Risk Appetite Statement formulieren: Von vagen Aussagen zu konkreten Schwellenwerten
Die meisten Unternehmen haben keinen definierten Risikoappetit – und treffen deshalb inkonsistente Entscheidungen. So kommen Sie von vagen Aussagen zu konkreten Schwellenwerten pro Risikokategorie.
Inhaltsverzeichnis
Lesezeit: ca. 8 Minuten | Stand: Februar 2026 | Autor: Marvin Zimbelmann
„Wir gehen keine unnötigen Risiken ein." So oder so ähnlich klingt der Risikoappetit in den meisten deutschen Unternehmen. Falls er überhaupt dokumentiert ist. Laut einer Studie der Hochschule Luzern haben nur 25 Prozent der befragten Unternehmen ihren Risikoappetit vollständig dokumentiert. Knapp ein Fünftel hält seine Risikobereitschaft überhaupt nicht fest. Der Rest? Irgendwas dazwischen.
Das Problem: Ohne ein dokumentiertes Risk Appetite Statement entscheidet jede Führungskraft nach eigenem Bauchgefühl, welche Risiken akzeptabel sind. Der Vertriebsleiter hält einen potenziellen Umsatzausfall von 500.000 € für vertretbar. Der CFO nicht. Die Geschäftsführung erfährt davon erst, wenn es zu spät ist. Ein Risk Appetite Statement verhindert genau das.
Was ein Risk Appetite Statement ist – und was nicht
Ein Risk Appetite Statement (RAS) ist ein von der Geschäftsführung verabschiedetes Dokument, das festlegt, welche Risiken ein Unternehmen in welchem Ausmaß bereit ist einzugehen, um seine strategischen Ziele zu erreichen.
Klingt abstrakt? Wird sehr konkret, wenn man drei Begriffe sauber trennt:
Risikoappetit (Risk Appetite): Wie viel Risiko will das Unternehmen eingehen? Das ist eine strategische Entscheidung. Ein Unternehmen auf Wachstumskurs hat einen anderen Risikoappetit als eines im Konsolidierungsmodus. ISO 31000 definiert Risk Appetite als „amount and type of risk that an organization is willing to pursue or retain."
Risikotoleranz (Risk Tolerance): Wie viel Abweichung vom definierten Risikoappetit ist im Tagesgeschäft akzeptabel? Risikotoleranz beschreibt die operative Schwankungsbreite. Wenn der Risikoappetit bei finanziellen Risiken „moderat" ist, definiert die Risikotoleranz, ab welchem konkreten Euro-Betrag eskaliert werden muss.
Risikotragfähigkeit (Risk Capacity): Wie viel Risiko kann das Unternehmen tragen, ohne insolvent zu werden oder regulatorische Mindestanforderungen zu verletzen? Das ist keine Frage des Wollens, sondern eine Frage der finanziellen und organisatorischen Substanz.
Die Beziehung ist einfach: Der Risikoappetit muss immer innerhalb der Risikotragfähigkeit liegen. Die Risikotoleranz definiert den zulässigen Korridor um den Risikoappetit herum.
Praxis-Tipp: Viele Unternehmen verwechseln Risikoappetit und Risikotragfähigkeit. Die Tragfähigkeit ist eine rechnerische Größe – etwa das verfügbare Eigenkapital abzüglich regulatorischer Mindestanforderungen. Der Appetit ist eine strategische Entscheidung, die deutlich unterhalb der Tragfähigkeit liegen sollte. Wer seinen Risikoappetit an der Tragfähigkeitsgrenze ansetzt, hat keinen Puffer mehr.
Warum die meisten Unternehmen keinen definierten Risikoappetit haben
In der Praxis scheitert die Formulierung eines Risk Appetite Statements an drei Punkten:
„Das ist doch eh klar." Ist es nicht. Was die Geschäftsführung als selbstverständlich empfindet, interpretiert jede Führungskraft anders. Ohne explizites Statement gibt es keinen gemeinsamen Maßstab – und damit keine konsistenten Risikoentscheidungen im Unternehmen.
„Das lässt sich nicht quantifizieren." Richtig ist: Nicht alles lässt sich in Euro-Beträge fassen. Falsch ist: Dass man deshalb auf eine Formulierung verzichten sollte. Ein Risk Appetite Statement kombiniert quantitative Schwellenwerte (wo möglich) mit qualitativen Aussagen (wo nötig). Beides zusammen ergibt ein steuerbares Gesamtbild.
