Inherent Risk – Strategie

Inherent Risk ist mehr als ein Audit-Begriff. Es ist das Ausgangspunkt-Konzept jeder rationalen Risikosteuerung: Wer nicht weiß, wie groß das unkontrollierte Risiko ist, kann nicht beurteilen, ob seine Kontrollen ausreichend sind.

Die strategische Perspektive

In vielen Organisationen werden Risiken direkt mit Residual Risk erfasst – also erst nach Abzug der bestehenden Kontrollen. Das ist methodisch problematisch: Es verschleiert, wie wirksam die Kontrollen tatsächlich sind, und macht es unmöglich, die Angemessenheit des Kontrollniveaus zu beurteilen. Wer Inherent Risk konsequent erfasst, hat ein ehrlicheres Bild seiner Risikolage.

Inherent Risk als Investitionsgrundlage

Inherent Risk ermöglicht die Priorisierung von Sicherheitsinvestitionen: Prozesse mit hohem inhärenten Risiko brauchen stärkere Kontrollen als solche mit niedrigem inhärenten Risiko. Diese Logik klingt trivial – wird aber in der Praxis oft nicht konsequent angewendet, weil Inherent Risk nicht erfasst wird. Das BAM-Objekt RISK-IR-01 macht diese Priorisierung als ausführbares Artefakt sichtbar.

Dynamisches Inherent Risk

Inherent Risk ist nicht statisch. Neue Technologien, geänderte Prozesse, neue Bedrohungslandschaften – all das verändert das inhärente Risiko. Ein strategisch geführtes Risikomanagement überprüft Inherent Risk nicht nur bei der Erstbewertung, sondern systematisch bei wesentlichen Änderungen und in einem definierten Zyklus. Wer das tut, hat ein lebendes Risikomanagement statt einer einmaligen Dokumentationsübung.

Den praktischen Einstieg – Risikobeurteilung, Bewertungsmaßstab und Risk-Register-Struktur – findet sich auf Ebene 2.