Wirksame Risikosteuerungsmaßnahmen und -kontrollen für Ihre Organisation aufbauen

(Kontaktieren Sie jetzt unsere Expertinnen und Experten)

Ihre Risiken zu verstehen und die richtigen Systeme zu deren Meldung einzurichten, ist das eine. Die nächste entscheidende Frage lautet jedoch natürlich: Was sollten Sie dann mit diesen Risiken tun?

Die Antwort liegt darin, wirksame Maßnahmen zur Risikosteuerung zu entwickeln und Kontrollen zu gestalten, die Ihre Organisation tatsächlich schützen. Obwohl dies auf den ersten Blick einfach erscheint, haben viele Organisationen mit ineffektiven Maßnahmen und Kontrollen zu kämpfen, die eher ein trügerisches Sicherheitsgefühl erzeugen, statt echten Schutz zu bieten.

In diesem Beitrag beleuchten wir praxisorientierte interne Kontrollsysteme, die Ihre Geschäftsziele zuverlässig schützen.

Entdecken Sie unsere weiteren Beiträge unserer Risk Management Blueprint-Reihe

  • Risiko­management‐Rahmenwerk & Reifegrad­kriterien 
  • Risikobereitschaft – von der Theorie zur Praxis
  • CRIC‐Taxonomie erklärt
  • Risikoidentifikation – Ihr Fundament für ein wirksames Risikomanagement
  • Risiko- und Kontroll-Selbstevaluierung
  • Die „Drei Verteidigungslinien“ im Risikomanagement
  • Erfolgreiche operative Risikoberichterstattung
  • Bow-Tie-Analyse: Ihre zentralen Risiko­treiber abbilden
  • Key Risk Indicators: Ihr Frühwarnsystem für die Organisation
  • Ganzheitliche Risikoaggregation und Einordnung der Risikogesamtlage in die Organisation
  • Der Wert von Risikomanagement: Wirkung zeigen

Die „Vier T‘s“ des Risikomanagements – Strategien zur Risikosteuerung

Wenn Ihr Unternehmen einem identifizierten Risiko gegenübersteht, bestehen vier grundlegende Handlungsoptionen, häufig als „die vier T“ bezeichnet:

Tolerate (Tolerieren): Das Risiko bewusst akzeptieren, ohne zusätzliche Maßnahmen. Sinnvoll bei einem geringen inhärenten Risiko.

Beispiel: Das Unternehmen akzeptiert das Risiko kurzfristiger Lieferverzögerungen bei einem Nebenprodukt, da die finanziellen Auswirkungen gering sind und keine kritischen Kundinnen und Kunden betroffen sind.

Treat (Behandeln): Maßnahmen oder Kontrollen einführen, um Eintrittswahrscheinlichkeit oder Auswirkungen (oder beides) zu reduzieren. Die meisten Reaktionen lassen sich diesem Ansatz zuordnen.

Beispiel: Durch das Vier-Augen-Prinzip im Zahlungsverkehr wird das Risiko von Fehlüberweisungen und Betrug deutlich reduziert.

Transfer (Übertragen): Das Risiko an eine andere Partei übergeben – z. B. durch Versicherung oder Outsourcing. Auch wenn dadurch die finanzielle Verantwortung verlagert werden kann, bedenken Sie, dass reputative Auswirkungen niemals vollständig übertragen werden können.

Beispiel: Das Risiko von Brandschäden einer Lagerhalle wird durch den Abschluss einer Versicherung auf einen externen Versicherer übertragen.

Terminate (Beenden): Die entscheidendste Maßnahme besteht darin, die Risikoexposition zu eliminieren, indem die Aktivität, die das Risiko erzeugt, eingestellt wird. Obwohl dies den umfassendsten Schutz bietet, kann es auch bedeuten, potenzielle Vorteile der Aktivität zu verpassen.

