Blogpost

Das Three Lines Model – wenn die zweite Linie operativ wird

Das Three Lines Model ist ein Rahmenwerk zur Governance und zur Steuerung von Risiken. Doch seine Umsetzung in der Praxis führt oft zu Rollenkonflikten. Compliance und Interne Revision können diese typischen Konflikte lösen und das Drei-Linien-Modell wirksam machen.

Sandra Leicht
Thorsten Tewes
17
4 Minuten Lesezeit
Three Lines Model

Wenn die zweite Linie operativ wird – wo das Three Lines Model in der Praxis kippt

Typische Rollenkonflikte und wie Compliance und Revision sie lösen.

Was ist das Three Lines Model? Das Three Lines Model – Drei-Linien-Modell, 3LM – ist ein Rahmenwerk zur Governance und zur Steuerung von Risiken.

Wer hat das Modell entwickelt? Entwickelt wurde das ursprünglich als Three Lines of Defense bekannte Modell vom Revisionsweltverband – Institute of Internal Auditors (IIA). Seit 2020 wird es unter dem Namen Three Lines Model geführt.

Worum geht es inhaltlich? Das Modell beschreibt Strukturen und Prozesse innerhalb von Organisationen, die dazu beitragen sollen die gesetzten Ziele zu erreichen und dabei gleichzeitig eine starke Governance und ein starkes Risikomanagement unterstützen.

Three Lines – ganz ohne Verteidigungsmodus

Wie Compliance und Interne Revision das Drei-Linien-Modell wirksam machen (können).

In vielen Instituten ist das Three Lines Model organisatorisch eingeführt, in Richtlinien beschrieben und in Präsentationen sauber dargestellt. Und dennoch zeigen Prüfungen immer wieder dieselben Schwächen: unklare Verantwortlichkeiten, operative Tätigkeiten in der zweiten Linie, Doppelarbeiten zwischen Compliance und Revision oder Kontrollen, die zwar dokumentiert, aber nicht wirksam sind.

Doch das Problem ist nicht das Modell. Das Problem ist seine Umsetzung im Praxisalltag.

Vom Three Lines of Defence zum Three Lines Model

Bis 2020 sprach man vom Three Lines of Defence Modell. Der Begriff Defence war bewusst gewählt und sollte eine Schutzfunktion betonen. In der Praxis führte diese Denkweise jedoch häufig zu einer Verteidigungshaltung zwischen den Funktionen.

Silodenken, Abgrenzungsdiskussionen und eine überbetonte Kontrollmentalität waren die Folge.

Das Institute of Internal Auditors hat den Begriff Defence deshalb gestrichen. Seit 2020 steht das Three Lines Model für ein Governance-Verständnis statt für eine Abwehrlogik. Im Mittelpunkt stehen

  • klare Verantwortlichkeiten,
  • transparente Zusammenarbeit und
  • eine saubere Trennung zwischen operativer Verantwortung, Überwachung und unabhängiger Prüfung.

Nicht Verteidigung, sondern Verantwortungszuweisung ist der Kern des Modells.

Gerade aus Sicht von Compliance und Interner Revision ist dieser Perspektivwechsel entscheidend. Es geht nicht darum, sich gegenseitig abzusichern, sondern darum, ein funktionierendes Steuerungs- und Kontrollsystem sicherzustellen.

Three Lines Model, Darstellung BaFin

Abbildung 1: Das Three Lines Model (Quelle: BaFin1)

Wo es in der Praxis tatsächlich hakt

In der täglichen Arbeit zeigt sich, dass die Theorie des Modells selten das Problem ist. Die Herausforderungen entstehen im Projektgeschäft, bei neuen regulatorischen Anforderungen oder unter Zeitdruck.

Typische Beobachtungen aus Prüfungen und Compliance Reviews sind

  • Die erste Linie führt Kontrollen formal durch, aber ohne kritische Würdigung oder saubere Dokumentation.
  • Die zweite Linie übernimmt faktisch operative Tätigkeiten, weil Fachbereiche unsicher sind oder regulatorische Anforderungen als zu komplex wahrgenommen werden.
  • Die Interne Revision prüft Strukturen, in denen Rollen nicht klar getrennt sind und muss Selbstprüfungsrisiken identifizieren.
  • Automatisierte Kontrollen werden als verlässlich angenommen, ohne Datenqualität oder Parametrisierung regelmäßig zu hinterfragen.

Gerade in Transformationsphasen verschwimmen Rollen schneller als gedacht.

Konkretes Praxisbeispiel ESG-Reporting

Ein mittelgroßes Institut implementierte neue ESG-Kennzahlen für das regulatorische Reporting. Die Interpretation der Anforderungen lag zunächst bei Compliance. Aufgrund der Unsicherheit in den Fachbereichen entwickelte Compliance nicht nur Leitlinien, sondern definierte konkrete Prüfschritte und kontrollierte einzelne Datensätze vor Meldung.

Die erste Linie verließ sich zunehmend auf diese Freigaben.

