Compliance-Lexikon · Praxis
Risk Owner – Praxis
Risk Owner ist im Audit der Pruefpunkt, der zeigt, ob Risikomanagement tatsächlich gelebt wird. Ein Risikoregister ohne Risk Owner ist Dokumentation ohne Steuerungswirkung. Was Auditoren pruefen, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Bei einer Pruefung des Risk Owners prueft der Auditor, ob alle Risiken einem spezifischen Eigentümer zugewiesen sind und dieser die Rolle akzeptiert hat. Das BAM-Objekt RISK-RO-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Pauschal-Zuweisung „CISO“ für alle Risiken -- keine differenzierte Verantwortung
- Risk Owner nicht über Zuweisung informiert
- Keine Unterschrift oder Bestätigung der Risk-Owner-Akzeptanz
- Risk Owner bei Personalwechsel nicht aktualisiert
Praxis-Tipp
Für den Risk Owner gilt: Die Zuweisung allein genuegt nicht. Der Auditor fragt, ob der Risk Owner weiss, dass er Eigentümer ist, und ob er die damit verbundenen Pflichten versteht. Eine Bestätigungsemail oder ein unterschriebenes Risk-Owner-Formular ist die stärkste Evidence.
Umsetzung Schritt für Schritt
Erster Schritt: Risikoregister um Risk-Owner-Spalte ergänzen. Zweiter Schritt: Für jedes Risiko einen spezifischen Risk Owner bestimmen -- nicht „IT“, sondern eine benannte Person. Dritter Schritt: Risk Owner informieren und Akzeptanz dokumentieren. Vierter Schritt: Regelmässige Risk-Owner-Reviews bei Organisationsveränderungen. Fünfter Schritt: Risk-Owner-Verantwortlichkeiten in Stellenbeschreibungen verankern.
Evidence-Anforderungen im Audit
Der Auditor erwartet: Risikoregister mit Risk-Owner-Spalte (benannte Personen), Nachweise der Risk-Owner-Akzeptanz, Aktualisierungshistorie bei Personalwechseln und Nachweis der regelmässigen Risk-Owner-Kommunikation.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – ISO 27001 Risikomanagement in 20 Minuten.
Die strategische Einordnung – warum der Risk Owner langfristig mehr als eine Registerspalte ist – findet sich auf Ebene 3.