Beispiel: Das Unternehmen entscheidet sich gegen den Eintritt in einen neuen, politisch instabilen Markt und vermeidet damit bewusst regulatorische und operative Risiken.

Ihre Wahl unter diesen Optionen sowie deren Intensität sollte durch Ihre Risikobereitschaft gesteuert werden, wie in unserem zweiten Artikel der BDO Risk Management Blueprint-Reihe erläutert. Für Risiken, die Sie behandeln möchten, besteht der nächste Schritt darin, geeignete Kontrollen auszuwählen und zu gestalten, die eine wirksame Risikosteuerung sicherstellen.

Kontrolltypen: Ihre Toolbox für die Risikobehandlung

Entscheiden Sie sich für das „Behandeln“ Ihrer Risiken, so müssen Sie für jedes Risiko die passende Kontrollart wählen. In Anlehnung an die Kategorien des Institute of Internal Auditors (IIA) gibt es vier wesentliche Arten von Kontrollen, die jeweils unterschiedliche Funktionen im Risikomanagementsystem erfüllen.

Präventive Kontrollen: Probleme vermeiden, bevor sie entstehen

Präventive Kontrollen zielen darauf ab, die Eintrittswahrscheinlichkeit von Risiken zu verringern, indem ihre Ursachen bereits im Vorfeld adressiert werden. Sie bilden die erste Verteidigungslinie und sollen verhindern, dass Risiken überhaupt eintreten.

Beispiele für diese präventiven Kontrollen sind:

  • Zugriffs- und Berechtigungskontrollen (physisch oder digital)
  • Funktionstrennungen (z. B. Vier-Augen-Prinzip)
  • Genehmigungs- und Freigabeprozesse

Der Vorteil präventiver Kontrollen liegt darin, dass sie auf die Vermeidung von Risiken ausgerichtet sind. Werden sie jedoch zu restriktiv gestaltet, können sie die operative Effizienz beeinträchtigen.

Aufdeckende Kontrollen: Risiken frühzeitig erkennen 

Aufdeckende Kontrollen identifizieren Risiken oder Abweichungen, sobald sie auftreten, und ermöglichen dadurch ein schnelles Eingreifen zur Begrenzung potenzieller Schäden. Sie verhindern den Eintritt eines Risikos nicht, reduzieren aber dessen Auswirkungen durch frühzeitige Erkennung.

Beispiele für aufdeckende Kontrollen sind: 

  • Abstimmungsprozesse
  • Ausnahme- und Fehlerberichte
  • Log- oder Systemüberwachung
  • Brandmelde- oder Alarmsysteme

Je schneller ein Risiko erkannt wird, desto wirkungsvoller kann sein Schaden begrenzt werden. Dies gilt insbesondere für Themen wie Cyberangriffe oder Datenverluste, bei denen eine frühe Erkennung entscheidend ist.

Steuernde Kontrollen: Richtiges Verhalten fördern

Steuernde Kontrollen geben Orientierung für korrektes Handeln und unterstützen das Risikomanagement durch klare Vorgaben und Schulungen. Sie schaffen die Regelwerke und Wissen, die das Unternehmen im Umgang mit Risiken leiten.

Beispiele für diese Kontrollen:

  • Richtlinien und Prozesshandbücher
  • Arbeitsanweisungen und Leitfäden
  • Schulungsprogramme und Trainings
  • Klare Rollen- und Verantwortlichkeitsdefinitionen
  • Aufsichts- und Kontrollstrukturen

Wirksames Training ist eine wichtige steuernde Kontrolle, da es Ihre Mitarbeiterinnen und Mitarbeiter befähigt und sie zu besseren Risikomanagementpraktiken anleitet, wodurch das nicht-finanzielle Risiko verringert wird.

