3 lines of defence model

Von Lea Hofmann business 9 Min. Lesezeit
3 lines of defence model

Ich saß vor zwei Jahren in einem Sitzungszimmer im Frankfurter Bankenviertel. Gegenüber von mir: ein sichtlich erschöpfter Chief Risk Officer, der gerade erfahren hatte, dass seine Bank eine Strafe im zweistelligen Millionenbereich zahlen musste. Er hatte zwei Jahre lang ein 3 lines of defence model aufgebaut, Unmengen an Geld in Berater investiert und die Belegschaft mit Reporting-Pflichten gequält. Trotzdem rutschte ein massiver Betrugsfall einfach durch das Netz, direkt unter den Augen der Revision. Das Problem war nicht, dass sie keine Regeln hatten. Das Problem war, dass sie eine theoretische Festung gebaut hatten, in der niemand wirklich die Verantwortung für das Risiko übernahm, weil jeder dachte, die nächste Linie würde es schon richten. Ich habe das so oft erlebt: Organisationen kaufen sich ein Framework, malen bunte Organigramme und wundern sich dann, wenn die Realität sie hart trifft. Wenn Sie glauben, dass Sie Sicherheit gewinnen, nur weil Sie Rollen definieren, begehen Sie gerade den teuersten Fehler Ihrer Karriere.

Die Illusion der Unabhängigkeit im 3 lines of defence model

Der größte Denkfehler, den ich immer wieder sehe, ist die Annahme, dass die zweite Linie — also Risk Management oder Compliance — die Arbeit der ersten Linie kontrollieren muss, als wären sie Polizisten. In der Theorie klingt das logisch. In der Praxis führt das dazu, dass die Leute im operativen Geschäft, also die echte erste Linie, ihr Gehirn ausschalten. Sie denken: "Wenn Compliance das durchwinkt, wird es schon passen." Aufbauend zu diesem Thema können Sie mehr finden in: Warum die meisten Händler bei der Optimierung für A9 ihr Budget verbrennen.

Ich habe in Projekten erlebt, wie Kreditreferenten riskante Verträge einfach unterschrieben haben, weil sie wussten, dass das Risk Management ohnehin noch mal drüberschaut. Das ist gefährlich. Die Kosten für diesen Fehler sind enorm. Sie bezahlen hochqualifizierte Leute in der ersten Linie dafür, Risiken zu managen, aber diese Leute schieben die Verantwortung ab. Am Ende haben Sie eine zweite Linie, die unter der Last der Detailprüfungen zusammenbricht, und eine erste Linie, die sich blind stellt.

Die Lösung ist schmerzhaft, aber notwendig: Die zweite Linie darf niemals die Arbeit der ersten Linie "absegnen". Ihre Aufgabe ist es, Methoden vorzugeben und die Wirksamkeit der Kontrollen zu überwachen. Wenn ein Fehler passiert, muss der Leiter der operativen Einheit geradestehen, nicht der Compliance-Officer. Wenn Sie das nicht klarstellen, züchten Sie eine Kultur der Verantwortungslosigkeit heran, die Sie Millionen kosten kann, sobald die Aufsichtsbehörden genauer hinsehen. Weitere Details zu diesem Thema werden bei Finanzen.net behandelt.

Das Missverständnis der zweiten Linie als Hilfssheriff

Ein weiterer Fehler, der Unmengen an Zeit frisst: Die zweite Linie versucht, alles zu kontrollieren. Ich kenne Unternehmen, die haben für jede Kleinigkeit einen Genehmigungsprozess eingeführt. Das Ergebnis? Die Prozesse werden so langsam, dass das Geschäft zum Erliegen kommt oder — was noch schlimmer ist — die Mitarbeiter Wege um das System herum finden.

In meiner Zeit bei einem mittelständischen Industriebetrieb sah ich das extrem deutlich. Die Compliance-Abteilung wollte jedes Kundengeschenk über 25 Euro vorab prüfen. Das führte dazu, dass Außendienstmitarbeiter ihre Spesenbelege manipulierten oder privates Geld ausgaben, um den bürokratischen Wahnsinn zu vermeiden. Damit hatte die zweite Linie genau das Gegenteil von dem erreicht, was sie wollte: Sie hatte die Transparenz verloren.

Ein echtes Risikomanagement konzentriert sich auf die "Big Rocks". Wenn Ihre zweite Linie mehr Zeit mit Reisekosten als mit strategischen Marktrisiken oder IT-Sicherheit verbringt, haben Sie ein Priorisierungsproblem. Ein guter Risikomanager ist kein Hilfssheriff, sondern ein Berater, der der Geschäftsführung sagt, wo es wirklich brennen könnte. Das spart Ihnen nicht nur Geld für unnötige Kontrollen, sondern schützt auch Ihren Ruf.

