Risk and crisis management

COSO-Framework:
Operationalisierung/ Operationalization
Risk management monitoring system / Risikomanagement-Überwachungssystem:

1. Design the monitoring system:

Understand the relevant risks and develop effective control mechanisms to monitor them.

2. Design of control activities:

Develop test procedures to verify the effectiveness of the control mechanisms.

3. Implementation of control activities:

Review control mechanisms to ensure proper functioning of the risk management system.

4. Adjusting the monitoring processes:

Continuous improvement of monitoring systems/control mechanisms.

COSO-Framework:
Komponenten / components

Internal environment:

The internal environment describes the corporate culture, which has a decisive influence on how risks are handled within the company.

Target setting:

Ensuring that the corporate objectives set are in line with the organization's mission and risk appetite.

Event identification:

Internal and external events with a potential impact on corporate objectives are analyzed and classified as risks or opportunities.

Risk assessment:

Risks are evaluated in terms of their probability of occurrence and impact in order to create a sound basis for decision-making on the management of risks.

Risk control:

Risk control involves the selection and implementation of measures to manage identified risks. TARA approach.

Control activities:

Control activities are designed to ensure that the planned risk management measures are implemented promptly and efficiently.

Information and communication:

Ensure the flow of information between the COSO-ERM components.

Communication takes place in all directions so to ensure that all relevant stakeholders are informed.

Monitoring:

Monitoring comprises the continuous control of company-wide risk management. Existing measures are reviewed and adjusted if necessary in order to ensure effective risk management.

COSO framework:
Kontextfaktoren / Contextual factors

“Philosophy” of risk management:

Refers to the fundamental orientation of risk management. For example, risk management can be used to pursue a comparatively safe path of development, but also to take calculated higher risks.

Risk appetite:

Companies can have different attitudes to dealing with risks, i.e. react differently to opportunities or risks that present themselves.

Taking risk appetite into account means limiting alternative courses of action.

Risk culture:

This refers to shared beliefs within the company on how to assess and deal with risks.

Management structure:

In the end, the COSO model is a “top-down” approach, i.e. it is dependent on the initiative of the company management.

Integrity and values

This summarizes the convictions of management. Employees must be convinced and involved if risk management is to work.

Professional competence:

At management level, the need for professional competence can be seen as the provision of resources (personnel, money, material resources, information) and also appropriate management attention.

Management philosophy and management style:

Management attitudes play a central role in risk-taking

COSO-framework:
Nutzen/ Benefits

COSO-framework:
Beispiele von Kontrollaktivitäten / Examples of control activities

COSO-framework:
Perspektive des Gesamtunternehmens /
Perspective of the entire company

It is also about ensuring the accuracy and quality of forecasts for stakeholders such as shareholders, creditors and rating agencies. The function of risk management as a self-assessment strengthens the credibility and reputation of the company in the long term.

Risikoquantifizierung / Risk quantification

Risikoaggregation / risk aggregation

ISO 31000
Komponenten/ components

Stewardship-Theorie / Stewardship Theory

Compliance

Unternehmenskultur / Corporate culture
Begriffsverständnis nach Schein / Definition according to Schein

Unternehmenskultur / Corporate culture
Drei Ebenen nach Schein / Three layers by Schein

Artefacts:
Kleidung, Büroarchitektur, Logos

Espoused Values and Beliefs:
Wie verhalte ngegenüber Kunden? Überzeugungen


Underlying assumptions (Grundanahmen):
Werbung steigert Umsatz. wird nicht hinterfragt, schwer zu ändern. taken for granted, unconscious believes and feelings

Strategisches Risikomanagement / Strategic risk management:
Kategorien/Arten von Risiken/ Types of Risks

Risk of strategic goal achievement:
Conflicting objectives arise between stakeholder interests and there is a corresponding risk that certain objectives cannot be achieved.

Financial reporting risk:
Irregularities in financial reporting
Example: Enron. Manipulation through internal accounting comes to light and leads to massive reputational damage, in the worst case to insolvency

Corporate governance risk:
Poor corporate governance leads to non-compliance with laws and regulations
Example: Financial crisis; a more independent board of directors could possibly have reduced the high exposure to US property

Market risk:
Failure to fulfil customer needs
Example: Nokia, producing products not in demand.

Operational risk:
Problems in the value chain
Example: Quality defects in production

Innovation risk, research & development risk:
New innovations must be continuously developed in order not to lose touch with the competition (see Nokia again)

Brand risk:
Loss of market share

Co-operation risk:
Risks arising from dependence on external partners, for example if suppliers fail to deliver or business partners fail to honour contracts.

Outsourcing risk:
Closely related to co-operation risk, describes problems that can arise from outsourcing business processes.

Employee risk:
Risks due to the loss of important employees (key person risk) or employee demotivation.

Communication risk:
Risks due to poor or delayed communication, which can have reputational damage or legal consequences.

Technology risk:
Risks associated with the use of new technologies or technical failures.

Trading risk:
Particularly relevant for banks and financial institutions.

Unsicherheit, Ungewissheit, Risiko /
Uncertainty, insecurity, risk

Uncertainty (risk in the broader sense)
Generic term for the possibility of deviation from the expected value (positive: opportunity, negative: danger).
Can be subdivided into uncertainty and risk in the narrower sense. Risk management deals with the latter

Insecurity:
The decision-maker is not aware of the probabilities of the possible environmental conditions occurring.

Risk in the narrower sense:
The decision maker knows the probabilities of the possible environmental states occurring. These can be determined either objectively, based on empirical frequency distributions, or subjectively, based on individual experience and considerations.

Alternative representation according to Möller:
Uncertainty exists on a continuum: from complete ignorance (‘Unknown Unknowns’) to complete information (‘Total Certainty’). In practice, decisions are usually made in a state of partial information, with varying degrees of uncertainty (general or specific uncertainty)

Qualitative risk assessment / Qualitative Risikoeinschätzung

Qualitative risk characterisation involves an initial classification of risks based on their relevance on a scale from 1 (insignificant) to 5 (jeopardising the existence of the company). To refine the relevance assessment, influencing factors are identified and weighted (= risk scoring).

The result is a qualitative risk inventory in which the measures already identified are also explained.
A risk inventory is used to assess risks, whereby risks with a high probability of occurrence and significant impact are prioritised.

Relevance has three functions:

Termination criterion to decide which risks are to be pursued or ignored.

Classification criterion to prioritise risks according to their importance.

Estimating the impact of a risk on the company value.

ISO 31000: Elemente des Risikomanagementprozesses /
ISO 31000: Elements of the risk management process

1. Establishing the context

The situation/conditions in which risky decisions are to be made must be taken into account (e.g. routine decisions vs. strategic decisions)

Both external and internal factors influence the risk landscape of a company.

External factors include stakeholders such as shareholders, lenders, customers, suppliers, governments, NGOs and legal and regulatory requirements. Cultural conditions also play a role.

Internally, aspects such as employee remuneration, motivation, qualifications, working conditions and safety are relevant.

2. Risk assessment

Identification of risks:
Establishment of a suitable search process. Relevant risks are included in a risk register or risk inventory.

Analysing risks:
The aim is to provide the decision-maker with a sufficient understanding of the probability of occurrence and possible consequences of the risk.

Assessing risks:
Calculation of the expected value, which is then compared with applied criteria so that a decision can be made as to whether a risk is acceptable or not.

3. Dealing with risks (risk treatment)

Follows the TARA approach

Elimination or isolation of the risk, e.g. by using other materials.
Influencing the probability of occurrence/impact, e.g. through suitable protective measures in the operational area.

4. Communication activities

Effective risk management requires continuous communication and coordination at all levels, especially in the case of high uncertainty.