Korrigierende Kontrollen: Auswirkungen nach Eintritt begrenzen

Korrigierende Kontrollen greifen, nachdem ein Risiko eingetreten ist, und zielen darauf ab, die Auswirkungen zu mindern. Sie haben in den letzten Jahren an Bedeutung gewonnen, insbesondere im Zusammenhang mit Resilienz-Anforderungen wie der Digital Operational Resilience Act (DORA) und modernen Ansätzen des operationellen Risikomanagements.

Beispiele für diese Kontrollen sind:

  • Notfall- und Wiederherstellungspläne 
  • Business Continuity Pläne
  • Prozesse zur Vorfallbearbeitung
  • Kompensationsmaßnahmen für betroffene Parteien
  • Kommunikationspläne für interne und externe Stakeholder

Während korrigierende Kontrollen im Operational Risk Management früher oft vernachlässigt wurden, sind sie inzwischen zu wesentlichen Bestandteilen der Organisationsresilienz geworden. Sie sind besonders nützlich, um nicht-finanzielle Auswirkungen zu bewältigen, wie beispielsweise Reputationsschäden oder regulatorische Risiken.

Die Risiken einer schlechten Kontrollgestaltung

Selbst wenn die richtigen Kontrollarten implementiert sind, kann das Risikomanagement scheitern, wenn diese Kontrollen schlecht konzipiert sind. Wir haben drei Kategorien ineffektiver Kontrollen identifiziert, die eine trügerische Sicherheit vermitteln, da sie das Risiko in der Praxis nicht wirksam steuern:

Optimistische Kontrollen: unrealistische Erwartungen

Optimistische Kontrollen verlassen sich auf ein unrealistisches Maß an Motivation oder Fähigkeiten derjenigen, die sie umsetzen sollen. Sie wirken auf dem Papier überzeugend, scheitern jedoch in der Praxis, weil sie menschliche Grenzen und alltägliche Arbeitsbedingungen nicht berücksichtigen.

Beispiele:

  • Die Verpflichtung von Mitarbeiterinnen und Mitarbeitern, lange Richtlinien zu lesen und zu unterzeichnen, die sie vermutlich nicht vollständig durchgehen.
  • Komplexe Prüf- oder Verifizierungsverfahren, die so zeitaufwendig sind, dass sie kaum gründlich durchgeführt werden können.
  • Regelungen oder Verträge, die in der Praxis nicht realistisch durchsetzbar sind.
  • Kontrollen, bei denen die prüfende Person nicht über ausreichende Informationen verfügt, um fundierte Entscheidungen zu treffen.

Solche Kontrollen existieren häufig zur formalen Erfüllung von Compliance-Anforderungen, nicht jedoch zur tatsächlichen Risikosteuerung. Sie schaffen Dokumentation aber keine Sicherheit.

Doppelte Kontrollen: Verwässerte Verantwortlichkeiten

Doppelte oder redundante Kontrollen entstehen oft durch die Annahme, „mehr Kontrolle = mehr Sicherheit“.
In der Realität tritt jedoch häufig das Gegenteil ein: Wenn mehrere Personen dieselbe Aufgabe prüfen, sinkt die individuelle Verantwortung, da im Zweifel jeder davon ausgeht, dass „der andere“ eventuelle Fehler erkennt. Das Ergebnis ist eine Auflösungserscheinung der Rechenschaftspflicht.

Mehr‑des‑Gleichen: Verstärkung gescheiterter Ansätze

Die „Mehr-des-Gleichen“-Falle tritt auf, wenn Organisationen auf Kontrollversagen reagieren, indem sie dasselbe Kontrollprinzip intensivieren, anstatt es neu zu gestalten. Das zeigt ein grundsätzliches Missverständnis der Ursache des Kontrollversagens.

Ein Praxisbeispiel verdeutlicht diese Gefahr:

Ein Unternehmen ließ Informationen an Kundinnen und Kunden von zwei verschiedenen Stellen prüfen. Jede der beiden Parteien ging jedoch davon aus, dass die andere die gründliche Prüfung vornimmt. Dadurch gelangten die fehlerhaften Informationen an die Kundinnen und Kunden. Als das Unternehmen das Problem „löste“, indem es eine dritte prüfende Person hinzufügte, trat dieselbe Fehlleistung erneut auf – denn die zugrunde liegende Ursache, nämlich die verwässerte Verantwortlichkeit, blieb unverändert.

