Ein internes Kontrollsystem (IKS) lebt nicht davon, dass Kontrollen einfach existieren – sondern davon, dass sie nachweislich funktionieren.
Wie das in der Praxis aussieht, zeigt ein Beispiel, das in fast jedem Unternehmen vorkommt: Die Überprüfung von IT-Zugriffsrechten.
1. Die Kontrolle in der 1st Line: Operative Durchführung
In der IT-Abteilung (also der 1st Line of Defence) findet quartalsweise eine Routinekontrolle statt:
Es wird geprüft, ob alle Mitarbeitenden, die ausgeschieden oder intern versetzt wurden, noch Zugriff auf zentrale Systeme haben.
Das Ziel:
Sicherstellen, dass nur befugte Personen auf sensible Kundendaten und Anwendungen zugreifen können. Das Ergebnis wird in einem Report zusammengefasst und im internen IKS-Tool abgelegt.
So wird die Kontrolle dokumentiert
| Schritt | Beschreibung / Beispiel |
|---|---|
| Kontroll-ID | Eindeutige Kennung, z. B. „IT-AC-004“ |
| Kontrollname | „Überprüfung der Systemzugriffsrechte (quartalsweise)“ |
| Ziel der Kontrolle | Sicherstellung, dass nur autorisierte Personen Systemzugriff haben |
| Kontrollinhaber | IT-Abteilungsleiter |
| Frequenz | Quartalsweise |
| Nachweis / Evidenz | Exportierte Benutzerliste, unterschriebener Prüfbericht |
| Letzte Durchführung | 30.09.2025 |
| Ergebnis | „Keine Abweichungen“ oder „2 kritische Findings“ |
| Maßnahmen | „Berechtigungen für ausgeschiedene Mitarbeiter entfernt“ |
| Bewertung durch 2nd Line | „Kontrolle wirksam“ |
2. Die 2nd Line: Überwachung und Bewertung der Wirksamkeit
Die 2nd Line of Defence (z. B. Prozessmanagement / IKS / Compliance / Risikocontrolling) führt keine operativen Kontrollen selbst aus.
Ihre Aufgabe ist es:
- zu überwachen, ob die 1st Line ihre Kontrollen tatsächlich und fristgerecht durchführt,
- zu prüfen, ob die Dokumentation vollständig und plausibel ist,
- zu untersuchen, ob Abweichungen oder Auffälligkeiten geklärt werden konnten,
- zu bewerten, ob die Kontrolle wirksam ist (z. B. deckt sie das Risiko wirklich ab?),
- und zu berichten, falls etwas nicht funktioniert oder angepasst werden muss.
So entsteht eine einheitliche, nachvollziehbare Struktur, die sowohl Revision, Compliance als auch Management nutzen können.
Führt man diesen Prozess für Dutzende oder Hunderte Kontrollen durch, entsteht daraus ein umfassendes IKS-Reporting.