Moderne Bibliothek mit offenen Ebenen, weißen Treppen und hohen Bücherregalen im Lesesaal

Governance und IKS in Banken: Wie viele Kontrollen sind sinnvoll?

Porträtfoto von Robert Bopp
Robert Bopp

Director EMEIA Financial Services - Consulting, EY Consulting GmbH | Deutschland

4 Minuten Lesezeit 09 März 2026

Mehr Regulierung, mehr Kontrollen? Entscheidend ist, wie Banken Governance und Compliance prüfungssicher gestalten, ohne mehr Komplexität

Überblick:

  • Regulatorische Anforderungen aus Governance, Compliance und Non-Financial Risk Management lassen Kontrolllandschaften stetig wachsen.
  • Kontrollinflation erhöht Kosten, Komplexität und Prüfungsaufwand, ohne automatisch die Risikowirkung zu verbessern.
  • Entscheidend ist ein optimiertes internes Kontrollsystem (IKS) mit maximaler Wirksamkeit pro Aufwandseinheit.

Von MaRisk über DORA bis zu ESG-Vorgaben operieren Banken heute in einem dichten Geflecht regulatorischer Anforderungen. Compliance und Governance bilden dabei das Fundament eines wirksamen internen Kontrollsystems (IKS): Sie verzahnen Verantwortlichkeiten, Prozesse, Datenmanagement und interne Kontrollsysteme miteinander. Doch mit jeder neuen Anforderung wächst häufig auch der Umfang der Kontrollen – oft additiv und nur selten strategisch konsolidiert.

Das Ergebnis ist eine Kontrolllandschaft, die zwar sämtliche Anforderungen umfassend bedient, operativ jedoch zunehmend Komplexität, Abstimmungsaufwand und Dokumentationskosten erzeugt. Doppel- und Mehrfachkontrollen, verteilte Evidence-Quellen und unklare Abgrenzungen gehen auf Kosten von Effizienz und Nachweisfähigkeit.

Vor diesem Hintergrund stellt sich nicht die Frage nach mehr oder weniger Kontrollen, sondern vielmehr die nach einer angemessenen Logik: Wie viele Kontrollen sind tatsächlich erforderlich, um bei vertretbarem Aufwand wesentliche Risiken wirksam und prüfungssicher abzudecken?

Die Frage ist nicht, ob eine Bank „viele“ oder „wenige“ Kontrollen hat, sondern ob ihre Kontrolllandschaft wesentliche Risiken wirksam abdeckt und prüfbar ist und gleichzeitig Redundanz, Durchlaufzeiten und Dokumentationsaufwand minimiert.

So unterstützen wir Sie

  • Banken und Kapitalmärkte

    Erfahren Sie mehr über unser Banking & Capital Markets-Team und wie es Ihr Unternehmen dabei unterstützen kann, neue Technologien mit einem Ökosystem von Partnern zu integrieren, um Wachstum zu erzielen.

    Mehr erfahren

  • Consulting

    Unser Beratungsangebot hilft Unternehmen, Transformationsprozesse erfolgreich zu gestalten sowie strukturelle und organisatorische Veränderungen effizient durchzuführen.

    Mehr erfahren

  • Risikomanagement

    Erfahren Sie, wie ein funktionierendes Risikomanagement zur Wertschöpfung beitragen und Wettbewerbsvorteile generieren kann.

    Mehr erfahren

  • Finanzdienstleistungen

    Erfahren Sie hier mehr über maßgeschneiderte Transformationslösungen für die Finanz- und Risikofunktion von Banken, Vermögensverwalter und Versicherungsunternehmen.

