Compliance-Lexikon · Risiko
Risk Reporting
[rɪsk rɪˈpɔːtɪŋ] · auch: Risikoberichterstattung, Risiko-Reporting
Risk Reporting bezeichnet den strukturierten Prozess der Kommunikation von Risikoinformationen an verschiedene Empfängerebenen -- vom operativen Risk Owner bis zum Leitungsorgan -- mit angepassten Formaten, Frequenzen und Detailgraden für jede Empfängergruppe.
Warum Risk Reporting ein zentraler Risikobegriff ist
Risk Reporting ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Risk Reporting nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.
Wo Risk Reporting gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 9.3 | Managementbewertung: Leitungsorgan-Reporting als explizite Anforderung. |
| NIS-2 / BSIG | § 38 | Leitungsorganverantwortung: Informierte Leitungsorgane als regulatorische Anforderung. |
| DORA | Art. 5 | Governance: Leitungsorgan muss über IKT-Risikolage regelmässig informiert werden. |
| ISO 31000 | Kap. 6.7 | Kommunikation und Reporting: Strukturiertes Reporting als Kernprozess des Risikomanagements. |
| COBIT 2019 | APO12 | Risikomanagement: Reporting als integraler Bestandteil des Risikomanagement-Prozesses. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
- Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
- Keine regelmässige Aktualisierung der Bewertungen
- Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung
Einordnung im Risikomanagement-Gesamtrahmen
Risk Reporting ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Risk Reporting konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.
Quantitativ vs. qualitativ
Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.
Nächste Ebene
Risk Reporting in der Praxis: Methodik, Umsetzung und Evidence
Was Auditoren bei Risk Reporting konkret prüfen und welche Evidence benötigt wird.