Risk & control matrix (RCM)
Eine risk & control matrix verknüpft die Risiken in Ihren Prozessen mit den Kontrollen, die sie abdecken. Sie ist der Kern der Risikobeherrschung in Prozessen: Sie zeigt, was schiefgehen kann, wie Sie es beherrschen, wer dafür verantwortlich ist und wo Sie noch Lücken haben.
Was ist eine risk & control matrix?
Die risk & control matrix (RCM), auch Risk-Control-Matrix oder Kontrollmatrix genannt, ist ein strukturierter Überblick, der jedes Risiko mit den Kontrollen verbindet, die es abdecken. Wo ein Risikoregister nur auflistet, was schiefgehen kann, fügt die RCM die andere Hälfte hinzu: wie Sie es beherrschen. Pro Zeile sehen Sie das Risiko, die zugehörige Kontrolle, den Eigentümer, die Frequenz und die Wirksamkeit.
Diese Kombination macht die RCM zum Arbeitspferd der internen Kontrolle und Revision. Sie ist die Grundlage, um nachzuweisen, dass eine Organisation alles unter Kontrolle hat: nicht mit Worten, sondern mit einer nachvollziehbaren Verknüpfung zwischen Risiko und Maßnahme.
Woraus besteht eine RCM?
Die genauen Spalten unterscheiden sich je nach Organisation, aber eine brauchbare risk & control matrix enthält fast immer die folgenden Elemente:
| Element | Was Sie festhalten |
|---|---|
| Prozessschritt | Die Aktivität, auf die das Risiko zutrifft — der Ankerpunkt der RCM. |
| Risiko | Was schiefgehen kann und warum das die Ziele berührt. |
| Ursache & Wirkung | Die Quelle des Risikos und die Auswirkung, wenn es eintritt. |
| Wahrscheinlichkeit × Auswirkung | Die Einschätzung von Wahrscheinlichkeit und Schweregrad, oft als Brutto- und Nettorisiko. |
| Kontrolle | Die Maßnahme, die das Risiko verkleinert oder erkennt. |
| Kontrolltyp | Präventiv oder detektiv und manuell oder automatisiert. |
| Frequenz | Wie oft die Kontrolle ausgeführt wird — kontinuierlich, täglich, je Ereignis. |
| Eigentümer | Wer für das Funktionieren der Kontrolle verantwortlich ist. |
Viele Organisationen arbeiten mit einem Brutto- und Nettorisiko: Das Bruttorisiko ist die Einschätzung vor der Beherrschung, das Nettorisiko das Restrisiko danach. Der Unterschied zeigt, wie viel die Kontrollen tatsächlich beitragen.
Präventive vs. detektive Kontrollen
Kontrollen fallen grob in zwei Typen. Eine gute RCM balanciert beide und unterscheidet zudem zwischen manuellen und automatisierten Kontrollen — Letztere sind in der Regel zuverlässiger und besser prüfbar.
Präventiv
Verhindert, dass ein Risiko eintritt. Zum Beispiel Funktionstrennung, eine verpflichtende zweite Freigabe vor einer Zahlung oder Systemvalidierungen, die fehlerhafte Eingaben blockieren.
Detektiv
Signalisiert nachträglich, dass etwas schiefgelaufen ist. Zum Beispiel periodische Abstimmungen, Ausnahmeberichte oder eine Prüfung von Protokolldateien. Unverzichtbar als Rückfallebene zur Prävention.
Risikobeherrschung in Prozessen
Risiken entstehen nicht in einem Register — sie entstehen in der Arbeit. Eine Rechnung, die ohne Kontrolle bezahlt wird, eine Änderung, die ohne Review live geht, Daten, die durch die falschen Hände gehen: alles Risiken, die auf einem bestimmten Prozessschritt sitzen. Dennoch verwalten viele Organisationen ihre RCM als eigenständiges Dokument, getrennt von den Prozessen, die es beschreibt.
Das geht schief, sobald sich der Prozess ändert. Die Kontrolle, die Sie vor Monaten beschrieben haben, passt nicht mehr zur neuen Arbeitsweise — aber das merken Sie erst beim nächsten Audit. Die Lösung besteht darin, Risiken und Kontrollen an den Prozessschritt zu koppeln, sodass Beherrschung und Prozess sich gemeinsam bewegen. Sie sehen dann auf einen Blick, welche Schritte unzureichend abgedeckt sind und welche Rollen (über die RASCI-Matrix) an dieser Kontrolle beteiligt sind.
So bauen Sie eine risk & control matrix
- 1
Legen Sie den Umfang fest
Bestimmen Sie, welchen Prozess oder welche Prozesse Sie in die RCM aufnehmen und bis zu welchem Detailgrad.
