Die Einschätzung der Cyber Academy
Das inhärente Risiko ist die Risikoexposition vor den Kontrollen. Das Restrisiko ist das, was nach dem Betrieb der Kontrollen verbleibt. Prüfer betrachten die Lücke: Sie muss begründet, von einem namentlich genannten Eigentümer akzeptiert (oder weiterbehandelt) und mit der Risikobereitschaft vereinbar sein. Ein "Restrisiko = null" im Register ist ein Warnsignal, kein Erfolg.
Dasselbe Risiko zu zwei Zeitpunkten betrachtet
Inhärentes Risiko und Restrisiko sind nicht zwei verschiedene Risiken. Sie sind dasselbe Szenario, gemessen an zwei Punkten: bevor Ihre Kontrollen wirken, und nachdem sie gewirkt haben. Das inhärente Risiko ist die rohe Exposition, das Maß an Eintrittswahrscheinlichkeit und Auswirkung, dem Sie ausgesetzt wären, wenn die relevanten Kontrollen fehlten oder vollständig versagten. Das Restrisiko ist das, was übrig bleibt, sobald die Kontrollen umgesetzt sind und wie vorgesehen wirken.
Sie nebeneinander zu lesen, ist der ganze Sinn der Sache, denn die Differenz zwischen beiden ist der sichtbare Wert Ihres Kontrollumfelds. Eine große Differenz besagt, dass die Kontrollen ihren Beitrag leisten; eine geringe Differenz besagt, dass Sie Aufwand für eine geringe Reduktion betreiben und nach dem Grund fragen sollten.
Diese Werte als Paar zu behandeln, ändert, wie Sie Mittel einsetzen. Wenn zwei Szenarien ein ähnliches Restniveau aufweisen, eines aber von einem weit höheren inhärenten Niveau ausging, leistet das Kontrollset, das es niedrig hält, Schwerstarbeit und verdient Schutz im Budget. Das Szenario, das sich vom inhärenten zum Restrisiko kaum bewegt hat, ist dasjenige, das es zu überprüfen gilt: Entweder ist die Kontrolle schwach, es ist die falsche Kontrolle, oder das Risiko war nie so exponiert, wie die Bewertung behauptete.
| Dimension | Inhärentes Risiko | Restrisiko |
|---|---|---|
| Zeitpunkt der Messung | Vor den Kontrollen | Nachdem die Kontrollen wirken |
| Was es zeigt | Rohe Exposition des Szenarios | Exposition, die tatsächlich verbleibt |
| Hauptzweck | Priorisieren, wo Kontrollen nötig sind | Über Akzeptieren, weitere Behandlung oder Transfer entscheiden |
| Verglichen mit | Andere unbehandelte Szenarien | Der Risikoappetit und die Risikotoleranz |
| Maßnahme des Verantwortlichen | Die Behandlung gestalten | Akzeptieren und unterzeichnen, oder die Differenz eskalieren |
Was Auditoren und Normen erwarten
Die Differenz zwischen inhärentem Risiko und Restrisiko ist der Ort, an dem die Assurance liegt, daher muss sie begründet und nicht behauptet werden. Ein Auditor liest das Register und verlangt von jedem Restwert drei Dinge: welche Kontrollen ihn reduziert haben, ob diese Kontrollen tatsächlich wirken statt nur dokumentiert zu sein, und wer das Verbleibende akzeptiert hat. Dieser letzte Punkt ist wichtig. Das Restrisiko wird von einem namentlich benannten Verantwortlichen mit der Befugnis, es zu tragen, akzeptiert, und diese Akzeptanz muss innerhalb des Risikoappetits der Organisation liegen. Ein Restniveau, das den Appetit übersteigt, ist kein abgeschlossener Eintrag; es ist ein offener Punkt, der weitere Behandlung, Transfer oder eine bewusste, dokumentierte Ausnahme verlangt.
Diese Logik ist in den wichtigsten Rahmenwerken verankert. ISO 31000 fasst das Risikomanagement als iterative Schleife auf, in der die Behandlung das Risiko verändert und das veränderte Risiko anschließend neu bewertet wird, was genau dem Übergang vom inhärenten Risiko zum Restrisiko entspricht. ISO/IEC 27005 wendet dasselbe Denken auf das Informationssicherheitsrisiko an und verlangt ausdrücklich, dass das Restrisiko bewertet und vom Management förmlich akzeptiert werden muss, bevor ein System in Betrieb geht oder im Produktivbetrieb bleibt.
