Brain-Media.de/Compliance-Lexikon/Qualitative Risk Analysis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Risiko

Qualitative Risk Analysis

[ˈkwɒlɪtətɪv rɪsk əˈnælɪsɪs] · auch: qualitative Risikoanalyse, kategorienverfähren

Qualitative Risk Analysis bezeichnet den Ansatz, Risiken auf Basis von Kategorien und Skalen zu bewerten -- typischerweise mit Stufen wie gering/mittel/hoch für Wahrscheinlichkeit und Auswirkung -- als praktische Methodik, die ohne monetaere Quantifizierung auskommt und breite Anwendung in ISO-27001-Implementierungen findet.

Warum Qualitative Risk Analysis ein zentraler Risikobegriff ist

Qualitative Risk Analysis ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Qualitative Risk Analysis nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.

Wo Qualitative Risk Analysis gefordert wird

FrameworkReferenzAnforderung
ISO 27001:2022Kap. 6.1.2Risikobeurteilung: Qualitative Methodik als gängigster Ansatz in ISMS-Implementierungen.
BSI 200-3Kap. 4Risikoanalyse nach BSI: Qualitative Bewertung mit vier Stufen als BSI-Standardmethodik.
NIS-2 / BSIG§ 30Risikobasierter Ansatz: Qualitative Risikobewertung als akzeptierte Methodik.
ISO 27005Kap. 8Risikobewertung: Qualitative Analyse als Option -- einfacher anwendbar als quantitative Methoden.
NIST SP 800-30vollständigRisk Assessment Guide: Qualitative Methodik mit Ordinalskalen als Praxisstandard.

BAM-Objektreferenz

BAM-Objekt RISK-QL-01
BeschreibungQualitative Risikoanalyse mit konsistenter Bewertungsskala und Kalibrierung
GitHubBAM Core →

Häufige Audit-Fehler

  • Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
  • Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
  • Keine regelmässige Aktualisierung der Bewertungen
  • Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung

Einordnung im Risikomanagement-Gesamtrahmen

Qualitative Risk Analysis ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Qualitative Risk Analysis konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.

Quantitativ vs. qualitativ

Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.

Nächste Ebene

Qualitative Risk Analysis in der Praxis: Methodik, Umsetzung und Evidence

Was Auditoren bei Qualitative Risk Analysis konkret prüfen und welche Evidence benötigt wird.

Verwandte Begriffe

Quantitative Risk AnalysisRisk MatrixLikelihood

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper