Leitfaden

Risiko-Kontroll-Matrix erstellen: vom leeren Blatt zur gelebten Kontrolle

Die Risiko-Kontroll-Matrix ist das Herzstück jedes internen Kontrollsystems: Sie verbindet die Risiken eines Prozesses mit den Kontrollen, die sie abfangen sollen. Gut gemacht, passt sie auf wenige Seiten und beantwortet jede Prüferfrage. Schlecht gemacht, ist sie ein Dokument, das niemand pflegt. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie eine Matrix aufbauen, die im Alltag funktioniert.

Die vier Spalten jeder Risiko-Kontroll-Matrix

Risiko

Was kann in diesem Prozess konkret schiefgehen? Formulieren Sie das Risiko als Ereignis mit Folge – etwa: „Eine Zahlung wird ohne sachliche Prüfung freigegeben und verlässt das Haus doppelt.“

Kontrolle

Welche konkrete Handlung fängt das Risiko ab? Eine gute Kontrolle ist beobachtbar: ein Abgleich, eine Freigabe, eine Abstimmung – nicht die Absichtserklärung, „sorgfältig zu arbeiten“.

Verantwortlicher

Wer führt die Kontrolle durch? Eine Kontrolle ohne benannte Person existiert praktisch nicht. Benennen Sie Rollen oder Personen – eindeutig.

Frequenz

Wie oft findet die Kontrolle statt – je Vorgang, täglich, monatlich, je Abschluss? Die Frequenz macht die Kontrolle überprüfbar und den späteren Test planbar.

Schritt für Schritt zur eigenen Matrix

  • Prozess wählen: Beginnen Sie mit einem wesentlichen, überschaubaren Zyklus – etwa dem Zahlungsverkehr
  • Risiken sammeln: Was ist in den letzten Jahren schiefgegangen oder beinahe schiefgegangen?
  • Bestehende Kontrollen erfassen: Vieles existiert bereits, nur undokumentiert
  • Lücken erkennen: Welches Risiko hat keine Kontrolle – und welche Kontrolle kein Risiko?
  • Verantwortliche und Frequenz festlegen: je Kontrolle eine Person, ein Rhythmus
  • Testrhythmus planen: Wann wird jede Kontrolle das erste Mal auf Wirksamkeit getestet?

Typische Fehler – und wie Sie sie vermeiden

An diesen drei Mustern scheitern die meisten Matrizen in der Praxis.

  • Zu viele Risiken: Eine Matrix mit achtzig Zeilen wird nicht gelebt. Wesentlichkeit schlägt Vollständigkeit – lieber fünfzehn Risiken, die wirklich gesteuert werden
  • Kontrollen ohne Verantwortliche: „Die Buchhaltung prüft“ ist keine Zuständigkeit. Eine Rolle, eine Person, ein Name
  • Nie getestet: Eine Kontrolle, die nie auf Durchführung und Wirksamkeit getestet wurde, ist eine Behauptung. Der Test mit Nachweis macht daraus einen Beleg

Beispiel: der Prozess Zahlungsverkehr

Nehmen wir den Zahlungsverkehr als Beispiel. Ein typisches Risiko: Zahlungen werden ohne zweite Prüfung ausgeführt. Die zugehörige Kontrolle: Freigabe nach dem Vier-Augen-Prinzip ab einem definierten Betrag, Verantwortlicher ist die kaufmännische Leitung, Frequenz je Zahlung. Ein zweites Risiko: Bankkonten stimmen nicht mit der Buchhaltung überein. Kontrolle: monatliche Kontenabstimmung mit dokumentiertem Ergebnis.

Aus zwei Risiken werden so zwei überprüfbare Matrixzeilen. Beim ersten Kontrolltest schauen Sie: Gab es im Prüfzeitraum Zahlungen ohne zweite Freigabe? Liegen die Abstimmungen mit Datum und Zeichnung vor? Das Ergebnis dokumentieren Sie mit Nachweis – und aus jeder Abweichung wird eine Feststellung mit Maßnahme.

Mit Software statt Tabellenkalkulation

Sie können eine Matrix in jeder Tabelle beginnen – gelebt wird sie erfahrungsgemäß erst mit Struktur drumherum. Das IKS-Modul von jahresabschluss.io liefert genau diese Struktur für 150 Euro pro Monat je Arbeitsbereich.

  • Vorlagenbibliothek mit Matrizen für Einkauf, Verkauf, Zahlungsverkehr, Abschlusserstellung und IT
  • Risiko, Kontrolle, Verantwortlicher und Frequenz als strukturierte Felder statt freier Zellen
  • Kontrolltests mit Nachweisen direkt an der jeweiligen Kontrolle
  • Feststellungen und Maßnahmen mit Status – nichts versandet
  • Die Software ersetzt keine Rechtsberatung und keine Abschlussprüfung – sie macht Ihre Kontrollen nachvollziehbar

Häufige Fragen

Wie viele Risiken gehören in eine Risiko-Kontroll-Matrix?

So viele, wie Sie tatsächlich steuern können. Für einen Prozesszyklus eines mittelständischen Unternehmens sind zehn bis zwanzig wesentliche Risiken meist realistischer als eine erschöpfende Liste, die nach dem ersten Quartal niemand mehr pflegt.

Was ist der Unterschied zwischen Risiko und Kontrolle?

Das Risiko beschreibt, was schiefgehen kann – die Kontrolle ist die konkrete, beobachtbare Handlung, die es verhindern oder aufdecken soll. Jede Matrixzeile verbindet genau diese beiden, ergänzt um Verantwortlichen und Frequenz.

Für welche Prozesse sollte ich zuerst eine Matrix erstellen?

Dort, wo Geld fließt und Fehler teuer sind: Zahlungsverkehr und Einkauf sind bewährte Startpunkte, gefolgt von Verkauf, Abschlusserstellung und IT. Für alle fünf Zyklen bietet das IKS-Modul Vorlagen als Ausgangsbasis.

Muss meine Matrix einem bestimmten Standard folgen?

Eine gesetzlich vorgeschriebene Form gibt es nicht. Bewährt hat sich die Struktur aus Risiko, Kontrolle, Verantwortlichem und Frequenz – sie ist auch die Basis, auf der ein Abschlussprüfer das IKS im Rahmen der Prüfung nach § 317 HGB gut nachvollziehen kann.

Wie halte ich die Matrix aktuell?

Über den Testrhythmus: Wer Kontrollen regelmäßig testet, merkt automatisch, wo sich Prozesse geändert haben. Ergänzen Sie die Matrix außerdem, wenn neue Risiken sichtbar werden – etwa nach einer Feststellung oder einer Prozessänderung.