5. Monitoring activities

The aim is to ensure the functionality of risk management. Measures that are not effective as intended should be identified and the design of risk management regularly reviewed.

The internal audit department examines key risks. The assessment relates to the entire company so that certainty can be provided regarding the correct assessment of risks and the risk management process.

Compliance:
Elemente eines Compliance Programms /
Elements of a compliance programme

Unrestricted support from top management for the establishment of a formal compliance function.

Creation of a compliance policy that defines in particular the scope of compliance activities.

Compliance-related operational procedures that serve compliance activities.

Monitoring the effectiveness of the compliance programmes and, if necessary, correcting the focus.

Compliance:
Ausgestaltung der Compliane / Design of the Compliane

The primary purpose of a compliance programme is not to ensure unrestricted compliance with all applicable regulations, but rather to evaluate the potential consequences of breaches of regulations from a business perspective. Companies must consciously decide how to deal with existing risks.

A distinction can be made between strict and loose compliance with regulations and between simple and complex regulations. Loose compliance with complex regulations in particular harbours considerable risks (‘danger zone’), which is why stringent compliance management is required here. In the case of simpler regulations, on the other hand, the cost-benefit question is clearer, meaning that companies can refrain from strict compliance in certain cases

Unternehmenskultur / Corporate Culture
Funktionen nach Sackmann / Functions by Sackmann

A corporate culture ensures continuity and stability, as it forms the ‘collective memory’ of an organisation.

A corporate culture reduces complexity, as it influences the perception of the organisation's members and selects information into important or unimportant even before the individual evaluation.

A corporate culture strengthens employees' identification with the company, as it defines the purpose of the organisation.

A corporate culture provides an orientation grid for coordinated action, as ‘correct’ and ‘bad’ behaviour is defined, e.g. in relation to decision-making within the organisation.

Unternehmenskultur /Corporate Culture
Eigenschaften einer positiven Unternehmenskultur in Bezug auf das Risikomanagement/
Characteristics of a positive culture in terms of risk management

Emphasis on leadership:

The role of leadership emerges both within the line organisation - i.e. traditional areas of responsibility - as well as in projects.

Making risk management accessible:

Risk management methods and tools should be incorporated into day-to-day business and help to improve the quality of decisions.

Participative management style:

The involvement of employees in decisions should have a positive influence on the implementation of specific measures in addition to increasing the quality of the decision.

Utilising employee knowledge:

Employees' know-how and skills should be made available to the company. By participating in decisions, they can contribute these.

Assume responsibility:

By delegating decision-making powers, employees can experience greater motivation or identification with the company and therefore achieve better results.

Comprehensive risk management:

All areas (organisational structure) and all processes (process organisation) are relevant.

Control measures:

Measures are needed to identify and address existing risks but also an early detection system for changing risks (both preventive and detective)

Communication and teams:

Communication should be open and as non-hierarchical as possible in order to obtain a comprehensive picture of situations and decisions. Dominant behaviour by managers can inhibit participation. Taboos should be avoided. Expert knowledge is valued, but decisions should not be delegated solely on the basis of expert status.

Broaden the perception of risk:

There is a need for institutionalisation so that risk considerations are comprehensively incorporated into workflows and thought and decision-making processes.

Risikoindikatoren / risk indicators
Begriffsdefinition und Beispiel / definition and examples

Risk indicators are measures for assessing a risk.

• are intended to provide information about changes in a risk assessment as part of a control system

• are intended to show the existence, level or effects and trends in the development of one or more risks

At the temporal level, a distinction is made between early warning indicators (‘leading indicators’) and indicators that show an event that has already occurred (‘lagging indicators’).

Examples:

Human resources: Average time required to fill a position

Finance: Amount of reporting deadlines missed

Audit: audit findings (frequency and severity)

Risikoindikatoren: Zweck /
Risk indicators: Purpose

Vgl. Fraser&Simkins (2010) (Hrsg.) Enterprise Risk Management ; Today's Leading Research.pdf S. 155 ff.

Validation of planning and monitoring of performance:

KRIs, derived from performance goals, help refine and challenge business strategies while validating goal realism. By integrating KRIs into strategic and operational planning, organizations enhance risk assessment and performance monitoring, improving their ability to anticipate potential impacts.

Validierung der Planung und Überwachung der Performance

Unternehmensziele und -strategie bilden die Basis. Indikatoren helfen, sie zu präzisieren, abzugrenzen und bei Widersprüchen zu hinterfragen.

Improving the effectiveness & efficiency of business processes:

A key organizational decision is allocating scarce resources for the highest risk-adjusted return. KRIs enhance efficiency by informing resource allocation within risk assessment processes, ensuring focus on high-risk areas.

Verbesserung der Effektivität und Effizienz von Geschäftsprozessen

Ermöglicht die Anpassung der Modellparameter zur Verbesserung der Prognosegenauigkeit, die Klassifizierung von Risiken (z. B. nach Dringlichkeit) und die Auswirkungen ergriffener Maßnahmen nachzuverfolgen

Greater transparency of risk expectations:

KRIs, as measurable indicators, reinforce risk management expectations and accountability. Aligning them with key risks clarifies critical performance areas, while thresholds and escalation levels define acceptable risk within the organization’s appetite.

Höhere Transparenz von Risikoerwartungen
Der Vorteil von Risikoindikatoren liegt in ihrer Messbarkeit:
Sie übersetzen Erwartungen in eine einheitliche Methodik, machen Risiken vergleichbar und verbessern dadurch Entscheidungen

Ongoing monitoring and measurement of risks:

KRIs proactively detect shifts in risk exposure by providing real-time insights into risk levels and trends. They serve as early warning signals, enabling timely actions to mitigate potential losses.

Particularly important in banking (credit default probabilities)


Laufende Überwachung von Risiken
Risikoindikatoren machen Veränderungen bestehender Risiken sichtbar, indem sie das aktuelle Risikoniveau, Trends und Entwicklungen aufzeigen.
Ein Beispiel ist die Abbildung zur Kundenbeschwerden-Entwicklung mit Schwellenwerten (threshold), die definierte Maßnahmen auslösen.

Risikotoleranz /
Risk tolerance

Risk tolerance is based on an assessment of what type and extent of risk is acceptable. The views of relevant stakeholders should be taken into account.

Decision-making process in favour of a certain risk tolerance:

1. Risk Appetite / attitude towards risk
   risk aversion, or risk as an opportunity? individual characteristic of the decision-makers.

2. Objectives of the organisation,
   Objectives determine what an organisation wants to achieve. Because risks are defined as deviations from these objectives, they play a central role in risk tolerance. Objectives vary between private (ROI) or public organisations (Fullfil mandate).

3. ability of the organisation to deal with risks,
Depends on...

• Understanding of risk, ability to identify risk

• Risk assessment procedures (e.g. historical data or forecasts?)

• Personnel (qualified employees)

• Experience and skills in risk management (e.g. software)

• Functioning control and monitoring systems

• Environment (stakeholder interests)

4. capacity to absorb risk
   Is the company or organisation able to handle negative outcomes (e.g. financial reserves, reputation)

5. Cost-benefit assessment.
   The use of risk management tools only makes sense if the benefits (i.e. the effective handling of risks) exceed the corresponding costs.

Typische Risiken im privaten und öffentlichen Bereich /
Typical risks in the private and public sector.

Blickwinkel der Struktuationstheorie (Archer) /
Perspective of structural theory (Archer) /

The aim of structural theory is to analyze the interaction between structure and actions (= analytical dualism)

The theory is based on the following assumptions:

1. Clear separation between structure and actions, they are analytically separable

2. Structures and actors can be distinguished on the basis of the time dimension.

   • Social structures exist independently of the actors and can entail both advantages and disadvantages.

   • Interactions take place in a given context that was not necessarily created by the current actors.

