Last line of Defense - eine kurze Würdigung des IIA-Updates zum Three Lines of Defense Modells -

3LoD ist für alle in Governance und Risikothemen beschäftigten Personen ein langjähriger und treuer Begleiter. Aufgrund seiner einfachen Erklärbarkeit und Schlichtheit war es mit dem Modell möglich, Rollen und Verantwortlichkeiten verschiedener Organisationseinheiten im Bereich Risikomanagement, Compliance und Kontrollsysteme zu definieren und umzusetzen. Das Modell ermöglichte Unternehmen eine effektive und effiziente Koordination der verantwortlichen Organisationseinheiten zur Vermeidung von Kontrolllücken und Doppelspurigkeiten. Es fusst dabei auf strikter organisatorischer Trennung in den Verantwortlichkeiten und einer hierarchischen Verantwortungspyramide hin zum Verwaltungsrat respektive dem Audit Committee. In vielen Unternehmen findet man daher die Auswirkung des Modells in den Organisationsstrukturen wieder.

3LoD - ein treuer Begleiter

3LoD ist für alle in Governance und Risikothemen beschäftigten Personen ein langjähriger und treuer Begleiter. Aufgrund seiner einfachen Erklärbarkeit und Schlichtheit war es mit dem Modell möglich, Rollen und Verantwortlichkeiten verschiedener Organisationseinheiten im Bereich Risikomanagement, Compliance und Kontrollsysteme zu definieren und umzusetzen. Das Modell ermöglichte Unternehmen eine effektive und effiziente Koordination der verantwortlichen Organisationseinheiten zur Vermeidung von Kontrolllücken und Doppelspurigkeiten. Es fusst dabei auf strikter organisatorischer Trennung in den Verantwortlichkeiten und einer hierarchischen Verantwortungspyramide hin zum Verwaltungsrat respektive dem Audit Committee. In vielen Unternehmen findet man daher die Auswirkung des Modells in den Organisationsstrukturen wieder.

Drei Treiber

Drei wesentliche Treiber haben jedoch die Gültigkeit des Modells in Frage gestellt:

Mit der Entwicklung und Einführung neuer agiler Organisationsformen und Arbeitsmethoden und einer damit einhergehenden Aufweichung von Organisations-Hierarchien war klar, dass das Modell unter Druck kommt und neue Antworten gefunden werden müssen. Das eher statisch ausgelegte 3LoD-Modell bietet hier keine geeigneten Antworten.
Eine ähnliche Wirkung verursachte der Trend zur Digitalisierung und die Einführung neuer Technologien sowie damit einhergehende schnelle Innovationszyklen insbesondere bei technologie-getriebenen Unternehmen. Dieser erfordert in den Unternehmen neue Ansätze in der Zusammenarbeit mit Technologielieferanten und internen Organisationseinheiten sowie die Schaffung von Innovationsinkubatoren. die auch auf ein Scheitern ausgelegt sind. Insgesamt führt dies in der Konsequenz zu Verantwortlichkeitstransfers, die das 3LoD nicht abbildet.
Zuletzt ist in der beruflichen Praxis auch der Trend beobachtbar, dass die Wirksamkeit interner Kontrollsysteme und deren Bedeutung aufgrund ihrer statischen Ausrichtung in den Unternehmen sukzessive abnimmt. Teilweise werden Kontrollen proforma exekutiert, die Erkenntnisse aus den Kontrolldurchläufen eher zur Kenntnis genommen worden sind, als dass sie zu konkreten Massnahmen und Anpassungen des Complianceumfelds geführt haben.

Was macht der IIA

Insbesondere das Einbunkern der Internen Revision hinter der dritten Linie birgt in Teilen das Risiko der Abkapselung der Revision von der Unternehmensrealität und einer Schwächung ihrer Fähigkeiten, das Unternehmen bei der Erreichung der Unternehmensziele kritisch zu begleiten und zu unterstützen.

Konsequenterweise hatte der IIA in 2019 eine Arbeitsgruppe ins Leben gerufen, um erforderliche Anpassungen am Modell zu untersuchen. Ergänzend dazu hatte der IIA letztes Jahr aufgerufen, Inputs, Meinungen und Erwartungen an eine Weiterentwicklung des Modells einzureichen.

