Compliance-Lexikon · Risiko
Risk Owner
[rɪsk ˈəʊnə] · auch: Risikoeignetümer, Risikoverwantwortlicher
Der Risk Owner ist die Person oder Funktion, die die formale Verantwortung für ein spezifisches Risiko trägt – einschliesslich der Entscheidung über Risikobehandlung, der Überwachung von Massnahmen und der Akzeptanz von Restrisiken, die nach Behandlung verbleiben.
Warum der Risk Owner ein unverzichtbares Governance-Element ist
Ein Risiko ohne Eigentümer wird nicht behandelt. Es steht im Risikoregister, wird bewertet -- und dann niemandes Problem, bis es eintritt. ISO 27001 verlangt explizit die Zuweisung von Risk Owners für alle identifizierten Risiken. DORA verlangt klare Verantwortlichkeiten für alle IKT-Risiken. Die Risk-Owner-Zuweisung ist der Schritt, der Risikomanagement von der Dokumentation in die Steuerung überführt.
Wo der Risk Owner gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 6.1.2 / 8.3 | Risikobeurteilung und -behandlung: Risk Owner als explizite Anforderung für alle identifizierten Risiken. |
| ISO 31000 | Kap. 6.4.3 | Risikobehandlung: Zuweisung von Eigentümern für alle behandelten Risiken als Grundprinzip. |
| DORA | Art. 6 | IKT-Risikomanagement-Rahmen: Klare Verantwortlichkeiten für alle IKT-Risiken als DORA-Anforderung. |
| NIS-2 / BSIG | § 38 | Leitungsorganhaftung setzt voraus, dass Risikoverantwortlichkeiten klar definiert und dem Leitungsorgan bekannt sind. |
| COBIT 2019 | APO12 | Risikomanagement: Risk-Owner-Zuweisung als Kernprozess des IT-Risikomanagements. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Risikoregister ohne Risk-Owner-Spalte
- Risk Owner ist pauschal „IT-Leitung“ für alle Risiken
- Risk Owner wurde nicht informiert und hat Rolle nicht akzeptiert
- Kein Prozess für regelmässige Risk-Owner-Überprüfung bei Organisationsveränderungen
Risk Owner vs. Control Owner
Der Risk Owner trägt die Verantwortung für das Risiko als solches -- einschliesslich der Entscheidung, wie es behandelt wird, und der Akzeptanz des Restrisikos. Der Control Owner trägt die Verantwortung für eine spezifische Kontrollmassnahme, die das Risiko mitigiert. Beide Rollen müssen definiert sein: Der Risk Owner will wissen, ob die Kontrollen wirken. Der Control Owner operiert die Kontrolle. In kleinen Organisationen kann eine Person beide Rollen tragen -- sie müssen aber als separate Verantwortlichkeiten verstanden sein.
Wer als Risk Owner geeignet ist
Der Risk Owner sollte die Person sein, die am meisten von einem Risikoeintritt betroffen ist -- und die Entscheidungsgewalt hat, Massnahmen zu autorisieren. Für ein Datenpannen-Risiko ist das typischerweise der Datenschutzbeauftragte oder CISO gemeinsam mit dem Geschäftsbereich, der die Daten verarbeitet. Für ein Produktionsausfall-Risiko der Betriebsleiter. Risiken, die die gesamte Organisation betreffen, gehören zum Risk Owner auf Leitungsorganebene.
Nächste Ebene
Risk Owner in der Praxis: Zuweisung, Akzeptanz und Evidence
Wie Risk Owner zugewiesen werden und was Auditoren konkret pruefen.