Compliance-Lexikon · Risiko
Business Risk
[ˈbɪznɪs rɪsk] · auch: Geschäftsrisiko, unternehmerisches Risiko
Business Risk bezeichnet das Risiko, dass Ereignisse -- einschliesslich IT-Vorfälle, Compliance-Verstösse und Datenpannen -- die Erreichung von Geschäftszielen beeinträchtigen, Umsatz reduzieren, Kosten erhöhen oder Reputationsschäden verursachen.
Warum Business Risk ein zentraler Risikobegriff ist
Business Risk ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Business Risk nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.
Wo Business Risk gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 31000 | Kap. 4 | Risikomanagementgrundlagen: Business Risk als übergeordnete Kategorie. |
| ISO 27001:2022 | Kap. 4.1 | Kontext der Organisation: IT-Risiken im Kontext von Geschäftszielen und -risiken. |
| NIS-2 / BSIG | § 30 | Risikobasierter Ansatz: IT-Risiken als Teil des gesamten Geschäftsrisikos. |
| DORA | Art. 6 | IKT-Risikomanagement als Teil des operationellen Risikomanagements. |
| DCGK | Kap. 4.1 | Risikoberichterstattung: Wesentliche Risiken für die Geschäftsentwicklung sind zu identifizieren. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
- Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
- Keine regelmässige Aktualisierung der Bewertungen
- Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung
Einordnung im Risikomanagement-Gesamtrahmen
Business Risk ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Business Risk konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.
Quantitativ vs. qualitativ
Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.
Nächste Ebene
Business Risk in der Praxis: Methodik, Umsetzung und Evidence
Was Auditoren bei Business Risk konkret prüfen und welche Evidence benötigt wird.