Versteckt in der Sommerpause hat der IIA seine Erkenntnisse aus der Validierung am 20.07. veröffentlicht. Positiv zu vermerken ist die Tatsache, dass man versucht, das VUCA-Prinzip zu berücksichtigen: "Organizations are human undertakings, operating in an increasingly uncertain, complex, interconnected, and volatile world. They often have multiple stakeholders with diverse, changeable, and sometimes competing interests. Stakeholders entrust organizational oversight to a governing body, which in turn delegates resources and authority to management to take appropriate actions, including managing risk." (Quelle IIA-Positionspapier)

Wesentliche Erkenntnisse

In der Analyse des Dokuments erkennt man aber, das der ursprünglich in der Arbeitsgruppe beschriebene “blurring of the lines-effect” sich im Ergebnispapier nur bedingt wiederfindet . Eher wurde versucht, das bestehende Modell beizubehalten und mit sechs Prinzipien zu ergänzen, die jedoch im Wesentlichen eine Wiederholung bekannter Selbstverständlichkeiten sind:

Principle 1: Governance

Principle 2: Governing body roles

Principle 3: Management and first and second line roles

Principle 4: Third line roles

Principle 5: Third line independence

Principle 6: Creating and protecting value

Die grafische Zusammenfassung des neuen Modells zeigt ein wenig Hilflosigkeit beim Versuch, das Modell zu retten, statt mutig einen Schritt vorwärtszugehen.

Fazit

In dem gesamten Papier findet man keinen einzigen Verweis auf die eigentlichen Ursachen und Treiber der Veränderungen, die das 3LoD sukzessive obsolet machen. Wenn man nach Stichworten wie Digitalisierung, Technologie oder modernen Organisationsformen sucht, wird man nichts finden. Im Gegenteil, der IIA versucht weitmöglichst an bestehenden Prinzipien festzuhalten.

Auf Seiten des IIA hat man m.E. nicht verstanden, dass die technologische Disruption, mit der viele Unternehmen mit bis anhin bewährten Geschäftsmodellen konfrontiert sind, auch einen Impact auf das Risikomanagement, Compliance und Kontrollsysteme haben. Das Disruption nicht bedeutet, an einem bewährten Modell festzuhalten, sondern den Mut zu haben, es über Bord zu werfen und neue Rahmenbedingungen anzuerkennen.

Oder um es mit Jean Jaurès etwas poetischer zuzuspitzen: «Tradition ist die Bewahrung des Feuers und nicht die Anbetung der Asche». Auch mir wäre es lieber, wenn man es mit einfachen und schlichten Ansätzen schafft, Komplexität und Unsicherheit aus der Risikomanagementperspektive zu adressieren. Aber das funktioniert nicht, wenn man dabei kritische Veränderungstreiber ausblendet.

WireCard und die Lehren daraus

Das Beispiel Wirecard hat deutlich vor Augen geführt, dass man es mit klassischen Methoden und Instrumenten nicht schafft, die Risiken in einem Technologie- und IT-Konzern zu identifizieren und transparent zu machen. Das ein (einziger!) Finanzprüfer auf Seiten der Bafin nicht in der Lage ist, den elektronischen Zahlungsverkehr substanziell zu prüfen, wenn dieser auf massenhaften, grenzüberschreitenden, mit hoher Geschwindigkeit ausgeführten Transaktionen in einem komplexen IT-Umfeld beruht. Ich freue mich jetzt schon auf die Untersuchungsergebnisse der EY-Prüfungsaktivitäten, um zu sehen, mit welchen Prüfungsmethoden hier versucht wurde, Risiken zu erkennen.

Mit dem Wirecard-Desaster vor Augen, kann man nur hoffen, dass sich die Unternehmen ihrer Eigenverantwortung wieder stärker bewusst werden und Compliance-Strukturen auf den Prüfstand stellen und kritisch hinterfragen. Auf eine zeitgemässe Unterstützung durch den IIA werden sie dabei nicht zurückgreifen können, sondern müssen vielmehr eigene Antworten darauf finden, wie sie zukünftig Unternehmensrisiken adressieren und Management bzw. den Verwaltungsrat vor zu grossen Risiken schützen wollen. Die Rolle der Internen Revision muss dabei neu ausgerichtet werden, ansonsten ist das nächste Wirecard nur eine Frage der Zeit.

Mit dem Update des 3 Lines of Defense Modells hat man sich keinen Gefallen getan, man hätte es eher in Würde sterben lassen sollen. Um zeitgemässe und wirksame Compliance-Strukturen zu entwickeln, sind neue Ideen gefragt.