Wenn die interne Revision nur noch Checklisten abarbeitet

Die dritte Linie, die interne Revision, wird oft als das letzte Sicherheitsnetz missverstanden. Der Fehler hier ist die "Tick-the-Box"-Mentalität. Prüfer kommen rein, schauen sich an, ob ein Prozess dokumentiert ist, machen einen Haken und gehen wieder. Das ist wertlos. Ich habe Revisionen gesehen, die ein tadelloses Testurteil abgegeben haben, während die IT-Systeme des Hauses so löchrig waren wie ein Schweizer Käse, nur weil die Dokumentation der Passwörter-Richtlinie formal korrekt war.

Die Revision muss unangenehm sein. Sie muss Fragen stellen, die wehtun. Wenn Ihre Prüfer nur die Einhaltung von Handbüchern prüfen, können Sie sich das Geld für die Abteilung sparen. Ein erfahrener Prüfer schaut sich nicht nur den Prozess an, sondern das Ergebnis. Er fragt: "Funktioniert das wirklich, wenn es hart auf hart kommt?"

Der Vorher-Nachher-Vergleich in der Prüfungspraxis

Schauen wir uns an, wie sich ein falscher und ein richtiger Ansatz in der Praxis unterscheiden.

Nehmen wir einen Einkaufsprozess. Im schlechten Szenario kommt der Revisor und prüft, ob bei jeder Bestellung über 10.000 Euro drei Angebote vorliegen, wie es im Handbuch steht. Er findet drei Angebote pro Fall, macht seinen Haken und verschwindet. Was er nicht sieht: Die Angebote kommen alle vom selben Firmengeflecht oder sind manipulierte Gefälligkeitsangebote. Der Schaden durch überhöhte Preise bleibt bestehen, aber die Revision ist zufrieden, weil die Form stimmt.

Im guten Szenario geht der Revisor anders vor. Er schaut sich die Daten der Lieferanten an, gleicht Adressen und Kontoverbindungen ab und prüft, ob die Preise marktgerecht sind. Er stellt fest, dass ein Einkäufer systematisch einen bestimmten Lieferanten bevorzugt, obwohl dieser teurer ist. Er deckt den Betrug auf, statt nur die Papierlage zu bestätigen. Das ist der Unterschied zwischen einer Alibi-Funktion und echtem Mehrwert. Der erste Ansatz kostet nur Geld, der zweite spart es ein.

Die tödliche Arroganz der 3 lines of defence model Hierarchie

In vielen Köpfen herrscht ein Bild vor, in dem die Linien übereinander stehen. Die erste Linie arbeitet, die zweite belehrt und die dritte richtet. Das ist der sicherste Weg, um Fronten zu bilden, die eine effektive Risikosteuerung unmöglich machen. Wenn die Kommunikation zwischen den Linien nur über formelle Berichte läuft, erfahren Sie von Problemen erst, wenn es zu spät ist.

👉 Siehe auch: hallesche kraftverkehrs & speditions gmbh

Ich habe Organisationen erlebt, in denen die erste Linie Informationen vor der zweiten Linie versteckt hat, weil sie Angst vor Sanktionen hatte. Das ist purer Wahnsinn. Wenn Ihre Mitarbeiter Angst haben, Risiken zu melden, ist Ihr gesamtes Modell Schrott. Risikoerkennung braucht Vertrauen.

Ein wirksames Modell funktioniert wie ein Dialog. Die erste Linie muss verstehen, dass die zweite Linie ihr hilft, nicht in den Knast zu wandern oder den Bonus zu verlieren. Die zweite Linie muss verstehen, dass die erste Linie das Geld verdient, das ihre Gehälter bezahlt. Wenn diese gegenseitige Wertschätzung fehlt, produzieren Sie nur teure Berichte für die Rundablage.

Fehlende Daten als Genickbruch für das Risikomanagement

Reden wir über Technik. Viele Unternehmen versuchen, diesen Prozess mit Excel-Tabellen zu steuern. Das geht vielleicht bei zehn Mitarbeitern gut, aber bei hundert oder tausend ist es ein Desaster. Ich habe Projekte gesehen, bei denen hochbezahlte Experten 70 Prozent ihrer Zeit damit verbracht haben, Daten aus verschiedenen Tabellen zusammenzuführen, statt Risiken zu analysieren.

Wenn Sie keine zentrale Datenbasis haben, auf die alle drei Linien zugreifen können, arbeiten Sie blind. Die erste Linie meldet einen Vorfall, die zweite Linie bekommt es drei Wochen später mit und die dritte Linie prüft es erst im nächsten Jahr. In der Zwischenzeit hat sich das Risiko längst realisiert und den Schaden angerichtet.

