Compliance-Lexikon · Praxis
Inherent Risk – Praxis
Die Unterscheidung zwischen Inherent Risk und Residual Risk ist einer der häufigsten Stolpersteine in Risikobeurteilungen. Auditoren prüfen explizit, ob beide Werte vorhanden sind – und ob die Differenz durch dokumentierte Kontrollen erklärt werden kann.
Was Auditoren konkret prüfen
Der Auditor nimmt ein Risiko aus dem Register und fragt: Was war das inhärente Risiko vor den Kontrollen? Welche Kontrollen wurden implementiert? Was ist das verbleibende Residual Risk? Ist dieses als akzeptabel eingestuft und von wem?
Häufige Fehler
- Nur Residual Risk im Register, kein Inherent Risk
- Kontrollen aufgelistet, aber Wirksamkeitsbewertung fehlt
- Akzeptanzentscheidung für Residual Risk nicht dokumentiert
Praxis-Tipp
Ein Risiko-Register mit drei Spalten – Inherent Risk, implementierte Kontrollen, Residual Risk – ist ausreichend, um die Anforderungen von ISO 27001 und NIS-2 zu erfüllen. Die Zahlen müssen nachvollziehbar sein, nicht wissenschaftlich exakt.
Akzeptanzentscheidung für Residual Risk
Jedes Residual Risk muss explizit behandelt werden: akzeptieren (wenn unterhalb der definierten Risikoakzeptanzgrenze), weiter reduzieren (durch zusätzliche Kontrollen), transferieren (z.B. durch Versicherung) oder vermeiden (Prozess oder Aktivität einstellen). Diese Entscheidung muss dokumentiert und von der zuständigen Führungsebene bestätigt sein.
Evidence-Anforderungen im Audit
Vorzulegen sind: Risk Register mit Inherent Risk, Kontrollen und Residual Risk für alle wesentlichen Risiken, Bewertungsmaßstab und -skala, Akzeptanzentscheidungen mit Datum und Verantwortlichem. Das BAM-Objekt RISK-IR-01 listet diese Anforderungen als prüfbare Checkliste.
Nächster Schritt
NIS-2-Stresstest starten
Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – Inherent Risk als Grundlage der Risikosteuerung – findet sich auf Ebene 3.