Three Lines of Defense

Das so genannte Three Lines of Defense Modell (kurz TLoD) skizziert ein funktionsfähiges Kontroll- und Überwachungssystem in Unternehmen.

Die "erste Verteidigungslinie" bilden die operativen Einheiten, d. h. die Risikoeigentümer. Sie verantworten für ihren Bereich die gesunde Balance zwischen Risiken und Chancen bzw. zwischen Risiken und Risikotragfähigkeit. Chancen gehen immer auch mit Risiken einher, aber ohne Risiken gäbe es auch keinerlei Chancen. Der verantwortungsvolle Umgang mit Risiken stellt in Wirklichkeit einen wesentlichen Werttreiber für das Unternehmen dar.

Auf der "zweiten Verteidigungslinie" finden die operativen Kontrollen statt. Dies ist vor allem das Betätigungsfeld der Unternehmensbereiche Risikomanagement, Unternehmenssicherheit, Compliance, IT-Security etc. Als eine Art "Inhouse-Berater" stellen sie für die operativen Einheiten Werkzeuge und Prozesse zur Verfügung. Außerdem nehmen sie Einfluss auf die Risikopolitik  und schlagen erforderliche Kontrollen zur Beachtung von risikobehafteten Prozessen vor. Des weiteren sind sie das Sprachrohr gegenüber der Geschäftsleitung, führen alle Unternehmensrisiken (und Chancen) zu einem Gesamtbild zusammen und unterstützen die Geschäftsleitung bei der Umsetzung einer chancen- und risikoorientierten – und damit wertorientierten – Unternehmensführung. Eine höhere Transparenz über Chancen und Risiken sollte dann in der Konsequenz auch zu besseren Entscheidungen führen. 

Die "dritte Verteidigungslinie" stellt eine weitere unabhängige Organisationseinheit dar, die Vorstand und Aufsichtsrat bei der abschließenden Überwachung und Kontrolle bestehender und potenzieller Risiken unterstützt. In der Praxis ist dies in der Regel die interne Revision, die die untergeordneten Verteidigungslinien überwacht und unterstützt.