In den bisherigen Artikeln unserer BDO Risk Management Blueprint-Reihe haben wir Ihnen gezeigt, wie ein starkes Rahmenwerk, eine klare Risikobereitschaft und die richtigen Taxonomien die Grundlage für den Erfolg bilden. Nun erfahren Sie, wie Ihr Unternehmen diese Elemente mithilfe des Drei-Linien-Modells umsetzen kann. Dieser bewährte Ansatz hilft Ihnen dabei, klare Verantwortlichkeiten zu schaffen und gleichzeitig ein umfassendes Risikomanagement in Ihrem gesamten Unternehmen sicherzustellen.  

Die drei Verteidigungslinien sind vergleichbar wie ein Sportteam Ihres Unternehmens, in dem verschiedene Akteurinnen und Akteure unterschiedliche, aber dennoch ergänzende Rollen haben. Nur wenn diese Akteurinnen und Akteure (oder Abteilungen) effektiv zusammenarbeiten, schaffen sie eine stabile Verteidigung, die Ihr Unternehmen schützt und gleichzeitig Wachstum ermöglicht. 

Lesen Sie weiter, um herauszufinden, wie Sie dieses Modell für sich nutzen können.

1. Verteidigungslinie: Operatives Geschäft und Risikoverantwortliche

Ihre erste Verteidigungslinie besteht aus den operativen Einheiten – also den Teams, die täglich die Geschäftsprozesse steuern und unmittelbar mit Risiken konfrontiert sind.
Diese Mitarbeiterinnen und Mitarbeiter sind Ihre Risikomanager an der Frontlinie: Sie sind am nächsten am Geschehen und dadurch ideal positioniert, Risiken frühzeitig zu erkennen und aktiv zu steuern.

In einem Produktionsunternehmen zählen bspw. die Mitarbeiterinnen und Mitarbeiter in der Fertigungslinie, Schichtleitungen sowie Instandhaltung und Qualitätssicherung zur ersten Verteidigungslinie. Sie sind diejenigen, die Abweichungen in Prozessparametern, ungewöhnliche Maschinengeräusche oder steigende Ausschussquoten frühzeitig bemerken – und dadurch potenzielle Produktionsausfälle, Sicherheitsrisiken oder Qualitätsmängel rechtzeitig identifizieren und Gegenmaßnahmen einleiten können. Zu ihren zentralen Aufgaben gehören:

  • Identifikation und Bewertung operativer Risiken 
  • Einrichtung und Umsetzung angemessener Kontrollen im täglichen Prozessablauf
  • Meldung von Vorfällen und Kontrolllücken an die zweite Verteidigungslinie
  • Laufende Überwachung und Berichterstattung über das eigene Risikoprofil

Der entscheidende Punkt dabei ist die Verhältnismäßigkeit: Die erste Linie sollte sich auf wesentliche Risiken konzentrieren, anstatt jedes Detail im operativen Alltag zu steuern. Ein kleiner Verarbeitungsfehler erfordert beispielsweise nur eine kurze Dokumentation und ein auffälliges Muster im Zahlungsverkehr dagegen eine sofortige Analyse und Eskalation an das Risikomanagement oder die Compliance-Funktion.

2. Verteidigungslinie: Methoden- und Rahmenwerkverantwortliche

Die zweite Verteidigungslinie wird häufig als Risikomanagementfunktion bezeichnet und ist somit das methodische Rückgrat Ihres Unternehmens. Sie agiert wie die Trainer und Coaches Ihres Risikomanagement-Teams und stellt die Rahmenwerke, Werkzeuge und Leitlinien bereit, mit denen die erste Linie Risiken effektiv steuern kann.

Ihre zentralen Aufgaben umfassen:

  • Entwicklung einer unabhängigen Sichtweise auf die Wesentlichkeit und Priorität von Risiken
  • Kritische Hinterfragung der Aktivitäten der ersten Linie, insbesondere bei Abweichungen oder erhöhten Risiken
  • Konsolidieren der Risikoinformationen, die von den Akteurinnen und Akteuren der ersten Verteidigungslinie berichtet werden und damit verbunden Risikoaggregation und Analyse der Risikotragfähigkeit des Unternehmens
  • Erstellung und Pflege von Richtlinien, Standards und Kennzahlen zur einheitlichen Risikobewertung und -steuerung
  • Bereitstellung von Schulungen und Trainings im Bereich operatives Risiko- und Kontrollmanagement
  • Zusammenstellung und Verteilung rollen- bzw. rangspezifischer Risikoberichte


Wenn zum Beispiel eine Geschäftseinheit einen neuen operativen Risikotyp meldet, unterstützt die zweite Linie bei der Bewertung der Bedeutung, empfiehlt geeignete Kontrollmaßnahmen und stellt sicher, dass diese im Einklang mit der unternehmensweiten Risikobereitschaft stehen.