   • Social interactions are based on causal relationships between individual and collective actors.

Archers Struktuationstheorie: Morphogenese von Strukturen /
Archers structural theory: Morphogenesis of structures

Strukturelle Ausgangsbedingungen (T1):
Bestehende soziale Strukturen und kulturelle Systeme stellen vorgegebene Rahmenbedingungen für Handlungsmöglichkeiten der Akteure dar, determinieren diese jedoch nicht.

Soziale Interaktion (T2–T3):
Akteure handeln innerhalb dieser Strukturen und beeinflussen diese, was zu sowohl beabsichtigten als auch unbeabsichtigten Konsequenzen führt.

Strukturelle Transformation oder Reproduktion (T4):
Die bestehenden Strukturen werden entweder reproduziert (Morphostase) oder modifiziert (Morphogenese).

Eine hohe Sozialintegration führt meist zur Morphostase, eine niedrige Sozialintegration begünstigt Morphogenese.

Structural starting conditions (T1):

Existing social structures and cultural systems set conditions for opportunities for action without determining them.

Social interaction (T2-T3):

Actors act within these structures, leading to both intended and unintended consequences.

Structural transformation or reproduction (T4):

The existing structures are either reproduced (morphostasis) or modified (morphogenesis).

The structural conditions are not deterministic, but open up action areas that can be used by actors

Archers Struktuationstheorie: Beispiel für den Zusammenhang zwischen Interaktionen und Strukturen /
Archer's structuration theory: example for the connection between interactions and structures

Ein Beispiel für analytischen Dualismus ist die Institution der Ehe​

• Struktur: Die Institution der Ehe existiert unabhängig von individuellen Akteuren und stellt eine vorgegebene Rahmenbedingung dar (rechtliche und kulturelle Normen).

• Aktion/Handlung: Individuelle Ehepaare handeln innerhalb dieser Struktur, beeinflussen sie aber auch durch ihre Entscheidungen, Praktiken oder gesellschaftliche Debatten über alternative Modelle (z. B. gleichgeschlechtliche Ehe oder offene Beziehungen).

  Die Trennung von Struktur und Aktionen erlaubt es, deren Wechselwirkungen über die Zeit zu analysieren, d. h. wie Handlungen von Individuen die bestehende Struktur reproduzieren oder verändern.

An example of analytical dualism is the institution of marriage

Structure: The institution of marriage exists independently of individual actors and represents a predetermined framework (legal and cultural norms).

action: Individual married couples act within this structure, but also influence it through their decisions, practices or social debates about alternative models (e.g. same-sex marriage or open relationships).

The separation of structure and action makes it possible to analyse their interactions over time, i.e. how individuals' actions reproduce or change the existing structure.

Archers Struktuationstheorie: Rolle des Kontexts für Interaktionen /
Archer's structuration theory: The role of context for interactions

Soziale Interaktionen finden in einem bestimmten Kontext statt, der durch strukturelle und kulturelle Systemelemente geprägt ist (z. B. soziale Rollen, Machtverhältnisse, Normen).

Der Kontext bestimmt, welche Rollen Akteure übernehmen können und beeinflusst deren Handlungsmöglichkeiten. Es wird zwischen primären Akteuren (individuell handelnde Personen) und kollektiven Akteuren (organisierte Gruppen mit Einfluss) unterschieden.

Der Kontext bestimmt, ob eine Reproduktion (Morphostase) oder eine Veränderung (Morphogenese) von Strukturen und Kulturen stattfindet. Eine hohe Sozialintegration führt eher zur Stabilität/Morphostase, während eine niedrige Sozialintegration Veränderungen/Morphogenese begünstigt

Strukturen begrenzen und ermöglichen gleichzeitig bestimmte Handlungsoptionen (z. B. wirtschaftliche Strukturen beeinflussen Berufswahlmöglichkeiten).

Kulturelle Systeme bestehen aus Ideen, Theorien und Normen, die unabhängig von aktuellen Akteuren existieren und deren Handeln beeinflussen können (z. B. religiöse Überzeugungen, die politische Handlungen steuern)​

Ein Beispiel für die Bedeutung des Kontexts:

Historische Demografie kann das gegenwärtige soziale Handeln beeinflussen, selbst wenn alle aktuellen Akteure diese Strukturen verändern möchten​

Wissen kann über Generationen weitergegeben werden, auch wenn es lange Zeit ungenutzt bleibt (z. B. alte technische Erfindungen, die später wiederentdeckt werden)​

Der Kontext ist somit nicht nur eine passive Umgebung, sondern ein aktiver Bestandteil der Bedingungsstruktur sozialer Interaktion.


Social interactions take place in a specific context that is characterised by structural and cultural system elements (e.g. social roles, power relations, norms).

The context determines which roles actors can take on and influences their options for action. A distinction is made between primary actors (individuals acting individually) and collective actors (organised groups with influence).

The context determines whether a reproduction (morphostasis) or a change (morphogenesis) of structures and cultures takes place. A high level of social integration tends to lead to stability, while a low level of social integration favours change



The context in which interactions take place consists of existing social and cultural structures. Archer describes this as structural and cultural conditioning.

Structures limit and at the same time enable certain options for action (e.g. economic structures influence career choices).

Cultural systems consist of ideas, theories and norms that exist independently of current actors and can influence their actions (e.g. religious beliefs that guide political actions)

An example of the importance of context:

Historical demographics can influence current social action, even if all current actors want to change these structures

Knowledge can be passed down through generations, even if it remains unused for a long time (e.g. old technical inventions that are later rediscovered)

The context is therefore not just a passive environment, but an active component of the conditional structure of social interaction

Archers Struktuationstheorie: Verbindung von kulturellen und strukturellen Interaktionen /
Archer's structuration theory: connection between cultural and structural interactions

Kulturelle Konzepte formen strukturelle Gegebenheiten, während diese wiederum die kulturelle Entwicklung beeinflussen.

Soziale Innovationen entstehen nicht alleine durch neue Ideen, sondern erfordern auch die aktive Umsetzung durch soziale Akteure (=Sponsoren die Ideen umsetzen).

Vier mögliche Kombinationen aus kultureller und struktureller Veränderung:

1. Morphostase in beiden Bereichen
   Kulturelle und strukturelle Integration verstärken sich gegenseitig, was zu Stabilität führt. Bestehende Strukturen werden aufrechterhalten).

2. Kulturelle Morphostase und strukturelle Morphogenese
   Eine einheitliche Kultur behindert eine weitere strukturelle Differenzierung.

3. Kulturelle Morphogenese, strukturelle Morphostase:
   Dies hemmt zunächst die kulturelle Entwicklung, doch langfristig untergräbt der kulturelle Pluralismus die Basis der strukturellen Stabilität.

4. Morphogenese in beiden Bereichen
   Führt zur Entstehung neuer dominanter Akteure und Oppositionen

Cultural concepts shape structural conditions, while these, in turn, influence cultural development.

Social innovations do not emerge solely from new ideas but also require active implementation by social actors (=sponsors who implement ideas).

Four possible combinations of cultural and structural change:

• Morphostasis in both areas
  Cultural and structural integration reinforce each other, leading to stability. Existing structures are maintained.

• Cultural morphostasis and structural morphogenesis
  A unified culture hinders further structural differentiation.

• Cultural morphogenesis, structural morphostasis
  This initially inhibits cultural development, but in the long run, cultural pluralism undermines the foundation of structural stability.

• Morphogenesis in both areas
  Leads to the emergence of new dominant actors and oppositions.

Designprinzipien und -parameter zur Gestatlung von Risikoparameter

design characteristics for risk paramenters

Focus on Stakeholders and Objectives

KRIs should align with stakeholder requirements,, both internal and external. Identifying their needs and the purpose of KRIs is essential for building an effective framework.

