• GRC = 3-lines-of-defense

GRC-Organisation = Modell der 3-Verteidigungslinien?

 

Rückblick

Nachdem die letzten beiden Anlässe auf der Agenda des Netzwerks Risikomanagement aufgrund der Pandemie abgesagt werden mussten, ging die erste Fachveranstaltung dieses Jahres am 9. September 2020 im Casino Bern vor rund 60 Teilnehmenden über die Bühne: Fünf versierte Referent/innen aus der Welt des Audits diskutierten das „Three lines of defence“-Modell und die Einbettung des Risiko- und Compliance-Managements vor einem engagierten Publikum.

Im ersten Referate-Block präsentierte Denise Wipf, Partnerin und Leiterin Versicherungen der Audit- und Beratungsfirma Mazars AG (Schweiz), die Kernergebnisse ihrer Studie zum praktischen Einsatz und Nutzen des „3LoD“-Konzepts bei Schweizer Versicherern. Die Studie zeigt, dass die Unternehmen aller drei Geschäftsbereiche – Kranken, Rück- sowie Lebens-/Sachversicherung – dem Konzept grundsätzlich einen hohen Nutzen zuschreiben und dieses breit anwenden. Zu den Stärken zählt namentlich, dass es (1) einfach und gut kommunizierbar ist, (2) die Bedeutung des Risiko- und Compliance-Managements (RM bzw. CM) sowie der Innenrevision (IR) aufzeigt und (3) die Diskussion über deren Unabhängigkeit unterstützt. Kritisch beurteilt wird, dass 3LoD eine gewisse Starrheit zwischen den drei „Verteidigungslinien“ suggeriert und dem Silodenken Vorschub leisten kann. Insbesondere bleiben wesentliche Fragen zur Rolle der 1. Linie, zur Zusammenarbeit mit und innerhalb der 2. Linie (RM, CM) und deren Abgrenzung zur 3. Linie offen. Wichtige Herausforderungen in der Praxis bleiben daher die Reduktion von Komplexität und Redundanzen, die Gestaltung der Unabhängigkeit in der 2. Linie sowie die Konsistenz von Management-Empfehlungen, damit die 1. Linie diese effizient nutzen kann.

Zu ähnlichen Schlüssen kommt die Studie für die Bankbranche, wie Kurt Stoll, ebenfalls Partner bei Mazars AG mit Schwerpunkt Banken, feststellt. Die grösste Herausforderung stellt auch hier nicht der Aufbau des Frameworks dar, sondern das Zusammenspiel zwischen den drei Linien in der praktischen Umsetzung: Mit Blick auf eine effiziente Zusammenarbeit wird eine gute Koordination zwischen 2. und 3. Linie sowie mit dem externen Audit als besonders wichtig erachtet. [Ausführliche Informationen zur Studie finden sich auf www.mazars.ch]

Die generellen Feststellungen für die Versicherungsbranche des ersten Referats konkretisiert Daniel Gysel, Compliance Officer der Zurich Schweiz, für das CM seiner Unternehmung in pointierter Form. Seine Kernaussagen: (1) Das CM darf sich nicht auf das „Wesentliche“ allein konzentrieren und scheinbar weniger Wichtiges vernachlässigen, denn: Gesetzliche Vorgaben müssen immer eingehalten werden, selbst wenn diese – wie in der Versicherungsbranche – in die Hunderte gehen; es gilt ein „Zero Tolerance“-Regime. (2) Der/die Compliance-Verantwortliche soll das Geschäft seiner Firma – d.h. auch die Denkweise der 1. Linie – vertieft verstehen, damit ein angemessenes und wirksames CM-System etabliert werden kann. (3) Im Fall der Zurich Schweiz wird 3LoD so praktiziert, dass die 1. und 2. Linie eng zusammenarbeiten. Dabei hat die 1. Linie die Implementierung und Anwendung des CM ebenso zu gewährleisten wie den Tone at the top, d.h. das vorbildliche Verhalten aller Kader, das die Firmenkultur prägt und stützt. Die 2. Linie pflegt die RM- und CM-Systeme, überwacht deren Umsetzung, berät, fordert und unterstützt die 1. Linie aus einer möglichst unabhängigen Position, wobei CM und RM sowie die Rechtsabteilung sich speziell zu koordinieren haben. Davon abgesetzt arbeitet die IR, welche die Prozesse der 1. und 2. Linie unabhängig und objektiv auf Zweckmässigkeit, Wirksamkeit und Effizienz prüft.