    Mehr erfahren

Governance und interne Kontrollsysteme: Warum Kontrollinflation entsteht 

Neben Risikomanagement und IKS umfasst Governance in Banken auch die Compliance-Funktion sowie das Management nichtfinanzieller Risiken (Non-Financial Risks). Damit ist Governance viel mehr als nur Organigramm und Gremienordnung: Sie ist vergleichbar mit einem Betriebssystem, das Verantwortlichkeiten, Aufbau‑ und Ablauforganisation, Stresstests, Datenmanagement und besondere Funktionen zusammenführt. In Deutschland prägen die Mindestanforderungen an das Risikomanagement (MaRisk) diese Architektur. EU‑weit ergänzt wird sie durch die EBA‑Leitlinien zur internen Governance mit ihren Anforderungen an Governance‑Frameworks, Verantwortlichkeitshierarchien und interne Kontrollfunktionen.

Gerade weil Governance so umfassend ist, wachsen Kontrollen häufig historisch und anlassgetrieben: Neue Risiken, neue Produkte, neue Prüfungsfeststellungen oder neue Regime führen zu zusätzlichen Kontrollen, ohne dass systematisch geprüft wird, ob bereits eine Kontrolle denselben Sachverhalt abdeckt. Besonders sichtbar wird das dort, wo spezialisierte Vorgaben Kontrollen nachschärfen – etwa im Hinblick auf Auslagerungen oder IT‑Risiken und digitale Resilienz.

Ökonomisch wird daraus ein Problem: Kontrollinflation erhöht nicht nur die Ausführungskosten, sondern vor allem den Abstimmungs‑ und Dokumentationsaufwand. Zusätzlich entstehen Schnittstellenkosten zwischen Abteilungen, Teams und Tools. Dabei wird die Nachweisführung oft schlechter, weil Belege (Evidence) über unterschiedliche Ablagen verteilt sind. In der Praxis sind Institute häufig stark im Hinblick auf das Design der Kontrollen, zeigen sich beim gelebten Nachweis der Kontrolltätigkeit, dem „Run“, jedoch schwächer. Genau hier wird aber Governance‑Wirksamkeit sichtbar.

Das Kernproblem ist daher: Wie lässt sich eine Kontrolllandschaft so gestalten, dass sie wesentliche Risiken zuverlässig abdeckt, dabei Doppel‑ und Mehrfachkontrollen vermeidet und die Wirksamkeit im Betrieb sauber nachweisbar macht – ohne dass dafür ein weiteres Großprojekt nötig wird?

Effiziente Governance: Redundanz senken, Wirksamkeit erhöhen 


IKS-Effizienz darf nicht mit lediglich „weniger Kontrollen“ verwechselt werden. Ziel ist eine Kontrolllandschaft mit hoher Schutzwirkung pro Aufwandseinheit. Dafür eignen sich drei mess‑ und steuerbare Zielgrößen, die gleichzeitig prüf- und berichtsfähig bleiben:

  1. Redundanz reduzieren: Mehrfachkontrollen zum selben Sachverhalt vermeiden – außer dort, wo bewusst eine sinnvolle Kontrollkaskade (präventiv und detektiv) benötigt wird. Das spart direkte Ausführungskosten und senkt den Koordinationsaufwand.
  2. Compliance-Wirksamkeit erhöhen: Kontrollen müssen dort wirken, wo Risiko entsteht: in den wesentlichen Prozessen, den wesentlichen Datenflüssen und den wesentlichen  Abhängigkeiten von Drittparteien. DORA unterstreicht im ICT  Kontext, dass Governance, Incident Management, Tests und Drittparteienrisiko nicht nur beschrieben, sondern beherrscht werden müssen – das ist ein Wirksamkeitsanspruch.
  3. Audit-Readiness verbessern: Design reicht nicht – es braucht belastbare Betriebsnachweise und eine unabhängige Prüfung („Run“). Das reduziert Nacharbeiten in der Prüfung und senkt langfristig die Kosten, weil das Sammeln von Kontrollbelegen vor den Prüfungen entfällt – oder zumindest reduziert wird.
     

Praxisleitfaden zur Optimierung des IKS in Banken


Ein strukturierter Ansatz ist erforderlich, um innerhalb von 60 bis 90 Tagen die wesentlichen Quick Wins zu realisieren (siehe Abbildung 1).