Anspruchsgruppen

Das Unternehmen operiert nicht in einem luftleeren Raum. Entsprechend sollten berechtigte Interessen relevanter Anspruchsgruppen berücksichtigt werden.


Utilize Existing Metrics and Management Insights

Organizations already monitor many KPIs and KRIs, making it cost-effective to integrate existing metrics into a KRI system. Leveraging management insights on strategy and performance enhances selection and fosters buy-in. However, independent risk management should ensure KRIs are chosen based on relevance, not convenience.


Establish a Strong Risk Foundation

Develop the KRI system based on the organization’s risk management framework and ensure KRIs have a clear causal link to risks.

Prioritize Key Indicators

Organizations often track too many metrics; effective ERM requires filtering them to identify the KRIs with the strongest causal link to significant risks..RI framework ensures a manageable and cost-effective process.

Beschränkung auf wesentliche Indikatoren

In dieselbe Richtung geht im Prinzip die Empfehlung, sich auf (wenige) wesentliche Indikatoren zu beschränken. Ein kostengünstiges und dennoch funktionsfähiges System zur Risikoidentifikation und Bewertung kann so etabliert werden.

Ensure Measurement Clarity
Clearly define and document each KRI, including its measurement method. For example, measuring staff turnover requires clarity on part-time employees, temporary staff, and extended leave cases.

Klarheit bei der Messung
Es muss eine unmissverständliche Definition geben, was genau ein einzelner Indikator misst und wie sich ggf. bestehende Abhängigkeiten zu anderen Indikatoren gestalten. Hierdurch sind Missverständnisse im operativen Bereich ausgeschlossen.




Prioritize Objective Measures
Select KRIs based on objective data, preferably from independent or external sources. Internal sources can be reliable if independent of the measured area. The least objective measures are those based on individual judgment in risk management.

Objektive Messgrößen
Meinungen bzw. subjektive Beurteilungen haben sicher ihren Platz im Managementhandeln. Die fehlende Wiederholbarkeit (Reliabilität) macht Meinungen aber zu wenig geeig-neten Kandidaten für ein systematisch konzipiertes Risikomanagement. Grundsätzlich ist daher auf objektive Messgrößen abzustellen.


Use a Comprehensive Set of KRIs

A single KRI rarely provides a complete risk picture. Since few leading indicators perfectly correlate with specific risks, meaningful analysis requires examining multiple KRIs together in the right context for a clearer risk assessment.

Assess the Relative Importance of KRIs

KRIs vary in significance based on risk impact and correlation strength. After selecting relevant KRIs, use thresholds and weightings to prioritize their influence in overall risk analysis.

Relative Bedeutung von Indikatoren

Je nach der Bedeutung einzelner Indikatoren für das zu bewertende Risiko ist eine Rangordnung derselben empfohlen. Es kann auch sinnvoll sein, Schwellenwerte zu definieren, ab denen ein bestimmter Indikatorwert überhaupt erst angezeigt wird (Übersichtlichkeit).


Monitor for Continual Usefulness
Establish a dynamic process to regularly evaluate KRIs, ensuring they remain relevant as organizational risks and priorities evolve. Replace outdated KRIs and introduce new ones as needed for effective monitoring.

Überwachung des Nutzens
Die Risikoindikatoren stellen ein Werkzeug dar, das für einen bestimmten Zweck genutzt wird. Daher empfiehlt es sich, regelmäßig die Eignung der Indikatoren für diesen Zweck zu hinterfragen und im Fall von Abweichungen Korrektur- bzw. Anpassungsmaßnahmen zu veranlassen.


Continuously Assess KRI Relevance

Establish a dynamic process to regularly evaluate KRIs, ensuring they remain relevant as organizational risks and priorities evolve. Replace outdated KRIs and introduce new ones as needed for effective monitoring.

Risikoparameter: Implementierung
Risk parameters: implementation

The implementation of risk indicators requires expertise, suitable technical requirements and data processing.

Line managers should be involved due to their business expertise, while internal audit provides support with methodological knowledge and monitoring tools.


Die Implementierung von Risikoindikatoren erfordert Fachkompetenz, geeignete technische Voraussetzungen und Datenverarbeitung.

Linienverantwortliche sollten aufgrund ihrer Geschäftskenntnis einbezogen werden, während die interne Revision mit Methodenwissen und Überwachungstools unterstützt.

Risikoprofil / Risk profile

Das Risikoprofil ist zentral im Risikomanagement und umfasst identifizierte sowie bewertete Risiken.

Auch die zeitliche Dimension spielt eine Rolle: Zeithorizonte zeigen, wann Risiken eintreten könnten.
Vergangene Nicht-Eintritte garantieren keine zukünftige Sicherheit.

Ein empfohlener Wirkungszeitraum liegt branchenabhängig bei drei bis fünf Jahren.

The risk profile is central to risk management and comprises identified and assessed risks.

The time dimension also plays a role: time horizons show when risks could materialise.
The fact that risks have not materialised in the past does not guarantee future security. .

Depending on the industry, a recommended period of impact is three to five years.

Risikoprofil / Risk profile:
Risk Map

Risk Map:
Matrix mit den Dimensionen Eintrittswahrscheinlichkeit und Auswirkung des Risikos.

1. hohe Auswirkung/geringe Wahrscheinlichkeit

Es handelt sich um wesentliche Risiken, die geeignet sind, eine Krise des Unternehmens auszulösen. Der Umgang mit diesen Risiken erfordert ein entsprechendes Krisenmanagement.

2. geringe Auswirkung/geringe Wahrscheinlichkeit

Im Rahmen des operativen Geschäfts sind diese Risiken zu adressieren. Da sie nicht kritisch sind, haben entsprechende Überlegungen i.d.R. keine besondere Priorität.

3. hohe Auswirkung/hohe Wahrscheinlichkeit

Dies sind typischerweise dringende Fragestellungen, die die ungeteilte Aufmerksamkeit der Unternehmensleitung erfordern. Ein aktives Management dieser Risiken ist erforderlich

4. geringe Auswirkung/hohe Wahrscheinlichkeit

Es handelt sich um vorhersehbare und typischerweise mit normalen geschäftlichen Transaktionen verbundene Risiken.
Es gilt ein Überwachungs- und Berichtssystem zu etablieren

risk map:
matrix with the dimensions of occurrence probability and impact of the risk

1. high impact/low probability

These are significant risks that are likely to trigger a crisis for the company.
Such events, because of their unpredictability, are often mitigated by use of insurance or disaster recovery planning.

.

2. Low impact/low probability

These risks must be addressed as part of the operating business. As they are not critical, corresponding considerations are generally not a particular priority.

3. high impact/high probability

These are typically urgent issues that require the undivided attention of the company management.
Active risk management (e.g. avoidance of occurrence) is required

4. low impact/high probability

These are foreseeable risks that are typically associated with normal business transactions. They need to be mitigated through procedural type controls to an acceptable cost/benefit level.
Hence a monitoring and reporting system should be established.

Risikoprofil / Risk profile:
Heat Map

Eine Heat Map ist eine farbcodierte Matrix zur Darstellung von Risiken und deren Minderung in einer Organisation. Sie visualisiert Risikoniveaus (z. B. hoch = rot, mittel = gelb, niedrig = grün) und kann interaktiv genutzt werden, um detaillierte Informationen zu spezifischen Risiken bereitzustellen.

Die Klassifikation von Heat Maps kann auf zwei grundlegende Arten erfolgen: Erstens anhand bestimmter Kategorien, beispielsweise durch die Systematisierung nach Arten von Finanzinstrumenten, was als Risk Source Heat Map bezeichnet wird. Zweitens können Heat Maps nach Organisationseinheiten differenziert werden, etwa in Bezug auf Trading, Middle Office und Back Office,was als Organization Heat Map bezeichnet wird.

