Home

Restrisiken

Restrisiken bezeichnen im Risikomanagement die Risiken, die trotz ergriffener Maßnahmen verbleiben. Sie entstehen durch verbleibende Gefährdungen, Unsicherheiten, Unvollständigkeit von Kontrollen und unbekannte zukünftige Ereignisse. Im Gegensatz zum inhärenten Risiko, das vor Maßnahmen existiert, ist das Restrisiko das verbleibende Risiko nach Risikobehandlung. Ob ein Restrisiko akzeptabel ist, hängt von der Risikobereitschaft (Risk Appetite) und den festgelegten Akzeptanzkriterien ab.

Prozessuell ergibt sich das Restrisiko aus dem Risikomanagementzyklus nach Standards wie ISO 31000: Zunächst werden Risiken

Reduktionsoptionen umfassen zusätzliche Kontrollen, Redundanzen, Designänderungen, verbesserte Überwachung, Notfallpläne oder Versicherung. Der Status des Restrisikos kann

Beispiele finden sich in IT-Sicherheit nach Patch-Management, in der Fertigung nach implementierten Sicherheitsvorkehrungen oder in der

identifiziert,
analysiert
und
bewertet;
danach
erfolgt
die
Behandlung
durch
Maßnahmen
zur
Risikominderung.
Nach
der
Umsetzung
wird
das
verbleibende
Risiko
erneut
bewertet,
dokumentiert
und
gegebenenfalls
akzeptiert
oder
weiter
reduziert.
Die
Messung
erfolgt
sowohl
qualitativ
(Risikomatrix,
Begriffe
wie
niedrig–hoch)
als
auch
quantitativ
(Wahrscheinlichkeit,
Schadenshöhe,
erwarteter
Verlust).
sich
ändern,
wenn
sich
Rahmenbedingungen,
Bedrohungen
oder
die
Wirksamkeit
von
Kontrollen
ändern.
In
sicherheitsorientierten
Bereichen
gilt
oft
das
Prinzip
ALARP
(as
low
as
reasonably
practicable):
Das
Restrisiko
muss
so
weit
wie
vernünftig
praktikabel
reduziert
werden.
Medizinprodukte-
und
Umwelttechnik
nach
Risikoreduktionsmaßnahmen.
Das
Verständnis
von
Restrisiken
unterstützt
Entscheidungen
zu
Investitionen,
Risikominimierung,
Dokumentation
und
Aufsichtskonformität.