GH GambleHub

Risikobewertung und Priorisierung

1) Ziel und Ergebnisse

Ziel ist es, die Risikobewertung und -einstufung reproduzierbar und überprüfbar zu machen, so dass Entscheidungen über Budgets/Termine/Ressourcen:
  • vergleichbar (einheitliche Skalen und Formeln),
  • transparent (Datenquellen und Annahmen werden dokumentiert),
  • messbar (Metriken und KRIs sind an Kontrollen und Vorfälle gebunden),
  • ausführbar (jedes Risiko entspricht einem CAPA/Waiver-Plan mit Ablaufdatum).

Exits: einheitliches Risikoregister, priorisierter Maßnahmenbacklog, Heatmaps, Residualrisikoberichte, „audit-ready“ Artefakte.

2) Begriffe und Risikostufen

Inherent Risk - Risiko ohne Berücksichtigung der Kontrollen.
Residual Risk - Risiko unter Berücksichtigung aktueller Kontrollen (verifiziert durch ToD/ToE/CCM).
Zielrisiko - Zielniveau nach SARA/Ausgleichsmaßnahmen.
Likelihood (L) - Wahrscheinlichkeit des Auftretens eines Szenarios im Bewertungshorizont.
Impact (I) ist die größte von: Finanzen, Lizenzen/Recht, Datenschutz/Daten, Betrieb/SLO, Reputation.
KRIs sind Risikoindikatoren, die L/I beeinflussen (z. B. dsar_response_p95, Chargeback-Verhältnis).

3) Skalen und Basismodelle

3. 1 Diskrete Matrix (5 × 5 oder 4 × 4)

Score = L × I → Bereich 1-25 (oder 1-16).

Kategorien (Beispiel 5 × 5):
  • 20–25 = Critical, 12–19 = High, 6–11 = Medium, 1–5 = Low.
  • Die Schwellenwerte werden in der „Scoring Policy“ veröffentlicht und gelten durchgängig für alle Domains.
Likelihood-Skala (Beispiel, 5 Stufen):
  • 1 - alle> 3 Jahre; 2 - alle 1-3 Jahre; 3 - jährlich; 4 - vierteljährlich; 5 - monatlich/häufiger.
Impact-Skala (nach max-Kriterium, Beispiel):
  • 1 — <€10k; 2 — €10–100k; 3 — €100–300k; 4 — €300k–€1m; 5 — >€1m; bei Rechts-/Lizenzrisiken steigt das Niveau auf mindestens 4-5.

3. 2 Quantitative Modelle

ALE (Annualized Loss Expectancy): „ALE = SLE × ARO“, wobei „SLE“ der durchschnittliche Schaden pro Ereignis ist, „ARO“ die erwartete Häufigkeit pro Jahr.
FAIR-Ansatz (vereinfacht): Wir simulieren die Frequenz (Threat Event Frequency) und den Verlustbetrag (Loss Magnitude), verwenden Perzentile (p50/p95), um eine Entscheidung zu treffen.
Monte Carlo: Verteilungen für Frequenz und Schaden (Lognorm/Gamma, etc.), 10-100k Läufe → Verlustkurven (loss exceedance curve). Anwendung für die teuersten/regulatorisch kritischen Risiken.

Empfehlung: 80% der Fälle - Matrix 5 × 5, 20% (Top-Risiken) - ALE/FAIR/Monte Carlo.

4) Rest- und Zielrisiko

1. Berechnen Sie den Inherent anhand von Annahmen „ohne Kontrollen“.
2. Berücksichtigen Sie die Wirksamkeit bestehender Kontrollen (verifiziert durch ToD/ToE/CCM) → Residual.
3. Bestimmung des Ziels unter Berücksichtigung der geplanten SARA/Ausgleichsmaßnahmen und des Zeitpunkts der Erreichung.
4. Wenn Target die Toleranzschwelle (risk appetite) ≤ - ok; falls nicht, ist ein Waiver mit Ablaufdatum und Ausgleichskontrollen erforderlich.

5) Datenquellen und Beweise

Metriken und KRIs (Dashboards, Protokolle, Incident Reports).
Testergebnisse von Kontrollen (CCM), Audits (intern/extern).
Anbieterberichte: SLAs/Zertifikate/Vorfälle/Änderungen von Datenstandorten.
Finanzanalyse: Strafen, Chargeback, Fraud Loss%.
Jeder Bewertung folgen Links zu evidence mit Zeitstempel und Hash-Quittung (WORM).

6) Priorisierung von Initiativen (Risiko → Aktion)

6. 1 RICE (Risikoanpassung)

`RICE = (Reach × Impact_adj × Confidence) / Effort`

Reichweite - Wie viele Kunden/Transaktionen/Gerichtsbarkeiten betroffen sind.
Impact_adj - transformiert I (oder ALE/Verlust p95).
Confidence - Zuverlässigkeit der Schätzungen (0. 5/0. 75/1. 0).
Effort - Mannwochen/Kosten.
RICE-Sortierung → schnelle Gewinne nach oben.

6. 2 WSJF, risikobereinigt

`WSJF = Cost of Delay / Job Size`, где

`Cost of Delay = Risk Reduction + Time Criticality + Business Value`.

Risikoreduktion - erwarteter Rückgang von Residual/ALE.
Time Criticality - Fristen für Regulatoren/Audits.
Business Value - Einnahmen/Einsparungen, Kundenvertrauen.

6. 3 Ordnungspolitische Priorität

Wenn das Risiko mit Lizenzen/Gesetz verbunden ist und es eine enge Frist gibt - fällt es automatisch in Critical/High, unabhängig vom „wirtschaftlichen“ Scoring.

7) Schwellenregeln und Eskalationen

Kritisch: sofortige Triage, CAPA ≤ 30 Tage, Re-Audit in 60-90 Tagen; Das wöchentliche Komitee.
High: CAPA ≤ 60 Tage, Beobachtung 90 Tage.
Medium: Aufnahme in den Quartalsplan.
Niedrig: Überwachung + „Tech-Schulden“ Slot-Fähigkeit.
KRI-Schwellenwerte: Amber (Warnung) und Red (obligatorische Eskalation und CAPA).

8) Rollen und RACI

AktivitätRACI
Scoring-TechnikRisk Office / Compliance EngHead of RiskLegal/DPO, FinanceInternal Audit
Bewertung spezifischer RisikenRisk OwnersHead of FunctionControl Owners, DataCommittee
Verifizierung von KontrollenCompliance / Internal AuditHead of ComplianceSecOpsBoard
Priorisierung von InitiativenCompliance OpsHead of ComplianceProduct/FinanceExec
Überwachung der KRI/DashboardsCompliance AnalyticsHead of ComplianceData PlatformExec/Board

9) Dashboards

Risk Heatmap: Matrix 5 × 5, Filter nach Domain/Land/Anbieter.

Risk Funnel: Inherent → Residual → Target

Top-N by ALE/p95 Loss: Quantitative Risiken.
KRI Watchlist: Indikatoren und Schwellen, Amber/Red Alarme.
CAPA Impact: erwarteter/tatsächlicher Rückgang; zeitliche Fortschritte.
Waivers: geltende Ausnahmen, Fristen und Ausgleichsmaßnahmen.

10) Leistungskennzahlen

Risikoreduktionsindex: ∆ des gewichteten Durchschnitts der Risikobewertung (Quartal/Quartal).
On-time CAPA:% der Maßnahmen auf Zeit (nach Severity).
Repeat Findings (12 Monate): Anteil der wiederholten Verstöße.
Evidence Completeness:% -Risiko mit Komplettpaket (100% -Ziel für High +).
Prediction Accuracy: Diskrepanz zwischen geschätzten und tatsächlichen Verlusten/Frequenzen.
Time-to-Triage / Time-to-Plan / Time-to-Target.

11) SOP (Standardverfahren)

SOP-1: Initialisierung und Skalen

Festlegung von L/I-Skalen und Kategorieschwellen → Genehmigung im Ausschuss → Festlegung im Repository (Versionierung).

SOP-2: Vierteljährliche Neubewertung

Sammlung von KRIs/Vorfällen → Neuberechnung von L/I/ALE → Revue durch die Eigentümer → Ausschusspriorisierung → Veröffentlichung der Roadmap.

SOP-3: Auslösender Vorfall

Bei Critical/High ist der Vorfall eine ungeplante Neuberechnung, Anpassung der CAPA und der Prioritäten.

SOP-4: Quantitative Analyse (Top-Risiken)

Vorbereitung der Eingangsverteilungen → Monte Carlo (≥10k Läufe) → Verlustkurven → Entscheidung des Ausschusses.

SOP-5: Archiv und Beweise

Export von Slices (CSV/PDF) + Hash-Quittungen → WORM-Archiv → Links in GRC-Karten.

12) Vorlagen und „as-code“

12. 1 Scoring-Politik (Fragment)


scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"

12. 2 Risikokarte (YAML)

yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]

12. 3 Priorisierung (Beispiel WSJF)

yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 2

13) Ausgleichsmaßnahmen und Waiver

Wenn ein Quick Fix nicht möglich ist:
  • Einführung von Kompensationskontrollen (manuelle Kontrollen, Grenzwerte, zusätzliche Überwachung) mit Leistungskennzahlen;
  • Wir machen waiver mit dem Ablaufdatum, dem Eigentümer und dem Ersatzplan;
  • obligatorisches Re-Audit in 30-90 Tagen.

14) Antipatterns

„Schöne Matrix“ ohne Bezug zu KRI/Kontrollen/Vorfällen.
Schwimmende Skalen und „manuelle Abstimmung“ für das gewünschte Ergebnis.
Keine Versionierung von Berechnungen und Annahmen.
Seltene Revisionen → Karte spiegelt nicht die Realität wider.
Waivers ohne Ablaufdatum und Ausgleichsmaßnahmen.
Keine quantitative Analyse für Top-Risiken.

15) Reifegradmodell (M0-M4)

M0 Ad-hoc: Bewertungen „on the eye“, keine einheitliche Politik.
M1 Geplant: Matrix 5 × 5, vierteljährliche Updates, grundlegende Dashboards.
M2 Managed: Kommunikation mit KRI/CCM, CAPA-Link, WORM-Evidence.
M3 Integriert: ALE/FAIR/Monte Carlo für Top-Risiken, WSJF/RICE in Roadmap, CI/CD-Gates.
M4 Continuous Assurance: prädiktive KRIs, Auto-Neuberechnung, Empfehlungsprioritäten und „Evidence-by-Design“.

16) Verwandte Artikel wiki

Thermische Risikokarte

Risikobasiertes Audit (RBA)

KPIs und Compliance-Kennzahlen

Kontinuierliche Compliance-Überwachung (CCM)

Pläne zur Behebung von Verstößen (CAPA)

Richtlinien- und Regelwerk

Compliance Roadmap

Externe Prüfungen durch externe Prüfer

Summe

Risikoscoring und Priorisierung ist eine Ingenieurdisziplin, keine Kunst: stabile Skalen und Richtlinien, nachweisbare Daten, quantitative Methoden für Top-Risiken, explizite Schwellenwerte und Eskalationen sowie eine direkte Verknüpfung mit CAPA und Roadmap. Dieser Ansatz macht Entscheidungen vorhersehbar, beschleunigt Abstimmungen und reduziert das kumulative Geschäftsrisiko.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.