Wissen · Risk & control

Risk & control matrix (RCM)

Eine risk & control matrix verknüpft die Risiken in Ihren Prozessen mit den Kontrollen, die sie abdecken. Sie ist der Kern der Risikobeherrschung in Prozessen: Sie zeigt, was schiefgehen kann, wie Sie es beherrschen, wer dafür verantwortlich ist und wo Sie noch Lücken haben.

Was ist eine risk & control matrix?

Die risk & control matrix (RCM), auch Risk-Control-Matrix oder Kontrollmatrix genannt, ist ein strukturierter Überblick, der jedes Risiko mit den Kontrollen verbindet, die es abdecken. Wo ein Risikoregister nur auflistet, was schiefgehen kann, fügt die RCM die andere Hälfte hinzu: wie Sie es beherrschen. Pro Zeile sehen Sie das Risiko, die zugehörige Kontrolle, den Eigentümer, die Frequenz und die Wirksamkeit.

Diese Kombination macht die RCM zum Arbeitspferd der internen Kontrolle und Revision. Sie ist die Grundlage, um nachzuweisen, dass eine Organisation alles unter Kontrolle hat: nicht mit Worten, sondern mit einer nachvollziehbaren Verknüpfung zwischen Risiko und Maßnahme.

Woraus besteht eine RCM?

Die genauen Spalten unterscheiden sich je nach Organisation, aber eine brauchbare risk & control matrix enthält fast immer die folgenden Elemente:

ElementWas Sie festhalten
ProzessschrittDie Aktivität, auf die das Risiko zutrifft — der Ankerpunkt der RCM.
RisikoWas schiefgehen kann und warum das die Ziele berührt.
Ursache & WirkungDie Quelle des Risikos und die Auswirkung, wenn es eintritt.
Wahrscheinlichkeit × AuswirkungDie Einschätzung von Wahrscheinlichkeit und Schweregrad, oft als Brutto- und Nettorisiko.
KontrolleDie Maßnahme, die das Risiko verkleinert oder erkennt.
KontrolltypPräventiv oder detektiv und manuell oder automatisiert.
FrequenzWie oft die Kontrolle ausgeführt wird — kontinuierlich, täglich, je Ereignis.
EigentümerWer für das Funktionieren der Kontrolle verantwortlich ist.

Viele Organisationen arbeiten mit einem Brutto- und Nettorisiko: Das Bruttorisiko ist die Einschätzung vor der Beherrschung, das Nettorisiko das Restrisiko danach. Der Unterschied zeigt, wie viel die Kontrollen tatsächlich beitragen.

Präventive vs. detektive Kontrollen

Kontrollen fallen grob in zwei Typen. Eine gute RCM balanciert beide und unterscheidet zudem zwischen manuellen und automatisierten Kontrollen — Letztere sind in der Regel zuverlässiger und besser prüfbar.

Präventiv

Verhindert, dass ein Risiko eintritt. Zum Beispiel Funktionstrennung, eine verpflichtende zweite Freigabe vor einer Zahlung oder Systemvalidierungen, die fehlerhafte Eingaben blockieren.

Detektiv

Signalisiert nachträglich, dass etwas schiefgelaufen ist. Zum Beispiel periodische Abstimmungen, Ausnahmeberichte oder eine Prüfung von Protokolldateien. Unverzichtbar als Rückfallebene zur Prävention.

Risikobeherrschung in Prozessen

Risiken entstehen nicht in einem Register — sie entstehen in der Arbeit. Eine Rechnung, die ohne Kontrolle bezahlt wird, eine Änderung, die ohne Review live geht, Daten, die durch die falschen Hände gehen: alles Risiken, die auf einem bestimmten Prozessschritt sitzen. Dennoch verwalten viele Organisationen ihre RCM als eigenständiges Dokument, getrennt von den Prozessen, die es beschreibt.

Das geht schief, sobald sich der Prozess ändert. Die Kontrolle, die Sie vor Monaten beschrieben haben, passt nicht mehr zur neuen Arbeitsweise — aber das merken Sie erst beim nächsten Audit. Die Lösung besteht darin, Risiken und Kontrollen an den Prozessschritt zu koppeln, sodass Beherrschung und Prozess sich gemeinsam bewegen. Sie sehen dann auf einen Blick, welche Schritte unzureichend abgedeckt sind und welche Rollen (über die RASCI-Matrix) an dieser Kontrolle beteiligt sind.

So bauen Sie eine risk & control matrix

  1. 1

    Legen Sie den Umfang fest

    Bestimmen Sie, welchen Prozess oder welche Prozesse Sie in die RCM aufnehmen und bis zu welchem Detailgrad.

  2. 2

    Inventarisieren Sie Risiken je Schritt

    Gehen Sie die Prozessschritte durch und benennen Sie je Schritt, was schiefgehen kann, mit Ursache und Wirkung.