Die NIST-Leitlinien zur Risikobewertung tragen die identische Unterscheidung zwischen dem Risiko, dem eine Organisation ausgesetzt ist, und dem Anteil, der nach Anwendung der Reaktionen verbleibt. Keine dieser Normen behandelt das Restrisiko als eine Zahl, die man einmal berechnet und ablegt.
Es in der Praxis gut machen
In einem funktionierenden Register sollte jede Zeile es einem Leser erlauben, die inhärente Bewertung, die angewandten Kontrollen, die Restbewertung und den namentlich benannten Verantwortlichen, der sie akzeptiert hat, nachzuvollziehen. Halten Sie die Bewertungsmethode zwischen inhärentem Risiko und Restrisiko konsistent, damit beide wirklich vergleichbar sind; wenn Sie Auswirkung und Eintrittswahrscheinlichkeit auf jeder Stufe unterschiedlich bewerten, bedeutet die Differenz nichts. Bewerten Sie das Restrisiko jedes Mal neu, wenn sich eine Kontrolle ändert, verschlechtert oder bei Tests als unwirksam erweist, denn das Restrisiko ist nur so aktuell wie die Kontrollen, die dahinterstehen. Ein Restwert, der vor zwei Audits festgelegt und nie überprüft wurde, ist Dekoration, keine Assurance.
Das Urteil, das sich auszahlt, besteht darin, das Restrisiko mit dem Appetit und der Behandlung zu verknüpfen. Sobald das Restrisiko auf oder unter dem Appetit liegt, ist die Akzeptanz vertretbar und der Verantwortliche unterzeichnet. Liegt es darüber, hält der ehrliche Eintrag die Differenz und den Plan zu ihrer Schließung fest, anstatt die Zahl abzurunden, damit die Seite ordentlich aussieht. Diese Disziplin ist es, die ein Register von einem Compliance-Artefakt in ein Werkzeug verwandelt, das der Vorstand tatsächlich nutzen kann, um Aufmerksamkeit zuzuteilen.
Frequently asked questions
01Was ist der Unterschied zwischen inhärentem Risiko und Restrisiko?
Das inhärente Risiko ist die Exposition, bevor irgendwelche Kontrollen berücksichtigt werden, das rohe Maß an Eintrittswahrscheinlichkeit und Auswirkung. Das Restrisiko ist das, was übrig bleibt, nachdem die Kontrollen umgesetzt sind und wirken. Sie beschreiben dasselbe Szenario, gemessen an zwei Punkten, und die Differenz zwischen ihnen zeigt den Wert der Kontrollen.
02Sollte das Restrisiko jemals null sein?
Nein. Kein Kontrollset ist perfekt und Kontrollen können versagen, sodass fast immer ein gewisses Restrisiko verbleibt. Eine Restbewertung von null in einem Register wird von Auditoren als Warnsignal behandelt und bedeutet meist, dass das Ziel mit der Realität verwechselt oder das Versagen von Kontrollen ignoriert wurde.
03Wer ist für die Akzeptanz des Restrisikos verantwortlich?
Ein namentlich benannter Risikoverantwortlicher mit der Befugnis, die Exposition zu tragen. Seine Akzeptanz muss dokumentiert sein und innerhalb des Risikoappetits der Organisation liegen. Übersteigt das Restniveau den Appetit, kann es nicht einfach akzeptiert werden und muss weiter behandelt oder eskaliert werden.
04In welchem Verhältnis steht das Restrisiko zum Risikoappetit?
Das Restrisiko wird unmittelbar mit dem Risikoappetit verglichen. Liegt es auf oder unter dem Appetit, ist die Akzeptanz vertretbar und der Verantwortliche gibt seine Zustimmung. Liegt es darüber, bleibt der Eintrag mit einem Behandlungsplan zur Schließung der Differenz offen, anstatt als akzeptiert verzeichnet zu werden.
05Wann sollte das Restrisiko neu bewertet werden?
Immer dann, wenn sich eine Kontrolle ändert, verschlechtert oder bei Tests als unwirksam erweist, sowie im regulären Überprüfungszyklus. Das Restrisiko ist nur so genau wie die Kontrollen, die dahinterstehen; ein in einem früheren Audit festgelegter und nie überprüfter Wert gibt eine falsche Assurance.