07.04.2015

Vier Abwehrlinien: Koordinierte Kontrolle

In unserer schnelllebigen Zeit verändern sich die Risiken laufend. Um das Risikomanagement eines Unternehmens immer wieder zeitnah und wirksam anzupassen, ohne dabei die operativen Kosten unnötig zu erhöhen, ist ein agiles und über die gesamte Organisation hinweg integriertes Rahmenkonzept erforderlich. In der Praxis hat sich das Modell der «Vier Abwehrlinien» etabliert. Es koordiniert die verschiedenen Akteure und deren Aktivitäten und erhöht damit die Effizienz des Risikomanagementsystems als Ganzes.

Von: Andrin Bernet, Emmanuel Genequand  DruckenTeilen Kommentieren 

Andrin Bernet

Andrin Bernet ist Partner in der Financial Services Practice bei PwC in Zürich. Er hat über 15 Jahre Erfahrung als Prüfer und Berater von diversen Banken und Vermögensverwaltern in der Schweiz sowie von 2006 - 2010 in Japan. Als Leiter des Risk & Regulatory Teams  in Zürich verfügt er über breite Expertise im Bereich Kredit-, Markt- und operationellem Risk Management bei Banken sowie in der Regulierung von Finanzintermediären. Andrin Bernet ist dipl. Wirtschaftsprüfer, CFA Charterholder und Certified Financial Risk Manager (FRM).

Emmanuel Genequand

Emmanuel Genequand ist Partner in der Financial Services Practice bei PwC in Genf. Er ist Rechtsanwalt und hat 20 Jahre Erfahrung als Berater von diversen Banken und Vermögensverwaltern in der Schweiz und Ausland. Als Leiter des Regulatory Team in Genf verfügt er über breite Expertise im Bereich Legal-, Compliance- und Investment Risk Management bei Banken sowie in der Regulierung von Finanzintermediären.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Die Analogie zur Militärstrategie in Form des Konzeptes der «Four Lines of Defence» (Abbildung 1) ist im Risikomanagement deshalb sinnvoll, weil immer häufiger neue Risiken auftauchen und diese sich oft mit rasanter Geschwindigkeit zu massiven Bedrohungen entwickeln. Zu erwähnen sind beispielsweise die zunächst vereinzelt auftretenden und eher harmlosen Fälle von Internetkriminalität, auf die plötzlich Entwendungen riesiger Datenmengen mit dramatischen Konsequenzen folgten. Oder die lange Zeit beiläufig geführten politischen Debatten zur Beihilfe bei Steuerhinterziehungsdelikten, die sich in den USA innerhalb kurzer Zeit zu massiven Schäden in Form von horrenden Bussen und Reputationsverlusten für Schweizer Banken auswuchsen. Ein weiterer Vorteil ist, dass das Konzept hilft, die Zusammenarbeit der Akteure in den Risikomanagement- und Kontrollprozessen zu optimieren (Abbildung 2). Denn die Aufgaben und Kontrollen im Rahmen des Risikomanagements nehmen nicht nur zu, sondern werden immer öfter gleichzeitig auf mehrere Abteilungen und Unternehmensfunktionen verteilt. Die Unternehmen stehen dabei vor der Herausforderung, die vielfältigen Aktivitäten sorgfältig zu koordinieren und klar voneinander abzugrenzen, damit sie auf die neuen Risiken agil reagieren und sie adäquat behandeln und kontrollieren können.

Abbildung 1: Das Konzept der «Vier Abwehrlinien».

Die Einfachheit des Konzepts erlaubt, dass jedes Unternehmen, unabhängig von der Art, seiner organisatorischen Struktur oder dem Komplexitätsgrad, die «Vier Abwehrlinien» anwenden kann. Im Grunde arbeiten die meisten Unternehmen schon seit Langem in unterschiedlicher Ausprägung mit diesem Konzept der Risikokontrolle. Es kommt jedoch nur wirkungsvoll zum Tragen, wenn die Unternehmen es in einen gesamthaften Risikomanagementprozess («Enterprise wide risk management») einbetten. Das bedeutet konkret, dass die Geschäftsleitung zusammen mit dem Verwaltungsrat zuerst die relevanten Risiken identifiziert und sie in der «Risikolandschaft» des Unternehmens verortet. Anschliessend gibt der Verwaltungsrat den Risikoappetit und die Strategie vor, welche die Geschäftsleitung durch Massnahmen zur Risikobeurteilung, -behandlung, -beobachtung und -kontrolle umsetzt. Erst auf dieser Basis können die «Vier Abwehrlinien» sinnvoll funktionieren.

