Inhärentes Risiko vs. Aktuelles Risiko: Schluss mit grauer Theorie, her mit der Praxis!

Kommt Ihnen das bekannt vor? Sie starten einen neuen Zyklus im Risikomanagement und stecken sofort in Grundsatzdiskussionen über Begriffe wie das inhärente Risiko fest. Solche Debatten führen zu absurden Gedankenspielen, bremsen Ihre GRC-Prozesse aus und lassen die Akzeptanz in den Fachabteilungen schwinden. Das Risikomanagement wird so zur realitätsfernen Pflichtübung. Ich plädiere für einen pragmatischen Ansatz: Beginnen Sie beim aktuellen Risiko. Dieser Fokus auf die Realität ist nachvollziehbar, steigert die Effizienz und beantwortet die entscheidende Frage: Ist unser Schutz ausreichend? So wird das Risikomanagement zum strategischen Partner statt als Bremser wahrgenommen zu werden.
ahaufnahme einer rauen Betonwand in Schwarz-Weiß, auf die handschriftlich die Frage "WHY NOT?" geschrieben wurde.
by Steffen Schürg
on September 11, 2025

Kommt Ihnen das bekannt vor? Sie starten einen neuen Zyklus im Risikomanagement, und schon nach kurzer Zeit stecken Sie in Grundsatzdiskussionen fest. Es geht um Begriffe wie Bruttorisiko, Nettorisiko, inhärentes Risiko und Restrisiko oder auch „Inherent risk assessment“, „residual Risk“ oder „Restrisikoanalyse“. Insbesondere das inhärente Risiko – also das Risiko in seiner reinen Form, ohne jegliche Gegenmaßnahmen – sorgt regelmäßig für Kopfschütteln in den Fachabteilungen und bremst effiziente GRC Prozesse.

Frameworks wie COSO, aber auch die neuen Anforderungen aus CSRD und EFRAG, fordern diese Betrachtung, um die Wirksamkeit von Kontrollen zu messen. Theoretisch einleuchtend, praktisch führt es aber zu absurden Gedankenspielen: „Was wäre das Risiko ohne Zugangskontrollen im Rechenzentrum, ohne Luftfilter in der Produktion oder ohne Passwörter?“. Solche Diskussionen sind rein theoretisch und lassen einem als Praktiker die Haare zu Berge stehen.

Ich habe in meiner Laufbahn noch kein Unternehmen gesehen, das ohne grundlegende Schutzmechanismen arbeitet. Und genau deshalb wirkt diese Diskussionen so weltfremd und wir müssen uns nicht wundern, wenn die Fachabteilung in Produktion, Einkauf, IT und Vertrieb nicht mehr mit uns Risikomanagern sprechen möchten. Sie führen dazu, dass das Risikomanagement als theoretische Pflichtübung zur Einhaltung von Compliance-Anforderungen wahrgenommen wird, die von der eigentlichen Arbeit abhält und die Akzeptanz des gesamten Prozesses untergräbt.

Der bessere Startpunkt: Das aktuelle Risiko

Anstatt sich in theoretischen Konstrukten zu verlieren, plädiere ich für einen pragmatischen Ansatz: Beginnen Sie ihren Risikomanagement-Prozess dort, wo Sie heute stehen – beim aktuellen Risiko (current risk). Das „current risk“ beschreibt die tatsächliche Risikolage unter Berücksichtigung aller bereits implementierten und wirksamen Kontrollen. Obwohl es dem Restrisiko (residual risk) ähnelt, ist der Begriff „aktuell“ für die Praxis greifbarer. Er suggeriert nicht wie „Restrisiko“, dass nichts mehr getan wird. Vielmehr bildet es den Status quo der Risikosituation ab. Auf Basis des aktuellen Risikos können nämlich weitere Maßnahmen zur reduktion des Risikos entwickelt werden. Liegt das operationelle Risiko noch weiter über dem Risikoappetit der Organisation können weitere Maßnahmen und Kontrollen implementiert werden.

Dieser Fokus auf die Realität hat entscheidende Vorteile:

  • Nachvollziehbarkeit: Jeder Beteiligte kann auf Basis der existierenden Prozesse und Systeme mitdenken.
  • Hohe Relevanz: Er beantwortet die für das Management zentrale Frage: „Ist unser Schutz ausreichend oder müssen wir weitere Maßnahmen etablieren bzw. bestehende Maßnahmen aktualisieren?“
  • Gesteigerte Effizienz: Er verhindert zeitraubende Debatten über Szenarien, die niemals eintreten werden.

