Historisch betrachtet verlassen sich die meisten Unternehmen auf das Modell der drei Verteidigungslinien, um Risiken innerhalb der Organisation zu identifizieren, zu minimieren und zu steuern. Ein solches Framework besteht aus drei separaten Einheiten:

• Erste Verteidigungslinie: Funktionen, die für Risiken verantwortlich sind und sie steuern, einschließlich eines Chief Control Officers (und eines Teams von Managern)
• Zweite Verteidigungslinie: Funktionen, die das Risiko überwachen, einschließlich Risikomanagement, Compliance und Controlling
• Dritte Verteidigungslinie: Funktionen, die unabhängige Prüfungen durchführen (interne Prüfung)

Alle drei Einheiten der drei Verteidigungslinien sind für den Aufbau eines kohärenten Risikomanagementprozesses unerlässlich, aber das Framework ist heute nicht mehr so eindeutig wie vielleicht noch vor zehn Jahren. Heute haben Branchenvorschriften und Gesetze wie der Sarbanes-Oxley Act (SOX) strenge Regeln für den Grad der Kontrollen - nicht nur der Finanzkontrollen - aufgestellt, die für die betreffenden operativen Risikofaktoren eingerichtet werden müssen. Und da Cybersicherheit-Bedrohungen immer häufiger auftreten und durch Drittanbieter verursachte Risiken die Unsicherheit erhöhen, kann sich die Risikolandschaft von einem Moment auf den anderen verändern.

Die einzelnen Funktionen innerhalb einer Organisation haben alle ihre eigene Sichtweise auf das Risikomanagement, und sie stehen nicht immer in eindeutigem Austausch miteinander. Tatsächlich geben 49 % der Unternehmen an, dass Risiko-, Prüfungs-, Compliance- und Cybersicherheitsteams nicht zusammenarbeiten, um eine gemeinsame Sichtweise auf Risiken im gesamten Ökosystem zu entwickeln (PwC Digital Trust Insights Survey). Diese Kommunikationslücke stellt einen Nachteil für Ihr Unternehmen dar, wenn es darum geht, neue oder unterschätzte Risiken zu identifizieren und beizulegen.

Optimierung der ersten Verteidigungslinie

Der Aufbau einer erfolgversprechenderen Zusammenarbeit beginnt mit der Stärkung der ersten Verteidigungslinie und einer Verlagerung der Sichtweise, sodass sich der Fokus weniger auf die Compliance und mehr auf das Risikomanagement richtet. Das bedeutet, dass Sie sich nicht nur auf Compliance-Checklisten konzentrieren, sondern eine echte Bestandsaufnahme aller potenziellen Risiken vornehmen, denen Ihre Organisation in den jeweiligen Bereichen ausgesetzt sein könnte – einschließlich betrieblicher Risiken, Cybersicherheit, Datenschutz, durch Drittanbieter verursachte Risiken und Reputationsrisiken.

Durch das Einrichten von Prozessen und Implementieren von Technologien, die Sie bei der Bestandsaufnahme Ihrer Risiken unterstützen sowie dabei, ein umfassendes Framework für Kontrollen einzurichten und Ihr gesamtes Risiko-Ökosystem in Echtzeit zu überwachen, können Sie die Belastung Ihres Risikomanagement-Teams reduzieren, indem Sie Probleme identifizieren, noch bevor Ihr Unternehmen Schaden nimmt, und entsprechende Abhilfemaßnahmen entwickeln.

Ihre erste Verteidigungslinie sollte die Standards für den gesamten Risikomanagementprozess festlegen und gewährleisten, dass auch die übrigen Verteidigungslinien das Framework dieser Standards übernehmen. Häufig setzen verschiedene Teams ganz unterschiedliche Erfolgsmaßstäbe, was dazu führt, dass die Risikoanalyse nicht so umfassend ist, wie sie sein könnte. Um die Effektivität Ihrer gesamten Risikomanagement-Organisation zu verbessern, kommt es darauf an, für die erste Verteidigungslinie eine Reihe von Best Practices und gemeinsamen Protokollen einzuführen.

Best Practices für die erste Verteidigungslinie

Ihr Chief Control Officer (CCO) sollte den Ton für das gesamte Risikomanagement-Team angeben und ein Framework für das Unternehmen festlegen, das beim Bewerten, Verwalten und Beilegen von Risikoszenarien in Zusammenarbeit mit anderen Teams verwendet werden kann. Berücksichtigen Sie die folgenden entscheidenden Faktoren innerhalb eines solchen Frameworks:

• Identifizieren Sie Ihre Compliance- und regulatorischen Anforderungen und legen Sie fest, inwieweit diese sich auf Ihre operativen Prozesse auswirken sollen
• Bestimmen Sie Ihre Risikotoleranz, oder wie viel Sie bereit sind zu investieren, um spezifische Risiken beizulegen
• Entwickeln Sie einen Identifizierungsprozess für das Risikomanagement, der eine Bestandsaufnahme der Risiken, Scorecards für die Risikobewertung und eine Methode für die Messung von Risiken umfasst
• Führen Sie ein Schulungsprogramm und Protokolle zur abteilungsübergreifenden Behandlung von Fragen zur Compliance und zum Risikomanagement ein
• Entwickeln Sie eine interne Weisungskette und besetzen Sie die verantwortlichen Positionen

Als Teil Ihres Frameworks sollten Sie Technologien implementieren, mit denen sich die Abhängigkeit vom Modell der drei Verteidigungslinien hinsichtlich der manuellen Identifizierung und Reaktion auf Probleme verringern lässt. Mithilfe automatischer Trigger, die bei erhöhten Risikofaktoren Warnungen senden oder automatische Antworten generieren, können Sie manuelle Tätigkeiten bei wiederkehrenden Aufgaben reduzieren und die Wahrscheinlichkeit menschlicher Fehler verringern. Durch die Verknüpfung von Technologie mit der Expertise von Fachanalysten können Sie Daten untermauern und potenzielle Problemfelder fundierter angehen und somit sicherstellen, dass Ihre Spezialisten ihre Zeit mit der strategischen Analyse verbringen, in der sie jeweils am besten sind.

Wenn Sie mehr darüber erfahren möchten, wie Sie Ihren Risikomanagementprozess durch Implementieren des richtigen Frameworks für Kontrollen optimieren können, laden Sie unser E-Book herunter.