Dipl. oec. Frank Moritz
Interim Risk Manager, Task Force Lead
Projektleiter, IT Service Manager, Auditor, Coach
Das Modell der
3-lines of defense
In aller Kürze
Kurz und knapp
Alle Unternehmensteile (1. Linie)
Risk Management gibt es in allen Bereichen, Abteilungen und Teams eines Unternehmens. Beginnend bei der Kontrolle durch die Leitenden, über einfache Listen bis hin zu komplexen Systemen.
Die IT macht Risk Management z.B. im Rahmen des IT-Security-Management. Die Personalabteilung, der Einkauf, das Lager und die Produktion, auch das Management selbst, alle betreiben eigene, teils formelle, teils informelle Risk Management-Systeme.
Im geregelten Risk Management-Prozess bilden sie die erste Verteidigungslinie (First line of defense).
Interne Revision (3. Linie)
Laut Prüfungsstandard IDW 340 wird eine unabhängige Instanz gefordert, die das Risk Management-System überwacht.
Die kann z.B. die Interne Revision übernehmen.
Das Risk-Management (2. Linie)
Die "Second line of defense", ein etablierter Risk-Management-Prozess dient der Zusammenführung und Bündelung der Aktivitäten der 1. Linie, des konsolidierten Reportings an Geschäftsführung und externe Stakeholder, sowie der Schulung, Unterstützung und Überwachung der 1. Linie.
Weiterhin wird die Konformität des Unternehmen zu gesetzlichen Anforderungen gecheckt und die Maßnahmen aufgrund der Anmerkungen der Wirtschaftsprüfer gebündelt.
Schlussendlich ist die Förderung des Fortschritts der geplanten Gegenmaßnahmen ein wichtiges Element des Risk Management-Prozesses.
Externe Auditoren, wie Wirtschaftsprüfer
Diese führen regelmäßige Prüfungen aus um die Wirksamkeit des Modells sicher zu stellen.
3 lines of Frank Moritz
Für mich war es wichtig und spannend mich durch verschiedene Fortbildungen in den "3 lines of defense" weiter zu bilden.
Diese Kenntnisse helfen mir bei der Einzeldiskussion mit den Abteilungsleitern und sorgen mit dafür, dass der Risk Management-Prozess bei Ihnen kein "theoretisches Dokumentationskonstrukt" wird.
Meine Kenntnisse in der 3rd-line of defense:
- Auditor für DSGVO, BDSG (neu), ISO 20000, ISO 31000, ISO 19011, Projektmanagement-System-Audits
- Audits im Risk Management: Prozessaudits, Softwareaudits, Inhaltliche Risikoaudits
Meine Kenntnisse in der 1st-line of defense (u.a.):
- Studium der Wirtschaftsinformatik in Duisburg
(Diplom mit Prädikatsexamen)
- Alle Rollen innerhalb der IT, von der IT-Leitung über Anforderungsmanagement, Netzwerkverwaltung und Softwareentwicklung bis hin zur Übernahme notleidender Projekte
- Datenschutzbeauftragter nach DSGVO und BDSG (neu)
- Scrum Master und Product Owner
- Zertifikate in Projektleitung und Business Analyse
- IT Service Manager und ITIL-Trainer
- Schulungen in vielen Bereichen von IT über Organisation bis hin zum Risk Management
- Und: bekennender Bikablo-Liebhaber