Inhärentes Risiko
Was ist Inhärentes Risiko?
Inhärentes RisikoRisikoniveau einer Aktivität oder eines Werts vor Anwendung jeglicher Kontrollen oder Mitigationen; es spiegelt die unmittelbare Exposition gegenüber Bedrohungen wider.
Das inhärente Risiko ist der Ausgangspunkt der Risikoanalyse: Eintrittswahrscheinlichkeit und Auswirkung eines Bedrohungsszenarios unter der Annahme, dass keine Kontrollen existieren. Es hilft, die natürliche Exposition einer Geschäftsaktivität (z. B. Online-Kartenzahlung oder Verwaltung regulierter Gesundheitsdaten) zu verstehen und über Portfolios zu vergleichen. Risikofachleute nutzen es, um den Umfang notwendiger Kontrollen zu dimensionieren und zu beurteilen, ob Gestaltung und Betrieb bestehender Kontrollen das Restrisiko unter den Appetit drücken. ISO/IEC 27005 und COSO ERM unterscheiden ausdrücklich zwischen inhärentem und Restrisiko, damit Kontrollen nicht doppelt angerechnet werden.
● Beispiele
- 01
Inhärentes Risiko, Millionen von Zahlungskarten in einer stark frequentierten E-Commerce-Plattform zu halten.
- 02
Inhärentes Risiko des Betriebs kritischer Infrastrukturen, die nationalstaatlichen Akteuren ausgesetzt sind.
● Häufige Fragen
Was ist Inhärentes Risiko?
Risikoniveau einer Aktivität oder eines Werts vor Anwendung jeglicher Kontrollen oder Mitigationen; es spiegelt die unmittelbare Exposition gegenüber Bedrohungen wider. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet Inhärentes Risiko?
Risikoniveau einer Aktivität oder eines Werts vor Anwendung jeglicher Kontrollen oder Mitigationen; es spiegelt die unmittelbare Exposition gegenüber Bedrohungen wider.
Wie funktioniert Inhärentes Risiko?
Das inhärente Risiko ist der Ausgangspunkt der Risikoanalyse: Eintrittswahrscheinlichkeit und Auswirkung eines Bedrohungsszenarios unter der Annahme, dass keine Kontrollen existieren. Es hilft, die natürliche Exposition einer Geschäftsaktivität (z. B. Online-Kartenzahlung oder Verwaltung regulierter Gesundheitsdaten) zu verstehen und über Portfolios zu vergleichen. Risikofachleute nutzen es, um den Umfang notwendiger Kontrollen zu dimensionieren und zu beurteilen, ob Gestaltung und Betrieb bestehender Kontrollen das Restrisiko unter den Appetit drücken. ISO/IEC 27005 und COSO ERM unterscheiden ausdrücklich zwischen inhärentem und Restrisiko, damit Kontrollen nicht doppelt angerechnet werden.
Wie schützt man sich gegen Inhärentes Risiko?
Schutzmaßnahmen gegen Inhärentes Risiko kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Inhärentes Risiko?
Übliche alternative Bezeichnungen: Bruttorisiko, Risiko vor Kontrollen.
● Verwandte Begriffe
- compliance№ 923
Restrisiko
Das Risiko, das nach der Umsetzung geplanter Kontrollen und Behandlungsmaßnahmen verbleibt und das die Organisation akzeptieren, übertragen oder weiter behandeln muss.
- compliance№ 935
Risikobewertung
Strukturierte Aktivität innerhalb des Risikomanagements, die Bedrohungen, Schwachstellen und Auswirkungen auf konkrete Werte identifiziert und das resultierende Risiko zur Entscheidungsfindung bewertet.
- compliance№ 936
Risikomanagement
Der koordinierte Prozess zur Identifikation, Analyse, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken, um sie innerhalb der von der Organisation definierten Toleranz zu halten.
- compliance№ 937
Risikoregister
Lebendiges Verzeichnis identifizierter Risiken mit Beschreibung, Eigentümer, Bewertungen, Behandlung und Status, mit dem die Risikoexposition der Organisation im Zeitverlauf nachgehalten wird.
- compliance№ 888
Qualitative Risikoanalyse
Analyseansatz, der Eintrittswahrscheinlichkeit und Auswirkung über deskriptive Skalen wie niedrig/mittel/hoch oder 1-5 bewertet, statt monetärer oder probabilistischer Werte.
- compliance№ 889
Quantitative Risikoanalyse
Analyseansatz, der Eintrittswahrscheinlichkeit und Auswirkung in Zahlen ausdrückt - meist als Wahrscheinlichkeiten und Verlustverteilungen - um datenbasierte Entscheidungen zu ermöglichen.