Verwaltungsrats-Lexikon

Three Lines Model

Strukturierungsmodell für Risiko-, Compliance- und Aufsichtsfunktionen mit operativem Management, Risk und Compliance sowie Internal Audit als drei unabhängigen Verteidigungslinien.

Definition

Das Three Lines Model ist ein Strukturierungsmodell für Risiko-, Compliance- und Aufsichtsfunktionen in Gesellschaften. Es wurde vom Institute of Internal Auditors (IIA) ursprünglich als "Three Lines of Defense" entwickelt und 2020 zum "Three Lines Model" modernisiert.

Das Modell definiert drei Linien mit klaren Rollen und Verantwortungen sowie die Governance-Ebene (VR und Audit Committee) und die externe Prüfung (Wirtschaftsprüfer, Aufsichtsbehörden) als Rahmen.

Die drei Linien

Erste Linie: Operatives Management

  • Funktion: Risiko-Eigentum, Identifikation, Bewertung, Steuerung, Überwachung in den operativen Prozessen.
  • Akteure: Geschäftsleitung, operatives Management, Linienverantwortliche.
  • Aktivitäten: IKS implementieren, Risiko-Kontrollen ausführen, Vorfälle melden, operative Compliance umsetzen.
  • Beispiele: Vertrieb mit Kreditprüfung, Produktion mit Qualitätskontrollen, IT mit Cyber-Schutzmassnahmen.

Zweite Linie: Risk und Compliance

  • Funktion: Aufsicht und Beratung, Framework-Definition, Challenge der ersten Linie.
  • Akteure: Risk Management, Compliance, Information Security, ESG, Quality Management.
  • Aktivitäten: Risiko- und Compliance-Frameworks definieren, Monitoring, Beratung, Eskalation bei Schwächen.
  • Unabhängigkeit: unabhängig von operativem Management, aber näher am Geschäft als Audit.

Dritte Linie: Internal Audit

  • Funktion: Unabhängige Prüfung der ersten und zweiten Linie.
  • Akteure: Internal Audit, Konzern-Revision.
  • Aktivitäten: Risikobasierte Audits, Findings, Empfehlungen, Follow-up.
  • Unabhängigkeit: organisatorisch unabhängig, Bericht direkt an Audit Committee.

Governance-Ebene

Über den drei Linien steht die Governance:

  • Verwaltungsrat: Gesamtaufsicht, Risikoappetit, Strategie.
  • Audit Committee: spezifische Aufsicht über Risk, Compliance, Internal Audit.
  • Geschäftsleitung: operative Verantwortung, Reporting an VR.

Externe Prüfer (Wirtschaftsprüfer) und Aufsichtsbehörden (FINMA, EDÖB) liegen ausserhalb des Three Lines Model als unabhängige externe Akteure.

Modernisierung 2020

Das IIA hat 2020 das Modell überarbeitet:

Von Three Lines of Defense zu Three Lines Model

  • Fokus auf Wertbeitrag statt nur Defensive.
  • Kollaboration zwischen den Linien betont.
  • Governance-Rolle klarer ausgestaltet.

Neue Prinzipien

  • Governance leitet, alignt, überwacht.
  • Erste und zweite Linie sind im operativen Management vereint mit unterschiedlichen Rollen.
  • Internal Audit liefert unabhängige Sicherheit.
  • Kollaboration statt Silos.

Pragmatische Konsequenzen

  • Compliance- und Risiko-Funktionen können beratend und challengen, müssen nicht rein defensiv sein.
  • Externe Stakeholder (Aufsichtsbehörden, Wirtschaftsprüfer) sind klarer ausserhalb des Modells.
  • Reifegrad-Bewertung der Linien wird wichtiger.

Rechtsgrundlage und Best Practice

Best Practice

  • IIA Three Lines Model: internationale Referenz.
  • COSO ERM: Enterprise Risk Management mit ähnlicher Struktur.
  • ISO 31000: Risk Management Principles.
  • Swiss Code of Best Practice: Risiko-Management und Audit Committee.

Regulatorisch

  • FINMA-Rundschreiben für Banken und Versicherungen mit expliziten Anforderungen.
  • Solvency II: Risk Function als zweite Linie.
  • Basel III: Risk Management, Compliance, Internal Audit.

Praxis Schweiz

Banken und Versicherungen

Three Lines Model ist FINMA-Standard. Risk, Compliance und Internal Audit haben klare Strukturen, Berichtswege und Ressourcen. Audit Committee als Aufsicht etabliert.

Grosse Industrieunternehmen

Konzernstrukturen mit dezentralen ersten Linien, zentralen zweiten Linien (Risk, Compliance, Information Security), zentraler Internal Audit. ESG-Funktion zunehmend als zweite Linie etabliert.

