Das Modell der drei Verteidigungslinien ist ein reguliertes Framework, das einen standardisierten, umfassenden Ansatz für Governance und Risikomanagement bietet.
Betriebsrisiko ist definiert als die Gefahr von Verlusten, die durch unzureichende oder fehlgeschlagene interne Prozesse, externe Ereignisse, Menschen oder Systeme entstehen. Vor nicht allzu langer Zeit lag die Verantwortung für das Management des Betriebsrisikos innerhalb eines Unternehmens häufig auf den Schultern einzelner, fest angestellter Experten. Sie stützten sich auf ihre eigene Erfahrung und ihre begrenzten internen Revisionsfunktionen, um offensichtliche Schwachstellen oder Versäumnisse zu erkennen, die das Unternehmen unnötigen Risiken aussetzen könnten. Der Auditor war die einzige wirkliche Verteidigungslinie, die zwischen der Organisation und einer Vielzahl von Gefahren stand.
Anzahl und Komplexität von geschäftlichen Risiken nimmt heutzutage allerdings immer mehr zu. Um diese Risiken in den Griff zu bekommen, wenden viele Unternehmen ein anderes Governance-Modell an: 3LoD (Three Lines of Defense, drei Verteidigungslinien).
Wie der Name schon sagt, besteht das Risikomanagementmodell der drei Verteidigungslinien aus drei verschiedenen Stufen. Diese sind so konzipiert, dass sie redundante Unterstützung für das Risikomanagement bieten und dazu beitragen, dass Gefahren erkannt und behandelt werden, bevor sie den Betrieb negativ beeinflussen können. Gleichzeitig betont die jüngste Version des 3LoD-Modells die Bedeutung von Zusammenarbeit, Verantwortlichkeit und Konzentration auf Ziele, was es nicht nur zu einem wichtigen Framework für die Abwehr macht, sondern auch zum Erkennen und Ergreifen von sich bietenden Chancen.
Im Folgenden werfen wir einen genaueren Blick auf jede der drei Verteidigungslinien in Bezug auf Risiken, wie sich 3LoD auf die operative Resilienz bezieht und was wir in den kommenden Jahren vom Drei-Linien-Ansatz erwarten können.
Die erste Verteidigungslinie (1st LoD) ist das Betriebsmanagement, das aus Managern an vorderster Front besteht, die für die alltäglichen Risikomanagementaktivitäten verantwortlich sind. Diese Manager beaufsichtigen Mitarbeiter bei der Arbeit mit Geschäftssystemen und -anwendungen und stellen sicher, dass ordnungsgemäße Risikomanagementverfahren eingehalten werden. Zudem sind sie für die Durchführung von Abhilfemaßnahmen verantwortlich, falls Prozess- und Kontrolldefizite auftreten.
Im Wesentlichen ist das Betriebsmanagement zuständig für die Aufrechterhaltung angemessener interner Kontrollen, die Durchführung von Risikoverfahren, die Identifizierung und Bewertung von Risiken, die Anleitung und Umsetzung interner Richtlinien und die Sicherstellung, dass alle Aktivitäten die festgelegten Ziele unterstützen – und das alles auf täglicher Basis. Der Hauptzweck dieser ersten Verteidigungslinie ist kontinuierliche Compliance und die Fähigkeit, Kontrollausfälle, unzureichende Prozesse oder aufkommende Ereignisse schnell zu erkennen.
Tägliche Aktivitäten spielen für das Betriebsrisiko eine entscheidende Rolle. Daher ist diese erste Verteidigungslinie kritisch und muss durch interne Mechanismen wie zuverlässige Managementsysteme und interne Kontrollmaßnahmen unterstützt werden. Diese sollten unter strenger Aufsicht des Betriebsmanagements entwickelt und implementiert und regelmäßig auf ihre Funktionalität und Effektivität getestet werden.
Die dritte Verteidigungslinie (3rd LoD) im 3LoD-Modell sind interne Auditoren. Die Auditoren sind für die Überprüfung aller Prozesse, Verfahren und Frameworks des Risikomanagements verantwortlich und gewährleisten die Effektivität der Governance und der internen Kontrollen. Diese Linie unterstützt die beiden vorangegangenen Verteidigungslinien, muss aber in der Lage sein, völlig unabhängig zu arbeiten, eine objektive Haltung einzunehmen und direkt an die Geschäftsleitung und ein übergeordnetes Gremium, den Vorstand oder den Auditausschuss zu berichten.
