacht sowie unterstützt und die dritte Linie dabei unabhängige Prüfungen durchführt, können Risiken effektiver gesteuert werden.

Thema

Jahr