Aktuelles
Datum:
Dieser Artikel wurde verfasst von
Steuerberater, Partner, Forensic, Risk & Compliance
In den vorherigen Artikeln unserer Risk Management Blueprint-Reihe haben wir Ihnen aufgezeigt, wie Sie ein grundlegendes Risikomanagementrahmenwerk aufbauen, Ihren Risikoappetit situativ ableiten und Ihre Unternehmensrisiken in Erfassungszyklen methodisch sauber identifizieren, bewerten, steuern und kommunizieren.
Während sich dieses Vorgehen bislang primär auf einzelne Risiken oder risikorelevante Bereiche bezogen hat, widmen wir uns nun der zentralen Frage, welche Bedeutung das Zusammenspiel dieser Risiken in ihrer Gesamtheit für Ihre Organisation besitzt. Einzelrisiken mögen für sich genommen beherrschbar erscheinen – in ihrer Kombination können sie jedoch eine völlig andere, mitunter bestandsgefährdende Dynamik entfalten.
Vor diesem Hintergrund widmet sich dieser Artikel der Frage, wie das Geflecht aus unterschiedlichen Einzelrisiken – einschließlich potenziell verstärkender oder abschwächender Wechselwirkungen – zu einer Risikogesamtposition verdichtet werden kann und wie diese sinnvoll in die unternehmerische Steuerung einzuordnen ist.
Entdecken Sie unsere weiteren Beiträge unserer Risk Management Blueprint-Reihe
Die Risikoaggregation verfolgt das Ziel, Einzelrisiken nicht isoliert, sondern in ihrer Gesamtheit zu betrachten. Sie beantwortet die zentrale Steuerungsfrage, welche Auswirkungen das Zusammenwirken aller relevanten Risiken auf Ergebnis, Liquidität und Bestand des Unternehmens haben kann.
Im Kern geht es darum, aus einer Vielzahl identifizierter Einzelrisiken ein Gesamtbild abzuleiten, das Aussagen darüber erlaubt,
Damit verschiebt sich der Fokus des Risikomanagements von der reinen Risikoerfassung hin zu einer entscheidungsrelevanten Gesamtbetrachtung, die insbesondere für strategische Steuerungs- und Priorisierungsentscheidungen von Bedeutung ist.
Warum einfache Verfahren nicht ausreichen - Grenzen von Erwartungswerten, Scores und Heatmaps
In vielen Organisationen erfolgt die Aggregation von Risiken implizit oder explizit über einfache Verfahren, etwa durch die Addition von Erwartungswerten oder die Zusammenführung von Risikobewertungen auf Basis von Scores (z. B. Eintrittswahrscheinlichkeit × Schadenshöhe). Diese Ansätze sind leicht verständlich und gut kommunizierbar, greifen jedoch für eine realistische Gesamtsteuerung zu kurz.
Ein zentrales Problem besteht darin, dass Erwartungswerte und Scores lediglich rechnerische Durchschnittswerte abbilden, jedoch keine Aussage über die tatsächliche Schadenshöhe im Eintrittsfall eines Risikos treffen. So können zwei Risiken denselben Erwartungswert aufweisen, obwohl ihre potenziellen Auswirkungen im Schadensfall fundamental unterschiedlich sind.
Ein Risiko mit moderater Eintrittswahrscheinlichkeit und begrenztem Schaden ist aus Steuerungssicht nicht gleichzusetzen mit einem Risiko geringer Eintrittswahrscheinlichkeit, dessen Eintritt jedoch existenzielle Folgen hätte. Erwartungswerte nivellieren diese Unterschiede und können Extremrisiken verdecken.
Beispiel: Identischer Erwartungswert – unterschiedliche Risikodimension
| Risiko A: Wiederkehrende IT-Störungen im operativen Betrieb | Risiko B: Schwerer Cyberangriff mit Datenabfluss |
Risikobeschreibung: Regelmäßige, kurzfristige Ausfälle zentraler IT-Systeme führen zu Produktivitätsverlusten, Verzögerungen in der Auftragsabwicklung und erhöhtem manuellem Aufwand. | Risikobeschreibung: Ein gezielter Cyberangriff führt zu einem signifikanten Abfluss sensibler Kunden- und Geschäftsdaten, verbunden mit Betriebsunterbrechungen, regulatorischen Sanktionen und nachhaltigen Reputationsschäden. |
Eintrittswahrscheinlichkeit: 30 % | Eintrittswahrscheinlichkeit: 2 % |
Schaden im Eintrittsfall: 10 Mio. EUR | Schaden im Eintrittsfall: 150 Mio. EUR |
Erwartungswert: 0,30 × 10 Mio. EUR = 3,0 Mio. EUR | Erwartungswert: 0,02 × 150 Mio. EUR = 3,0 Mio. EUR |
Charakteristik: Relativ häufiges, operatives Risiko mit begrenztem Schadensumfang, das durch organisatorische und technische Maßnahmen grundsätzlich gut beeinflussbar ist. | Charakteristik: Seltenes, aber potenziell existenzbedrohendes Risiko, dessen Eintritt massive Auswirkungen auf Liquidität, Compliance und Unternehmensfortführung haben kann. |
Fazit:
Obwohl beide Risiken denselben Erwartungswert von 3 Mio. EUR aufweisen, unterscheiden sie sich fundamental in ihrer Bedeutung für die Gesamtsteuerung: Während Risiko A primär operativ adressierbar ist, stellt Risiko B ein seltenes, aber potenziell bestandsgefährdendes Extremereignis dar, das durch Erwartungswerte oder einfache Scores nicht adäquat abgebildet wird.
Auch Heatmaps und Klassifizierungen erfüllen primär eine orientierende Funktion. Sie eignen sich gut zur initialen Positionierung und Priorisierung einzelner Risiken, liefern jedoch keine belastbare Grundlage für Aussagen zur tatsächlichen Gesamtrisikobelastung des Unternehmens.
Ein weiterer wesentlicher Schwachpunkt einfacher Aggregationsansätze liegt in der häufig impliziten Annahme, dass Risiken unabhängig voneinander auftreten. In der Realität bestehen jedoch vielfach Abhängigkeiten und Wechselwirkungen zwischen Risiken, die die Gesamtrisikolage maßgeblich beeinflussen können.
Beispielsweise können operative Störungen zu Reputationsschäden führen, die wiederum Absatzrückgänge und Liquiditätsengpässe nach sich ziehen. Ebenso können externe Marktrisiken mehrere Unternehmensbereiche gleichzeitig betreffen und sich gegenseitig verstärken. Sie sehen, dass einzelne Vorfälle teils erhebliche Wirkung auf weitere Risiken besitzen und so einen regelrechten „Dominoeffekt“ auslösen können.
Werden solche Interdependenzen nicht berücksichtigt, entsteht ein verzerrtes Bild der Risikogesamtlage. Die tatsächliche Risikobelastung kann sowohl unterschätzt als auch überschätzt werden – mit entsprechend negativen Folgen für Steuerungsentscheidungen.
Eine belastbare Risikoaggregation muss daher in der Lage sein, Korrelationen zwischen Risiken systematisch zu berücksichtigen und das Zusammenwirken einzelner Risiken realitätsnah abzubilden.
In der Praxis können solche Abhängigkeiten auf unterschiedlichen Wegen systematisch erfasst und in der Aggregation berücksichtigt werden. Ein bewährter Ansatz besteht darin, Risiken nicht isoliert, sondern entlang gemeinsamer Risikotreiber oder Wirkungszusammenhänge zu strukturieren. Auf dieser Basis lassen sich entweder Risikocluster bilden oder mehrere Einzelrisiken zu einem übergeordneten Top-Risiko zusammenführen. Beide Vorgehensweisen helfen, implizite Korrelationen transparent zu machen und Doppelzählungen oder Verzerrungen in der Aggregation zu vermeiden.
Ein Risikocluster bündelt Einzelrisiken, die von denselben Treibern beeinflusst werden und daher mit hoher Wahrscheinlichkeit gemeinsam auftreten.
Beispiel eines Clusters „Markt- und Nachfrageentwicklung“:
Die Risiken werden nicht unabhängig voneinander betrachtet, sondern als zusammenhängende Ausprägungen eines gemeinsamen Treibers modelliert und entsprechend korreliert aggregiert.
Alternativ können Top-Risiken gebildet werden, indem mehrere eng verknüpfte Einzelrisiken zu einem übergeordneten Risiko zusammengeführt werden.
Beispiel eines Top-Risikos „IT-Ausfall und Cyberbedrohung“:
Die zugrunde liegenden Einzelrisiken („underlying risks“) werden hierbei nicht separat aggregiert, sondern als unterschiedliche Facetten eines gemeinsamen Top-Risikos verstanden, dessen Gesamtauswirkung ganzheitlich bewertet wird.
Durch solche Strukturierungsansätze lassen sich Korrelationen praxisnah abbilden und in statistische Aggregationsverfahren integrieren. Die resultierende Risikogesamtposition spiegelt damit nicht nur die Anzahl und Höhe einzelner Risiken wider, sondern auch deren wechselseitige Abhängigkeiten und kumulative Wirkung.
Vor diesem Hintergrund haben sich statistische Verfahren zur Risikoaggregation etabliert, insbesondere die Monte-Carlo-Simulation. Ziel dieses Ansatzes ist es, nicht einen einzelnen aggregierten Wert zu ermitteln, sondern eine Verteilung möglicher Gesamtschäden abzuleiten.
Hierzu werden für jedes relevante Risiko geeignete Annahmen zu Eintrittswahrscheinlichkeit und potenzieller Schadenshöhe getroffen und – soweit sinnvoll – Abhängigkeiten zwischen Risiken modelliert. Auf dieser Basis werden eine Vielzahl möglicher Szenarien simuliert, aus denen sich ableiten lässt,
Beispiel zur Veranschaulichung: Drei Risiken, ein Gesamtbild
Stellen Sie sich vor, Ihr Unternehmen hat drei wesentliche Risiken identifiziert:
| Risiko | Eintrittswahrscheinlichkeit | Schaden im Eintrittsfall |
| Lieferantenausfall | 20 % | 5 Mio. EUR |
| IT-Systemausfall | 15 % | 8 Mio. EUR |
| Forderungsausfall Schlüsselkunde | 10 % | 12 Mio. EUR |
Addiert man die Erwartungswerte schlicht, ergibt sich eine Gesamtbelastung von 3,2 Mio. EUR – ein Wert, der auf den ersten Blick handhabbar wirkt.
Die Monte-Carlo-Simulation geht einen entscheidenden Schritt weiter: Sie simuliert tausende mögliche Szenarien – darunter auch jene, in denen alle drei Risiken gleichzeitig eintreten oder sich gegenseitig verstärken. Das Ergebnis ist keine einzelne Zahl, sondern eine Verteilung: In 90 % der simulierten Szenarien bleibt der Gesamtschaden unter 14 Mio. EUR – im schlimmsten Szenario der Fälle jedoch übersteigt er 22 Mio. EUR.
Genau dieser Unterschied ist entscheidend: Während der Erwartungswert das „durchschnittliche" Szenario beschreibt, macht die Simulation sichtbar, welche Belastung Ihr Unternehmen im ungünstigen, aber realistischen Extremfall tatsächlich tragen muss – und ob Ihre Risikotragfähigkeit dafür ausreicht.
