Kletterer steigt eine steile Felswand mit Sicherungsseil hinauf

EY Risikomanagement-Studie 2025: Resilienz, Risiken & Handlungsfelder österreichischer Unternehmen

Autoren

10 Minuten Lesezeit 16. Jänner 2026

Österreichische Unternehmen stehen vor der Herausforderung, ihre Risikomanagement-Ansätze zu optimieren, um die Resilienz in Krisensituationen zu erhöhen. Wie Sie das Risikomanagement auch in Ihrem Unternehmen verbessern können und warum Sie das machen sollten, erfahren Sie in diesem Beitrag.

Überblick

  • Österreichische Unternehmen zeigen sich krisenresilient, trotz geopolitischer Unsicherheiten und technologischer Umbrüche.
  • Agilität, Datenverfügbarkeit und strategisches Risikomanagement sind oft noch ausbaufähig.
  • In einer dynamischen Welt ist es entscheidend, Risikomanagement als integralen Bestandteil der Unternehmensstrategie zu verankern.

Key-Findings der EY Risikomangement-Studie 2025

haben mehr als 3 FTEs im Risikomanagement
haben weniger als 1 FTE im Risikomanagement
schätzen sich als (sehr) stark krisenresilient ein
überwachen externe Entwicklungen nur wenig
sehen den AI Act als relevant
sind nicht/kaum auf den AI Act vorbereitet

In einer zunehmend vernetzten und komplexen Welt sehen wir uns wachsenden Herausforderungen gegenüber, die unsere Gesellschaft anfälliger für Krisen machen. Faktoren wie technologischer Fortschritt, Klimawandel, politische Instabilität und Konflikte sowie das Bevölkerungswachstum tragen dazu bei, dass Krisen nicht nur wahrscheinlicher, sondern auch gravierender werden.

Krisen bieten jedoch auch die Möglichkeit zu lernen, zu wachsen und Systeme widerstandsfähiger zu machen. Voraussetzung dafür ist, dass Krisen nicht isoliert betrachtet, sondern ihre Zusammenhänge verstanden und diese ganzheitlich berücksichtigt werden. In diesem Kontext spielt ein effektives Risikomanagement eine entscheidende Rolle, da es Unternehmen ermöglicht, die vielfältigen und oft miteinander verknüpften Risiken besser zu bewältigen und damit die Widerstandsfähigkeit der Organisation zu stärken, um in einem unsicheren wirtschaftlichen Umfeld stabil zu bleiben.

Unsere aktuelle Umfrage beleuchtet das Risikomanagement in österreichischen Unternehmen unterschiedlicher Branchen und Größen näher. Die Befragung konzentrierte sich auf die Agilität des Risikomanagements, die Resilienz der Organisationen gegenüber Krisen, den Beitrag des Risikomanagements dazu sowie die zugrundeliegenden und notwendigen Technologien, Datengrundlagen und -analysen.

Die Analyse der Antworten von 55 Unternehmensvertreter:innen zeigt, dass es in vielen Bereichen des Risikomanagements noch Verbesserungspotenzial gibt. Insbesondere in Bezug auf die Ressourcen für das Risikomanagement, die Wahrnehmung seiner Bedeutung für die Resilienz und die notwendigen Datenanalysen bestehen dringende Handlungsfelder. Im Bereich der Technologien zeigt sich zudem weiters, dass sich viele Organisationen der Auswirkungen der neuen EU-Verordnung (AI Act) noch nicht bewusst sind und dahingehend noch keine oder nur geringe vorbereitenden Maßnahmen ergriffen haben.

EY Risikomanagement-Studie 2025

Österreichische Unternehmen schätzen ihre Widerstandsfähigkeit gegen Krisen als hoch ein, vernachlässigen aber die Messung tatsächlicher Resilienz. Alle Details erfahren Sie in unserer aktuellen Studie.

Jetzt herunterladen

Was versteht man unter Risikomanagement?

Das Risikomanagement spielt eine wesentliche Rolle in der Gesamtorganisation, indem es Risiken identifiziert, bewertet und steuert, welche die Zielverwirklichung und das Erreichen der Unternehmensziele negativ beeinträchtigen könnten. Es trägt zur Stabilität und Resilienz der Organisation bei, fördert eine informierte Entscheidungsfindung und leistet somit einen entscheidenden Beitrag zur langfristigen Sicherung des Unternehmenserfolgs.

