Skip to content
12 min Lesezeit

ISO 14091 in der Praxis: Was Banken und Versicherer erwarten

Von Johannes Fiegenbaum am 14.05.26 11:36

Klimarisikoanalyse VSME & CSRD Nachhaltigkeitsberichterstattung
Geprüfte Finanzdokumente und Bericht, Symbolbild ISO 14091 Klimarisikoanalyse Audit

Wirtschaftsprüfer fragen nach Methodik, nicht nach gutem Willen. CSRD-Berichte sind prüfpflichtig, ESG-Daten werden im Kreditgespräch und im Investoren-Dialog ernsthaft hinterfragt. Wer eine Klimarisikoanalyse vorlegt, ohne den Prozess nachvollziehbar zu dokumentieren, wird im Audit korrigiert. DIN EN ISO 14091:2021 hat sich als methodische Referenz etabliert, die diese Lücke schließt. Sie ist nicht zwingend, aber faktisch die Norm, an der sich EFRAG, BaFin, ECB und EBA orientieren. Dieser Authority-Spoke ordnet Aufbau, Anwendungspfad, regulatorische Andockung und die offenen Schwächen für ESG-Manager, CFOs, Risikomanager und Auditoren.

Aufbau und das Gefahr-Exposition-Vulnerabilitäts-Framework

Die EN ISO 14091:2021 mit Titel „Adaptation to climate change – Guidelines on vulnerability, impacts and risk assessment" gibt Organisationen jeder Größe und Branche einen strukturierten Leitfaden zur Bewertung der Klimarisiken. Sie ist für gegenwärtige und zukünftige Risiken einsetzbar und folgt einem vierstufigen Aufbau: Einführung in das Konzept der Klimarisikoanalyse, Vorbereitung, Durchführung, Dokumentation und Kommunikation. Die Norm wurde auf Initiative Deutschlands und Südkoreas entwickelt.

Das konzeptionelle Herzstück ist die Analyse entlang dreier Dimensionen:

  • Gefahr (Hazard): Identifikation klimabedingter Gefahren, akut (Extremniederschlag, Sturm) und chronisch (steigender Meeresspiegel, Temperaturanstieg). Die EU-Taxonomie-Delegierte Verordnung listet 28 physische Klimagefahren in Annex I als Mindestprüfrahmen.
  • Exposition (Exposure): Ausmaß, in dem Unternehmensstandorte, Lieferketten oder Prozesse den Klimagefahren ausgesetzt sind, georeferenziert über RCP- oder SSP-Szenarien.
  • Vulnerabilität (Vulnerability): Innere Empfindlichkeit und Anpassungskapazität der Organisation gegenüber den exponierten Gefahren.

Risiko ergibt sich damit als Funktion von Gefahr, Exposition und Vulnerabilität, ein konzeptioneller Unterschied zu klassischen Risikomodellen, die primär auf Eintrittswahrscheinlichkeit und Schadensausmaß abstellen. Die Norm empfiehlt Wirkungsketten (Impact Chains), die zeigen, wie Klimagefahren direkt oder indirekt Geschäftsprozesse beeinflussen können. Sowohl qualitative Screening-Assessments als auch quantitative Analysen sind möglich.

Einbettung in ISO 14090, 14092 und 14001

ISO 14091 ist Teil einer zusammenhängenden Reihe:

Norm Inhalt Funktion im System
ISO 14090:2019Grundsätze, Anforderungen und Leitlinien zur KlimaanpassungÜbergeordneter Rahmen, Adaptionsprinzipien, iterativer Prozess
ISO 14091:2021Leitlinien für Vulnerabilitäts-, Auswirkungs- und RisikobewertungMethodisches Kernstück, operationalisiert Risikoanalyse
ISO/TS 14092Anpassungsplanung auf lokaler EbeneSpezifizierung für Kommunen, von DIN referenziert

ISO 14090 fungiert als Elternnorm und definiert übergeordnete Adaptionsprinzipien. ISO 14091 übersetzt diese in eine anwendbare Methodik. ISO/TS 14092 ergänzt den kommunalen Bereich. Die Integration der drei Normen deckt den Klimaanpassungsprozess von strategischer Verankerung bis operativer Durchführung ab.

Wichtig für ISO-14001-zertifizierte Unternehmen: Die ISO-Klimaänderung von 2024 verpflichtet alle Typ-A-Managementsysteme, Klimarisiken im Kontext der Organisation zu berücksichtigen. ISO 14091 kann als Vertiefungsmodul in ein bestehendes Umweltmanagementsystem eingebettet werden, ohne doppelte Prozesslandschaften zu schaffen. Ergänzend dient ISO 31000:2018 als allgemeines Risikomanagement-Framework mit kompatibler Terminologie, DIN SPEC 35110 überträgt das Konzept auf die Unternehmensebene praxisnäher, ist aber weniger international anerkannt.