Ein besserer Ansatz stammt aus dem Konzept „Prevention through Design“, das besonders von James Reason vertreten wird. Er formulierte treffend: „We cannot change the human condition, but we can change the conditions under which humans work.“ Wirksame Kontrollen akzeptieren menschliche Fehlbarkeit und gestalten Arbeitsumgebungen, Abläufe und Systeme so, dass Fehler schwer zu begehen oder frühzeitig zu erkennen sind.

Das „Schweizer Käse‑Modell“: Gestaffelte Kontrollschichten richtig einsetzen

Um wirksame Kontrollen zu entwickeln, bietet das sogenannte „Schweizer Käse-Modell“ des Psychologen James Reason einen anschaulichen Rahmen für das Verständnis mehrschichtiger Kontrollsysteme. In diesem Modell steht jede Kontrollschicht für eine Scheibe Schweizer Käse und die „Löcher“ symbolisieren potenzielle Schwachstellen oder Fehlpunkte. Sind mehrere Kontrollen übereinandergeschichtet und unabhängig voneinander gestaltet, überlagern sich diese Lücken nur selten und genau dadurch entsteht eine robuste Verteidigungslinie.

Die Stärke unabhängiger Kontrollschichten

Die Wirksamkeit eines mehrschichtigen Kontrollsystems hängt entscheidend von der Unabhängigkeit der einzelnen Kontrollen ab. Wenn Kontrollen aus unterschiedlichen Gründen versagen, entsteht ein deutlich stabileres System als bei Kontrollen, die auf dieselbe Schwachstelle reagieren oder voneinander abhängig sind.

Ein kurzes Rechenbeispiel: Bei vier Kontrollen mit jeweils 10 % Ausfallwahrscheinlichkeit und unabhängigen Ausfällen liegt die Wahrscheinlichkeit, dass alle gleichzeitig versagen, bei etwa 0,01 % (0,1⁴ = 0,0001 = 0,01 %). Dieses Ergebnis setzt jedoch voraus, dass die Kontrollen vollständig unabhängig voneinander versagen – eine Annahme, die in der Praxis selten vollständig erfüllt ist. Teilen mehrere Kontrollen dieselbe Schwachstelle (z. B. denselben Prozessverantwortlichen, dasselbe IT-System oder dieselbe organisatorische Einheit), steigt die Gesamtausfallwahrscheinlichkeit erheblich. Bei abhängigen Kontrollen kann sie daher deutlich höher sein – was die Bedeutung echter Unabhängigkeit bei der Kontrollgestaltung unterstreicht.

Die Unabhängigkeit der Kontrollen ist wichtiger als deren Einzelzuverlässigkeit. In der Praxis bedeutet das:

  • Gestalten Sie Kontrollen unterschiedlicher Art (automatisiert, manuell, physisch).
  • Sorgen Sie dafür, dass verschiedene Personen oder Teams, die möglichst unabhängig voneinander agieren, die Kontrollen entwickeln und ausführen.
  • Verwenden Sie unterschiedliche Technologien oder Prüfansätze, um systematische Fehler zu vermeiden.
  • Testen Sie nicht nur einzelne Kontrollen, sondern auch deren gegenseitige Unabhängigkeit.



Prinzipien eines Kontrollprüfungsprogramms

Selbst optimal konzipierte Kontrollen müssen regelmäßig überprüft werden, um sicherzustellen, dass sie wie vorgesehen funktionieren. Das Institute of Internal Auditors und das Risk Management Institute empfehlen eine gestufte Prüfmethodik, die sich an der Kritikalität der Kontrolle orientiert.