3. Verteidigungslinie: Interne Revision

Die interne Revision bildet die dritte Verteidigungslinie Ihres Risikomanagementsystems.
Sie übernimmt die Rolle der unabhängigen Prüf- und Überwachungsinstanz, die das gesamte Rahmenwerk objektiv bewertet und sicherstellt, dass die definierten Regeln, Prozesse und Kontrollen wirksam umgesetzt werden.

Ihre Unabhängigkeit ist dabei von zentraler Bedeutung. Während die erste und zweite Linie eng im Tagesgeschäft zusammenarbeiten, wahrt die dritte Linie die notwendige Distanz, um eine objektive und unbeeinflusste Beurteilung abgeben zu können. Nur so kann sichergestellt werden, dass die gesamte Governance-Struktur zuverlässig funktioniert und das Risikomanagementsystem tatsächlich wirksam ist.

Im Rahmen ihrer Prüfaktivitäten kann die interne Revision zudem dazu beitragen, noch nicht inventarisierte Risiken aufzudecken sowie den zentralen und dezentralen Bereichen weitere Anstöße zur Risikoidentifikation und -bewertung liefern. Damit unterstützt die interne Revision bei der Beseitigung „blinder Flecken“ auf der Risikolandkarte.

Die interne Revision leistet somit einen entscheidenden Beitrag zur Sicherung der Unternehmensintegrität, zur Vertrauensbildung gegenüber Aufsichtsgremien und zur kontinuierlichen Verbesserung der Risikosteuerung.

Zentrale Elemente der Risikoberichterstattung 

Risikoberichterstattung sollte mehr umfassen, als lediglich Dokumente zu erstellen, die anschließend in der Schublade verschwinden. Vielmehr sollte sie dazu beitragen, auf Basis umfangreicher Analysen sinnvolle Maßnahmen in dem gesamten Unternehmen anzustoßen. Auf Grundlage langjähriger Projekterfahrung wissen wir, dass die wertvollsten Risikoberichte mehrere wesentliche Elemente vereinen, die gemeinsam Ihre Risikomanagement-Geschichte erzählen.

Nachfolgend finden Sie die gängigsten Elemente der Risikoberichterstattung, ergänzt mit kurzen Erläuterungen zu ihrer Bedeutung und Anwendung:

  1. Vorfälle und Beinahevorfälle 
  2. Maßnahmenpläne und Nachverfolgung 
  3. Risikobereitschaft & Key Risk Indicators (Link zu Artikel 02_Artikel-Risikobereitschaft-von der Theorie zur Praxis_BDO-Risk-Blueprint_DE)
  4. KRI- und Problemüberwachung 
  5. Top-Risiken 
  6. Neue Risiken erkennen – Frühwarnsystem

Beginnen Sie mit dem, was tatsächlich im operativen Geschäft passiert: Dokumentieren Sie sowohl Vorfälle als auch Beinahevorfälle (1), aber belassen Sie es nicht bei einer reinen Beschreibung. Der eigentliche Mehrwert liegt darin, konkrete Maßnahmenpläne zu entwickeln und nachzuverfolgen (2), wie Ihr Unternehmen darauf reagiert.

Beispielsweise sollte ein Bericht über einen Vorfall in der Zahlungsabwicklung nicht nur festhalten, was schiefgelaufen ist, sondern auch, welche Ursachen den Vorfall ermöglicht haben und wie bestehende Schutzmechanismen verstärkt oder neugestaltet werden können. Auf Basis tatsächlicher Vorfälle können Sie in Ihren fortfolgenden Risikozyklen zudem granulare und genauere Risikobewertungen vornehmen.

Die Überwachung der Risikobereitschaft (3) bildet ein weiteres zentrales Element dieses Prozesses. Wir haben beobachtet, wie Unternehmen ihr Risikomanagement durch die konsequente Verfolgung von Key Risk Indicators (4) im Vergleich zu ihren definierten Toleranzwerten professionalisiert haben. So berichtete beispielsweise der Leiter einer Risikofunktion, dass vergleichende Berichte zwischen Abteilungen ihren gesamten Ansatz revolutioniert haben: Als Fachbereiche ihre Risikoindikatoren im Vergleich zu anderen Einheiten sehen konnten, entstanden produktive Diskussionen über Best Practices und Verbesserungspotenziale.

Was die größten Risiken (5) betrifft, zeigt die Erfahrung, dass Vorstände und Führungskräfte vor allem jene Bedrohungen im Blick haben, die die Fortführung des Unternehmens gefährden könnten. Sie benötigen klare, entscheidungsorientierte Informationen zu diesen Risikotypen. Das bedeutet nicht, sie mit Daten zu überfluten – vielmehr sollten Sie prägnante Erkenntnisse zu Ihren zehn wichtigsten Risiken und aufkommenden Bedrohungen bereitstellen (6).