Investieren Sie in eine vernünftige GRC-Software (Governance, Risk & Compliance). Ja, das kostet erst mal Geld. Aber es ist nichts im Vergleich zu den Personalkosten, die Sie verschwenden, wenn Ihre Leute manuell Daten schubsen. Ein sauberes System sorgt dafür, dass alle über dasselbe sprechen. Es verhindert Doppelarbeit und sorgt dafür, dass kritische Warnsignale nicht in einem E-Mail-Postfach untergehen.

Warum die Geschäftsführung oft das größte Risiko ist

Es klingt hart, aber oft ist das Management das Problem. Wenn der Vorstand das Thema nur als lästige Pflicht ansieht, die man erfüllen muss, um den Regulierer ruhigzustellen, dann wird das Modell niemals funktionieren. Das Signal an die Belegschaft ist klar: "Macht euren Papierkram, aber stört uns nicht beim Geschäft."

Ich erinnere mich an einen CEO, der in jeder Versammlung betonte, wie wichtig Compliance sei, aber gleichzeitig massiven Druck auf den Vertrieb ausübte, Ziele zu erreichen, die ohne Regelverstöße kaum machbar waren. Die Mitarbeiter in der ersten Linie wussten genau, was wirklich zählte. Sie ignorierten die Kontrollen, weil sie wussten, dass der CEO sie im Zweifel decken würde, solange die Zahlen stimmten. Bis der Skandal in der Zeitung stand.

Ein funktionierendes Modell braucht Rückgrat von ganz oben. Das bedeutet auch, dass ein Geschäft abgelehnt wird, wenn das Risiko zu hoch ist — selbst wenn es kurzfristig Gewinn verspricht. Wenn das Management nicht hinter den Entscheidungen der zweiten Linie steht, können Sie den ganzen Apparat gleich wieder einpacken. Es ist reine Geldverschwendung.

Der Realitätscheck für Ihren Erfolg

Hören wir auf mit den Illusionen. Ein Modell zur Risikosteuerung wird Ihr Unternehmen niemals zu 100 Prozent sicher machen. Wer Ihnen das verspricht, lügt. Menschen machen Fehler, Systeme fallen aus und Kriminelle sind oft einen Schritt voraus.

Was ein gut implementiertes Modell aber leisten kann, ist die Schadensbegrenzung. Es sorgt dafür, dass Sie wissen, wo Ihre Schwachstellen liegen. Es sorgt dafür, dass Fehler frühzeitig erkannt werden, bevor sie existenzbedrohend werden. Und es gibt Ihnen eine rechtliche Absicherung gegenüber Behörden und Investoren, weil Sie nachweisen können, dass Sie Ihre Sorgfaltspflicht erfüllt haben.

Erfolgreich sind Sie nicht dann, wenn Sie keine Risiken mehr haben. Erfolgreich sind Sie dann, wenn Ihr Risikomanagement ein natürlicher Teil Ihres Geschäftsalltags ist. Das bedeutet:

  • Klare Verantwortlichkeiten statt Zuständigkeits-Ping-Pong.
  • Fokus auf existenzielle Risiken statt auf bürokratischen Kleinkram.
  • Eine Kultur, in der Fehler gemeldet werden dürfen, ohne dass sofort Köpfe rollen.
  • Technologie, die unterstützt und nicht behindert.

Es dauert Jahre, eine solche Kultur aufzubauen. Es braucht Geduld, Disziplin und die Bereitschaft, unbequeme Wahrheiten zu akzeptieren. Wenn Sie nur eine schnelle Lösung suchen, um ein Audit zu bestehen, werden Sie scheitern. Wenn Sie aber bereit sind, die Arbeit wirklich zu investieren, wird sich das in Form von Stabilität und Vertrauen am Markt auszahlen. Am Ende geht es nicht um Paragraphen oder Grafiken, sondern um das Überleben Ihres Unternehmens in einer unvorhersehbaren Welt. Das ist nun mal so und lässt sich nicht abkürzen.

LH

Lea Hofmann

Lea Hofmann verfolgt politische und soziale Debatten mit kritischem Blick und journalistischer Verantwortung.

Ähnliche Artikel

Warum der Hype um Bricks and Minifigs die wahre Krise des modernen Spielzeugmarkts verschleiert

Warum der Hype um Bricks and Minifigs die wahre Krise des modernen Spielzeugmarkts verschleiert
Warum eine Staatsanleihe dein Portfolio rettet wenn die Märkte verrückt spielen

Warum eine Staatsanleihe dein Portfolio rettet wenn die Märkte verrückt spielen
Warum die meisten beim ersten Contact mit dem B2B-Vertrieb scheitern und wie Sie fünfstellige Lehrgelder vermeiden

Warum die meisten beim ersten Contact mit dem B2B-Vertrieb scheitern und wie Sie fünfstellige Lehrgelder vermeiden
Das Versprechen von Vonovia und die Sehnsucht nach Heimat

Das Versprechen von Vonovia und die Sehnsucht nach Heimat