Kontrollwirksamkeit klingt nach etwas, das man „einfach messen“ müsste: Kontrolle definiert, Kontrolle durchgeführt, fertig. Viele Dashboards funktionieren genau nach dieser Logik. Sie zeigen Quoten: wie viele Kontrollen wurden ausgeführt, wie viele waren „ok“, wie viele Maßnahmen sind offen. Und trotzdem bleibt bei Führung und Prüfern oft ein ungutes Gefühl: Das sieht nach Aktivität aus, aber es sagt nicht zuverlässig, ob das Unternehmen tatsächlich stabiler und sicherer geworden ist. Genau hier biegen viele GRC-Dashboards falsch ab. Sie messen vor allem, dass etwas passiert – nicht, dass es wirkt.

Das ist kein akademischer Einwand. Es ist ein praktisches Problem, weil falsche Messlogik zu falscher Steuerung führt. Wenn Sie „Erfüllung“ reporten, optimieren Teams auf Erfüllung. Wenn Sie „Wirksamkeit“ reporten, optimieren Teams auf Wirksamkeit. Das klingt trivial, ist aber einer der größten Hebel in GRC. Denn Kennzahlen verändern Verhalten. Und wenn Kennzahlen das falsche Verhalten fördern, wird GRC mit jeder Ausbaustufe schwerer – ohne dass die Risikolage spürbar sinkt.