Mittelgrosse Unternehmen

Häufig kombinierte zweite Linie (Risk und Compliance in einer Funktion), externe Internal Audit oder erste interne Funktion. Three Lines Model in vereinfachter Form.

KMU

Pragmatischer Ansatz: erste Linie ist die Geschäftsleitung selbst, zweite Linie als Externe (Treuhand, Beratung), dritte Linie als externe Revision. Three Lines Model dient als Orientierung.

Aufgaben der einzelnen Linien

Erste Linie

  • Risiko-Identifikation in operativen Prozessen.
  • Kontrollen implementieren und ausführen.
  • IKS-Wirksamkeit lokal sicherstellen.
  • Vorfälle melden.
  • Operative Compliance.

Zweite Linie

  • Risiko- und Compliance-Frameworks.
  • Risikoanalyse-Methodik.
  • Monitoring der ersten Linie.
  • Beratung in operativen Risiko-Fragen.
  • Eskalation bei Schwächen.
  • Reporting an Management und VR.
  • Aufsichtsbehörden-Kommunikation.

Dritte Linie

  • Risikobasierter Audit-Plan.
  • Audits mit Findings und Empfehlungen.
  • Follow-up der Umsetzung.
  • Reporting an Audit Committee und VR.
  • Unabhängige Beurteilung der ersten und zweiten Linie.
  • Aufsichtsbehörden-Kommunikation.

Zusammenarbeit der Linien

Reife Organisationen kultivieren Kollaboration:

  • Klare Rollen ohne unnötige Überlappung.
  • Gegenseitiger Respekt ohne Silos.
  • Gemeinsame Risikoanalyse als Grundlage.
  • Abgestimmte Reporting-Strukturen ohne Doppel-Reporting.
  • Information Sharing mit gegenseitiger Sichtbarkeit.
  • Eskalations-Konsens bei Findings.

Zugleich wahren die Linien ihre Unabhängigkeit:

  • Internal Audit unbeeinflussbar von Risk und Compliance.
  • Risk und Compliance challengen die erste Linie ohne Konformitätsdruck.
  • Erste Linie trägt das Risiko-Eigentum, nicht delegierbar.

VR-Verantwortung

Der VR muss:

  • Three Lines Model als Governance-Struktur etablieren.
  • Unabhängigkeit der zweiten und dritten Linie sicherstellen.
  • Ressourcen-Ausstattung prüfen.
  • Berichtslinien klar definieren (Internal Audit direkt an Audit Committee).
  • Reporting der drei Linien koordiniert empfangen.
  • Kollaborations-Kultur fördern.
  • Reifegrad-Bewertung der Linien einfordern.

Häufige Fehler

  • Erste Linie ohne klares Risiko-Eigentum mit Delegation an zweite Linie.
  • Zweite Linie ohne Unabhängigkeit (Bericht an operatives Management).
  • Unterressourcierte Internal Audit ohne wirksamen Backstop.
  • Fehlende Eskalations-Wege mit Informationsverlust.
  • Formales Three Lines Model ohne kulturelle Umsetzung.
  • Zu starre Trennung mit Kollaborationsdefizit und ineffizienter Doppel-Arbeit.
  • Vernachlässigung der Governance-Ebene mit unklarer VR-Rolle.
  • Fehlende Reife-Bewertung der Linien.
  • Audit Committee ohne Substanz mit oberflächlicher Aufsicht.
  • Externe Prüfer fälschlich als vierte Linie behandelt.

Aktuelle Trends

  • Modernisierung 2020 mit Wertbeitrags-Fokus.
  • ESG-Funktion als neue zweite Linie etabliert.
  • Information Security mit zunehmender Eigenständigkeit.
  • Combined Assurance zwischen den Linien zur Effizienz.
  • Continuous Auditing und Continuous Monitoring blurren teilweise die Grenzen.
  • Kompetenz-Erwartungen für VR-Mitglieder im Verständnis des Modells.

Abgrenzung

  • Three Lines of Defense ist die ältere Bezeichnung, durch Three Lines Model abgelöst.
  • IKS ist Aktivität der ersten Linie, Three Lines Model ist Struktur.
  • Risiko-Management ist Inhalt, Three Lines Model ist Organisationsmodell.
  • Internal Audit ist die dritte Linie, das Modell ist breiter.
  • Compliance ist eine zweite Linie, das Modell umfasst alle Risiko-Aufsichtsfunktionen.