Als die Interne Revision eine projektbegleitende Prüfung plante, zeigte sich folgendes Bild

  • Die zweite Linie hatte operative Kontrollhandlungen übernommen.
  • Die erste Linie sah sich nicht mehr in voller Verantwortung für Datenqualität.
  • Eine klare Trennung zwischen Durchführung, Überwachung und Prüfung war faktisch nicht mehr gegeben.

In einem gemeinsamen Workshop wurde die Rollenverteilung neu festgelegt

  • Die Fachbereiche verantworten Datenerhebung und Erstkontrollen.
  • Compliance definiert Standards, führt risikoorientierte Stichproben durch und berichtet über Defizite.
  • Die Interne Revision prüft Design und Wirksamkeit des Gesamtsystems zeitlich nachgelagert.

Erst durch diese Klarstellung wurde das Three Lines Model tatsächlich gelebt und nicht nur beschrieben.

Was bedeutet das für Compliance in der Praxis?

Compliance ist Überwachungs- und Challenge-Funktion, nicht operative Umsetzungsinstanz. Die zentrale Aufgabe besteht darin, Transparenz über regulatorische Risiken und über die Qualität der Kontrollen in der ersten Linie zu schaffen.

Konkret bedeutet das

  • Klare Abgrenzung in Projekten dokumentieren und operative Verantwortung konsequent in der ersten Linie belassen.
  • Einen strukturierten Überblick über wesentliche Kontrollen der ersten Linie etablieren.
  • Risikoorientierte Stichproben statt vollständiger operativer Nachkontrollen durchführen.
  • Defizite adressieren und an die Geschäftsleitung berichten, ohne selbst in die operative Umsetzung einzusteigen.
  • Qualifikation von Mitarbeiterinnen und Mitarbeiter mit wesentlichen Kontrollaufgaben regelmäßig hinterfragen.

Gerade bei komplexen Themen wie ESG, Geldwäscheprävention oder IT Compliance ist die Versuchung groß, in die operative Umsetzung einzusteigen. Langfristig schwächt dies jedoch die Governance-Struktur.

Was bedeutet das für die Interne Revision?

Die Interne Revision sollte nicht nur einzelne Kontrollen prüfen, sondern das Zusammenspiel der Linien bewerten.

In der Prüfungspraxis bedeutet das:

  • das Rollenverständnis aktiv hinterfragen und nicht nur Organigramme prüfen,
  • die Schnittstellen zwischen erster und zweiter Linie analysieren,
  • mögliche Selbstprüfungsrisiken bei beratenden Tätigkeiten frühzeitig identifizieren,
  • automatisierte Kontrollen einschließlich Datenquellen und Parametrisierung nachvollziehen und
  • das Three-Lines-Zusammenspiel als eigenständigen Prüfungsfokus definieren.

Besonders wichtig ist die klare Abgrenzung bei Beratungsleistungen. Beratung ist zulässig, solange keine operative Verantwortung entsteht und keine spätere Selbstprüfung droht.

Takeaways für die Praxis

Für Compliance

  • Verantwortung für Kontrolldurchführung bleibt immer in der ersten Linie
  • Überwachung braucht Transparenz, nicht operative Detailsteuerung
  • Beratende Unterstützung klar von operativer Tätigkeit trennen
  • Schlüsselkontrollen identifizieren und gezielt überwachen
  • Rollen in Projekten frühzeitig schriftlich festhalten

Für die Interne Revision

  • Nicht nur Kontrollen prüfen, sondern Governance-Strukturen bewerten
  • Rollenvermischung als eigenständiges Risiko betrachten
  • Automatisierung kritisch hinterfragen und nicht als Risikoreduktion voraussetzen
  • Beratungsaufträge klar abgrenzen und dokumentieren
  • Schnittstellen zwischen Linien gezielt in Prüfungsprogramme aufnehmen

Das Three Lines Model ist kein Verteidigungssystem und kein reines Organisationsdiagramm. Es ist ein Governance-Instrument. Seine Wirksamkeit entscheidet sich nicht in Richtlinien, sondern im Projektmeeting, im Kontrollnachweis und im Prüfungsbericht. Dort zeigt sich, ob Verantwortung klar getragen, Überwachung wirksam ausgeübt und Prüfung unabhängig durchgeführt wird.

Share: LinkedIn Xing X Facebook
Sandra Leicht

Sandra Leicht

ist Head of Regulatory Compliance bei msg for banking und verfügt über umfassende Compliance-Erfahrung und -Expertise im Finanzdienstleistungssektor. Selbst seit vielen Jahren als Beauftragte tätig, berät und schult sie außerdem rund um die Compliance-Funktionen. Außerdem hat sie umfassende Expertise in der erfolgreichen Leitung von Unternehmen sowie in der Beratung von Finanzinstituten in Themen wie WpHG-Compliance, MaRisk-Compliance, Geldwäscheprävention und Datenschutz.

linkedin
Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Blogpost
4 Minuten Lesezeit

Die neue Ära der Banken-Compliance: Chancen und Risiken von Data und KI

Blogpost
3 Minuten Lesezeit

KI-Governance und Risikomanagement aus Sicht der Banken- und Finanzaufsicht

Blogpost
4 Minuten Lesezeit

Resilienz frisst Effizienz – und damit den Wettbewerbsvorteil?