Key Facts

  • 1. Linie: Operative Bereiche – sie managen Risiken im Alltag.
  • 2. Linie: Risiko- und Compliance-Funktionen – sie überwachen und steuern.
  • 3. Linie: Interne Revision – sie prüft unabhängig die Wirksamkeit.
  • 4. Linie (extern): Aufsicht, Prüfer – sie bewerten das System von außen.

Das Three-Lines-of-Defense-Modell (3LoD) ist ein einfaches Organisationsprinzip für das Risikomanagement.

Es beschreibt, wer im Unternehmen welche Verantwortung beim Erkennen, Steuern und Überwachen von Risiken hat.
Vor allem in der Finanzbranche ist es ein fester Standard.

Das Modell teilt die Aufgaben in drei Verteidigungslinien ein – manchmal ergänzt durch eine vierte, externe Linie.

1. Verteidigungslinie: Das operative Geschäft

Hier sitzen die Fachbereiche, also z. B. Kreditabteilungen, Handelsabteilungen oder das Kundenmanagement.

Sie tragen die Risiken direkt, weil sie im Tagesgeschäft Entscheidungen treffen, die sich unmittelbar auf das Unternehmen auswirken.
Darum nennt man sie auch Risikoeigentümer.

Ihre Aufgabe: Risiken frühzeitig erkennen, bewerten, steuern und dokumentieren.

Beispiel:
Ein Kundenberater prüft vor der Kreditvergabe, ob der Kunde kreditwürdig ist, und legt Kreditlimits fest.

Kurz gesagt:

-> Die erste Linie arbeitet mit dem Risiko und trägt es aktiv.

2. Verteidigungslinie: Kontrolle und Überwachung

Hier sind die Risikomanagement- und Compliance-Funktionen angesiedelt.

Sie definieren Regeln, Methoden und Prozesse, nach denen das operative Geschäft arbeiten soll.

Außerdem überwachen sie, ob diese Regeln eingehalten werden.

Beispiel:
Das Risikocontrolling entwickelt das Verfahren zur Kreditrisikobewertung.

Kurz gesagt:

-> Die zweite Linie überwacht die erste und sorgt für klare Leitplanken.

3. Verteidigungslinie: Interne Revision

Die Interne Revision ist unabhängig von den ersten beiden Linien.
Sie prüft regelmäßig, ob das Risikomanagement und die Kontrollen tatsächlich wirksam sind.

Sie ist komplett unabhängig vom operativen Geschäft und vom Risikocontrolling.

Dabei berichtet sie direkt an die Geschäftsleitung oder den Aufsichtsrat.

Beispiel:
Die Interne Revision überprüft, ob die Kreditvergabeprozesse richtig funktionieren und ob die Risikocontrolling-Abteilung ihre Aufgaben sachgerecht erfüllt.

Kurz gesagt:

-> Die dritte Linie prüft die Prüfer – sie sichert die Gesamtwirksamkeit des Systems.

Ergänzend: Externe Kontrollen (4. Verteidigungslinie)

Neben den drei Linien gibt es externe Instanzen, wie etwa Wirtschaftsprüfer, Aufsichtsbehörden oder externe Prüfer.

Sie gelten oft als vierte Verteidigungslinie.

Diese Stellen bewerten das Gesamtsystem von außen und bringen zusätzlich objektive Expertise ein.

Beispiel:
Die BaFin überprüft regelmäßig, ob die Bank die regulatorischen Anforderungen einhält. Oder der externe Wirtschaftsprüfer beurteilt, ob das interne Kontrollsystem ordnungsgemäß funktioniert.

Kurz gesagt:

Externe unabhängige Prüfung, ob das gesamte Kontroll- und Risikomanagementsystem den gesetzlichen und aufsichtsrechtlichen Anforderungen entspricht.