A heat map is a colour-coded matrix for displaying risks and their mitigation in an organisation. It visualises risk levels (e.g. high = red, medium = yellow, low = green) and can be used interactively to provide detailed information on specific risks.

Heat maps can be classified in two ways:
Firstly, based on certain categories, for example by systematising them according to types of financial instruments, which is referred to as a risk source heat map.
Secondly, heat maps can be differentiated according to organisational units, for example in relation to trading, middle office and back office, which is referred to as an organisation heat map.

Risikoprofil / Risk profile:
Heat Map:
Werkzeuge für die Informationssammlung/
Tools for collecting information.

.

• Risk Workshop:

  • Vorteile: Effiziente Nutzung der Zeit, fördert den Austausch

  • Nachteile: Erfordert hohe Moderationsfähigkeiten

• Structured Interview:

  • Vorteile: stärkt Beziehungen und Risikokultur.

  • Nachteile: verhindert Dialog unter Entscheidungsträgern, aufwendige Planung nötig.

• Formal Survey:

  • Vorteile: Erreicht viele Teilnehmer, bietet konsistente Struktur

  • Nachteile: Mögliche Qualitätsprobleme bei Antworten, keine Interaktion oder Lernmöglichkeit für Befragte.

Risikoprofil / Risk profile:
Heat Map:
Vorgehen zur Bereitstellung von Daten /
Procedure for providing data

*

Step 1: Schedule Interviews and Gather Background Information

Effective ERM interviews require a structured plan, with a semi-annual risk profile as an optimal starting point. Key executives and risk specialists should be interviewed within three weeks for coherence. CEO input must be balanced with broader risk perspectives. Background data, including audits and divisional risk assessments, should be cross-validated for a comprehensive risk profile.

Step 2: Prepare the Interview Tools
Preparing ERM interviews requires well-developed tools. Key corporate objectives must be clearly defined and agreed upon before risk assessments. External events should be monitored through an environmental scan, summarizing impactful trends. Interviewees receive a structured list of potential risks, categorized and color-coded by severity, to facilitate discussion. A prior top risks matrix helps track risk evolution. Interviews should balance structured assessments with open dialogue, capturing both quantitative ratings and qualitative insights. Ideally, two interviewers manage discussions and note-taking. Feedback has shown that this process enhances risk awareness and fosters constructive engagement.

Step 3: Summarize the Interview Findings
After completing the interviews, the findings must be summarized quickly for presentation to management and potentially the board, with the process varying based on the organization's structure. A recommended method, involves creating individual risk sheets that list risk sources and mitigation efforts, annotated with interviewee initials for reference, ensuring confidentiality while allowing follow-ups and facilitating risk profile updates.

Step 4: Summarize the Risk Ratings and Trends
After gathering interview findings, new risk ratings and trends must be recorded in a spreadsheet to assess whether adjustments are necessary. Changes to risk ratings or additions stem from key interview insights, collected ratings, and identified trends, with the ERM group sometimes drafting descriptions of emerging risks for executive discussion if they perceive escalating threats, supported by interview findings and other evidence.

1.Interviews und Datensammlung

Der Prozess für die Datensammlung sollte regelmäßig stattfinden.
Befragt wird insbesondere die Leitungsebene, was mit dem Überblick und der Erfahrung begründet ist. Interviews werden i.d.R. im Team durchgeführt.Zusätzliche Daten können aus bestehenden Berichten (Performance-Beurteilungen, Benchmarking, Qualitätsmanagement o.ä.) entnommen werden

2.Vorbereitung von Tools

Ausgangspunkt sind wesentliche Ziele des Unternehmens und die Strategie, die zur Erreichung der Ziele verfolgt wird. Ein weiterer Gesichtspunkt ist die Identifikation von Risikoereignissen in der Vergangenheit. Hieraus können Aussagen zu Eintrittshäufigkeiten, aber auch zur Art der aufgetretenen Probleme abgeleitet werden. Die Erkenntnisse werden in einem vorläufigen Risikoinventar (einer Liste) festgehalten.

3. Analyse der Interviews und der gesammelten Daten
Die Analyse konzentriert sich auf die präzise Charakterisierung des Risikos, einschließlich Ursachen, Veränderungen und geeigneter Maßnahmen zu dessen Bewältigung..

Zusätzliche Risiken werden ins Inventar aufgenommen, wenn:

• Interviews oder Unterlagen darauf hinweisen,

• Risikobewertungen dies nahelegen,

• veränderte Risikoeinschätzungen eine höhere Relevanz anzeigen.
  
  

4. Entwurf und kritische Durchsicht des Risikoverzeichnisses
Abweichende Risikoeinschätzungen und Trendbewertungen sind zu dokumentieren und im Validierungsprozess zu berücksichtigen, ebenso wie zeitliche Veränderungen der Risikobeurteilung.

Das Risikoverzeichnis wird in einer Feedbackrunde mit dem Management überprüft, um Schwerpunkte, Vollständigkeit und mögliche „blinde Flecken“ zu validieren.

• (hausinterne) Kommunikation des Risikoverzeichnisses

  Das Risikoverzeichnis soll als Entscheidungsgrundlage für das Management dienen. Die finalisierte Fassung ist daher regelmäßig vom Leitungsgremium zur Kenntnis zu nehmen und bei entsprechenden Entscheidungen zu berücksichtigen.

Überwachung

Ein Schwerpunkt der Überwachung ist die Prognosegenauigkeit des Risikoverzeichnisses, d.h. man geht der Frage nach, ob es die wesentlichen Risiken in der Vergangenheit adressiert und auch korrekt vorhergesagt hat

1.interviews and data collection

The data collection process should take place regularly. The management level in particular is interviewed, which is justified by the overview and experience. Interviews are usually conducted within the team and additional data can be taken from existing reports (performance assessments, benchmarking, quality management, etc.)

2. Preparation of tools

The starting point is the company's key objectives and the strategy that is being pursued to achieve these objectives. Another aspect is the identification of risk events in the past. From this, statements can be derived about the frequency of occurrence, but also about the type of problems that have arisen. The findings are recorded in a preliminary risk inventory (a list).

3. analysing the interviews and the collected data

The analysis focuses on the precise characterisation of the risk, including causes, changes and suitable measures to deal with it.

Additional risks are included in the inventory if:
Interviews or documentation indicate this, risk assessments suggest this, or changed risk assessments indicate a higher relevance.

4. draft and critical review of the risk inventory

Deviating risk assessments and trend assessments must be documented and taken into account in the validation process, as must changes to the risk assessment over time.

The risk register is reviewed in a feedback round with the management in order to validate focal points, completeness and possible ‘blind spots’.

• (Internal) communication of the risk register

The risk register is intended to serve as a basis for management decisions. The finalised version must therefore be regularly acknowledged by the management body and taken into account when making decisions.

• Monitoring

One focus of monitoring is the forecasting accuracy of the risk register, i.e. the question of whether it has addressed and correctly predicted the material risks in the past is investigated

Risk Focused Resource Allocation Framework (RFRAF)
*

1. Ableitung von Erfolgsfaktoren und Indikatoren
   Das Unternehmen definiert fünf strategische Ziele, darunter Kundenzufriedenheit, stabile Endkundenpreise, Gewinnsteigerung, Einhaltung von Arbeitsschutzbestimmungen und Reputationssicherung. Diese Ziele werden durch messbare Indikatoren (Key Performance Indicators, KPI) operationalisiert.

2. Festlegung der Risikotoleranz
   Die Risiken werden in fünf Klassen eingeteilt:

   • Kleine Störung („minor“): Routinemäßige Maßnahmen durch Fachbereiche ohne nachhaltige Konsequenzen.