Obwohl das Risikomanagement demnach eine entscheidende Funktion für die gesamte Organisation einnimmt, verdeutlichen die Umfrageergebnisse, dass dessen Relevanz noch nicht in vollem Umfang gewürdigt wird. Während bereits 80 Prozent der Unternehmen über eine dedizierte Risikomanagement-Abteilung oder -Funktion verfügen, bleibt diese wichtige Funktion bei 20 Prozent der Unternehmen nach wie vor unzureichend etabliert.

Wie gut sind österreichische Unternehmen personell im Risikomanagement aufgestellt?

Zudem zeigt die Frage nach der personellen Ausstattung, dass nur 10,9 Prozent der Organisationen über mehr als drei Vollzeitäquivalente (engl. „Full-Time Equivalents“ – FTEs) im Risikomanagement verfügen und bei fast der Hälfte (47,3 %) ist die Funktion der Risikomanagerin bzw. des Risikomanagers aktuell noch nicht etabliert und es wird kein oder weniger als ein:e Vollzeitmitarbeitende:r für die Thematik abgestellt. Positiv festzuhalten ist, dass immerhin knapp vier von zehn befragten Unternehmen (41,8 %) bis zu drei Vollzeitmitarbeitende im Risikomanagement beschäftigen.


Ein effektives Risikomanagement basiert nicht ausschließlich auf technischen Systemen oder Prozessen, sondern erfordert in erster Linie qualifizierte personelle Ressourcen. Unternehmen, die ihre Risikomanagement-Funktion unzureichend besetzen, setzen sich dem Risiko aus, potenzielle Gefahren nicht rechtzeitig zu erkennen, diese falsch zu priorisieren oder ineffizient zu steuern. Angesichts der zunehmenden regulatorischen Anforderungen, der wachsenden Komplexität von beispielsweise globalen Lieferketten sowie der dynamischen geopolitischen und technologischen Entwicklungen ist es unerlässlich, ein Risikomanagement zu haben, das sowohl analytische Tiefe als auch interdisziplinäre Expertise mitbringt. Durch eine solche Kombination können Risiken proaktiv gemanagt werden, anstatt erst im Ernstfall darauf zu reagieren. Darüber hinaus fördert ein gut aufgestelltes Risikomanagement eine Kultur des Risikobewusstseins innerhalb der gesamten Organisation, was zu einer nachhaltigeren und resilienteren Unternehmensstrategie führt. In einer zunehmend unsicheren Welt ist die Investition in qualifizierte Fachkräfte im Risikomanagement nicht nur eine Notwendigkeit, sondern auch ein strategischer Wettbewerbsvorteil.

Finance & Performance Magazine September 2025  

Warum Echtzeitdaten im modernen Risikomanagement unabdingbar sind, warum betriebliches Mobilitätsmanagement mittlerweile ein zentrales Element der Unternehmensführung ist und wieso jedes Treasury-System mehr als nur einen Go-live braucht – diese und weitere spannende Beiträge erwarten Sie in der neuen Ausgabe des kostenfreien Finance & Performance Magazines.  

Jetzt herunterladen
Magazine abonnieren
Magazine von EY Österreich rund um Finance & Performance

So unterstützen wir Sie

  • Risikoberatung

    Risiken können überall im Unternehmen entstehen: Wie EY Ihnen dabei helfen kann, sie zu identifizieren und ihnen zu begegnen, erfahren Sie hier.

    Mehr erfahren

Was bedeutet Krisenresilienz?