Abbildung 1: Quick Wins (60–90 Tage)

Bild von graphic 1

Die optimale Anzahl Kontrollen im Governance-Framework

Die Bank braucht nicht „möglichst viele“ Kontrollen, sondern eine strategisch gesteuerte Kontrolllandschaft im Rahmen eines klar definierten Governance-Frameworks. Entscheidend ist, dass interne Kontrollsysteme und Compliance-Management so ausgerichtet sind, dass wesentliche – insbesondere nichtfinanzielle – Risiken wirksam, prüfungssicher und wirtschaftlich vertretbar abgedeckt sind.

Konkret bedeutet das: risikoangemessene Abdeckung, belastbare Evidence-Strukturen und minimale Redundanz. Das ist betriebswirtschaftlich sinnvoll: Es reduziert Kosten und Komplexität und verbessert zugleich die Nachweisfähigkeit gegenüber Aufsicht, Wirtschaftsprüfung und Interner Revision.

Die praktische Antwort auf „Wie viele?“ lautet daher: Einerseits so viele Kontrollen wie nötig, um wesentliche und insbesondere nichtfinanzielle Risiken im Governance- und IKS-Rahmen nachvollziehbar zu steuern, andererseits so wenige Kontrollen wie möglich, sodass Redundanzen, Durchlaufzeiten und Dokumentationsaufwand systematisch begrenzt werden.

Kontrollen sind ein Portfolio: Inventur schafft Transparenz, die Kontrollbibliothek standardisiert, Mapping sichert Abdeckung, Rationalisierung senkt Aufwand und Kennzahlen machen Wirksamkeit und Effizienz steuerbar.

Woran sich eine wirksame Governance- und Kontrollarchitektur messen lässt

Ob das Kontrollvolumen „richtig“ gewählt ist, zeigt sich nicht an der absoluten Menge der Kontrollen, sondern an klaren Strukturkriterien: Für jede wesentliche Kontrollaussage existiert genau eine eindeutige Kontrolle oder bewusst eine kleine, logisch abgestimmte Kaskade. Jede Schlüsselkontrolle hat eine primäre Evidence‑Quelle, etwa einen Systemreport oder eine eindeutig referenzierbare E-Protokoll‑ID. Die Rollen entlang der Three Lines of Defense (3 LoD) sind eindeutig abgegrenzt, ohne Schatten- oder Parallelkontrollen. Nachweise zu Outsourcing‑ und ICT‑Risiken werden konsolidiert in einer Single Source of Truth geführt. Und die Steuerung erfolgt über wenige belastbare Kennzahlen – etwa Redundanzgrad, Findings-Quote oder Automatisierungsgrad statt über Erfahrungswerte oder Bauchgefühl.

Wie EY Sie unterstützen kann

Kontrollportfolio-Optimierung im IKS: der strukturierte Ansatz

Die Optimierung des Kontrollportfolios mit der Leitfrage „Wie viele Kontrollen?“ ist ein zentraler Hebel zur Effizienzsteigerung im internen Kontrollsystem. Kontrollen sind Investitionen, die Aufwand verursachen, aber Folgekosten von Risiken reduzieren sollen. Ziel ist die maximale Schutz‑ und Nachweiswirkung pro Aufwand – bei robuster Governance, beispielsweise gemäß MaRisk oder EBA, und Berücksichtigung spezifischer Kontrolltreiber, zum Beispiel aus Outsourcing oder DORA.

Unser EY-Ansatz für eine grundlegende IKS-Optimierung umfasst die folgenden Bestandteile:

Abbildung 2: Optimierungsschleife Kontrollportfolio

Bild von graphic 2

Herausforderungen bei der Optimierung von Governance und internen Kontrollsystemen

Die Optimierung von Governance- und Compliance-Strukturen ist kein rein operatives Effizienzprojekt, sondern ein Eingriff in das IKS und damit in die Steuerungslogik der Bank. Der Abbau von Redundanzen, die Konsolidierung von Evidenzen und die Neuausrichtung von Kontrollen wirkt sich auf Verantwortlichkeiten, Prozesse, Datenhaushalt und die Three Lines of Defense aus. Es gilt daher, typische Risiken und Reibungsverluste zu erkennen.