„Wir wollen uns nicht festlegen." Verständlich, aber kontraproduktiv. Wer sich nicht festlegt, trifft trotzdem Risikoentscheidungen – nur eben ohne Rahmen. Das Risk Appetite Statement schafft keine Starrheit, sondern Orientierung. Und es wird regelmäßig überprüft und angepasst.
Die fünf Bestandteile eines Risk Appetite Statements
Ein wirksames Risk Appetite Statement enthält fünf Elemente. Nicht mehr, nicht weniger.
1. Übergeordnete Risikobereitschaftserklärung
Ein bis drei Sätze, die die grundsätzliche Haltung des Unternehmens zum Risiko beschreiben. Diese Erklärung wird von der Geschäftsführung verabschiedet und setzt den Rahmen.
Beispiel: „Die [Unternehmen] GmbH verfolgt eine insgesamt moderate Risikobereitschaft. Wir gehen bewusst Risiken ein, die mit unserer Wachstumsstrategie vereinbar sind, und akzeptieren keine Risiken, die die Unternehmensfortführung gefährden oder gegen geltendes Recht verstoßen könnten."
2. Risikoappetit pro Kategorie
Hier wird es konkret. Für jede Kategorie Ihrer Risiko-Taxonomie legen Sie fest, ob der Risikoappetit gering, moderat oder hoch ist – und begründen das jeweils in einem Satz.
Risikokategorie | Risikoappetit | Erläuterung |
|---|---|---|
Strategische Risiken | Moderat bis hoch | Wachstumsstrategie erfordert bewusste Risikobereitschaft bei Marktexpansion und Produktentwicklung |
Operative Risiken | Gering bis moderat | Prozessstabilität ist geschäftskritisch; definierte Ausfallzeiten werden toleriert |
Finanzielle Risiken | Moderat | Kontrollierte Verschuldung und Investitionen innerhalb definierter Limits |
Compliance-Risiken | Sehr gering (Null-Toleranz bei Gesetzesverstößen) | Keine bewusste Inkaufnahme von Rechtsverstößen |
ESG-Risiken | Gering | Reputations- und Regulierungsrisiken erfordern proaktives Management |
Personalrisiken | Moderat | Schlüsselpersonen-Abhängigkeit wird akzeptiert, aber durch Nachfolgeplanung begrenzt |
Technologie- & Cyber-Risiken | Gering | IT-Sicherheit und Datenschutz haben höchste Priorität |
Externe Risiken | Moderat | Geopolitische und marktbezogene Risiken sind teilweise unvermeidbar |
Die Abstufung in drei bis fünf Stufen ist branchenüblich. COSO ERM verwendet typischerweise „averse – low – moderate – high – aggressive". Für den deutschen Mittelstand hat sich eine dreistufige Skala (gering – moderat – hoch) mit der Ergänzung „Null-Toleranz" für Compliance-Risiken bewährt.
3. Quantitative Schwellenwerte
Wo möglich, hinterlegen Sie den qualitativen Risikoappetit mit konkreten Zahlen. Das macht die Steuerung operativ.
Beispiele für quantitative Schwellenwerte:
Maximales Einzelschadenspotenzial vor Eskalation: 250.000 €
Maximaler kumulierter Jahresverlust aus operativen Risiken: 2 % des EBIT
Maximale Ausfallzeit kritischer IT-Systeme: 4 Stunden
Maximale Forderungsausfallquote: 3 % des Jahresumsatzes
Nicht jede Risikokategorie lässt sich quantifizieren. Bei Reputationsrisiken oder ESG-Risiken sind qualitative Beschreibungen oft zielführender. Das ist kein Mangel, sondern Realität.
Praxis-Tipp: Starten Sie mit quantitativen Schwellenwerten für die Kategorien, in denen Sie bereits Daten haben – typischerweise finanzielle und operative Risiken. Ergänzen Sie weitere Kategorien schrittweise. Ein Risk Appetite Statement muss nicht am ersten Tag perfekt sein. Es muss existieren.