  3. 3

    Bewerten Sie das Risiko

    Schätzen Sie Wahrscheinlichkeit und Auswirkung ein (Bruttorisiko), um zu priorisieren, wo Beherrschung nötig ist.

  4. 4

    Verknüpfen Sie Kontrollen

    Weisen Sie je Risiko eine oder mehrere Kontrollen zu und halten Sie fest, ob sie präventiv oder detektiv sind.

  5. 5

    Bestimmen Sie Eigentümer und Frequenz

    Halten Sie fest, wer die Kontrolle ausführt und wie oft, sodass ihr Funktionieren prüfbar ist.

  6. 6

    Beurteilen Sie das Nettorisiko

    Bestimmen Sie das Restrisiko nach der Beherrschung und wiederholen Sie den Zyklus periodisch.

Eine lebendige, verknüpfte RCM

Der Unterschied zwischen einer RCM, die funktioniert, und einer, die veraltet, liegt in der Verknüpfung. In Proceshuis ist die risk & control matrix ein lebendiges, verknüpftes Objekt statt eines separaten Registers: Risiken und Kontrollen hängen direkt am Prozessschritt, zusammen mit den Rollen, Systemen und Daten desselben Schritts. Ändert sich der Prozess, ändert sich die Beherrschung mit. Und jede Änderung an einem Risiko oder einer Kontrolle ist an der Aktivität selbst nachvollziehbar — wer hat was wann geändert —, sodass Sie das Funktionieren Ihrer Beherrschung nachweisen können.

So unterstützen Sie die Arbeitsweisen hinter Rahmenwerken wie Three Lines of Defense, ISO 27001 und DSGVO — indem Sie die zugehörigen Risiken, Kontrollen und die Eigentümerschaft auf dem Prozess modellieren. Seien Sie dabei ehrlich, was eingebaut ist und was nicht: Derzeit ist der APQC-Benchmark tatsächlich eingebaut und wird berichtet, mit einem Abdeckungsprozentsatz. Die genannten Normenrahmen sind unterstützte Arbeitsweisen; diese fertige Normenrahmen-Ebene bauen wir schrittweise aus.

Risiko ↔ Kontrolle ↔ Prozess, in einem Modell

Kein separates Register, das veraltet, sondern Beherrschung, die am Prozessschritt hängt — mit RASCI und APQC-Abdeckung. So weisen Sie nach, dass Sie alles unter Kontrolle haben.

Häufig gestellte Fragen zur risk & control matrix

Was ist eine risk & control matrix (RCM)?+

Eine risk & control matrix ist ein Überblick, der je Risiko festhält, welche Kontrolle dieses Risiko abdeckt, wer der Eigentümer ist, wie oft die Kontrolle ausgeführt wird und wie wirksam sie ist. Die RCM verbindet Risiken mit Kontrollen, idealerweise gekoppelt an den Prozessschritt, auf den sie zutreffen.

Was ist der Unterschied zwischen einem Risikoregister und einer risk & control matrix?+

Ein Risikoregister listet Risiken auf. Eine risk & control matrix geht einen Schritt weiter und koppelt an jedes Risiko die Kontrollen, mit Eigentümer, Frequenz und Wirksamkeit. Die RCM zeigt also nicht nur, was schiefgehen kann, sondern auch, wie Sie es beherrschen.

Was ist der Unterschied zwischen einer präventiven und einer detektiven Kontrolle?+

Eine präventive Kontrolle verhindert, dass ein Risiko eintritt — zum Beispiel eine verpflichtende zweite Freigabe vor einer Zahlung. Eine detektive Kontrolle signalisiert nachträglich, dass etwas schiefgelaufen ist — zum Beispiel eine periodische Abstimmung oder ein Ausnahmebericht. Eine gesunde Beherrschung kombiniert beide.

Warum Risiken und Kontrollen mit dem Prozess verknüpfen?+

Weil Risiken in der Arbeit selbst entstehen. Ein loses Risikoregister veraltet, sobald sich der Prozess ändert. Koppeln Sie Ihre Risiken und Kontrollen an den Prozessschritt, dann bewegt sich die Beherrschung mit dem Prozess mit und Sie sehen sofort, welche Schritte unzureichend abgedeckt sind.

Unterstützt Proceshuis Three Lines of Defense und ISO 27001?+

Proceshuis unterstützt diese Arbeitsweisen, indem Sie die zugehörigen Risiken, Kontrollen, Rollen und die Eigentümerschaft modellieren und an den Prozess koppeln. Das ist etwas anderes als ein fertiger Normenrahmen: Derzeit ist APQC eingebaut und wird berichtet; die Normenrahmen-Ebene bauen wir schrittweise aus.

Keep reading

Set up your process house today.

Explore the fully populated demo environment or book a tailored demo — and see how RASCI, risk & control and the APQC benchmark all hang off a single process step.

Risk & control matrix (RCM): Risikobeherrschung in Prozessen — Proceshuis