Compliance-Lexikon · Risiko
Risk Appetite Statement
[rɪsk ˈæpɪtaɪt ˈsteɪtmənt] · auch: Risikobereitschaftserklaerung, Risikotoleranz
Ein Risk Appetite Statement ist die formale Erklaerung des Leitungsorgans, wie viel Risiko eine Organisation bereit ist einzugehen, um ihre Ziele zu erreichen – als quantitative und qualitative Schwellenwerte, die Risikobewertungen und -akzeptanzentscheidungen steuern.
Warum das Risk Appetite Statement der Anker jedes Risikomanagements ist
Ohne ein Risk Appetite Statement gibt es keinen Massstab für Risikoentscheidungen: Wie hoch darf ein Restrisiko sein, um akzeptiert zu werden? Welche Risiken müssen zwingend behandelt werden? ISO 27001 verlangt explizit Risikoakzeptanzkriterien. DORA fordert den Risikoappetit als Teil des IKT-Risikomanagement-Rahmens. Ohne diese Grundlage sind alle Risikobewertungen subjektiv und nicht vergleichbar.
Wo das Risk Appetite Statement gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 6.1.2 | Informationssicherheitsrisikobeurteilung: Risikoakzeptanzkriterien muessen definiert sein -- Risk Appetite als Grundlage. |
| ISO 31000 | Kap. 5.4.3 | Risikobereitschaft: Explizite Anforderung an die Definition und Kommunikation der Risikobereitschaft. |
| DORA | Art. 6 | IKT-Risikomanagement-Rahmen: Risikoappetit als Teil des dokumentierten Rahmens. |
| NIS-2 / BSIG | § 30 | Risikobasierter Ansatz: Massnahmen muessen dem Risikoniveau angemessen sein -- impliziert definierten Risikoappetit. |
| DCGK | Kap. 4.1 | Risikobereitschaft als Leitungsorgansaufgabe: Vorstand legt Risikobereitschaft fest, Aufsichtsrat ueberwacht. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Kein formales Risk Appetite Statement vorhanden
- Risikoappetit nicht vom Leitungsorgan genehmigt
- Qualitative Aussagen ohne messbare Schwellenwerte
- Risikoappetit nicht mit tatsächlichen Risikoakzeptanzentscheidungen verbunden
Aufbau eines Risk Appetite Statements
Ein vollständiges Risk Appetite Statement kombiniert qualitative und quantitative Elemente. Qualitativ definiert es Risikokategorien, die grundsätzlich nicht akzeptiert werden (z.B. Complianceverstösse mit Strafverfolgungsrisiko) und solche, die im Rahmen definierter Grenzen akzeptiert werden koennen (z.B. operative Risiken bis zu einem bestimmten erwarteten Jahreschaden). Quantitativ setzt es konkrete Schwellenwerte: maximale Risikoexposition pro Kategorie in Geldeinheiten oder Wahrscheinlichkeit-Auswirkungs-Punktzahl. Das Leitungsorgan muss das Statement genehmigen -- nicht die IT-Abteilung.
Risk Appetite vs. Risikotoleranz
Risk Appetite bezeichnet das angestrebte Risikoniveau -- wie viel Risiko die Organisation aktiv eingehen will, um Ziele zu erreichen. Risikotoleranz bezeichnet die maximale Abweichung vom Risk Appetite, die noch akzeptabel ist, bevor eskaliert werden muss. Beide sind zu definieren: der Appetite als Steuerungsgrösse, die Toleranz als Alarmgrenze. Viele Organisationen definieren nur eine der beiden -- was zu Unklarheiten bei Risikoakzeptanzentscheidungen führt.
Nächste Ebene
Risk Appetite Statement in der Praxis: Aufbau, Genehmigung und Evidence
Wie ein Risk Appetite Statement erstellt, genehmigt und im Audit nachgewiesen wird.