Krisenresilienz bezeichnet die Fähigkeit eines Unternehmens, auf unvorhersehbare Ereignisse und Störungen reagieren zu können, ohne dabei langfristigen Schaden zu erleiden und diese nicht nur zu bewältigen, sondern im besten Fall gestärkt aus ihnen hervorzugehen. In einer Zeit, in der ökonomische, ökologische und technologische Disruptionen keine Ausnahmen mehr darstellen, ist Resilienz kein bloßes „Nice-to-have“, sondern ein entscheidender Wettbewerbsfaktor. Unternehmen, die proaktiv Szenarien entwickeln, ihre Strukturen auf Robustheit hin überprüfen und eine flexible Ressourcenallokation ermöglichen, können kurzfristige Verluste minimieren und langfristig das Vertrauen von Investor:innen, Kund:innen und Mitarbeiter:innen stärken. Resilienz wird somit zum Fundament nachhaltiger Wertschöpfung und ermöglicht es Unternehmen, sich in einem dynamischen Marktumfeld erfolgreich zu behaupten. Darüber hinaus fördert eine resiliente Unternehmenskultur die Innovationsfähigkeit und Anpassungsfähigkeit, da Mitarbeiter:innen ermutigt werden, kreative Lösungen zu entwickeln und Risiken als Chancen zu betrachten. Ohne Resilienz riskieren Organisationen, von Krisen überwältigt zu werden, was zu finanziellen Verlusten, Reputationsschäden und im schlimmsten Fall zum Geschäftsausfall führen kann.

 

Wie krisenresilient schätzen sich österreichische Unternehmen ein?

Der Großteil der Unternehmen (87,3 %) sieht sich als stark bis sehr stark widerstandsfähig gegen Krisen. Den Beitrag des Risikomanagements zur Widerstandsfähigkeit gegen Krisen empfinden 29,1 Prozent allerdings als schwach bis sehr schwach. Diese Diskrepanz weist auf eine signifikante Kluft zwischen der Selbstwahrnehmung der Unternehmen hinsichtlich ihrer Krisenresilienz und der tatsächlichen Maßnahmen zur Unterstützung dieser Resilienz hin. Sie zeigt außerdem auf, dass viele Unternehmen möglicherweise die Bedeutung eines effektiven Risikomanagements für die Stärkung ihrer Resilienz nicht ausreichend erkennen oder umsetzen.


Risikomanagement ist ein zentraler Hebel, um Resilienz nicht nur als Reaktion, sondern als strategisches Prinzip zu verankern. Indem Risiken systematisch identifiziert, bewertet und mit strategischen Zielen abgeglichen werden, schafft das Risikomanagement Transparenz und Entscheidungsgrundlagen, die Krisenfestigkeit ermöglichen. Darüber hinaus trägt es durch kontinuierliches Monitoring, Frühwarnindikatoren und Szenarioanalysen dazu bei, Schwachstellen frühzeitig aufzudecken und Handlungsoptionen vorzubereiten. Ein reifes Risikomanagementsystem ermöglicht es Unternehmen, nicht nur Risiken zu vermeiden, sondern Chancen im Umbruch gezielt zu nutzen – und damit Resilienz aktiv zu gestalten.

Darüber hinaus geben 38,2 Prozent an, dass sie ihre Resilienz gegen Krisen überhaupt nicht messen. Ein erheblicher Teil der Unternehmen hat somit keine systematischen Ansätze oder Kennzahlen implementiert, um ihre Fähigkeit zur Bewältigung von Krisen zu bewerten oder zu überwachen. Das Fehlen von Messungen kann dazu führen, dass Unternehmen sich ihrer tatsächlichen Verwundbarkeit nicht bewusst sind, was sie anfälliger für unerwartete Ereignisse und Störungen macht. Ohne belastbare Daten fehlt diesen Unternehmen zudem die Grundlage, um Schwächen zu erkennen und fundierte Entscheidungen zur Stärkung ihrer Resilienz zu treffen.


Wie reagieren Unternehmen mit agilem Risikomanagement auf externe Entwicklungen?

Achtet eine Organisation nicht ausreichend auf externe Faktoren, die ihre Risikolandschaft beeinflussen könnten, wird sie anfälliger für unerwartete Herausforderungen. Dies kann dazu führen, dass wichtige Trends oder Veränderungen im Unternehmensumfeld übersehen werden, die eine rechtzeitige Anpassungen oder das Ergreifen von Maßnahmen erfordern würden. Eine ganzheitliche Risikomanagement-Strategie ist notwendig, die sowohl die Lehren aus der Vergangenheit als auch die proaktive Überwachung von externen Faktoren umfasst, um die Resilienz und Anpassungsfähigkeit der Organisationen zu stärken.

