Aktives Risikomanagement, so wie es im voestalpine-Konzern verstanden und seit vielen Jahren regelmäßig angewandt wird, dient sowohl der langfristigen Sicherung des Unternehmensbestands als auch der Wertsteigerung und stellt einen wesentlichen Erfolgsfaktor für die gesamte voestalpine-Gruppe dar. Das vorhandene Risikomanagementsystem ist in Form einer konzernweit gültigen Verfahrensanweisung verankert und wird laufend aktualisiert bzw. weiterentwickelt.
In der voestalpine AG ist ein Prüfungsausschuss eingerichtet, der sich unter anderem kontinuierlich auch mit Fragen zum Risikomanagement und zum Internen Kontrollsystem bzw. dessen Überwachung befasst. Sowohl Risikomanagement als auch Internes Kontrollsystem sind im voestalpine-Konzern integrale Bestandteile bestehender Managementsysteme. Die Interne Revision überwacht Betriebs- und Geschäftsabläufe und die damit verbundenen Risiken sowie das Interne Kontrollsystem und agiert in der Berichterstattung wie auch bei der Wertung der Prüfungsergebnisse als unabhängiger und weisungsfreier unternehmensinterner Bereich.
Der systematische Risikomanagementprozess unterstützt das Management, Risiken frühzeitig zu erkennen und geeignete Vorsorgemaßnahmen zur Abwendung oder Vermeidung von Gefahren einzuleiten. Im Sinne einer nachhaltigen, verantwortungsbewussten und wertorientierten Unternehmensführung ist Risikomanagement integrierter Bestandteil der Entscheidungs- und Geschäftsprozesse aller Unternehmensbereiche und Hierarchiestufen. Risikomanagement erstreckt sich sowohl über die strategische als auch die operative Ebene und ist damit ein maßgebliches Element für nachhaltigen Unternehmenserfolg.
Das strategische Risikomanagement dient der Evaluierung und Absicherung der strategischen Zukunftsplanungen. Die Strategie wird auf Konformität mit dem Zielsystem überprüft, um wertsteigerndes Wachstum durch bestmögliche Ressourcenallokation sicherzustellen. Das operative Risikomanagement basiert auf einem revolvierenden Prozess („erheben und analysieren, bewerten, bewältigen, dokumentieren und überwachen“), der mehrfach jährlich und konzernweit einheitlich durchlaufen wird. Im Zuge des operativen Risikomanagements wird auch auf entsprechende Strategiekonformität geachtet. Die Bewertung identifizierter Risiken erfolgt anhand einer 9-Felder-Bewertungsmatrix mit Beurteilung der möglichen Schadenshöhe und Eintrittswahrscheinlichkeit. Dokumentiert werden im Wesentlichen Betriebs-, Umwelt-, Markt-, Beschaffungs-, Technologie-, Finanz-, Compliance- und IT-Risiken auf strategischer und operativer Ebene. Maßnahmen zur Risikobewältigung verfolgen unterschiedliche Strategien (wie „vermeiden“, „vermindern“, „sichern“ sowie Kombinationen daraus und „tragen“ des Risikos), Maßnahmenfestlegung und -umsetzung liegen im Verantwortungsbereich des lokalen Managements. In den operativen Einheiten sind Risikomanager nominiert, die in Abstimmung mit dem jeweiligen Management den Risikomanagementprozess in deren Einheiten vorantreiben und auch dezentral verantworten. Die Gesamtverantwortung zum Risikomanagement liegt beim Vorstand der voestalpine AG.
Der Risikomanagementprozess wird durch ein spezielles webbasiertes IT-System unterstützt. Design und Angemessenheit des Risikomanagementprozesses werden jährlich durch einen externen Auditor überprüft und beurteilt (Regel 83 ÖCGK).