In einer zunehmend globalisierten und dynamischen Welt stehen Unternehmen vor stetig wachsenden Herausforderungen. Neue Regularien, gesetzliche Vorgaben und kontinuierliche Veränderungen sind längst Teil des Geschäftsalltags. Um langfristig widerstandsfähig zu bleiben, spielen die drei Verteidigungslinien (englisch: Three Lines of Defense, kurz 3LoD) eine entscheidende Rolle. Doch wogegen muss sich ein Unternehmen eigentlich schützen?
Im Kern geht es darum, Risiken zu minimieren, die die Stabilität und den Erfolg eines Unternehmens gefährden könnten. Dazu zählen unter anderem die Einhaltung gesetzlicher Vorschriften, die Verhinderung von Betrug, das frühzeitige Erkennen von Abweichungen und Anomalien sowie die Vermeidung von Fehlern in Geschäftsprozessen.
Um Unternehmen gezielt bei diesen Herausforderungen zu unterstützen, hat SAP SE das SAP Risk and Assurance Management (SAP RAM) entwickelt. Doch bevor wir darauf eingehen, wie SAP RAM Ihre Verteidigungslinien stärken kann, lohnt es sich, das Modell der drei Verteidigungslinien genauer zu betrachten.
Das Betriebsmanagement bildet die erste Verteidigungslinie und besteht aus den Führungskräften, die für das operative Geschäft verantwortlich sind. Ihre Hauptaufgabe ist die Umsetzung der internen Risikomanagementvorgaben sowie die Überwachung der Geschäftsaktivitäten, um Risiken frühzeitig zu erkennen und zu minimieren. Zudem tragen sie die Verantwortung für die Einhaltung und kontinuierliche Optimierung des internen Kontrollsystems (IKS).
Da sowohl das IKS als auch das Unternehmen selbst stetigen Veränderungen, neuen Anforderungen und externen Einflüssen unterliegt, gehört es zu den zentralen Aufgaben des Betriebsmanagements, Prozess- und Kontrollabweichungen zu identifizieren, zu analysieren und gegebenenfalls anzupassen. Nur so kann sichergestellt werden, dass das IKS den aktuellen regulatorischen Vorgaben entspricht.
Darüber hinaus spielt das Betriebsmanagement eine entscheidende Rolle im aktiven Risikomanagement. Durch präventive Maßnahmen und eine vorausschauende Steuerung der Geschäftsprozesse trägt es maßgeblich zur langfristigen Stabilität und Effizienz des Unternehmens bei.
Das Framework Management der zweiten Verteidigungslinie hat die zentrale Aufgabe, unternehmensweite Standards zu definieren, um das Risikomanagement systematisch und ganzheitlich umzusetzen. Dazu gehören unter anderem die Bereiche Compliance, IT, Controlling und weitere geschäftskritische Abteilungen.
Diese Standards umfassen beispielsweise interne Richtlinien, allgemeine Unternehmensrichtlinien (Policies) sowie Standard Operating Procedures (SOPs), die sicherstellen, dass gesetzliche Vorgaben konsequent eingehalten werden.
Ein weiterer wichtiger Aspekt ist die proaktive Anpassung an externe Veränderungen, etwa durch neue gesetzliche Vorgaben oder regulatorische Anforderungen aus externen Audits. Das Framework Management trägt die Verantwortung dafür, diese Neuerungen zeitnah zu bewerten, entsprechende Maßnahmen abzuleiten und deren Umsetzung zu gewährleisten.
Zudem spielt die zweite Verteidigungslinie eine essenzielle Rolle in der Zusammenarbeit mit Fachabteilungen wie IT oder Marktforschung, um sicherzustellen, dass die vorgegebenen Standards nicht nur theoretisch sinnvoll, sondern auch in der Praxis umsetzbar und effektiv sind. Dies hat direkte Auswirkungen auf die erste Verteidigungslinie, da die dortigen operativen Prozesse auf den Rahmenbedingungen der zweiten Linie basieren.
Die Interne Revision bildet die dritte Verteidigungslinie und besteht aus unabhängigen Auditoren, die Geschäftsprozesse, Rahmenwerke und Kontrollmechanismen der ersten und zweiten Verteidigungslinie überprüfen. Ihr Hauptziel ist es, die Effektivität und Effizienz des internen Kontrollsystems (IKS) zu bewerten und mögliche Schwachstellen aufzudecken.