   • Moderate Störung („moderate“): Wesentliche Abweichungen, die durch projektorganisierte Maßnahmen adressiert werden.

   • Starke Störung („major“): Bedeutende Zielabweichungen, über die Bereichsleiter und Unternehmensleitung gemeinsam entscheiden.

   • Schwere Störung („severe“): Grundsätzliche Infragestellung der Zielerreichung mit sofortiger Unternehmensleitungseinbindung und projektübergreifender Lösungsfindung.

   • Katastrophenszenario („worst case“): Existenzbedrohende Risiken, die sofortiges und umfassendes Managementhandeln erfordern.

3. Präventive Maßnahmen und Reaktionsplanung
   Vorab werden Maßnahmen definiert, um Risiken frühzeitig zu erkennen und Gegenmaßnahmen bereits im Vorfeld zu planen. Die Risikotoleranz wird operationalisiert, indem KPIs in konkrete Planungsindikatoren umgewandelt werden.

4. Bewertung der Eintrittswahrscheinlichkeit
   Die Risiken werden anhand einer fünfstufigen Skala von „sehr unwahrscheinlich“ bis „sehr wahrscheinlich“ klassifiziert. Diese Bewertung hilft, realistische Erwartungswerte für das Risikomanagement zu berechnen.

5. Erstellung einer Risikomatrix
   Durch Kombination von Eintrittswahrscheinlichkeit und Schadensausmaß wird eine Risikomatrix erstellt. Risiken mit hoher Relevanz befinden sich im oberen rechten Quadranten der Matrix, wodurch Prioritäten für das Management abgeleitet werden

Schritte des Risikomanagementprozesses

• Identifikation und Beurteilung der Risiken in Bezug auf die Unternehmensziele.

• Auswahl von Risiken, für die Maßnahmen ergriffen werden müssen

• Entwicklung alternativer Risikobewältigungsstrategien.(TARA)

• Prioritätenbildung basierend auf Risikoeinschätzung und Bewältigungsstrategien.

• Kritische Durchsicht und Validierung der Analyse anhand Sensititvitätsanalysen, Plausibilitätscheck und Beachtung der Budgetrestriktionen

• Diskussion und Verabschiedung der umzusetzenden Maßnahmen.

• Projektmanagement zur Umsetzung der Maßnahmen.und Ressourcen (Sachmittel, Finanzen, Information) in ausreichendem Umfang bereitstellen.

1. Derivation of success factors and indicators

   The company defines five strategic goals, including customer satisfaction, stable end customer prices, increased profits, compliance with health and safety regulations and safeguarding reputation. These goals are operationalised using measurable indicators (key performance indicators, KPIs).

2. Determination of risk tolerance

   Risks are categorised into five classes:

   Minor incident (‘minor’): Routine measures by specialised departments without lasting consequences.

   Moderate disruption (‘moderate’): Significant deviations that are addressed by project-organised measures.

   Major disruption: Significant deviations from targets that are decided jointly by the divisional manager and company management.

   Severe disruption: Fundamental questioning of target achievement with immediate company management involvement and cross-project solution finding.

   Catastrophic scenario (‘worst case’): Existence-threatening risks that require immediate and comprehensive management action.

3. Preventive measures and response planning

Measures are defined in advance in order to recognise risks at an early stage and plan countermeasures in advance. Risk tolerance is operationalised by converting KPIs into concrete planning indicators.

4. Assessment of the probability of occurrence

Risks are categorised on a five-point scale from ‘very unlikely’ to ‘very likely’. This assessment helps to calculate realistic expected values for risk management.

5. Creation of a risk matrix

A risk matrix is created by combining the probability of occurrence and the extent of damage. Risks with a high degree of relevance are located in the top right quadrant of the matrix, allowing management priorities to be derived

Steps of the risk management process

• Identification and assessment of risks in relation to the company's objectives.

• Selection of risks for which measures need to be taken

• Development of alternative risk management strategies (TARA)

• Prioritisation based on risk assessment and response strategies.

• Critical review and validation of the analysis based on sensitivity analyses, plausibility check and consideration of budget restrictions

• Discussion and adoption of the measures to be implemented.

• Project management for the implementation of the measures and provision of sufficient resources (material resources, finances, information).

Marktrisiko / market risk

Das Marktrisiko beschreibt die Gefahr, dass sich der aktuelle Wert oder die zukünftigen Zahlungsströme eines Finanzinstruments aufgrund von Schwankungen der Marktpreise verändern.
Gefahr von Verlusten, die sich aus nachteiligen Marktpreisbewegungen ergeben.

Das Marktrisiko lässt sich in verschiedene Unterkategorien unterteilen:

• Wechselkursrisiko: Schwankungen des Wechselkurses können dazu führen, dass sich zukünftige Zahlungsströme anders entwickeln als erwartet. Dies betrifft insbesondere Unternehmen mit internationalen Geschäften.

• Zinsänderungsrisiko:
  Das Zinsänderungsrisiko besteht in einer aus Marktzinsänderungen resultierenden negativen Abweichung. Veränderungen von Zinssätzen beeinflussen nicht nur die Zahlungsströme, sondern auch den Wert von Vermögensgegenständen und Verbindlichkeiten. .

• Preisrisiko: Hierunter fallen Schwankungen der Preise von Rohstoffen (commodity price risk) sowie der Kurse von handelbarem Eigenkapital (equity price risk).

Market risk describes the risk that the current value or future cash flows of a financial instrument will change due to fluctuations in market prices.

Market risk can be divided into various sub-categories:

Exchange rate risk: Fluctuations in the exchange rate can lead to future cash flows developing differently than expected. This particularly affects companies with international business.

Interest rate risk: Changes in interest rates affect not only cash flows, but also the value of assets and liabilities. This can make investments more or less attractive.

Price risk: This includes fluctuations in the prices of commodities (commodity price risk) and the prices of tradable equity (equity price risk).

Marktrisiko / market risk:
Offenlegung in der Rechnungslegung / Disclosure in financial reporting

Nach IAS/IFRS müssen Unternehmen in ihrem Anhang wesentliche Marktrisiken offenlegen, die aus Finanzinstrumenten resultieren. Dazu zählen insbesondere Änderungen von Zinssätzen, Rohstoffpreisen, Wechselkursen und Preis- bzw. Zinsindizes.

Zur quantitativen Bewertung des Marktrisikos wird eine Sensitivitätsanalyse verlangt. Diese kann entweder für jede Risikoart separat oder in einer ganzheitlichen Analyse unter Berücksichtigung von Wechselwirkungen zwischen den einzelnen Risikofaktoren erfolgen.

Eine weit verbreitete Methode hierfür ist der Value at Risk (VaR), der das mögliche Verlustpotenzial innerhalb eines bestimmten Zeitraums und mit einer festgelegten Wahrscheinlichkeit bestimmt. Unternehmen nutzen dabei interne Daten und Analyseverfahren, die auch für die Unternehmenssteuerung herangezogen werden (Management Approach).

According to IAS/IFRS, companies must disclose significant market risks resulting from financial instruments in their notes. These include, in particular, changes in interest rates, commodity prices, exchange rates and price or interest rate indices.

A sensitivity analysis is required for the quantitative assessment of market risk. This can be carried out either separately for each risk type or in a holistic analysis, taking into account interactions between the individual risk factors.

A widely used method for this is the value at risk (VaR), which determines the potential loss within a certain period and with a fixed probability. Companies use internal data and analysis procedures that are also used for corporate management purposes (management approach).

