Inherent Risk

Warum Inherent Risk erfasst werden muss

Ohne die Kenntnis des inhärenten Risikos lässt sich die Wirksamkeit von Kontrollen nicht beurteilen. Nur wer weiß, wie hoch das Ausgangsrisiko ist, kann feststellen, ob eine Kontrollmaßnahme ausreichend ist oder ob ein inakzeptables Restrisiko verbleibt.

Wo Inherent Risk gefordert wird

Framework	Referenz	Anforderung
ISO 27005:2022	Kap. 8	Risikobeurteilung beginnt mit dem inhärenten Risiko vor Berücksichtigung bestehender Kontrollen.
NIS-2 / BSIG	§ 30	Risikoanalyse muss das Ausgangsrisiko vor Maßnahmen erfassen, um die Wirksamkeit von Kontrollen bewerten zu können.
COSO ERM	Kap. 6	Inherent Risk ist ein zentrales Konzept des Enterprise Risk Management nach COSO.
ISO 31000:2018	Kap. 6.4	Risikobeurteilung erfasst zuerst das Risiko ohne Behandlung, dann das Restrisiko nach Maßnahmen.

BAM-Objektreferenz

Häufige Audit-Fehler

• Risikobewertung erfasst nur das Restrisiko, nicht das inhärente Risiko
• Keine Nachvollziehbarkeit der Risikoreduzierung durch Kontrollen
• Inherent Risk und Residual Risk werden nicht klar unterschieden
• Bewertungsmaßstab nicht dokumentiert

Inherent Risk vs. Residual Risk

Inherent Risk ist das Ausgangsrisiko ohne Kontrollen. Residual Risk ist das verbleibende Risiko nach Anwendung aller Kontrollen. Die Differenz zwischen beiden zeigt, wie wirksam die implementierten Kontrollen sind. Für ISO 27001 und NIS-2 müssen beide Werte dokumentiert sein: Das Residual Risk muss explizit als akzeptabel eingestuft oder durch weitere Maßnahmen reduziert werden.

Bewertungsmaßstäbe

Die gebräuchlichste Methode: Risiko = Eintrittswahrscheinlichkeit × Schadensausmaß, bewertet auf einer definierten Skala (z.B. 1 bis 5 oder niedrig/mittel/hoch/kritisch). Entscheidend ist, dass der gewählte Maßstab dokumentiert, konsistent angewendet und nachvollziehbar ist – nicht dass er mathematisch präzise ist.

Verwandte Begriffe