Compliance-Lexikon · Risiko
Risk Heat Map
[rɪsk hiːt mæp] · auch: Risikolandkarte, Risikomatrix-Visualisierung
Eine Risk Heat Map ist eine visuelle Darstellung von Risiken in einer Wahrscheinlichkeit-Auswirkungs-Matrix, die auf einen Blick zeigt, welche Risiken kritisch (rot), relevant (gelb) oder gering (gruen) sind -- als Kommunikationsinstrument für Leitungsorgane und als Steuerungsinstrument fuer Risikopriorisierung.
Warum die Risk Heat Map mehr als ein Bild ist
Eine Risk Heat Map verdichtet das Risikoregister auf eine einzige Seite und macht den Zustand des Risikoportfolios fuer das Leitungsorgan unmittelbar erfassbar. Sie ist kein Ersatz fuer das detaillierte Risikoregister -- sie ist das Kommunikationsinstrument, das Risikoentscheidungen auf Leitungsorganebene ermöglicht. Richtig eingesetzt, zeigt sie auch den Trend: Hat sich die Risikolage verbessert oder verschlechtert?
Wo die Risk Heat Map gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 6.1.2 | Risikobeurteilung: Visualisierung von Risiken als Unterstuetzungswerkzeug fuer Risikokommunikation und -priorisierung. |
| ISO 31000 | Kap. 6.4.2 | Risikobehandlung: Risk Heat Maps als anerkanntes Werkzeug fuer Risikopriorisierung und Kommunikation. |
| NIS-2 / BSIG | § 30 | Risikobasierter Ansatz: Heat Map als Instrument zur Darstellung der Risikolage gegenueber dem Leitungsorgan. |
| DORA | Art. 5 | Leitungsorganreporting: Visualisierungsformate wie Heat Maps als Best Practice fuer IKT-Risikokommunikation. |
| BSI IT-Grundschutz | BSI 200-3 | Risikoanalyse: Schutzbedarfsmatrix als strukturverwandtes Visualisierungskonzept. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Heat Map veraltet -- nicht regelmässig aktualisiert
- Risiken nur nach inhaerentem Risiko dargestellt -- Massnahmen und Restrisiko nicht sichtbar
- Keine Trenddarstellung -- Vergleich mit Vorperiode fehlt
- Subjektive Platzierung ohne Verbindung zum Risikoregister
Aufbau einer wirksamen Risk Heat Map
Eine Risk Heat Map zeigt auf der x-Achse die Auswirkung (von gering bis katastrophal) und auf der y-Achse die Wahrscheinlichkeit (von selten bis fast sicher). Risiken werden als Punkte oder Symbole im Grid platziert. Wirksame Heat Maps zeigen zwei Zustände pro Risiko: das inhaerente Risiko (vor Massnahmen) als leere Form und das Restrisiko (nach Massnahmen) als ausgefüllte Form, verbunden durch einen Pfeil. So wird sofort sichtbar, welchen Effekt die Massnahmen haben. Farbkodierung (rot/gelb/grün) signalisiert Handlungsbedarf. Eine Schwellenwertkurve aus dem Risk Appetite Statement zeigt, welche Risiken den Appetite überschreiten.
Heat Map vs. Risikoregister
Das Risikoregister ist die operative Datenbasis: vollständig, detailliert, mit Massnahmen, Verantwortlichen und Fristen. Die Heat Map ist die strategische Zusammenfassung: komprimiert, visuell und auf Entscheidungsunterstützung ausgelegt. Beide sind notwendig -- und beide muessen konsistent sein: Jedes Risiko auf der Heat Map muss im Risikoregister zu finden sein, mit denselben Bewertungen.
Nächste Ebene
Risk Heat Map in der Praxis: Aufbau, Aktualisierung und Evidence
Wie eine Heat Map erstellt, gepflegt und im Audit nachgewiesen wird.