Risk Appetite Statement – Strategie

Das Risk Appetite Statement wird haeufig als formales Governance-Dokument betrachtet. Strategisch ist es das wichtigste Steuerungsinstrument fuer alle Risikomanagement-Entscheidungen.

Die strategische Perspektive

Das Risk Appetite Statement ist die Antwort auf die Frage: Wie risikofreudig oder -avers ist die Organisation -- und warum? Diese Entscheidung ist keine technische, sondern eine strategische: Sie hängt von Geschäftsmodell, Branche, Wettbewerbssituation und regulatorischem Umfeld ab. Ein gut kalibrierter Risikoappetit ermöglicht schnelle, dezentrale Risikoentscheidungen -- weil klare Grenzen definiert sind.

Risk Appetite und Executable Compliance

Der strategische Hebel liegt in der Operationalisierung: Wenn der Risikoappetit als messbarer Schwellenwert im Risikoregister hinterlegt ist und Risikoakzeptanzentscheidungen automatisch dagegen geprueft werden, entsteht ein konsistentes, nachvollziehbares Risikomanagement. Das BAM-Objekt RISK-RA-01 ist der Einstiegspunkt.

Risk Appetite in veränderten Risikoumgebungen

Ein einmal definierter Risikoappetit ist nicht statisch. Neue Regulierungen (NIS-2, DORA, EU AI Act), veränderte Bedrohungslage (neue Angreifergruppen, Zero-Days) und geschäftliche Veränderungen (Akquisitionen, neue Märkte, Digitalisierung) erfordern regelmässige Anpassungen. Die jährliche Überprüfung des Risk Appetite Statements durch das Leitungsorgan ist deshalb nicht nur regulatorische Pflicht, sondern strategische Notwendigkeit.

Den praktischen Einstieg – wie das Risk Appetite Statement konkret erstellt und im Audit nachgewiesen wird – findet sich auf Ebene 2.