Als letzte Verteidigungslinie muss die interne Auditierung in der Lage sein, eine Reihe von Zielen zu unterstützen, die sich auf die betriebliche Effizienz und Effektivität, die Zuverlässigkeit der Berichterstattung, die regulatorische Compliance usw. beziehen.
Auch wenn die dritte Verteidigungslinie in erster Linie mit internen Audits in Verbindung gebracht wird, können zusätzlich externe Audits hinzugezogen werden, um diese Linie zu erweitern und eine weitere Sicherheitsebene zu schaffen. In einigen Fällen (z. B. bei der Erlangung der SOC1- oder SOC2-Compliance, der Erstellung eines PCI-Berichts oder der Dokumentation der SOX-404-Kontrolleffektivität) kann das Hinzuziehen eines externen Auditors sogar zwingend erforderlich sein.
Die drei Verteidigungslinien wurden entwickelt, um die betriebliche Resilienz einer Organisation zu unterstützen und zu optimieren.
Betriebliche Resilienz ist die Fähigkeit eines Unternehmens, Kunden kontinuierlich zu bedienen, Produkte und Services zu liefern und seine Mitarbeiter zu schützen, auch wenn es zu unerwünschten betrieblichen Ereignissen kommt. Erreicht wird dies durch die Antizipierung, Prävention und Erholung von negativen Ereignissen (wie Pandemien, Datenschutzverletzungen, Bränden, Naturkatastrophen und Netzwerkausfällen) und durch die Anpassung an sie.
Im Folgenden werden die Grundsätze der betrieblichen Resilienz erläutert:
Governance beschreibt die Systeme und Mechanismen, auf die sich eine Organisation für ihren Betrieb stützt und durch die sie und ihre Mitarbeiter zur Verantwortung gezogen werden. Unter den Begriff der Governance fallen sowohl Risikomanagement als auch Compliance. Wirksame Governance-Strukturen ermöglichen es Organisationen, zuverlässige Pläne und Ansätze für die betriebliche Resilienz zu entwickeln, die sie in die Lage versetzen, besser auf Unterbrechungen zu reagieren und sich davon zu erholen.
Das Management von Betriebsrisiken (ORM) (Operational Risk Management) ist ein kontinuierlicher Zyklus, der die Risikobewertung, die Entscheidungsfindung und die Umsetzung von Risikokontrollen umfasst und der dazu führt, dass Risiken entweder akzeptiert, abgeschwächt oder vermieden werden.
Geschäftskontinuitätsplanung ist die Erstellung, Implementierung, Schulung und Befolgung von Kontinuitätsplänen für eine Reihe von Krisenszenarien. Der Zweck der Kontinuitätsplanung besteht darin, verlässliche Strategien zu entwickeln, um die kontinuierliche Bereitstellung kritischer Betriebsabläufe zu gewährleisten, wenn potenzielle Störereignisse eintreten.
Bei der Zuordnung von gegenseitigen Abhängigkeiten werden interne und externe Zusammenhänge und Abhängigkeiten identifiziert und kartografisch dargestellt. Dabei wird deutlich, welche Abhängigkeiten für kritische Abläufe und die kontinuierliche Servicebereitstellung im Falle einer möglichen Unterbrechung erforderlich sind.
Das Management von Drittparteirisiken beschreibt die Instrumente und Praktiken für die Verwaltung von Beziehungen zu Drittparteien, wobei Drittparteien identifiziert werden, die für kritische Abläufe wichtig sind.
Incident Management bezieht sich auf Prozesse, die mit der Erstellung von Antwort- und Wiederherstellungsplänen für spezifische Incident-Szenarien verbunden sind. Diese Pläne sollten kontinuierlich verfeinert und aktualisiert werden, wobei Erkenntnisse aus der Datenanalyse und früheren Incidents genutzt werden.
Informations-, Kommunikations- und Cybersicherheitstechnologien sollten regelmäßig getestet und verbessert werden, um die kontinuierliche Bereitstellung kritischer Betriebsabläufe zu unterstützen.
