Compliance-Lexikon · Praxis
Risk Assessment – Praxis
Ein Risk Assessment scheitert selten am Inhalt – sondern an der Dokumentation, dem fehlenden Zyklus und der mangelnden Verbindung zum Risk Treatment. Was Auditoren konkret prüfen und wie eine auditfeste Risikobeurteilung aussieht, zeigt dieser Artikel.
Was Auditoren konkret prüfen
Der Auditor prüft: Gibt es ein Risk Assessment mit Datum? Ist die Methodik dokumentiert? Sind alle wesentlichen Assets und Prozesse im Scope? Hat jedes Risiko einen Behandlungsplan und einen Verantwortlichen?
Häufige Fehler
- Methodik nicht dokumentiert – Bewertungen nicht nachvollziehbar
- Risk Treatment Plan nicht verknüpft mit Risk Assessment
- Kein Nachweis der Wiederholung im letzten Jahr
Praxis-Tipp
Ein Risk Assessment muss nicht umfangreich sein, um auditrelevant zu sein. Ein Excel-Sheet mit den Spalten Asset/Prozess, Bedrohung, Schwachstelle, Eintrittswahrscheinlichkeit, Schadensausmaß, Risikostufe, Behandlung und Verantwortlicher deckt die ISO-27001-Kernanforderungen vollständig ab.
Risk Treatment Plan als Pflichtbestandteil
Ein Risk Assessment ohne angeschlossenen Risk Treatment Plan ist für ISO 27001 nicht ausreichend. Für jedes identifizierte Risiko muss eine Behandlungsoption gewählt sein (akzeptieren, reduzieren, transferieren, vermeiden), und für jede Reduktionsmaßnahme müssen Verantwortlicher, Zieldatum und Status dokumentiert sein.
Evidence-Anforderungen im Audit
Vorzulegen sind: Risk Assessment mit Datum, Methodik-Beschreibung, vollständige Risikoliste mit Behandlungsstatus, Risk Treatment Plan mit Verantwortlichen und Risk Assessment aus dem Vorjahr als Nachweis der Wiederholung. Das BAM-Objekt RISK-RA-01 strukturiert diese Anforderungen.
Nächster Schritt
NIS-2-Stresstest starten
Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – Risk Assessment als kontinuierliches Steuerungsinstrument – findet sich auf Ebene 3.