Das Modell der
3-lines of defense

Risk Management gibt es in allen Abteilungen eines Unternehmens

Die IT macht Risk Management im Rahmen des IT-Security-Management, die Personalabteilung, der Einkauf, das Lager und die Produktion. Alle betreiben eigene, teils formelle, teils informelle Risk Management-Systeme.

Im Risk Management-Prozess bilden sie die erste Verteidigungslinie (1.line of defense).

Interne Revision (3. Linie)

Laut Prüfungsstandard IDW 340 wird eine unabhängige Instanz gefordert, die das Risk Management-System überwacht.

Das Risk-Management (2. Linie)

Die zweite Linie dient der Zusammenführung und Bündelung der Aktivitäten, des gemeinsamen Reportings an Geschäftsführung und externe Stakeholder, der Schulung und Unterstützung sowie der

Überwachung der 1. Linie.

Weiterhin wird die Konformität des Unternehmen zu gesetzlichen Anforderungen überwacht und die Maßnahmen aufgrund der Anmerkungen der Wirtschaftsprüfer gebündelt.

Externe Auditoren, wie Wirtschaftsprüfer

Diese führen regelmäßige Prüfungen aus um die Wirksamkeit des Modells sicher zu stellen.