Das Modell der drei Verteidigungslinien ist ein bewährter Ansatz für das Risikomanagement. Doch ebenso wie Kontinuitäts- und Resilienzpläne regelmäßig aktualisiert werden sollten, um veränderten Gegebenheiten besser Rechnung zu tragen, wurde das 3LoD-Modell seit seiner Einführung mehrfach überarbeitet.
Kürzlich veröffentlichte der Basler Ausschuss für Bankenaufsicht Überarbeitungen der Grundsätze für ein solides Management des Betriebsrisikos. Obwohl diese Überarbeitungen des 3LoD-Modells speziell für Banken und verwandte Organisationen gedacht sind, können sie genauso gut auf Unternehmen außerhalb des Bankensektors angewendet werden, um ihr Risikomanagementprofil weiter zu stärken.
Zu den 3LoD-Aktualisierungen des Basel Ausschuss gehören:
- Stärkere Betonung der Rolle der Geschäftsleitung beim Management betrieblicher Risiken
- Klarere Beschreibungen der anderen Rollen innerhalb des Modells der drei Verteidigungslinien
- Stärkeres Eingehen auf neu aufkommende Risikoquellen
- Separater Fokus auf betrieblicher Resilienz
Angesichts der immer vielfältigeren Risiken muss sich auch das Modell der drei Verteidigungslinien weiter anpassen. Diese Tatsache bezieht sich wahrscheinlich am direktesten auf die dritte Linie: interne Audits. Interne Auditoren und die mit ihnen verbundenen Prozesse müssen flexibler und vorausschauender werden, um positive Veränderungen im gesamten 3LoD-Modell zu fördern. In Zukunft wird von Auditoren erwartet, dass sie eine viel aktivere Rolle bei der Beratung und Antizipation sowie bei der Schulung von Stakeholdern auf allen Ebenen spielen.
Neben internen Audits werden weitere Fortschritte das 3LoD-Modell prägen. Innovationen – einschließlich Automatisierung, maschinelles Lernen und KI – werden eine einfachere Identifizierung und Behebung von Risiken ermöglichen. Ebenso werden sich Organisationen verstärkt auf das menschliche Element des Modells der drei Verteidigungslinien konzentrieren und daran arbeiten, Koordination, Kommunikation und Methodik in Teams und Abteilungen zu verbessern.
Die Verwaltung des betrieblichen Risikos ist ein wichtiger Bestandteil des modernen Unternehmens. Das 3LoD-Modell dient dazu, redundante Schutzebenen zu schaffen, um die Sicherheit gegenüber einer Reihe von möglichen Bedrohungen zu verbessern. 3LoD allein reicht jedoch möglicherweise nicht aus, um Organisationen vollständig vor sich entwickelnden Gefahren zu schützen. ServiceNow, der Branchenführer im IT-Management, hat dafür die passende Lösung.
Mit Operational Risk Management von ServiceNow sind Unternehmen in der Lage, ein kontinuierliches Monitoring einzusetzen, relevante Einblicke in Daten aus dem gesamten Unternehmen einzubeziehen und aufkommende Risiken schneller zu priorisieren und darauf zu reagieren, als es sonst möglich wäre. Die GRC-Anwendung Operational Risk Management umfasst Tools für die Selbsteinschätzung von Risiken, für die Gewährleistung von Kontrollen, für Tests, für die Erfassung von Incidents und betrieblichen Verlusten sowie für automatisiertes Monitoring. Dank fortschrittlicher Analysen und Berichte, integrierter prädiktiver Intelligenz für ein verbessertes Problemlösungsmanagement und vielem mehr bietet Operational Risk Management den erhöhten Schutz, auf den Unternehmen heute angewiesen sind, um zu überleben und zu wachsen.
Reduzieren Sie betriebliche Verluste. Erhöhen Sie Resilienz und Zuverlässigkeit. Senken Sie Kosten und steigern Sie die Produktivität. Und profitieren Sie dabei von vollständiger Echtzeittransparenz aller Risiken und Kontrolltoleranzen. All das bietet Ihnen mit Operational Risk Management von ServiceNow.
Sicherheitsbedrohungen identifizieren, priorisieren und schneller reagieren.