Brain-Media.de/Compliance-Lexikon/Residual Exposure/Praxis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Praxis

Residual Exposure – Praxis

Residual Exposure ist im Audit ein Pruefpunkt, der zeigt, ob Risikomanagement wirklich gelebt wird. Implizit akzeptierte Restrisiken ohne Dokumentation sind ein kritischer Befund. Was Auditoren pruefen, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von Residual Exposure prueft der Auditor, ob alle Restrisiken explizit bewertet, dem Risikoappetit gegenueberstellt und formal akzeptiert wurden. Das BAM-Objekt CROSS-RE-01 definiert, was konkret vorgelegt werden muss.

BAM-Objekt · Praxis CROSS-RE-01
Gap-CheckSind alle Restrisiken nach Massnahmenumsetzung bewertet und mit Risikoakzeptanz dokumentiert?
RemediationRisikoregister mit Restrisikobewertung und unterzeichneter Risikoakzeptanz pro Risiko
EvidenceDatiertes Risikoregister mit Residual-Exposure-Feldern und Risikoakzeptanz-Unterschriften.

Haeufige Fehler

  • Risikoregister enthaelt keine Restrisiko-Felder nach Massnahmenumsetzung
  • Risikoakzeptanz undatiert oder ohne Unterschrift der verantwortlichen Person
  • Restrisiken werden nie ueberpruefte – veraenderte Bedrohungslage nicht beruecksichtigt
  • Keine Verbindung zwischen Risikoappetit und Restrisiko-Akzeptanz-Schwellenwert

Praxis-Tipp

Fuer Residual Exposure gilt: Eine fehlende Risikoakzeptanz ist schlimmer als ein hohes Restrisiko. Das Leitungsorgan darf hohe Restrisiken akzeptieren – aber es muss diese Entscheidung bewusst und dokumentiert treffen. Implizite Akzeptanz durch Unterlassen ist kein Risikomanagement.

Umsetzung Schritt fuer Schritt

Erster Schritt: Risikoregister um Restrisiko-Felder ergaenzen (Risiko nach Massnahmen, Restrisiko-Bewertung, Akzeptanz-Status). Zweiter Schritt: Fuer jedes Risiko nach Massnahmenumsetzung das Restrisiko bewerten. Dritter Schritt: Restrisiken gegen den definierten Risikoappetit pruefen. Vierter Schritt: Schriftliche Risikoakzeptanz durch autorisierte Person fuer alle Restrisiken einholen. Fuenfter Schritt: Jaehrliche Ueberpruefung aller akzeptierten Restrisiken.

Evidence-Anforderungen im Audit

Der Auditor erwartet: Risikoregister mit Restrisiko-Feldern, schriftliche Risikoakzeptanz-Dokumente mit Datum und Unterschrift, definierten Risikoappetit als Vergleichsmassstab und Nachweis der jaehrlichen Ueberpruefung.

Naechster Schritt

Stresstest starten

Kostenloser Compliance-Stresstest – ISO 27001 und NIS-2 in 20 Minuten.

Die strategische Einordnung – warum Residual Exposure langfristig mehr als ein Risikoregister-Feld ist – findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper