Compliance-Lexikon · Praxis
Risk Reporting – Praxis
Risk Reporting ist im Audit ein klar definierter Pruefpunkt: Methodik dokumentiert? Konsistent angewandt? Evidence vorhanden? Was Auditoren konkret verlangen, zeigt dieser Abschnitt.
Was Auditoren konkret prüfen
Bei einer Prüfung von Risk Reporting prueft der Auditor dokumentierte Methodik, konsistente Anwendung und Nachweis der Aktualisierung. Das BAM-Objekt RISK-RP-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Bewertungen undokumentiert oder nicht nachvollziehbar begründet
- Methodik nicht für alle Bewerter konsistent -- subjektive Einzel-Einschätzungen
- Keine regelmässige Aktualisierung bei veränderter Risikolage
- Fehlende Verbindung zwischen Bewertungsergebnis und Massnahmenentscheidung
Praxis-Tipp
Für Risk Reporting gilt: Eine dokumentierte und kommunizierte Bewertungsmethodik, die von allen Beteiligten konsistent angewandt wird, ist wichtiger als die absolute Präzision einzelner Bewertungen. Kalibrierungsworkshops helfen, Bewertungsskalen einheitlich zu interpretieren.
Umsetzung Schritt für Schritt
Erster Schritt: Bewertungsmethodik dokumentieren und für alle relevanten Personen kommunizieren. Zweiter Schritt: Bewertungsmassstab kalibrieren -- was bedeutet „hoch“ konkret für unsere Organisation? Dritter Schritt: Konsistente Anwendung auf alle relevanten Bewertungsgegenstände sicherstellen. Vierter Schritt: Jährliche Überprüfung und Aktualisierung aller Bewertungen. Fünfter Schritt: Änderungen dokumentieren und begründen.
Evidence-Anforderungen im Audit
Der Auditor erwartet: datierte Methodikbeschreibung, Anwendungsnachweise (Risikoregister-Einträge mit Bewertungsbegruendungen), Nachweis der letzten Aktualisierung und Verbindung zur Massnahmenplanung.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2 und ISO 27001 Risikomanagement.
Die strategische Einordnung findet sich auf Ebene 3.