Häufige Fragen

Was ist das Three Lines Model?
Das Three Lines Model (früher Three Lines of Defense) ist ein Strukturierungsmodell für Risiko-, Compliance- und Aufsichtsfunktionen. Es definiert drei Linien: operatives Management mit Risiko-Eigentum und Kontrollen, Risk Management und Compliance als unabhängige Aufsichtsfunktionen, Internal Audit als unabhängige Prüffunktion. Das Institute of Internal Auditors (IIA) hat das Modell 2020 modernisiert.
Welche Funktionen hat die erste Linie?
Die erste Linie ist das operative Management mit direktem Risiko-Eigentum. Sie identifiziert, bewertet, steuert und überwacht Risiken in ihren operativen Prozessen. Sie implementiert das interne Kontrollsystem (IKS). Beispiele: Vertrieb steuert Kreditrisiko durch Kreditprüfung, Produktion steuert Qualitätsrisiko durch Prüfprozesse, IT steuert Cyberrisiko durch Schutzmassnahmen.
Welche Funktionen hat die zweite Linie?
Die zweite Linie sind unabhängige Aufsichtsfunktionen: Risk Management, Compliance, Information Security, Quality Management, ESG-Funktion. Sie definieren Risiko-Frameworks und Standards, überwachen die Risiko-Steuerung der ersten Linie, beraten und challengen, eskalieren bei Schwächen. Sie sind unabhängig vom operativen Management, aber näher am Geschäft als die dritte Linie.
Welche Funktionen hat die dritte Linie?
Die dritte Linie ist Internal Audit als unabhängige Prüffunktion. Sie prüft die Wirksamkeit der ersten und zweiten Linie, identifiziert Schwächen, gibt Empfehlungen. Sie ist organisatorisch unabhängig (Bericht direkt an Audit Committee und VR), unbeeinflussbar vom operativen Geschäft. Sie führt risikobasierte Audits durch und ist auch das Backstop des Three Lines Model.
Was ist neu im modernisierten Three Lines Model 2020?
Das IIA hat 2020 das Three Lines of Defense zum Three Lines Model modernisiert: Fokus auf Wertbeitrag statt nur Defensive, klarere Rollen der Governance (VR, Audit Committee), Kollaboration zwischen den Linien betont, Compliance- und Risiko-Funktionen als Beratungs- und Kontroll-Funktion verstanden, externe Prüfer und Aufsichtsbehörden klarer ausserhalb des Modells. Pragmatische statt rein defensive Sicht.
Welche Rolle hat der Verwaltungsrat im Three Lines Model?
Der VR (Governance Body) trägt die Gesamtaufsicht. Er definiert Risikoappetit, verabschiedet Risiko-Framework, überwacht die Wirksamkeit aller drei Linien. Das Audit Committee bereitet vor und betreut Risk, Compliance und Internal Audit. Der VR muss sicherstellen, dass die drei Linien unabhängig, kompetent und ressourcenausgestattet sind. Reporting läuft über das Audit Committee an den VR.
Welche Spannungen treten zwischen den Linien auf?
Häufige Spannungen sind erste Linie sieht Risk und Compliance als Behinderung, zweite Linie wird durch operative Anforderungen überlastet, Internal Audit hat zu wenig Zugang oder Ressourcen, Bericht-Linien führen zu Interessenkonflikten, Rollenüberlappung verwischt Verantwortlichkeiten. Reife Organisationen kultivieren Kollaboration mit klaren Rollen, gegenseitigem Respekt und konstruktivem Challenge.
Welche Fehler treten häufig auf?
Häufig sind erste Linie ohne klares Risiko-Eigentum (Delegation an zweite Linie), zweite Linie ohne Unabhängigkeit (Bericht an operatives Management), unterressourcierte Internal Audit, fehlende Eskalations-Wege, formales Three Lines Model ohne kulturelle Umsetzung, zu starre Trennung mit Kollaborationsdefizit, Vernachlässigung der Governance-Ebene, fehlende Reife-Bewertung der Linien.

Verwandte Einträge

  • Risiko-ManagementSystematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft — Kernverantwortung des VR.
  • IKS (Internes Kontrollsystem)Firmeninternes System aus Kontrollmechanismen zur Sicherstellung der Zielerreichung, Compliance und ordnungsgemässen Berichterstattung — gesetzlich gefordert nach OR.
  • Interne RevisionUnabhängige Prüfungsfunktion im Unternehmen zur Beurteilung von Risiken, Kontrollen und Prozessen.
  • Audit Committee (Prüfungsausschuss)Spezialisierter Ausschuss des Verwaltungsrats für Finanzberichterstattung, internes Kontrollsystem und Beziehung zur Revisionsstelle.

Fehlt etwas oder ist ein Fehler im Eintrag? Feedback zu diesem Begriff geben →