Während Risiko-Matrizen Einzelrisiken nach ihrem Gefährdungspotenzial priorisieren, beschreiben Risikoinventare aggregierte Risiken. Ziel ist es, einzelne, bestandsgefährdende Risiken, deren Bewertung sowie die Beurteilung und Priorisierung sämtlicher gegensteuernder Maßnahmen und Anregungen zur Verbesserung des gegenwärtigen Standes übersichtlich und komprimiert darzustellen. Hierzu müssen die auf operativer Ebene erfassten, risikorelevanten Informationen systematisch und funktionsbereichsspezifisch aufbereitet von etwaigen Überschneidungen und Mehrfacherfassungen bereinigt werden. Dann müssen bestehende Beziehungsmuster analysiert und zusammenhängende Risiken aggregiert werden. Zudem ist es wichtig, Risiken und deren Beziehungen auf Plausibilität und Konsistenz zu überprüfen und mögliche Instrumente unter dem Aspekt der künftigen Verarbeitung und Quantifizierung systematisch einzuordnen und zu kodieren.
Bei Risikoinventaren liegt das Augenmerk auf einer klaren Zuordnung der erfassten, qualitativ beurteilten Risiken zu sowohl spezifischen Risikofeldern (z. B. Technologie, Kapitalbeschaffung), Risikokategorien als auch der/n beeinträchtigten strategischen Geschäftseinheit/en.
Risiken und Gegenmaßnahmen bewerten
Im Rahmen der Risikobewertung ist u. a. das Schadensausmaß zu berücksichtigen. Dieses kann bspw. durch das sog. Absicherungsprofil erfolgen. Es stellt das Risikopotential eines Risikofaktors dar, vor bzw. nach den eingeleiteten Risikomanagementmaßnahmen. So sind das Beeinflussungspotential sowie der Umfang bereits initiierter risikopolitischer Gegenmaßnahmen unmittelbar ersichtlich. Neben dem Schadensausmaß ist für eine objektive Vergleichbarkeit der Einzelrisiken auch die jeweilige Eintrittswahrscheinlichkeiten von Bedeutung. Dabei eignet sich zur Veranschaulichung dieser Kenngröße die bereits beschriebene Risiko-Matrix.
Im Anschluss wird die erhobene Information mittels einer Risikokarte (Risk-Card) dargestellt. Nachdem mögliche Wechselbeziehungen zwischen Einzelrisiken identifiziert wurden, wird das Risiko einer Risikoklasse (z. B. unbedeutend bis bedrohlich) zugeordnet. Für besonders Existenz bedrohende Risiken sowie erstmalig erkannte Risiken, aber auch für unternehmenspolitische Entwicklungen oder potenzielle Großschäden, wie dies bspw. der Wegfall eines Key Accounts wäre, ist zusätzlich zur Standardberichterstattung eine Ad-hoc-Auswertung empfehlenswert; diese sollte auch verbal dargelegt werden. Abbildung 3 zeigt beispielhaft eine solche Risikokarte.
Unterscheidung nach strategischen Geschäftsfeldern
Um als adäquate Entscheidungsgrundlage der Risikosteuerung zu dienen, ist eine Erstellung separater Risikoinventare auf strategischer Geschäftsfeldebene ratsam. Diese sind in einem zweiten Schritt – unter Berücksichtigung möglicher Interdependenzen der Einzelrisiken – auf Gesamtunternehmensebene zu aggregieren. Risikoinventare dienen aufgrund ihrer einheitlichen Einsatzfähigkeit als homogene Entscheidungsgrundlage.
Abb. 3: Beispiel einer Risikokarte für marktbezogene Risiken