Marktrisiko / market risk:
Relevanz des Marktrisikos aus der Investorenperspektive /
Relevance of market risk from the investor's perspective

Beim Umgang mit Marktrisiken gibt es zwei Extrempositionen: Entweder das Unternehmen adressiert Marktrisiken aktiv auf Unternehmensebene, insbesondere solche, die nicht zum Kerngeschäft gehören, oder es setzt auf eine hohe Kapitalmarkteffizienz, sodass Anleger Risiken besser innerhalb eines diversifizierten Portfolios managen können und keine Absicherung erforderlich ist. Wo ein Unternehmen in diesem Spektrum einzuordnen ist, hängt von mehreren Faktoren ab.

• Branchenstruktur: Wettbewerbsintensität beeinflusst die Fähigkeit, Preisänderungen durchzusetzen. Konzentrationen bei Zulieferern oder Kunden können den Handlungsspielraum einschränken.

• Kostenstruktur: Unternehmen mit Kostenführerschaftsstrategien sind unterschiedlich stark von Veränderungen in der Kostenstruktur betroffen.

• Akzeptanz volatiler Zahlungsströme: Erwartungen von Eigentümern und Gläubigern hinsichtlich Schwankungen operativer Zahlungsströme sind zu berücksichtigen, um Unsicherheiten zu vermeiden.

• Methodenkenntnis im Risikomanagement: Spezialisierte Fachkenntnisse sind erforderlich; Outsourcing ist oft nur begrenzt sinnvoll, da es den Kern unternehmerischer Entscheidungen betrifft.

• Markterwartungen: Unternehmensleitung muss zukünftige Marktentwicklungen bewerten und deren Eintrittswahrscheinlichkeit sowie mögliche Konsequenzen abwägen.
  
  

Letztlich läuft die Diskussion auf die Frage hinaus, wie stark operative Zahlungsströme schwanken dürfen. Anleger verlangen für höhere Volatilität eine Risikoprämie. Ein aktives Risikomanagement verursacht jedoch Kosten, sodass eine Kosten-Nutzen-Abwägung erforderlich ist. Zudem kann eine zu starke Absicherung dazu führen, dass das Wertpapier aus Portfolios verschwindet, da es keinen Beitrag mehr zum systematischen Risiko leistet.


There are two extreme positions when dealing with market risks: Either the company actively addresses market risks at a corporate level, especially those that are not part of its core business, or it focuses on high capital market efficiency so that investors can better manage risks within a diversified portfolio and no hedging is required.
Where a company falls within this spectrum depends on several factors:
Industry structure: The intensity of competition influences the ability to implement price changes. Concentrations of suppliers or customers can limit the scope for action.

Cost structure: Companies with cost leadership strategies are affected to varying degrees by changes in the cost structure.

Acceptance of volatile cash flows: Expectations of owners and creditors regarding fluctuations in operating cash flows must be taken into account in order to avoid uncertainties.

Knowledge of risk management methods: Specialized expertise is required; outsourcing is often only useful to a limited extent as it affects the core of business decisions.

Market expectations: Company management must evaluate future market developments and weigh up their probability of occurrence and possible consequences.

Ultimately, the discussion revolves around the question of to what extent operating cash flows should be allowed to fluctuate. Investors demand a risk premium for higher volatility. However, active risk management incurs costs, so a cost-benefit analysis is required. In addition, excessive hedging can lead to the security disappearing from portfolios as it no longer contributes to systematic risk.

Marktrisiko / market risk:
Bewertung von Marktrisiken / valuation of market risks

Marktrisiken können anhand von Marktdaten bewertet werden, insbesondere bei börsennotierten Unternehmen mit regelmäßiger Handelstätigkeit.

Auch abgeleitete Instrumente wie Optionen oder Futures sind relevant, da sie indirekt von der Wertentwicklung des Eigen- oder Fremdkapitals abhängen.

Ein Unternehmen kann über Regressionsmodelle analysieren, wie sich verschiedene Marktgrößen (z. B. Rohstoffpreise, Wechselkurse) auf den Unternehmenswert auswirken. Überträgt man die Daten in eine Simulation, so können Verteilungsparameter abgelesen werden.

Es gibt einseitige (z. B. zur Abschätzung von Ausfallrisiken, wie beim Value at Risk) und zweiseitige Analysen (z. B. Schwankungen um den Erwartungswert).

Neben dem Unternehmenswert (E) können auch EBIT, Jahresüberschuss oder operativer Cashflow zur Risikobewertung herangezogen werden.

Futures: Fixierte Terminkontrakte zur Absicherung gegen Marktrisiken.

Optionen: Kontrakte, die unter bestimmten Bedingungen ausgeführt werden und eine Hebelwirkung erzeugen können.

Derivate können zur Absicherung genutzt werden, aber auch unkontrolliert zu zusätzlichen finanziellen Risiken führen aufgrund ihrer Hebelwirkung

Market risks can be assessed using market data, particularly for publicly traded companies with regular trading activity.

Derivative instruments such as options and futures are also relevant, as their value depends on the price movements of a company's equity or debt instruments.

Companies can use regression models to analyze how different market factors (e.g., commodity prices, exchange rates) impact company value.If the data is transferred to a simulation, distribution parameters can be derived.

One-sided analyses are used for default risk forecasting (e.g., Value at Risk), while two-sided analyses examine fluctuations around the expected value.

Besides company value (E), EBIT, net income, or operating cash flow can also be used for risk assessment.

Futures: Fixed-term contracts used for hedging market risks.

Options: Contracts executed under specific conditions that can create leverage effects.

Risk: While derivatives can be used for hedging, improper or uncontrolled use can lead to significant financial risks.

Marktrisiko / market risk:
Kreditrisiko als Sonderfall des Marktrisikos / Credit risk as a special case of market risk

Das Kreditrisiko ist eine spezielle Form des Marktrisikos , weil es einseitig definiert ist – es beschreibt ausschließlich den möglichen Verlust durch den Ausfall einer Forderung.

Die Berechnung erfolgt nach der Formel:
Kreditrisiko = ungesicherter Betrag × Ausfallwahrscheinlichkeit × Loss Given Default (LGD).

Loss Given Default (LGD) bezeichnet den Verlustanteil nach einem Kreditausfall. Er kann als fester Geldbetrag oder als Prozentsatz des ungesicherten Kreditvolumens angegeben werden.

Ungesicherter Betrag ist der Teil des Kredits, der nicht durch Sicherheiten gedeckt ist. In der Praxis kann dieser Betrag variieren, wenn Sicherheiten trotz rechtlicher oder wirtschaftlicher Hürden nicht realisiert werden können.

Kreditrisiken sind nicht nur für bereits ausgezahlte Kredite, sondern auch für zugesagte Kreditlinien relevant, weil ein Unternehmen in einer finanziellen Notlage möglicherweise den gesamten verfügbaren Kreditrahmen ausschöpft.

Credit risk is a special form of market risk because it is defined one- sided - it only describes the possible loss due to the default of a loan.

It is calculated using the formula

Credit risk = unsecured amount × probability of default × loss given default (LGD).

Loss given default (LGD) refers to the share of loss following a credit default. It can be specified as a fixed monetary amount or as a percentage of the unsecured credit volume.

The unsecured amount is the part of the loan that is not covered by collateral. In practice, this amount can vary if collateral cannot be realized despite legal or economic hurdles.

Credit risks are not only relevant for loans that have already been disbursed, but also for committed credit lines, as a company in financial distress may utilize the entire available credit line.

Marktrisiko / market risk:
Bestimmungsfaktoren einer Kreditwürdigkeitsprüfung /
Determining factors of a credit assessment

Die Kreditwürdigkeitsprüfung basiert auf den sogenannten „5 C“: Capacity, Capital, Collateral, Conditions und Character

Capacity meint die Fähigkeit eines Unternehmens, den Kredit zurückzuzahlen.