Mit 34,5 Prozent geben mehr als ein Drittel der Organisationen an, dass sie externe Entwicklungen zur Identifikation von akutem Handlungsbedarf/kurzfristigen Maßnahmen im Risikomanagement nur in schwachem Ausmaß überwachen. Die Mehrheit (78,2 %) gibt an, dass zumindest die Erkenntnisse aus vergangenen Krisen in die Risikomanagement-Strategie einfließen.


Die laufende Analyse externer Entwicklungen ist entscheidend, da Unternehmen in einem dynamischen und sich ständig verändernden Umfeld operieren. Externe Faktoren wie wirtschaftliche Trends, technologische Innovationen, regulatorische Änderungen und geopolitische Ereignisse können erhebliche Auswirkungen auf die Risikolandschaft eines Unternehmens haben. Durch die kontinuierliche Überwachung dieser Entwicklungen können Organisationen potenzielle Risiken frühzeitig identifizieren und proaktive Maßnahmen ergreifen, um sich anzupassen und ihre Resilienz zu stärken. Diese vorausschauende Herangehensweise ermöglicht es Unternehmen, nicht nur auf Herausforderungen zu reagieren, sondern auch Chancen zu nutzen, die sich aus Veränderungen im Markt ergeben.

Darüber hinaus ist es von großer Bedeutung, dass Erkenntnisse aus vergangenen Krisen in die Risikomanagement-Strategie einfließen. Die Analyse vergangener Erfahrungen bietet wertvolle Erkenntnisse und indem Unternehmen aus ihren Fehlern und Erfolgen lernen, können sie ihre Strategien optimieren und besser auf zukünftige Krisen vorbereitet sein.

Die Agilität des Risikomanagements spielt in diesem Kontext eine zentrale Rolle, da sie Unternehmen ermöglicht, schnell auf Veränderungen im Umfeld zu reagieren und ihre Strategien flexibel anzupassen. In einer Zeit, in der Unsicherheiten und Risiken zunehmen, ist die Fähigkeit, schnell zu handeln und sich an neue Gegebenheiten anzupassen, entscheidend für den langfristigen Erfolg und die Wettbewerbsfähigkeit eines Unternehmens.

Wie verbessern Daten und Analysen die Agilität im Risikomanagement?

Das Vorhandensein und die Nutzung von notwendigen Daten im Risikomanagement sind unerlässlich, da sie eine fundierte Entscheidungsgrundlage bieten, um Risiken präzise zu identifizieren, zu analysieren und zu bewerten. Notwendige Daten (wie z. B. Business-Informationen und Bonitätsdaten, Nachhaltigkeitsdaten, Compliance-Daten, Technologiedaten, geopolitische Daten, Umweltdaten, Daten zur konjunkturellen Entwicklung, Marktdaten, Finanzdaten etc .) ermöglichen es, Muster und Trends zu erkennen, die Vorhersagegenauigkeit zu verbessern und somit die Wahrscheinlichkeit und das Ausmaß potenzieller Risiken besser einzuschätzen.

Fast die Hälfte (45,5 %) der Organisationen geben an, dass die notwendigen Daten für eine aktive und agile Risikosteuerung nicht ausreichend zur Verfügung stehen und 35,5 Prozent können nicht auf Echtzeitdaten zur Risikoposition zurückgreifen.


Echtzeitdaten stellen im modernen Risikomanagement den Schlüssel zu proaktiver Steuerung dar. Sie ermöglichen es, Risiken kontinuierlich zu überwachen, Abweichungen sofort zu identifizieren und Maßnahmen unmittelbar einzuleiten. Durch die Kombination von Echtzeitinformationen mit fortgeschrittenen Analysemethoden entsteht die Möglichkeit, Risiken nicht nur rückblickend zu erfassen, sondern vorausschauend zu antizipieren. Damit wird das Risikomanagement in die Lage versetzt, nicht reaktiv, sondern dynamisch und zukunftsorientiert zu agieren – ein entscheidender Faktor für Unternehmen, die in hochvolatilen Umfeldern bestehen wollen.

AI Act: Was bedeutet die EU-Verordnung für Unternehmen?

