Compliance-Lexikon · Risiko
Operational Risk
[ˌɒpəˈreɪʃnl rɪsk] · auch: operationelles Risiko, Betriebsrisiko
Operational Risk bezeichnet das Risiko von Verlusten durch fehlerhafte interne Prozesse, Personen, Systeme oder externe Ereignisse -- einschliesslich IT-Ausfälle, menschliche Fehler, Prozessversagen und externer Bedrohungen als Oberkategorie, unter die IKT-Risiken fallen.
Warum Operational Risk ein zentraler Risikobegriff ist
Operational Risk ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Operational Risk nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.
Wo Operational Risk gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| Basel III / CRR | Art. 312 ff. | Operationelles Risiko als regulatorische Kapitalkategorie für Banken -- Grundlage der Branchendefinition. |
| DORA | Art. 6 | IKT-Risikomanagement als Teilbereich des operationellen Risikomanagements im Finanzsektor. |
| ISO 31000 | Kap. 6.4 | Operationelles Risiko als Risikokategorie im allgemeinen Risikomanagement. |
| NIS-2 / BSIG | § 30 | IKT-Risiken als operationelle Risiken wesentlicher Einrichtungen. |
| EBA-Leitlinien | vollständig | EBA-Leitlinien für das Management operationeller Risiken im Bankensektor. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
- Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
- Keine regelmässige Aktualisierung der Bewertungen
- Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung
Einordnung im Risikomanagement-Gesamtrahmen
Operational Risk ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Operational Risk konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.
Quantitativ vs. qualitativ
Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.
Nächste Ebene
Operational Risk in der Praxis: Methodik, Umsetzung und Evidence
Was Auditoren bei Operational Risk konkret prüfen und welche Evidence benötigt wird.