Risikotoleranz
Was ist Risikotoleranz?
RisikotoleranzDie akzeptable Bandbreite um ein konkretes Ziel oder eine Risikokategorie, ausgedrückt als quantitative oder qualitative Grenzwerte, die aus dem Risikoappetit abgeleitet werden.
Die Risikotoleranz übersetzt den strategischen Risikoappetit in operative Grenzen, die Teams überwachen und durchsetzen können. Während Appetit qualitativ und übergreifend formuliert ist, ist Toleranz granularer: maximal akzeptable Ausfallzeit, monetäre Verlustschwellen, zulässige Anzahl schwerwiegender Vorfälle pro Jahr oder Kapitalquoten. Das Überschreiten einer Toleranz löst Eskalation, zusätzliche Behandlung oder eine Governance-Überprüfung aus. Klar definierte Toleranzen ermöglichen konsistente Entscheidungen in Projekten, Lieferantenfreigaben und Incident Response und liefern messbare Nachweise für Aufsicht und Audit. ISO 31000, COSO ERM und Basel-Operational-Risk unterscheiden sorgfältig zwischen Appetit, Toleranz und Tragfähigkeit.
● Beispiele
- 01
Maximal tolerierbare Ausfallzeit von 4 Stunden für Tier-1-Kundenservices.
- 02
Höchstens 2 hochkritische Datenschutzvorfälle pro Geschäftsjahr.
● Häufige Fragen
Was ist Risikotoleranz?
Die akzeptable Bandbreite um ein konkretes Ziel oder eine Risikokategorie, ausgedrückt als quantitative oder qualitative Grenzwerte, die aus dem Risikoappetit abgeleitet werden. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet Risikotoleranz?
Die akzeptable Bandbreite um ein konkretes Ziel oder eine Risikokategorie, ausgedrückt als quantitative oder qualitative Grenzwerte, die aus dem Risikoappetit abgeleitet werden.
Wie funktioniert Risikotoleranz?
Die Risikotoleranz übersetzt den strategischen Risikoappetit in operative Grenzen, die Teams überwachen und durchsetzen können. Während Appetit qualitativ und übergreifend formuliert ist, ist Toleranz granularer: maximal akzeptable Ausfallzeit, monetäre Verlustschwellen, zulässige Anzahl schwerwiegender Vorfälle pro Jahr oder Kapitalquoten. Das Überschreiten einer Toleranz löst Eskalation, zusätzliche Behandlung oder eine Governance-Überprüfung aus. Klar definierte Toleranzen ermöglichen konsistente Entscheidungen in Projekten, Lieferantenfreigaben und Incident Response und liefern messbare Nachweise für Aufsicht und Audit. ISO 31000, COSO ERM und Basel-Operational-Risk unterscheiden sorgfältig zwischen Appetit, Toleranz und Tragfähigkeit.
Wie schützt man sich gegen Risikotoleranz?
Schutzmaßnahmen gegen Risikotoleranz kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Risikotoleranz?
Übliche alternative Bezeichnungen: Toleranzgrenzen, Risikogrenzwerte.
● Verwandte Begriffe
- compliance№ 934
Risikoappetit
Gesamtmenge und Art des Risikos, das eine Organisation zur Verfolgung ihrer strategischen Ziele anzunehmen oder einzugehen bereit ist, festgelegt durch Vorstand und obere Führung.
- compliance№ 936
Risikomanagement
Der koordinierte Prozess zur Identifikation, Analyse, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken, um sie innerhalb der von der Organisation definierten Toleranz zu halten.
- compliance№ 383
Unternehmensweites Risikomanagement (ERM)
Integrierter, unternehmensweiter Ansatz zur Identifikation, Steuerung und Behandlung strategischer, finanzieller, operativer, regulatorischer und Cyber-Risiken im Einklang mit den Geschäftszielen.
- compliance№ 923
Restrisiko
Das Risiko, das nach der Umsetzung geplanter Kontrollen und Behandlungsmaßnahmen verbleibt und das die Organisation akzeptieren, übertragen oder weiter behandeln muss.
- compliance№ 939
Risikobehandlung
Entscheidung und Maßnahmen zur Veränderung eines Risikos, typischerweise durch Akzeptieren, Mindern, Übertragen oder Vermeiden, auf Basis der Risikokriterien der Organisation.
- compliance№ 937
Risikoregister
Lebendiges Verzeichnis identifizierter Risiken mit Beschreibung, Eigentümer, Bewertungen, Behandlung und Status, mit dem die Risikoexposition der Organisation im Zeitverlauf nachgehalten wird.