Brain-Media.de/Compliance-Lexikon/Risk Appetite Statement/Praxis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Praxis

Risk Appetite Statement – Praxis

Das Risk Appetite Statement ist im Audit häufig das fehlende Bindeglied: Risikoregister vorhanden, Restrisiken bewertet -- aber kein Massstab, ob die Restrisiken akzeptabel sind. Was Auditoren pruefen, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung des Risk Appetite Statements prueft der Auditor Vollständigkeit, formale Genehmigung und die Verbindung zu tatsächlichen Risikoakzeptanzentscheidungen. Das BAM-Objekt RISK-RA-01 definiert, was konkret vorgelegt werden muss.

BAM-Objekt · Praxis RISK-RA-01
Gap-CheckIst ein formales Risk-Appetite-Statement vorhanden, das vom Leitungsorgan genehmigt und kommuniziert wurde?
RemediationDokumentiertes Risk-Appetite-Statement mit quantitativen und qualitativen Schwellenwerten
EvidenceDatiertes Risk-Appetite-Statement mit Unterschrift des Leitungsorgans und Nachweis der Kommunikation.

Häufige Fehler

  • Risk Appetite Statement ohne quantitative Schwellenwerte -- nicht operationalisierbar
  • Genehmigung durch IT-Leitung statt Leitungsorgan
  • Statement veraltet -- nicht an veränderte Geschäftsstrategie angepasst
  • Risikoakzeptanzentscheidungen nicht gegen Risk Appetite geprueft

Praxis-Tipp

Für das Risk Appetite Statement gilt: Es muss vom Leitungsorgan unterschrieben sein -- das ist der wichtigste Einzelnachweis. Ein IT-seitig definierter Risikoappetit ohne Leitungsorgan-Genehmigung erfüllt die ISO-27001- und DORA-Anforderungen nicht.

Umsetzung Schritt für Schritt

Erster Schritt: Risikokategorien definieren (strategisch, operationell, compliance, reputational). Zweiter Schritt: Qualitative Grenzen festlegen (welche Risikoklassen sind grundsätzlich nicht akzeptabel?). Dritter Schritt: Quantitative Schwellenwerte definieren (max. akzeptabler Jahreschaden, max. Eintrittswahrscheinlichkeit). Vierter Schritt: Genehmigung durch Leitungsorgan einholen. Fünfter Schritt: Jährliche Überprüfung und Aktualisierung.

Evidence-Anforderungen im Audit

Der Auditor erwartet: datiertes Risk Appetite Statement mit qualitativen und quantitativen Elementen, Genehmigungsnachweis durch Leitungsorgan und Nachweis der Anwendung bei Risikoakzeptanzentscheidungen im Risikoregister.

Nächster Schritt

Stresstest starten

Kostenloser Compliance-Stresstest – ISO 27001 und DORA Risikomanagement.

Die strategische Einordnung – warum das Risk Appetite Statement langfristig mehr als ein Governance-Dokument ist – findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper