Risiko-Portfolios bzw. -Matrizen visualisieren die aktuelle Risikoposition auf Gesamtunternehmensebene, aber auch von Unternehmensteilbereichen, Geschäftsfeldern sowie Risikoarten. Basierend auf dem Prinzip der Portfolio-Analyse stellen sie, unter Verwendung eines Koordinatensystems, z. B. die zentralen Risikoparameter Schadenshöhe und Eintrittswahrscheinlichkeit gegenüber. Die Abschätzung letzterer kann dabei unter Verwendung verschiedener Bewertungsmethoden (z. B. Fragebögen, Interviews) erfolgen. Je nach Art der zugrunde liegenden Datenbasis ist zwischen quantitativen und qualitativen Risiko-Portfolios zu differenzieren. Abbildung 2 zeigt ein quantitatives Risiko-Portfolio. Auch veranschaulichen Risiko-Portfolios die Zusammensetzung der Gesamtrisikoposition, d. h. ob letztere durch viele kleine oder wenige große Einzelrisikopositionen determiniert wird.
Abb. 2: Quantitatives Risiko-Portfolio
Priorisierung und Maßnahmen ableiten
Ihre übersichtliche Darstellung ermöglicht das unmittelbare Ableiten grundlegender Handlungsmaßnahmen. Konkrete gegensteuernde Maßnahmen bedürfen jedoch einer Konkretisierung der Einzelrisikopositionen. Demnach wären die dargestellten sechs Risiken wie folgt zu adressieren: Während Risiko 5 aufgrund seines geringen Einflusses auf die Gesamtrisikoposition keinerlei Aufmerksamkeit bedarf, sollte für Risiko 2 und insbesondere Risiko 6 über Maßnahmen zur Reduktion der Anzahl der Risikoarten als auch der Eintrittswahrscheinlichkeit diskutiert werden. Denn auch eine Kumulation vieler kleiner Schäden mit hoher Eintrittswahrscheinlichkeiten kann ein Unternehmen maßgeblich bedrohen. Dagegen sind für Risiko 3 und 4 vordergründig Ansätze zur Minderung der Schadensintensität zu verfolgen. Unverzüglich sollte bei Risiko 1 gehandelt werden. Sowohl Schadensausmaß als auch Eintrittswahrscheinlichkeit sind verhältnismäßig schwerwiegend bzw. hoch; Maßnahmen zur Reduktion beider Risikoparameter sind angebracht. Ist eine aktive Steuerung dieser Risiken nicht möglich, sollten diese doch zumindest in regelmäßigen Abständen überprüft werden.
Abbildung 2 zeigt des Weiteren eine Risiko- oder Toleranzschwelle. Diese symbolisiert die Grenze der Risikotragfähigkeit: Liegt ein Einzelrisiko jenseits dieser, besteht aufgrund seiner schwerwiegenden Auswirkungen Handlungsbedarf. Eine Priorisierung und Selektion der Einzelrisiken für weiterführende Informationszwecke ist möglich.
Zusammenhänge werden nicht sichtbar
Da durch Risiko-Matrizen die Einzelrisiken letztendlich punktuell und ohne Berücksichtigung möglicher Risikointerdependenzen dargestellt werden, sollte ihre Aussagekraft nicht überbewertet werden. Durch eine isolierte Betrachtung ist nicht ersichtlich, ob zunächst als "vernachlässigbar" klassifizierte Risiken durch Kumulation bestandsgefährdend werden könnten. Eine ähnliche Problematik ergibt sich bei der Zusammenführung einzelner Risiko-Matrizen. Auch hier gilt es zu differenzieren, Schadenserwartungswerte dürfen nicht ohne weiteres addiert werden; etwaige Korrelationseffekte sind auch hier zu berücksichtigen.