Compliance-Lexikon · Risiko
Key Risk Indicator
[kiː rɪsk ˈɪndɪkeɪtə] · auch: KRI, Risikoindikator, Frühwarndikator
Key Risk Indicators (KRIs) sind messbare Frühwarnindikatoren, die anzeigen, ob sich das Risikoniveau einer Organisation verändert -- als proaktives Steuerungsinstrument, das Risikoerhöhungen erkennbar macht, bevor ein Schaden eintritt.
Warum Key Risk Indicator ein zentraler Risikobegriff ist
Key Risk Indicator ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Key Risk Indicator nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.
Wo Key Risk Indicator gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 9.1 | Überwachung, Messung, Analyse und Bewertung: KRIs als Messinstrument fuer ISMS-Wirksamkeit. |
| COBIT 2019 | APO12 | Risikomanagement: KRIs als Kernkomponente des IT-Risikomonitorings. |
| DORA | Art. 6 | IKT-Risikomanagement: Kontinuierliches Monitoring erfordert definierte Indikatoren. |
| NIS-2 / BSIG | § 30 | Kontinuierliche Überwachung der Sicherheitslage als Mindestmassnahme. |
| Basel III / BCBS | vollständig | Operational-Risk-KRIs als regulatorisches Instrument im Bankensektor -- Blaupause für andere Branchen. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
- Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
- Keine regelmässige Aktualisierung der Bewertungen
- Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung
Einordnung im Risikomanagement-Gesamtrahmen
Key Risk Indicator ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Key Risk Indicator konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.
Quantitativ vs. qualitativ
Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.
Nächste Ebene
Key Risk Indicator in der Praxis: Methodik, Umsetzung und Evidence
Was Auditoren bei Key Risk Indicator konkret prüfen und welche Evidence benötigt wird.