Dass die Unabhängigkeit der 2. Linie in der Praxis oft schwer einzuhalten ist, diskutierte Anuschka Küng, Geschäftsführerin von Acons Governance & Audit AG, im ersten Teil ihres Referats über Spannungsfelder in der 2. Verteidigungslinie im Thema RM und IKS. Kritische Faktoren sind etwa der direkte Zugang zum Verwaltungsrat oder der Zugang zu vertraulichen Informationen, die beide oft nur auf dem Papier gegeben sind. Weiter fragt sich, wieviel Distanz das RM zur 1. Linie halten kann, wenn es sich fachlich nahe am Kerngeschäft bewegen soll oder wenn es – gerade in kleineren Unternehmen – seine Aufgaben in Doppelfunktion wahrnehmen muss? Hinzu kommen Interessenkonflikte, wenn das RM unliebsame Fakten ansprechen müsste, sich aber beim Management nicht exponieren mag: Kann das RM unter solchen, oft anzutreffenden Bedingungen noch objektiv und unbeeinflusst wirken? Dass sich diese Bedingungen in Krisen akzentuieren, wo Unternehmen und ihre Governance besonders gefordert sind, zeigt A. Küng im zweiten Teil: Einerseits verschärft sich in Krisen die Risikoexposition einer Firma – extern aufgrund des wachsenden Drucks auf Zielerreichung und Kosten, intern aufgrund rasch anzupassender Prozesse und einer oft höheren Risikobereitschaft in der 1. Linie. Andererseits steigt die Tendenz, Kontrollprozesse der 2. und 3. Linie zu umgehen und (riskante) Abkürzungen zu nehmen. Das Fazit und dessen Ansprüche an die 2. Linie sind deutlich: Einerseits müssen die Kontrollprozesse gestrafft werden. Gleichzeitig ist deren Effektivität zu erhöhen (u.a. Regelwerke präzisieren, Risikoinventar aktualisieren, Prozesseigner sensibilisieren).

Auch aus Sicht der IR bietet das 3Lod-Konzept einige Vorzüge, wie Stefan Raimann, Leiter der Internen Revision des SBB-Konzerns, festhält: Auf Basis der einfachen Modellierung der Tätigkeiten und Verantwortlichkeiten in einer Firma lässt sich die Kompetenzteilung zwischen den drei Verteidigungslinien einfach vermitteln. Der Vorteil des Konzepts ist aber auch sein Nachteil. Denn die Realität heutiger Unternehmen ist oft vielschichtiger. Für die IR der SBB, die mit gut 20 Vollzeitstellen einer Welt aus vielfältigen Wertschöpfungsprozessen in komplexen Geschäftsfeldern gegenübersteht, genügt das einfache 3LoD nicht mehr. Für die Definition ihrer Aufgaben, welche grundsätzlich die Beurteilung der Governance-, RM-/CM- und Kontroll-Systeme umfasst, hat die IR der SBB das einfache 3LoD-Modell erweitert um die differenziertere Struktur des COSO-Modells. Ebenso werden die „Linien“ nicht mehr als Strukturelemente, sondern zur Beschreibung der grundlegenden Rollen begriffen. Das neue IR-Konzept wurde den Führungsspitzen im Juli 2020 vorgestellt.

Ein lebendiges Podium und eine engagierte Diskussion mit dem Publikum beschlossen den formellen Teil des Anlasses, der Lust auf die nächsten Veranstaltungen des Netzwerks Risikomanagement weckte.

Die Folien finden Sie nachfolgend im PDF zum Herunterladen:

Download-iconVortrag D. Wipf / K. Stoll

Download-iconVortrag D. Gysel

Download-iconVortrag A. Küng

Download-iconVortrag S. Raimann