Compliance-Lexikon · Praxis
Risk Heat Map – Praxis
Die Risk Heat Map ist im Audit ein Pruefpunkt fuer die Qualitaet des Risikoreportings. Was Auditoren konkret pruefen und welche Evidence benoetigt wird, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Bei einer Pruefung der Risk Heat Map prueft der Auditor Aktualitaet, Konsistenz mit dem Risikoregister und den Nachweis der Kommunikation an das Leitungsorgan. Das BAM-Objekt RISK-HM-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Heat Map nur im ISMS-Dokument, nie dem Leitungsorgan gezeigt
- Bewertungen auf der Heat Map weichen vom Risikoregister ab
- Keine Darstellung des Risikoappetits als Schwellenwertkurve
- Inhaerentes Risiko und Restrisiko nicht unterschieden
Praxis-Tipp
Für die Risk Heat Map gilt: Eine Heat Map, die dem Leitungsorgan nicht gezeigt wurde, hat keinen Governance-Wert. Protokollauszug der letzten Leitungsorgansitzung, in der die Heat Map präsentiert wurde, ist die stärkste Evidence.
Umsetzung Schritt für Schritt
Erster Schritt: Bewertungsskala aus Risikomatrix konsistent auf alle Risiken anwenden. Zweiter Schritt: Heat Map aus Risikoregister ableiten -- keine manuelle Platzierung. Dritter Schritt: Inhaerentes Risiko und Restrisiko unterscheiden. Vierter Schritt: Risikoappetit-Schwellenwertkurve einzeichnen. Fünfter Schritt: Quartalsmässige Aktualisierung und Reporting an Leitungsorgan.
Evidence-Anforderungen im Audit
Der Auditor erwartet: aktuelle, datierte Heat Map, Konsistenznachweis mit Risikoregister, Protokollauszug der Leitungsorgankommunikation und Trendvergleich mit Vorquartal.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2 und ISO 27001 Risikomanagement.
Die strategische Einordnung findet sich auf Ebene 3.