In der Praxis ist zu beobachten, dass sich in den letzten Jahren die Zahl der internen Kontrollen vielerorts stark erhöhte. Das führte oft und insbesondere bei grösseren Unternehmungen zu Mehrkosten, Unübersichtlichkeit, ermattetem Unternehmergeist und einem formalen «Checklisten-Denken» der Mitarbeiter. Es ist deshalb wichtig, dass der Verwaltungsrat und die Geschäftsleitung die Bedeutung ihrer Kontrolltätigkeiten herausstreichen und das Eingehen angemessener unternehmerischer Risiken täglich vorleben. Die Vorbildfunktion der Unternehmensspitze im Rahmen der Risikokultur spiegelt sich in einer ausgewogenen Vertretung von Markt- und Kontrollfunktionen in der Governance des Unternehmens sowie im Setzen von langfristig ausgerichteten Anreizen bei der Vergütungspolitik. Die Aufgaben der verschiedenen Abwehrlinien müssen sauber abgegrenzt und den Mitarbeitern müssen klare Verantwortlichkeiten und Rechenschaftspflichten zugeordnet werden. Die Kontrolltätigkeiten innerhalb der «Vier Abwehrlinien» sind regelmässig zu hinterfragen, und neue Methoden und Technologien (z.B. Big-Data-Auswertungen) sind effizient einzusetzen. Nur so ist sichergestellt, dass weder Sicherheitslücken noch unkoordinierte Mehraufwände entstehen.

Spezielle Rolle der Externen Revision

Die Diskussion um die «Vier Abwehrlinien» wurde im Januar 2013 vom Institute of Internal Auditors (IIA) in einem Positionspapier eröffnet. In ihrem Papier ordneten die Verfasser der Externen Revision eine Position ausserhalb der Organisation zu. Wirtschaftsprüfer, Regulationsbehörden und weitere externe Anspruchsgruppen spielten eine wichtige Rolle im Rahmen der Corporate Governance und in den Kontrollstrukturen eines Unternehmens. Sie könnten als zusätzliche Abwehrlinie eingestuft werden, die Aktionären, Unternehmensleitungen und Führungskräften eine zusätzliche Sicherheit bringen.

Die Externe Revision spielt als vierte Abwehrlinie hauptsächlich in stark regulierten Branchen eine wichtige Rolle. So wird heute in der schweizerischen Finanzbranche zwischen der finanziellen und der regulatorischen Prüfung unterschieden. Die finanzielle Prüfung nimmt die Risiken der finanziellen Berichterstattung unter die Lupe und überprüft die Vollständigkeit und Korrektheit der ausgewiesenen Finanzinformationen. Die regulatorische Prüfung begutachtet die Risiken im Bereich der Compliance und der Regulation, aber auch Markt- und Kredit- sowie operative Risiken, um zu beurteilen, ob die damit verbundenen Managementprozesse diese Risiken adäquat und ausreichend berücksichtigen. Dabei arbeitet die Externe Revision vor allem mit der dritten Abwehrlinie – der Internen Revision – zusammen.

Abbildung 2: Vier Abwehrlinien zur Bekämpfung der Geldwäscherei bei einer Bank

Fazit zu den «Vier Abwehrlinien»

Das Konzept der «Vier Abwehrlinien» vermittelt eine umfassende Sicht auf den Risikomanagementprozess eines Unternehmens als Ganzen. Es hilft, alle Aufgaben- und Verantwortungsbereiche zu koordinieren, und sorgt somit für eine wirksame Kontrolle und für Effizienz. Das Modell geht von der Annahme aus, dass alle Risiken, die sich in der ersten Abwehrlinie manifestieren, früher oder später zu finanziellen Risiken werden, wenn man sie nicht richtig behandelt. Die Explosion auf der Ölplattform Deepwater Horizon im Golf von Mexiko im Jahre 2010 beispielsweise erfolgte wegen einer mangelhaften Abdichtung des Bohrlochs. Der falsche Umgang mit einem operativen Risiko führte nicht nur zu einer der schwersten von Menschen verursachten Umweltkatastrophen, sondern zwang das Energieunternehmen BP auch zu Entschädigungszahlungen in der Höhe von 7,8 Milliarden US-Dollar.

Die erste Abwehrlinie soll die Risiken frühzeitig erkennen, sie sauber analysieren und durch geeignete Massnahmen begrenzen. Die zweite und die dritte Abwehrlinie haben die Aufgabe, die von der ersten Abwehrlinie aufgedeckten Risiken zu überwachen, dem operativen Management beratend zur Seite zu stehen und notfalls korrigierend einzugreifen. Die dritte und die vierte Abwehrlinie bauen ihre Arbeit auf derjenigen der ersten beiden Linien auf und geben kritische und unterstützende Feedbacks. Die grosse Herausforderung ist es, das Modell laufend den neuen Risiken anzupassen, ohne dabei die effiziente Koordination zwischen den Abwehrlinien zu beeinträchtigen.

Quelle: Dieser Beitrag stammt aus dem Disclose – Im Fokus, PwC.

Produkt-Empfehlungen

  • Controller Leitfaden

    Controller Leitfaden

    Das Standardwerk für wirksames Controlling und eine effektive Controller-Tätigkeit.

    CHF 98.00

  • Internes Kontrollsystem

    Internes Kontrollsystem

    Know-how, Tipps und viele Fallbeispiele unterstützen Sie bei der Konzeption bis hin zur Implementierung Ihres IKS.

    Mehr Infos

  • Risikomanagement nach ISO 31000

    Risikomanagement nach ISO 31000

    Ganzheitliches Risikomanagement bewerten und einführen.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internes Kontrollsystem in der öffentlichen Verwaltung

    So führen Sie das IKS in der öffentlichen Verwaltung ein

    Nächster Termin: 18. Juni 2019

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internes Kontrollsystem (IKS)

    So richten Sie Ihr IKS nachhaltig und effizient aus

    Nächster Termin: 04. Juni 2019

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos