Die Einschätzung der Cyber Academy
Risikobereitschaft ist das Ausmaß und die Art von Risiken, die eine Organisation bereit ist einzugehen, um ihre Ziele zu erreichen. Sie wird schriftlich auf Ebene der Geschäftsführung oder des Vorstands festgelegt. Ohne sie ist jede Risikobehandlungsentscheidung ein persönliches Urteil des Risikoteams – und das Audit wird das auseinandernehmen. Ergänzen Sie die Risikobereitschaft durch die Risikoakzeptanzgrenze (die tolerierte Abweichung von der Risikobereitschaft).
Wozu der Risikoappetit dient
Der Risikoappetit existiert, um eine Auseinandersetzung zu klären, bevor sie entsteht. Jede Behandlungsentscheidung, jedes „beheben wir das oder leben wir damit“, ist in Wahrheit eine Frage danach, wie viel Risiko die Organisation gegenüber dem Nutzen der Verfolgung ihrer Ziele zu tragen bereit ist.
Wenn diese Grenze nur in den Köpfen derjenigen lebt, die das Programm leiten, dann wird jede Entscheidung zu einem privaten Urteil, das niemand sonst unterzeichnet hat, und genau das ist es, was ein Auditor oder eine Infragestellung durch das Gremium auseinandernehmen wird. Ein schriftlicher Appetit, getragen auf Geschäftsleitungs- oder Aufsichtsebene, verwandelt diese verstreuten Urteile in eine erklärte organisatorische Position.
Er ist ein Steuerungsinstrument, kein Papierkram: Er sagt dem Risikoteam, wo es aus eigener Befugnis vorgehen darf und wo ein Risiko eskaliert werden muss.
Entscheidend ist, dass der Appetit in der Sprache der Ziele festgelegt wird, nicht als einzelne Zahl. Eine Organisation, die in einem neuen Markt aggressives Wachstum anstrebt, wird rational mehr strategisches und operatives Risiko akzeptieren als eine, deren Auftrag es ist, einen regulierten, lebenskritischen Dienst zu schützen. Das Gremium entscheidet, wie viel Exposition es einzugehen bereit ist, um zu erreichen, was es anstrebt. Deshalb kann der Appetit nicht an die Sicherheits- oder Risikofunktion delegiert werden, damit diese ihn allein erfindet: Er ist eine Absichtserklärung, die nur diejenigen, die für die Ziele verantwortlich sind, rechtmäßig abgeben können.
Appetit, Toleranz und Kapazität
Diese drei werden ständig verwechselt, und die Verwechslung ist teuer. Appetit ist, wie viel Risiko Sie in Verfolgung der Ziele eingehen wollen. Toleranz ist die Abweichung, die Sie um diesen Appetit herum zu akzeptieren bereit sind, bevor Sie handeln, das praktische Band zu beiden Seiten des Ziels. Kapazität ist das absolute Maximum, das die Organisation absorbieren könnte, bevor ihre Lebensfähigkeit bedroht ist, unabhängig davon, was sie will. Sie legen den Appetit absichtlich unterhalb der Kapazität fest und lassen Spielraum, und Sie drücken die Toleranz aus, damit die alltägliche Schwankung nicht jedes Mal eine Krisensitzung auslöst.
| Konzept | Frage, die es beantwortet | Wer trägt die Verantwortung |
|---|---|---|
| Risikoappetit | Wie viel Risiko wollen wir eingehen, um unsere Ziele zu erreichen? | Gremium / Geschäftsleitung |
| Risikotoleranz | Wie viel Abweichung um diesen Appetit akzeptieren wir, bevor wir handeln? | Geschäftsleitung / Risikoeigner |
| Risikokapazität | Was ist das Höchste, das wir absorbieren könnten, bevor die Lebensfähigkeit auf dem Spiel steht? | Gremium (eine harte Grenze) |
Wie es in den Standards auftaucht
In ISO 31000 ist der Risikoappetit Teil des Rahmenwerks, das die Führung etabliert, wenn sie sich verpflichtet, Risiko zu steuern: Von der obersten Leitung und den Aufsichtsgremien wird erwartet, dass sie definieren und kommunizieren, wie viel Risiko die Organisation einzugehen bereit ist. ISO 27005 und das Informationssicherheits-Managementsystem ISO 27001 stützen sich über die Risikokriterien auf dieselbe Idee: Bevor Sie ein Risiko bewerten können, brauchen Sie vereinbarte Kriterien dafür, was akzeptabel ist, und diese Kriterien sind der operativ gemachte Appetit. Der Appetit liegt der Bewertung vorgelagert, und die Kriterien sind die Art und Weise, wie er konsistent auf jedes Risiko angewendet wird.
Der Appetit ist kein Plakat an der Wand. Er verdient seinen Platz erst, wenn er in den Rest des Zyklus eingebunden ist. Der Schritt der Risikobewertung vergleicht jedes analysierte Risiko mit den vom Appetit abgeleiteten Kriterien, um zu entscheiden, ob Handlung erforderlich ist.
Die Risikobehandlungsentscheidung, vermeiden, vermindern, übertragen oder akzeptieren, wird mit Verweis auf ihn begründet: Ein innerhalb des Appetits akzeptiertes Risiko erfordert nur eine dokumentierte, autorisierte Akzeptanz, während ein Risiko oberhalb des Appetits eine Behandlung oder eine formelle, eskalierte Freigabe verlangt. Das Risikoregister hält fest, wo jeder Eintrag relativ zum Appetit steht und wer was akzeptiert hat.
Wenn Auditoren Behandlungsentscheidungen finden, die niemand auf einen erklärten Appetit zurückführen kann, ist das die Lücke, die die gesamte Bewertung zum Einsturz bringt.
In der Praxis wird der Appetit überprüft, nicht in Stein gemeißelt. Er wird erneut betrachtet, wenn sich Ziele ändern, nach größeren Vorfällen und im Rahmen der Managementbewertung, denn ein für die Strategie des letzten Jahres festgelegter Appetit lenkt die Entscheidungen dieses Jahres still und leise in die Irre. Die Disziplin besteht darin, ihn explizit zu halten, ihn an der Spitze verantwortet zu halten und ihn mit den Kriterien verbunden zu halten, die das Team tatsächlich verwendet.
Häufig gestellte Fragen
01Was ist der Unterschied zwischen Risikoappetit und Risikotoleranz?
Der Appetit ist die Menge und Art des Risikos, das die Organisation eingehen will, um ihre Ziele zu erreichen. Die Toleranz ist die Abweichung, die sie um diesen Appetit herum akzeptieren wird, bevor sie handelt. Der Appetit ist das Ziel; die Toleranz ist das akzeptable Band darum herum.
02Wer sollte den Risikoappetit festlegen?
Das Gremium oder die Geschäftsleitung, denn der Appetit ist eine Erklärung darüber, wie viel Exposition die Organisation akzeptieren wird, um ihre Ziele zu verfolgen. Das Risiko- oder Sicherheitsteam wendet ihn an, kann ihn aber nicht rechtmäßig allein erfinden.
03Muss er schriftlich festgehalten werden?
Ja. Ein unschriftlicher Appetit bedeutet, dass jede Behandlungsentscheidung ein persönliches Urteil ist, das niemand formell autorisiert hat, was Auditoren und Gremien infrage stellen werden. Eine dokumentierte, verantwortete Appetit-Erklärung ist das, was diese Entscheidungen vertretbar macht.
04Wie verhält sich der Risikoappetit zu den Risikokriterien in ISO 27005?
Risikokriterien sind der operativ gemachte Appetit. Der Appetit definiert, wie viel Risiko akzeptabel ist; die Kriterien sind die vereinbarten Schwellenwerte, die das Team verwendet, um jedes Risiko konsistent gegen diesen Appetit zu bewerten.
05Wie oft sollte der Risikoappetit überprüft werden?
Immer dann, wenn sich Ziele oder Kontext erheblich ändern, nach größeren Vorfällen und als Teil der Managementbewertung. Ein für eine alte Strategie festgelegter Appetit wird die aktuellen Entscheidungen still und leise in die falsche Richtung lenken.