Die Monte-Carlo-Simulation erlaubt damit eine deutlich realitätsnähere Betrachtung der Gesamtrisikolage als die rein kumulativen oder scorebasierte Verfahren. In der Praxis kann sie – abhängig von Komplexität und Reifegrad – sowohl in strukturierten Excel-Modellen als auch in spezialisierten Tools umgesetzt werden. Kontaktieren Sie in Zusammenhang mit Blick auf die Umsetzung der Simulation in Ihrem Unternehmen gern unsere Expertinnen und Experten! (Link Kontaktformular unten)
Die aggregierte Risikogesamtposition entfaltet ihren vollen Steuerungswert erst im Vergleich mit der Risikotragfähigkeit (RTF) des Unternehmens. Die RTF beschreibt die Fähigkeit des Unternehmens, potenzielle Verluste zu absorbieren, ohne strategische Ziele oder den Fortbestand zu gefährden.
Die konkrete Ausgestaltung und methodische Ableitung der Risikotragfähigkeit haben wir bereits in einem separaten Beitrag unserer Artikelserie beleuchtet (Link zum Artikel 10_Artikel-Wichtige Risikoindikatoren_Das Frühwarnsystem Ihres Unternehmens_BDO-Risk-Blueprint_DE). An dieser Stelle ist entscheidend, dass die RTF als zentrale Referenzgröße dient, an der die aggregierte Risikogesamtposition gespiegelt wird.
Durch die Gegenüberstellung der aggregierten Risikogesamtposition mit der verfügbaren Risikotragfähigkeit lässt sich eine übergeordnete Steuerungskennzahl ableiten. Diese zeigt, in welchem Umfang die Risikotragfähigkeit durch die bestehende Risikolage beansprucht wird.
Eine solche Kennzahl ermöglicht es dem Management,
Darüber hinaus lassen sich auf dieser Basis Grenzwerte und Eskalationsmechanismen definieren, die eine klare und konsistente Risikosteuerung unterstützen.
Aufbauend auf der Risikotragfähigkeit können Risikoappetit und Risikotoleranz als übergeordnete Leitplanken für das gesamte Unternehmen gesehen werden. Der Risikoappetit beschreibt dabei, welcher Anteil der Risikotragfähigkeit bewusst zur Zielerreichung eingesetzt werden darf, während die Risikotoleranz die akzeptierte Bandbreite von Abweichungen festlegt. Zur Veranschaulichung kann eine Ampellogik herangezogen werden: Solange sich die aggregierte Risikogesamtposition innerhalb des definierten Risikoappetits bewegt (grün), besteht kein unmittelbarer Handlungsbedarf. Wird die Risikotoleranz überschritten (orange), sind – abhängig vom Ausmaß der Abweichung – gezielte steuernde Maßnahmen einzuleiten. Erreicht oder überschreitet die Risikogesamtposition die Risikotragfähigkeit (rot), ist organisationsweit ein umfassender und abgestimmter Maßnahmenplan umzusetzen.
Wichtig ist, dass diese Größen nicht auf einzelne Risiken oder Risikokategorien bezogen werden müssen, sondern als Gesamtkennzahlen für die Steuerung der Risikogesamtlage fungieren. Dadurch wird ein konsistenter Rahmen geschaffen, innerhalb dessen sich unternehmerische Entscheidungen bewegen sollen.
Die aggregierte Risikogesamtlage ist kein Selbstzweck, sondern ein zentrales Element der unternehmerischen Steuerung und Governance. Sie dient als Entscheidungsgrundlage für Vorstand und Geschäftsführung, unterstützt die strategische Planung und schafft Transparenz über die Belastbarkeit des Geschäftsmodells.
Richtig verankert, wird die Risikoaggregation damit zu einem verbindenden Element zwischen Strategie, operativem Geschäft und finanzieller Steuerung – und zu einem wesentlichen Erfolgsfaktor eines modernen Risikomanagementsystems.
Möchten Sie mehr über die Möglichkeiten zur Implementierung einer methodisch sauberen Risikoaggregation und zur Einordnung der Risikogesamtlage in Ihrem Unternehmen erfahren?
Wenden Sie sich an unsere Risikomanagement-Spezialistinnen und -Spezialistem, um praktische, auf Ihre spezifischen Bedürfnisse zugeschnittene Beratung zu erhalten.
Kontaktformular