Das „dreistufige Torten“-Prinzip

Ein wirksames Risikoreporting folgt dem, was wir gern den „dreistufigen Tortenansatz“ nennen – mit drei klar abgegrenzten Ebenen, die unterschiedliche Bedürfnisse bedienen: 

1. Basisebene: „Alles, was Sie zur Überwachung brauchen.“

  • Umfassende Informationen für das Risikomanagement und das mittlere Management
  • Detaillierte Vorfallberichte und Kennzahlen 
  • Vollständige Ergebnisse der Kontrolltests

2. Mittlere Ebene: „Alles, was Sie zum Handeln brauchen.“

  • Handlungsorientierte Informationen für das obere Management und die Bereichsleitungen
  • Wesentliche Risikokennzahlen und Trends
  • Zusammenfassungen zur Wirksamkeit der Kontrollen

3. Oberste Ebene: „Alles, was Sie zum Entscheiden brauchen.“

  • Strategische Erkenntnisse für Vorstand und Geschäftsführung
  • Wesentliche Risikoexponierungen
  • Bedeutende Kontrolllücken, die Investitionen oder strukturelle Anpassungen erfordern

Diese Struktur stellt sicher, dass jede Ebene genau die Informationen erhält, die sie in der passenden Tiefe und Aufbereitung benötigen. Während das Risikomanagementteam Zugriff auf detaillierte Ereignisdaten benötigt, konzentriert sich der Vorstand auf die strategischen Risiken, die die Kontinuität und Resilienz des Unternehmens beeinflussen können. 

Die „Reporting-Torte"


Das Drei-Linien-Modell bietet einen zuverlässigen Rahmen für das Risikomanagement in Ihrem Unternehmen. Durch die klare Definition von Rollen und Verantwortlichkeiten, die Implementierung effektiver Berichtsstrukturen und die Förderung der Zusammenarbeit unter Wahrung der Unabhängigkeit schaffen Sie ein robustes Risikomanagementsystem, das den Erfolg Ihres Unternehmens unterstützt.

Alles zusammenführen: Das Modell wirksam machen

Der Erfolg Ihres Drei-Linien-Modells hängt davon ab, wie gut die einzelnen Komponenten in der Praxis zusammenspielen. Organisationen können die Wirksamkeit ihres Risikomanagements deutlich steigern, indem sie sich auf mehrere zentrale Bereiche konzentrieren. 

  1. Zunächst sollten Sie betrachten, wie Informationen innerhalb Ihres Unternehmens fließen. Die erfolgreichsten Implementierungen schaffen natürliche Kanäle für risikobezogene Themen. Dies kann regelmäßige bereichsübergreifende Meetings umfassen, in denen Teams der ersten und zweiten Linie aufkommende Risiken diskutieren, oder strukturierte Feedback-Sitzungen, in denen Prüfungsergebnisse in konkrete Verbesserungen umgesetzt werden.
  1. Der menschliche Faktor spielt hierbei eine entscheidende Rolle. Rahmenbedingungen und Verfahren sind wichtig, doch häufig bestimmen die Beziehungen zwischen den Teams den Erfolg. Unternehmen stärken ihr Risikomanagement erheblich, wenn sie eine Gemeinschaft von Risikoverantwortlichen aus unterschiedlichen Bereichen aufbauen.
     Diese fungieren als Brücken zwischen den Verteidigungslinien, übersetzen Risikokonzepte in praktische Maßnahmen und bieten gezielte Unterstützung beim operativen Risikomanagement.
  1. In Bezug auf die Unabhängigkeit gilt es, die richtige Balance zu finden. Die dritte Linie muss ausreichend Distanz wahren, um objektive Prüfungs- und Überwachungsleistungen zu erbringen, darf jedoch nicht so weit entfernt sein, dass der Bezug zur operativen Realität verloren geht. Dies gelingt durch klar definierte Interaktionsrichtlinien, die professionellen Skeptizismus mit einem konstruktiven Dialog verbinden.

Wenn alle drei Linien auf diese Weise zusammenarbeiten, entsteht ein integriertes Risikomanagementsystem, das Transparenz, Verantwortlichkeit und Vertrauen schafft – und Ihr Unternehmen langfristig resilienter macht.

Drei goldene Regeln der Berichterstattung

Möchten Sie Ihr Unternehmen durch die Einrichtung eines robusten Risikomanagementsystems zukunftssicher machen?

Für weitere Informationen wenden Sie sich gerne an unsere Expertinnen und Experten.

Dieser Artikel wurde verfasst von

Entdecken Sie die weiteren Beiträge unserer Risk Management Blueprint-Reihe