Typische Effizienz- und Compliance-Risiken in der Kontrolllandschaft von Banken

So viele Kontrollen wie nötig (Abdeckung und Nachweis) und gleichzeitig so wenige wie möglich (Redundanz und Aufwand) – die praktische Umsetzung dieses Prinzips bringt einige Herausforderungen mit sich, von denen insbesondere die folgenden zu beachten sind:

  • Unsichtbare Duplikate: Kontrollen sind unterschiedlich benannt oder liegen in verschiedenen Tools und führen zu Redundanzkosten und längeren Durchlaufzeiten.
  • Dokumentation als Kostentreiber: Evidence in E‑Mails/Excel/Screenshots verursacht hohe laufende Kosten und Nacharbeiten in der Prüfung.
  • Linienreibung: Eine unklare Abgrenzung der Three Lines of Defense (Ausführung, Überwachung und unabhängige Prüfung) erzeugt Mehrarbeit.
  • Outsourcing/ICT treibt Parallelkontrollen: Register-/Exit-/ICT‑Nachweise werden mehrfach geführt (Vendor/IT/Risk/Compliance). DORA/Outsourcing enthalten legitime Anforderungen, aber ohne eine Single Source of Truth steigen die Schnittstellenkosten.
  • Datenqualität/RDAR als Engpass: Eine schlechte Datenfähigkeit erhöht die manuelle Kontrollarbeit und macht Reporting teuer; MaRisk betont Datenmanagement/Aggregation als Teil der Mindestarchitektur.

Fazit

Die Vielzahl regulatorisch vorgegebener und freiwillig eingehaltener Standards stellt Banken bei der Ausgestaltung ihres Governance-Frameworks und Compliance-Managements vor immer größere Herausforderungen. Beispielhaft hierfür steht die Zunahme von Kontrollen in den internen Kontrollsystemen. Das Management der Kontrollen steht vor der Herausforderung, Design, Run und Evidence im IKS so auszubalancieren, dass wesentliche – insbesondere nichtfinanzielle – Risiken wirksam und prüfungssicher gesteuert werden, ohne unverhältnismäßige Kosten- oder Komplexitätssteigerungen zu erzeugen. Entscheidend ist es daher, regulatorische Anforderungen systematisch zu harmonisieren und einen klaren, einheitlichen Kontrollkatalog zu etablieren. Nur so lassen sich Effizienz, Nachweisfähigkeit und Risikowirksamkeit steigern – und damit die Widerstands- und Wettbewerbsfähigkeit der Bank stärken.

Mehr zum Thema

Bedeutung geopolitischer Risiken für deutsche Banken

Erkennen Sie die Auswirkungen geopolitischer Risiken auf Ihr Unternehmen und entwickeln Sie resiliente Strategien. Jetzt informieren!

Robert Bopp

Wie sieht eine effektive Risikoberichterstattung für Banken aus?

Erfahren Sie, wie der finale EZB-Leitfaden zu BCBS 239 Banken dabei unterstützt, ihre Daten-Governance und Risikodatenaggregation zu verbessern.

Gunther Tillmann

Warum es sich auszahlt, Nachhaltigkeitsrisiken in den Fokus zu rücken

ESG-Risiken werden immer wichtiger. Nur wer sein Risikomanagement neu ausrichtet, ist fit für die Zukunft. Erfahren Sie hier mehr über mögliche Risiken.

Benjamin Lüders

    Über diesen Artikel

    Porträtfoto von Robert Bopp
    Robert Bopp
    Director EMEIA Financial Services - Consulting, EY Consulting GmbH | Deutschland
    Verbringt die Freizeit am liebsten mit Gravel-/Montain-Bike-Fahren, italienischer Küche und der Familie und Freunden
    Verwandte Themen
    Banken und Kapitalmärkte
    Finanzen
    Consulting
    Risikomanagement

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.