Capital bezieht sich auf die vorhandene Kapitalausstattung

Collateral bezeichnet das Schuldendeckungspotenzial der Sicherheiten.

Conditions beschreiben unternehmenspezifische sowie allgemeine wirtschaftliche Kontextfaktoren.

Character bezieht sich auf die Kreditwürdigkeit und Vertrauenswürdigkeit des Kreditnehmers.

The credit assessment is based on the so-called ‘5 Cs’: Capacity, Capital, Collateral, Conditions and Character

Capacity refers to the ability of a company to repay the loan.

Capital refers to the available capital resources

Collateral refers to the debt coverage potential of the collateral.

Conditions describe company-specific and general economic context factors.

Character refers to the creditworthiness and trustworthiness of the borrower.

Marktrisiko / market risk:

Risikobewertung als Beurteilung eines Ausfallrisikos / Risk assessment as an evaluation of the risk of default

Die Risikobewertung bei Ausfallrisiken hängt von der Art der Forderung ab.

Kundenforderungen werden durch Kreditlimits gesteuert, basierend auf der wirtschaftlichen Lage des Kunden, Zahlungsmodalitäten und Sicherheiten.

Die Kreditvergabe orientiert sich am Finanzierungsbedarf des Unternehmens, insbesondere am Umlaufvermögen.

Eine marktbasierte Risikobewertung kann hohe Refinanzierungskosten verursachen. Alternativen sind Anzahlungen, Vorauszahlungen oder Factoring zur Risikoverlagerung.

Für größere Unternehmen existieren Kreditausfallversicherungen und -derivate. Im Exportgeschäft kann ein Letter of Credit zur Absicherung genutzt werden.

The risk assessment for default risks depends on the type of receivable.

Customer receivables are managed using credit limits based on the customer's financial situation, payment terms and collateral.

Lending is based on the company's financing requirements, in particular its current assets.

A market-based risk assessment can result in high refinancing costs. Alternatives include advance payments, prepayments or factoring to shift risk.

Credit default insurance and derivatives are available for larger companies. In the export business, a letter of credit can be used as security.

operatives Risiko / operational risk

Der operative Bereich betrifft das Tagesgeschäft und beeinflusst indirekt die Umsetzung von Strategien

Operatives Risikomanagement dient der Erreichung unternehmerischer Ziele.

Gründe für die Verfehlung von operativen Zielen sind unter anderem (siehe Abbildung)

The operational area concerns day-to-day business and indirectly influences the implementation of strategies

Operational risk management serves to achieve corporate goals.

Reasons for failing to achieve operational targets include (see illustration)

operatives Risiko / operational risk
Einflussfaktoren („Stellhebel“) auf das operative Risiko / Influencing factors (‘levers’) on operational risk

Wesentliche Stellhebel für das operative Risikomanagement sind:

• Klarheit über gemeinsame Ziele, Rollen und Verantwortlichkeiten, um eine effektive Zusammenarbeit und Ergebnisverantwortung sicherzustellen.

• Gezielter und strategiekonformer Ressourceneinsatz, um die Umsetzung der Unternehmensstrategie optimal zu unterstützen.

• Kompetenzen im Umgang mit unerwarteten Entwicklungen, insbesondere durch eine risikobewusste Wahrnehmung, die Identifikation und Bewertung relevanter Einflussfaktoren (z. B. durch Frühwarnsysteme) sowie den Aufbau aktiver Beziehungen zu wichtigen Stakeholdern, um den Informationsaustausch zu fördern und die Reaktionsfähigkeit – etwa in Krisensituationen – zu verbessern.

operatives Risiko / operational risk

Rolle von Standardsetzern für das operative Risikomanagement am Beispiel von Banken /
Role of standard setters for operational risk management using the example of banks

Der maßgebliche Standardsetzer im Bankensektor ist der Basler Ausschuss für Bankenaufsicht der Bank für Internationalen Zahlungsausgleich (BIZ). Durch die Reformpakete Basel I bis III hat er Richtlinien zur Kapitalausstattung von Finanzinstituten formuliert, die darauf abzielen, die monetäre und finanzielle Stabilität verschiedener Zentralbanken zu gewährleisten.

Dies soll u.a. durch folgende Maßnahmen geschehen:

• Förderung der Diskussion und Zusammenarbeit der Zentralbanken untereinander,

• Als Gegenpartei für Zentralbanken bei finanziellen Transaktionen agieren

The Basel Committee on Banking Supervision of the Bank for International Settlements (BIS) is the authoritative standard setter in the banking sector. Through the Basel I to III reform packages, it has formulated guidelines on the capitalisation of financial institutions, which aim to ensure the monetary and financial stability of various central banks.

This is to be achieved through the following measures, among others:

• Promoting discussion and co-operation among central banks,

• Acting as a counterparty for central banks in financial transactions

operatives Risiko / operational risk

wesentliche Aspekte der Regelwerke Basel I, II und III aus der Risikomanagementperspektive

Basel I (1988) legte den Grundstein für die Regulierung der Eigenkapitalanforderungen von Banken.

Basel II (1999) verbesserte die Anforderungen durch ein dreisäuliges Konzept. Zudem wurden erstmals Anforderungen an das operative Risikomanagement einer Bank formuliert.

Basel III (nach 2007, infolge der Finanzkrise) die Berücksichtigung von Derivaten und außerbilanziellen Geschäften in der Eigenkapitalberechnung sowie die Einführung einer Leverage Ratio, die die Verschuldung der Banken begrenzen soll.

Basel I (1988) laid the foundation for the regulation of banks' capital requirements.

Basel II (1999) improved the requirements with a three-pillar concept. In addition, requirements for a bank's operational risk management were formulated for the first time.

Basel III (after 2007, as a result of the financial crisis) took account of derivatives and off-balance sheet transactions in the calculation of capital and introduced a leverage ratio to limit banks' indebtedness.

peratives Risiko / operational risk

Rolle der Unternehmensverfassung /Role of the corporate constitution

Strukturelle Aspekte sind essenziell für die effektive Umsetzung des operativen Risikomanagements.

Die Schwerpunktsetzung liegt auf der Delegation von Entscheidungsbefugnissen im Risikomanagement. Eine Bank muss einen Risikomanagementverantwortlichen im Senior Management benennen, der das oberste Leitungsgremium in Risikofragen unterstützt, insbesondere durch die Festlegung eines Risikoprofils und entsprechender Limitierungen für die Geschäftsabläufe. Dieser Verantwortliche ist in wesentliche Entscheidungen wie Strategieentwicklung, Investitions- und Liquiditätsplanung, neue Produkte sowie das Vergütungssystem einzubeziehen.

Zur Risikobewertung sind Stresstests durchzuführen, um potenzielle Risiken unter verschlechterten Rahmenbedingungen einzuschätzen. Die Unternehmensleitung genehmigt die Szenarien interner Stresstests, deren Ergebnisse regelmäßig dem obersten Leitungsgremium vorgelegt werden. Die Ergebnisse beinhalten Auswirkungen auf Budget, Kapitalbedarf und Liquiditätsplanung und werden weiteren Verantwortlichen in der Bank mitgeteilt.

Structural aspects are essential for the effective implementation of operational risk management.

The focus is on the delegation of decision-making powers in risk management. A bank must appoint a risk management officer in senior management who supports the top management body in risk issues, in particular by defining a risk profile and corresponding limits for business processes. This officer must be involved in key decisions such as strategy development, investment and liquidity planning, new products and the remuneration system.

Stress tests must be carried out to assess potential risks under deteriorating conditions. The company management approves the scenarios of internal stress tests, the results of which are regularly presented to the highest management body. The results include effects on the budget, capital requirements and liquidity planning and are communicated to other responsible parties in the bank.