Der AI Act ist eine EU-Verordnung über künstliche Intelligenz, die darauf abzielt, einen einheitlichen Rechtsrahmen für die Entwicklung, den Einsatz und die Nutzung von künstlicher Intelligenz (KI) innerhalb der EU zu schaffen.

Die EY Risikomanagement-Studie 2025 zeigt: Für 40 Prozent der teilnehmenden Organisationen ist der AI Act von Relevanz. Mit 27,3 Prozent ist fast einem Drittel der Befragten der Umfang der Anforderungen des AI Acts noch nicht bewusst bzw. hat eine Mehrheit von 63,6 Prozent noch kaum/keine Maßnahmen zur Vorbereitung auf den AI Act getroffen.

Der europäische AI Act markiert einen regulatorischen Meilenstein, dessen Auswirkungen weit über den Technologiebereich hinausreichen. Unternehmen, die sich nicht frühzeitig auf die neuen Anforderungen vorbereiten, riskieren nicht nur hohe Compliance-Kosten und mögliche Sanktionen, sondern auch den Verlust von Markt- und Innovationsfähigkeit. Besonders kritisch ist, dass der AI Act strikte Transparenz- und Dokumentationspflichten vorsieht, die tief in bestehende Geschäftsprozesse eingreifen. Risikomanagement spielt hier eine zentrale Rolle: Es ermöglicht, regulatorische Anforderungen systematisch zu erfassen, deren Implikationen für Geschäftsmodelle zu bewerten und Maßnahmen zur Absicherung der Compliance rechtzeitig einzuleiten. Eine proaktive Vorbereitung ist damit nicht nur eine Frage rechtlicher Notwendigkeit, sondern auch ein entscheidender Wettbewerbsvorteil.

Fazit

In einer zunehmend komplexen Welt wird effektives Risikomanagement zum strategischen Erfolgsfaktor. Die EY-Umfrage zeigt: Obwohl viele österreichische Unternehmen sich als krisenresilient einschätzen, fehlt es oft an Ressourcen, Datenanalysen und Bewusstsein für die Rolle des Risikomanagements. Besonders die geringe personelle Ausstattung und die fehlende Vorbereitung auf regulatorische Veränderungen wie den AI Act verdeutlichen Handlungsbedarf. Um langfristig widerstandsfähig zu bleiben, müssen Unternehmen Risikomanagement ganzheitlich in ihre Strategie integrieren, interdisziplinäre Expertise fördern und eine Kultur des Risikobewusstseins etablieren.

Wir begleiten Unternehmen im Bereich Risikomanagement ganzheitlich und unterstützen im Aufbau einer Risikomanagementfunktion, der Implementierung und laufenden Weiterentwicklung des Risikomanagement-Systems, der quantitativen Bewertung von Risiken, der Vernetzung zwischen Risikomanagement und anderen Managementsystemen sowie der Vorbereitung auf die Umsetzung der Anforderungen des AI Acts.

FAQ – Häufige Fragen zur EY Risikomanagement-Studie

Mehr zum Thema

Wirtschaftliche Resilienz in Krisenzeiten schaffen: Die Bedeutung von Risikomanagement und Treasury im Jahr 2025

Wie Ihr Unternehmen ökonomische Krisenzeiten überstehen kann: Risiken erkennen • Ressourcen prüfen • agil bleiben ➜ Jetzt lesen!

Martin Bodenstorfer + 1

Arten von Cyberangriffen: Wie sich Kriminelle den Weg ins Unternehmen bahnen

Wie sich Cyberkriminelle Zugang zu Daten verschaffen: alles zu Phishing, Darknet & Co. • was Unternehmen tun können ➜ Mehr erfahren!

Anton Moser + 1

NEVEONs Weg zum datengetriebenen Unternehmen: Erfolgsfaktoren und Praxisbeispiele

Wie gelingt die Transformation zu einem datengetriebenen Produktionsunternehmen – und welche Rolle spielt dabei die Finanzfunktion?

Susanne Zach

    Über diesen Artikel

    Autoren

    Verwandte Themen
    Risikomanagement
    Agenda für Risikoverantwortliche
    Consulting
    Strategieberatung von EY-Parthenon

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Kunden.