Dabei fungiert die Interne Revision nicht nur als Kontrollinstanz, sondern auch als unterstützendes Element für die erste und zweite Verteidigungslinie. Ihre Erkenntnisse dienen als Grundlage für Optimierungen in den Frameworks, Geschäftsprozessen und Risikomanagementstrategien.
Ein entscheidender Faktor ist die Unabhängigkeit der Internen Revision. Nur durch eine neutrale und objektive Bewertung können fundierte Verbesserungsvorschläge abgeleitet und ein realistisches Bild der Unternehmenssituation gewährleistet werden.
Die Ergebnisse der internen Revision werden direkt an das Executive Management berichtet. Auf Basis dieser Erkenntnisse kann das Management strategische Entscheidungen treffen und gegebenenfalls Unternehmensziele anpassen. Die Umsetzung dieser Maßnahmen erfolgt dann durch die erste und zweite Verteidigungslinie.
SAP Risk and Assurance Management im Kontext der drei Verteidigungslinien
SAP Risk and Assurance Management (SAP RAM) ist die cloudbasierte GRC-Lösung von SAP für ein risikobasiertes Kontrollmanagement. Es dient als unternehmensweite Plattform, die eine Vielzahl von Anwendungsbereichen abdeckt – darunter auch die drei Verteidigungslinien.
SAP RAM bietet eine Standard-Rollenkollektion, die speziell für den Bereich Compliance entwickelt wurde. Darüber hinaus ermöglicht ein flexibles individuelles Rollenkonzept, spezifische Anforderungen weiterer Abteilungen abzubilden. Beispielsweise kann für die Interne Revision eine maßgeschneiderte Rolle erstellt werden, die Auditoren den Zugriff auf eigene, getrennte Kontrollen und Daten erlaubt. Dadurch wird eine klare Trennung der Zuständigkeiten und ein unabhängiges Reporting für jede Verteidigungslinie gewährleistet. Auditoren können ihre Berichte direkt an das Executive Management übermitteln – ebenso wie Compliance- und IT-Teams ihre eigenen Berichte weiterleiten.
Innerhalb von SAP RAM fungieren Kontrollen als zentrale Ankerpunkte, in denen sämtliche gesetzten Rahmenbedingungen – wie Prozesse, Unternehmenshierarchien oder regulatorische Vorgaben – zusammenlaufen. Mithilfe von automatisierten und manuellen Prozeduren lassen sich digitalisierte, nachvollziehbare Ergebnisse generieren.
Automatisierte Kontrollen identifizieren beispielsweise Anomalien in laufenden Geschäftsprozessen und stellen relevante Daten für weitergehende Analysen bereit. Dadurch unterstützen sie aktiv die erste Verteidigungslinie, indem sie es den operativen Teams ermöglichen, Risiken frühzeitig zu erkennen und Fehler schnell zu beheben. Gleichzeitig dient SAP RAM dem Management als effektives Steuerungsinstrument, da es eine schnelle Reaktion auf identifizierte Abweichungen ermöglicht. Alle Vorgänge werden zudem in einem digitalisierten, auditierbaren Prozess erfasst und archiviert.
Manuelle Kontrollen können in selbstdefinierten Zeitintervallen durchgeführt werden, um die Effizienz und Effektivität bestehender Kontrollmaßnahmen zu überprüfen. Diese können in einer zentralen Kontrollinstanz zusammengeführt und von einer verantwortlichen Person dokumentiert und verwaltet werden. Auch hier werden Ergebnisse, Anpassungen und Optimierungen vollständig digitalisiert und archiviert – was wiederum ein separates Reporting für die jeweiligen Verteidigungslinien ermöglicht.
Wie bereits erwähnt, bietet SAP RAM die Möglichkeit, für die Interne Revision gesonderte Rollen und speziell entwickelte automatisierte sowie manuelle Prozeduren einzurichten, die den internen Auditprozess unterstützen. Auditoren haben exklusiven Zugriff auf die ihnen zugewiesenen Kontrollen, was eine unabhängige Prüfung gewährleistet. Zudem können innerhalb der Unternehmenshierarchie eigene Bereiche für die Revision geschaffen werden, die eindeutig den Revisionskontrollen zugeordnet sind – so wird eine klare Trennung zwischen den Prüfprozessen und dem operativen Geschäft sichergestellt.
Mit SAP RAM erhalten Unternehmen eine integrierte, digitale Lösung zur Stärkung ihrer drei Verteidigungslinien, die nicht nur für Transparenz und Effizienz sorgt, sondern auch die Compliance und Risikosteuerung nachhaltig verbessert.