4. Eskalationsschwellen
Für jede Risikokategorie wird definiert, ab welchem Punkt die nächste Führungsebene informiert werden muss. Diese Schwellen leiten sich direkt aus dem Risikoappetit ab.
Typische Eskalationsstufen:
Stufe 1 (Risikoeigner): Risiko innerhalb des definierten Appetits → eigenständige Steuerung
Stufe 2 (Risikomanagement-Beauftragter): Risiko nähert sich der Toleranzgrenze → Monitoring verstärken, Maßnahmen prüfen
Stufe 3 (Geschäftsführung): Risiko überschreitet Toleranzgrenze → Sofortige Eskalation, Entscheidung durch GF
Stufe 4 (Aufsichtsrat/Beirat): Bestandsgefährdende Risiken → Ad-hoc-Meldung gemäß § 91 Abs. 2 AktG / StaRUG
5. Geltungsbereich und Review-Zyklus
Das Statement definiert, für welche Einheiten es gilt (Gesamtunternehmen, einzelne Geschäftsbereiche, Tochtergesellschaften) und in welchem Rhythmus es überprüft wird.
Die Empfehlung: Jährliche Überprüfung durch die Geschäftsführung als fester Bestandteil des Strategieprozesses. Anlassbezogene Anpassung bei wesentlichen Änderungen der Geschäftsstrategie, des Marktumfelds oder der regulatorischen Rahmenbedingungen.
Drei Fehler, die Sie vermeiden sollten
Fehler 1: Zu vage formulieren „Wir gehen verantwortungsvoll mit Risiken um" ist kein Risk Appetite Statement. Es ist ein Allgemeinplatz. Jede Aussage, die keinen konkreten Entscheidungsrahmen für Führungskräfte liefert, ist wirkungslos. Testen Sie Ihre Formulierungen: Kann eine Führungskraft auf Basis dieses Statements entscheiden, ob ein konkretes Risiko akzeptabel ist oder nicht? Wenn nein, nachschärfen.
Fehler 2: Einheitlichen Appetit für alles Ein Unternehmen, das für alle Risikokategorien denselben Risikoappetit definiert, hat die Übung nicht verstanden. Die Differenzierung nach Kategorien ist der Kern eines Risk Appetite Statements. Es ist völlig normal – und strategisch sinnvoll – bei strategischen Risiken risikofreudiger zu sein als bei Compliance-Risiken.
Fehler 3: Erstellen und vergessen Ein Risk Appetite Statement, das in der Schublade verschwindet, ist nicht mehr wert als keines. Das Statement muss Teil des laufenden Risikomanagement-Prozesses sein: Referenz bei der Risikobewertung, Grundlage für das Risiko-Reporting und Maßstab bei jeder Eskalationsentscheidung.
In fünf Schritten zum Risk Appetite Statement
Schritt 1: Risiko-Taxonomie als Grundlage nutzen
Das Risk Appetite Statement baut auf Ihrer Risiko-Taxonomie auf. Ohne definierte Risikokategorien können Sie keinen differenzierten Risikoappetit formulieren. Falls die Taxonomie noch nicht steht, ist das der erste Schritt.
Schritt 2: Risikotragfähigkeit ermitteln
Bevor Sie den Risikoappetit festlegen, müssen Sie wissen, wie viel Risiko Ihr Unternehmen maximal tragen kann. Arbeiten Sie dafür mit dem Finanzbereich zusammen. Typische Kennzahlen: verfügbares Eigenkapital, Liquiditätsreserven, Kreditlinien, regulatorische Mindestanforderungen.
Schritt 3: Geschäftsführung einbinden
Der Risikoappetit ist eine strategische Entscheidung. Bereiten Sie einen Workshop oder eine strukturierte Befragung der Geschäftsführung vor. Leitfragen:
In welchen Bereichen wollen wir bewusst Risiken eingehen, um Chancen zu nutzen?
Welche Risiken sind unter keinen Umständen akzeptabel?
Welche finanziellen Verluste können wir in einem Geschäftsjahr verkraften?
Praxis-Tipp: Arbeiten Sie im GF-Workshop mit konkreten Szenarien, nicht mit abstrakten Skalen. „Sind Sie bereit, 300.000 € zu riskieren, um einen neuen Markt zu erschließen?" liefert bessere Antworten als „Wie hoch ist Ihr Risikoappetit für strategische Risiken auf einer Skala von 1 bis 5?"