Vom Ist zum Soll: Maßnahmen mit messbarem Nutzen

Auf Basis des aktuellen Risikos wird der weitere Weg klar. Ist das Risiko noch zu hoch, definieren wir zusätzliche Maßnahmen. Das Ergebnis nach deren erfolgreicher Umsetzung ist unser geplantes Risiko oder Ziel-Risiko.

Dieser Ansatz macht den Wert von Maßnahmen direkt sichtbar. Die Reduktion vom aktuellen zum geplanten Risiko ist der konkrete Nutzen Ihrer Investition. Moderne GRC-Software unterstützt diesen Prozess: Eine als wirksam getestete Maßnahme kann dabei automatisch zu einer Neubewertung des Risikos führen, ohne dass jedes Mal der gesamte Assessment-Prozess neu zu starten.

Und was sagt der Auditor? Das inhärente Risiko clever abbilden

Natürlich bleibt die Anforderung der Auditoren und bestimmter Standards bestehen. Doch auch hier gibt es einen praxisnahen Weg. Statt eine Welt ohne alle Kontrollen zu simulieren, konzentrieren Sie sich auf das Wesentliche. Eine Möglichkeit ist ein Ansatz, der auch von Organisationen wie dem FAIR Institute unterstützt wird, ist die Betrachtung des Risikos beim Ausfall von Schlüsselkontrollen.

  1. Starten Sie mit dem aktuellen Risiko.
  2. Identifizieren Sie die Kronjuwelen Ihrer Abwehr: Welche 3-5 Kontrollen sind für die Risikominderung absolut entscheidend (z. B. Firewall, Backup, zentrale Authentifizierung)?
  3. Simulieren Sie nur deren Ausfall: Wie hoch wäre das Risiko, wenn genau diese kritischen Maßnahmen versagen?

Das Ergebnis ist eine realistische und verteidigbare Einschätzung Ihres inhärenten Risikos. Sie erfüllen die Compliance-Anforderung und führen gleichzeitig eine wertvolle Diskussion, die direkt in Ihr Notfall- und Resilienzmanagement einzahlt. Sie wissen, wo es wirklich wehtut, wenn etwas schiefgeht.

Alternativ kann das inhärente Risiko losgelöst vom regulären Risikoprozess als einmalige Aufgabe betrachtet werden. Mit Erfahrung lässt sich eine Vorgehensweise gestalten, die auch Ihren Auditor zufrieden stellt.

Fazit: Risikomanagement muss der Praxis dienen

Ein pragmatischer Ansatz, der beim aktuellen Risiko ansetzt sorgt für deutliche Akzeptanz bei der Fachabteilung und positioniert den Risikomanager als Berater für die Organisation. So wird das Risikomanagement in die strategische Unternehmenssteuerung eingebunden, anstatt als Bremser wahrgenommen zu werden.

Helfen sie Ihrem Management, sich auf die wirklich relevanten Themen, Risiken, Chancen und Maßnahmen zu konzentrieren, statt Zeit im realitätsferne „Elfenbeinturm“ zu verlieren.

Ich helfe Ihnen, Ihr Risikomanagement praxistauglich zu gestalten und eine gute Herangehensweise für Sie und Ihre Stakeholder zu finden. Gerne unterstütze ich Sie auch bei der Auswahl passender GRC-Software und der technologischen Abbildung Ihrer Prozesse.

Categories:

ComplianceRisikomanagement

Tags:

Aktuelles RisikoAuditbetriebliche ResilienzComplianceCOSOCSRDEFRAGGRCGRC-SoftwareInhärentes RisikoMaßnahmenmanagementNotfallmanagementoperationelles RisikoRestrisikoRisikobewertungRisikokulturRisikomanagementRisikomanagement-ProzessRisikosteuerungUnternehmenssteuerung

No responses yet

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz
Impressum | Datenschutzerklärung
Flagge Deutsch
Flagge Deutsch
INRI Management Consulting GmbH, Inhaber: Steffen Schürg (Firmensitz: Deutschland), würde gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Datenschutz
Impressum | Datenschutzerklärung
Flagge Deutsch
Flagge Deutsch
INRI Management Consulting GmbH, Inhaber: Steffen Schürg (Firmensitz: Deutschland), würde gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Analyse / Statistik (1 Dienst)
Anonyme Auswertung zur Fehlerbehebung und Weiterentwicklung
Google Analytics
Google LLC, USA
ⓘ Alle Details
ⓘ Alle Details