Dieser Prozess zielt darauf ab, die Risikotragfähigkeit eines Unternehmens zu bewerten. Er wird vom zentralen Risiko-Controlling bewerkstelligt. Eine Standardsoftware sollte hier die Möglichkeit bieten, den Value at Risk (VaR) eines Risikoportfolios zu berechen, beispielsweise mit Hilfe einer "Monte-Carlo-Simulation". Zudem sind Korrelationen zwischen den Einzelrisiken zu berücksichtigen. Nicht fehlen darf eine individuelle Zusammenstellung des Risikoportfolios als Basis für die Aggregation. Anspruchsvolle Anwender werden gegebenenfalls eine Möglichkeit zum Customizing der verwendeten Algorithmen, zum Beispiel durch eine Skript-Sprache, verlangen.

Risikoanalyse:

Für die Risikoanalyse sollte das System über ein leistungsfähiges Reporting verfügen. Die Mindestanforderung besteht in einer tabellarischen und grafischen Portfolio-Darstellung der Einzelrisiken und ihrer zeitlichen Entwicklung. Wünschenswert ist die Möglichkeit, individuelle Reports zu erstellen. Alternativ sollten die Anwender die Daten des Risiko-Management-Systems exportieren oder über eine Schnittstelle darauf zugreifen können, um sie in das Unternehmens-Reporting einzubinden. In der Praxis sind diese Daten häufig mit anderen - beispielsweise aus der Planung - zu konsolidieren.

Risikosteuerung:

Sie basiert auf Steuerungsmaßnahmen, die im Risiko-Management-System bezüglich ihres Umsetzungsstatus und ihrer Wirksamkeit dokumentiert werden müssen. Auch Versicherungen können als Steuerungsmaßnahmen dienen - unter Berücksichtigung von Selbstbehalt, Deckung und Versicherungsquote.

Was die technischen Anforderungen angeht, so spielt ein leistungsfähiges Berechtigungssystem eine besonders wichtige Rolle. Außerdem sollte jede Veränderung der Daten durch das System geloggt werden. Für Unternehmen mit komplexen Strukturen und Risiken bietet sich auch eine Workflow-Unterstützung an.