Schritt 4: Formulieren und dokumentieren
Übersetzen Sie die Ergebnisse in ein strukturiertes Dokument mit den fünf beschriebenen Bestandteilen. Halten Sie es schlank: Für ein mittelständisches Unternehmen reichen vier bis sechs Seiten. Entscheidend ist Klarheit, nicht Umfang.
Schritt 5: Verabschieden und kommunizieren
Das Risk Appetite Statement wird formal von der Geschäftsführung verabschiedet und in das Risikomanagement-Handbuch integriert. Alle Risikoeigner und Führungskräfte sollten das Statement kennen und verstehen. Ohne Kommunikation kein Effekt.
Wie das Risk Appetite Statement im RMS-Alltag wirkt
Ein gut formuliertes Risk Appetite Statement ist kein Papiertiger. Es greift in drei operative Prozesse ein:
Bei der Risikobewertung: Das Risikoregister enthält Brutto- und Nettobewertungen. Das Risk Appetite Statement liefert den Maßstab, ab wann ein Netto-Risiko akzeptabel ist und ab wann Handlungsbedarf besteht.
Beim Reporting: Das Quartals-Reporting zeigt, welche Risiken innerhalb des Appetits liegen und welche die Toleranzgrenzen überschreiten. Ohne Statement gibt es keine Toleranzgrenzen – und damit kein zielgerichtetes Reporting.
Bei Eskalationen: Wenn ein Risikoeigner unsicher ist, ob ein Risiko eskaliert werden muss, liefert das Risk Appetite Statement die Antwort. Liegt das Risiko innerhalb der definierten Schwellenwerte? Dann eigenständig steuern. Überschreitet es die Schwellenwerte? Dann eskalieren.
Quick-Check: Ist Ihr Risk Appetite Statement wirksam?
Prüfen Sie Ihr bestehendes Statement oder Ihren Entwurf anhand dieser fünf Fragen:
Ist der Risikoappetit differenziert nach Risikokategorien formuliert?
Enthält das Statement sowohl qualitative Aussagen als auch quantitative Schwellenwerte?
Sind Eskalationsschwellen definiert und den Führungskräften bekannt?
Ist das Statement von der Geschäftsführung formal verabschiedet?
Wird das Statement mindestens jährlich überprüft und bei Bedarf angepasst?
Wenn Sie drei oder mehr Fragen mit Nein beantworten, besteht Handlungsbedarf.
Sie wollen nicht bei Null anfangen?
Die Formulierung eines Risk Appetite Statements erfordert die richtige Struktur, klare Leitfragen für die Geschäftsführung und erprobte Beispielformulierungen für jede Risikokategorie.
Das Risk-Appetite-Statement-Template der ComplianceWerkstatt liefert Ihnen eine sofort einsetzbare Vorlage mit vorformulierten Textbausteinen, Bewertungsskalen und Schwellenwert-Definitionen – basierend auf ISO 31000, COSO ERM und den IDW-Prüfungsstandards.
Sie brauchen nicht nur den Risikoappetit, sondern das komplette Risikomanagementsystem? Der Praxis-Leitfaden „Risikomanagementsystem aufbauen in 7 Schritten" zeigt Ihnen den Gesamtprozess – und das RMS Aufbau-Bundle liefert alle zehn Dokumente, die Sie für den Aufbau brauchen.
Passende Produkte zum Thema
Risikomanagement-System Aufbau-Bundle
Komplettpaket für den RMS-Aufbau: 10 Dokumente gem. ISO 31000, COSO ERM & IDW PS 981/340. Von Taxonomie bis Reporting – sofort einsetzbar. Einzelwert: €590.
Risiko-Taxonomie Vorlage
Strukturierte Risiko-Taxonomie mit 8 Kategorien, Subkategorien und Definitionen. Einheitliche Risikosprache für Ihr Unternehmen. Word-Format, sofort anpassbar.
Risk-Appetite-Statement Vorlage
Vorlage für Risikobereitschaft und Risikotragfähigkeit je Kategorie. Inkl. Toleranzbänder, Eskalationsmatrix und Board-Vorlage. Word-Format.
Marvin Zimbelmann
Head of Governance, Risk & Compliance · MBA-Dozent · Podcast-Host
Auf LinkedIn vernetzen →