Re-Performance – der goldene Standard

Re-Performance bedeutet, die Kontrolle selbst erneut auszuführen, um ihre Wirksamkeit zu überprüfen. Dies ist der aussagekräftigste Testansatz und wird insbesondere für Kontrollen empfohlen, die hohe inhärente Risiken mindern sollen.

Beispiele:

  • Testkäufe zur Überprüfung von Servicequalität
  • Nachberechnung von Finanzmodellen zur Validierung von Ergebnissen
  • Wiederholung von Transaktionsprozessen zur Kontrolle der fehlerfreien Ausführung
  • Penetrationstests zur Überprüfung der IT-Sicherheit

Begutachtung -Dokumentenprüfung 

Die Dokumentenprüfung umfasst die Sichtung schriftlicher Nachweise über die Durchführung einer Kontrolle. Sie ist ein gängiger Ansatz in der internen Revision sowie in externen Prüfungen.

Beispiele:

  • Prüfung von Unterschriftsfreigaben
  • Kontrolle von Abstimmungsprotokollen
  • Sichtung von Kontrollberichten oder Systemreports
  • Überprüfung von Compliance-Bescheinigungen

Beobachtung - Kontrolle in der praktischen Anwendung

Bei der Beobachtung wird die Kontrolle im laufenden Prozess überwacht, um sicherzustellen, dass sie tatsächlich wie beschrieben ausgeführt wird.

Beispiele:

  • Beobachtung des Bargeld-Handlings
  • Begleitung der Zugangskontrolle vor Ort
  • Begleitung von Aufsichts- oder Überwachungsaktivitäten
  • Beobachtung von Notfallübungen und Evakuierungstests

 

Befragung – die schwächste Prüfungsform

Eine Befragung besteht lediglich daraus, zu erfragen, ob eine Kontrolle wie vorgesehen durchgeführt wird. Dies ist die schwächste Form der Kontrollprüfung und sollte nur in Bereichen mit geringem Risiko angewendet werden.

Ein gut aufgebautes Kontrolltestprogramm berücksichtigt mehrere zentrale Faktoren:

  • Unabhängigkeit: Die Prüfung sollte von Personen durchgeführt werden, die nicht selbst für die Durchführung der Kontrolle verantwortlich sind und ein möglichst geringes Risiko für Interessenskonflikte in sich tragen.
  • Designbewertung: Ist das Kontrolldesign unzureichend, sollte zunächst dessen Konzeption bewertet werden, bevor die Wirksamkeit getestet wird.
  • Prüfungsumfang: Der Schwerpunkt der Tests sollte auf den wesentlichsten Kontrollen liegen.
  • Prüffrequenz: Automatisierte Kontrollen erfordern in der Regel seltener Tests als manuelle Kontrollen.
  • Stichprobengröße: Die Anzahl der getesteten Stichproben hängt von der Homogenität der Kontrolle sowie der Schwere des damit mitigierten Risikos ab – kleinere Stichproben bei automatisierten Kontrollen bzw. geringeren Schadenspotentialen, größere bei manuellen Kontrollen, insbesondere wenn diese von mehreren Personen durchgeführt werden oder bei potenziell bedrohlicheren Schäden für die Organisation.

 

Möchten Sie mehr über die Umsetzung wirksamer Risikomaßnahmen und -kontrollen in Ihrem Unternehmen erfahren?

Wenden Sie sich an unsere Risikomanagement-Spezialistinnen und -Spezialisten, um praktische, auf Ihre spezifischen Bedürfnisse zugeschnittene Beratung zu erhalten.

(Kontaktformular)

Sehen Sie sich unsere vollständige Risk Management Blueprint-Reihe an. (Link zur Startseite 00 Risikostrategie)

Diese Reihe vermittelt umfangreiches Fachwissen und Know-how zu den Grundlagen des Risikomanagements.

Dieser Artikel wurde verfasst von