Aktives Risikomanagement, wie es im voestalpine-Konzern verstanden und regelmäßig angewendet wird, dient der langfristigen Sicherung des Unternehmensbestands als auch der Wertsteigerung und stellt einen wesentlichen Erfolgsfaktor für die gesamte voestalpine-Gruppe dar. Risikomanagement ist in Form einer konzernweit gültigen Verfahrensanweisung verankert und wird laufend aktualisiert bzw. weiterentwickelt. Der systematische Risikomanagementprozess unterstützt das Management dabei, Risiken frühzeitig zu erkennen und geeignete Vorsorgemaßnahmen zur Abwendung oder Vermeidung von Gefahren einzuleiten. Im Sinne einer nachhaltigen, verantwortungsbewussten und wertorientierten Unternehmensführung ist Risikomanagement integraler Bestandteil von Entscheidungs- und Geschäftsprozessen aller Unternehmensbereiche sowie Hierarchiestufen. Risikomanagement erstreckt sich sowohl über die strategische als auch die operative Ebene und ist damit ein maßgebliches Element für nachhaltigen Unternehmenserfolg.
Das strategische Risikomanagement dient der Evaluierung und Absicherung der strategischen Zukunftsplanungen. Die Strategie wird auf Konformität mit dem Zielsystem überprüft, um wertsteigerndes Wachstum durch bestmögliche Ressourcenallokation sicherzustellen. Das operative Risikomanagement basiert auf einem revolvierenden Prozess („erheben und analysieren, bewerten, bewältigen, dokumentieren und überwachen“), der mehrfach jährlich und konzernweit einheitlich durchlaufen wird. Im Zuge des operativen Risikomanagements wird auch auf entsprechende Strategiekonformität geachtet. Die Bewertung identifizierter Risiken erfolgt anhand einer Neun-Felder-Bewertungsmatrix mit Beurteilung der möglichen Schadenshöhe und Eintrittswahrscheinlichkeit. Dabei werden im Wesentlichen Betriebs-, Umwelt-, Markt-, Beschaffungs-, Technologie-, Finanz-, Personal-, Compliance- und IT-Risiken sowie weitere Nachhaltigkeitsrisiken auf strategischer und operativer Ebene dokumentiert. Zur Risikoidentifikation steht ein unterstützender Fragenkatalog zur Verfügung, der regelmäßig auf Aktualität geprüft und bei Bedarf entsprechend angepasst wird. Maßnahmen zur Risikobewältigung verfolgen unter Berücksichtigung von Risikoappetit und -tragfähigkeit unterschiedliche Strategien (wie „vermeiden“, „vermindern“, „sichern“ sowie Kombinationen daraus und – sofern aus wirtschaftlichen Überlegungen keine weiteren Maßnahmen sinnvoll erscheinen – „Tragen“ des Risikos), Maßnahmenfestlegung und -umsetzung liegen im Verantwortungsbereich des lokalen Managements. In den operativen Einheiten sind Risikomanager nominiert, die in Abstimmung mit dem jeweiligen Management den Risikomanagementprozess in deren Einheiten aktiv vorantreiben und auch dezentral verantworten. Der Risikomanagementprozess wird durch ein spezielles webbasiertes IT-System unterstützt. Die Gesamtverantwortung zum Risikomanagement liegt beim Vorstand der voestalpine AG.
Der Prüfungsausschuss der voestalpine AG befasst sich unter anderem kontinuierlich auch mit Fragen zum Risikomanagement und zum Internen Kontrollsystem bzw. dessen Überwachung. Risikomanagement wie auch Internes Kontrollsystem sind im voestalpine-Konzern integrale Bestandteile bestehender Managementsysteme. Die Interne Revision prüft Betriebs- und Geschäftsabläufe und die damit verbundenen Risiken sowie das Interne Kontrollsystem und agiert in der Berichterstattung wie auch bei der Wertung der Prüfungsergebnisse als unabhängiger und weisungsfreier unternehmensinterner Bereich. Design und Angemessenheit des angewendeten Risikomanagementprozesses werden wiederum jährlich durch einen externen Auditor überprüft und beurteilt (Regel 83 ÖCGK).