- 2
Inventarisieren Sie Risiken je Schritt
Gehen Sie die Prozessschritte durch und benennen Sie je Schritt, was schiefgehen kann, mit Ursache und Wirkung.
- 3
Bewerten Sie das Risiko
Schätzen Sie Wahrscheinlichkeit und Auswirkung ein (Bruttorisiko), um zu priorisieren, wo Beherrschung nötig ist.
- 4
Verknüpfen Sie Kontrollen
Weisen Sie je Risiko eine oder mehrere Kontrollen zu und halten Sie fest, ob sie präventiv oder detektiv sind.
- 5
Bestimmen Sie Eigentümer und Frequenz
Halten Sie fest, wer die Kontrolle ausführt und wie oft, sodass ihr Funktionieren prüfbar ist.
- 6
Beurteilen Sie das Nettorisiko
Bestimmen Sie das Restrisiko nach der Beherrschung und wiederholen Sie den Zyklus periodisch.
Eine lebendige, verknüpfte RCM
Der Unterschied zwischen einer RCM, die funktioniert, und einer, die veraltet, liegt in der Verknüpfung. In Proceshuis ist die risk & control matrix ein lebendiges, verknüpftes Objekt statt eines separaten Registers: Risiken und Kontrollen hängen direkt am Prozessschritt, zusammen mit den Rollen, Systemen und Daten desselben Schritts. Ändert sich der Prozess, ändert sich die Beherrschung mit. Und jede Änderung an einem Risiko oder einer Kontrolle ist an der Aktivität selbst nachvollziehbar — wer hat was wann geändert —, sodass Sie das Funktionieren Ihrer Beherrschung nachweisen können.
So unterstützen Sie die Arbeitsweisen hinter Rahmenwerken wie Three Lines of Defense, ISO 27001 und DSGVO — indem Sie die zugehörigen Risiken, Kontrollen und die Eigentümerschaft auf dem Prozess modellieren. Seien Sie dabei ehrlich, was eingebaut ist und was nicht: Derzeit ist der APQC-Benchmark tatsächlich eingebaut und wird berichtet, mit einem Abdeckungsprozentsatz. Die genannten Normenrahmen sind unterstützte Arbeitsweisen; diese fertige Normenrahmen-Ebene bauen wir schrittweise aus.
Risiko ↔ Kontrolle ↔ Prozess, in einem Modell
Kein separates Register, das veraltet, sondern Beherrschung, die am Prozessschritt hängt — mit RASCI und APQC-Abdeckung. So weisen Sie nach, dass Sie alles unter Kontrolle haben.
Häufig gestellte Fragen zur risk & control matrix
Was ist eine risk & control matrix (RCM)?+–
Eine risk & control matrix ist ein Überblick, der je Risiko festhält, welche Kontrolle dieses Risiko abdeckt, wer der Eigentümer ist, wie oft die Kontrolle ausgeführt wird und wie wirksam sie ist. Die RCM verbindet Risiken mit Kontrollen, idealerweise gekoppelt an den Prozessschritt, auf den sie zutreffen.
Was ist der Unterschied zwischen einem Risikoregister und einer risk & control matrix?+–
Ein Risikoregister listet Risiken auf. Eine risk & control matrix geht einen Schritt weiter und koppelt an jedes Risiko die Kontrollen, mit Eigentümer, Frequenz und Wirksamkeit. Die RCM zeigt also nicht nur, was schiefgehen kann, sondern auch, wie Sie es beherrschen.
Was ist der Unterschied zwischen einer präventiven und einer detektiven Kontrolle?+–
Eine präventive Kontrolle verhindert, dass ein Risiko eintritt — zum Beispiel eine verpflichtende zweite Freigabe vor einer Zahlung. Eine detektive Kontrolle signalisiert nachträglich, dass etwas schiefgelaufen ist — zum Beispiel eine periodische Abstimmung oder ein Ausnahmebericht. Eine gesunde Beherrschung kombiniert beide.
Warum Risiken und Kontrollen mit dem Prozess verknüpfen?+–
Weil Risiken in der Arbeit selbst entstehen. Ein loses Risikoregister veraltet, sobald sich der Prozess ändert. Koppeln Sie Ihre Risiken und Kontrollen an den Prozessschritt, dann bewegt sich die Beherrschung mit dem Prozess mit und Sie sehen sofort, welche Schritte unzureichend abgedeckt sind.
Unterstützt Proceshuis Three Lines of Defense und ISO 27001?+–
Proceshuis unterstützt diese Arbeitsweisen, indem Sie die zugehörigen Risiken, Kontrollen, Rollen und die Eigentümerschaft modellieren und an den Prozess koppeln. Das ist etwas anderes als ein fertiger Normenrahmen: Derzeit ist APQC eingebaut und wird berichtet; die Normenrahmen-Ebene bauen wir schrittweise aus.