CSRD/ESRS E1, EU-Taxonomie und TCFD-Kompatibilität

ESRS E1-9 verlangt die Quantifizierung finanzieller Auswirkungen materieller physischer Klimarisiken: Identifikation klimabedingter Gefahren (mindestens 1,5-°C-Szenario für Transition und RCP/SSP-Hochszenarien für physische Risiken), Bewertung der Exposition von Vermögenswerten und Geschäftstätigkeiten, monetäre Angaben zum Anteil der Erlöse und Vermögenswerte unter wesentlichen physischen Risiken. EFRAG schreibt keine bestimmte Norm vor, sondern verlangt einen „robusten" prinzipienbasierten Ansatz. In der Praxis gilt ISO 14091 als de-facto-Referenzmethodik, weil sie international vereinbarte Begriffe, Prozessschritte und Dokumentationsanforderungen liefert. Der UBA-Leitfaden zur Klimarisiko- und Vulnerabilitätsanalyse (CRVA) für EU-Taxonomie basiert explizit auf ISO 14091.

EU-Taxonomie Annex II verlangt im DNSH-Kriterium „Anpassung an den Klimawandel" eine robuste Klimarisiko- und Vulnerabilitätsanalyse als Voraussetzung für Taxonomiekonformität. Sie muss alle 28 physischen Risiken aus Annex I der Delegierten Verordnung 2021/2139 prüfen, Eintrittswahrscheinlichkeit und Schadensausmaß bewerten, Maßnahmen zur Risikoreduktion innerhalb von 5 Jahren definieren, wenn Risiken als wesentlich eingestuft werden. Die Gefahr-Exposition-Vulnerabilitäts-Logik der ISO 14091 ist die methodisch anerkannte Grundlage.

TCFD-Framework fordert unter „Risk Management" ähnliche Prozessschritte: Identifikation, Bewertung und Management klimabedingter Risiken. ISO 14091 ist konzeptionell kompatibel. Wirkungsketten ergänzen die TCFD-Kategorien physischer und transitorischer Risiken um eine tiefere Ursachen-Wirkungs-Analyse. PwC nutzt in der Beratungspraxis explizit TCFD plus ISO 14091 für deutsche OEM-Klimaszenarioanalysen. Wichtiger Unterschied: TCFD fokussiert auf Offenlegung und strategische Steuerung, ISO 14091 auf methodische Risikoidentifikation und Bewertung. Beide ergänzen sich, ersetzen sich aber nicht.

IFRS S2, seit Januar 2024 gültig, verlangt analog zu ESRS E1 eine Stresstestung der Geschäftsstrategie gegen verschiedene Klimapfade. Die Wahl der konkreten Norm bleibt agnostisch, die Dokumentationstiefe ist entscheidend.

Das Wichtigste auf einen Blick

  • ISO 14091:2021 ist nicht verbindlich vorgeschrieben, aber faktisch die Referenzmethodik für ESRS E1 und EU-Taxonomie.
  • Konzeptkern: Gefahr–Exposition–Vulnerabilität plus Wirkungsketten (Impact Chains).
  • BaFin MaRisk 7. Novelle (2023), ECB-Leitfaden, EBA-Pillar-3 strukturieren physische Risiken analog zur ISO-14091-Logik.
  • Größte Lücke: Quantifizierung finanzieller Auswirkungen. Hier reicht die Norm allein nicht aus.

Was Banken und Versicherer konkret fordern

BaFin MaRisk 7. Novelle 2023

Mit der 7. MaRisk-Novelle vom 29. Juni 2023 hat die BaFin ESG-Risiken erstmals verbindlich in die Mindestanforderungen an das Risikomanagement der Banken integriert. Die Novelle überführt das bislang unverbindliche BaFin-Merkblatt zu Nachhaltigkeitsrisiken (2019) und die EBA-Leitlinien für Kreditvergabe in prüfungsrelevante Anforderungen. Konkret verlangt MaRisk: Messung von Nachhaltigkeitsrisiken mit wissenschaftlich fundierten Szenarien (AT 2.2 und AT 4.1), Integration von ESG-Risiken in Geschäfts- und Risikostrategien, Berücksichtigung in Risikoklassifizierungsverfahren. ISO 14091 wird nicht namentlich zitiert, aber die Gefahr-Exposition-Vulnerabilitäts-Methodik entspricht exakt dem, was als wissenschaftlich anerkannte Risikoidentifikation gilt.

EZB-Leitfaden und Climate Risk Expectations

Der ECB-Leitfaden zu Klima- und Umweltrisiken (2020, überarbeitet 2022) formuliert klare Erwartungen an bedeutende Institute: Banken sollen Klima- und Umweltrisiken als Treiber aller etablierten Risikoarten verstehen und managen. Materiality Assessment kurz-, mittel- und langfristig, IPCC-konforme Szenarien, forward-looking-Ansätze. Die ECB strukturiert die Analyse physischer Risiken analog zu ISO 14091 in Gefahr, Exposition, Anfälligkeit. Bis Ende 2024 sollten alle Banken die regulatorischen Anforderungen vollständig erfüllen.

EBA-Anforderungen und Pillar-3-Offenlegung

Die EBA hat ein ESG-Dashboard auf Basis der Pillar-3-Offenlegungen veröffentlicht. Physische Risikoanalysen werden in drei Ebenen strukturiert: Gefahr-Identifikation, Exposition, Anfälligkeit der Vermögenswerte. Konzeptionell deckungsgleich mit ISO 14091. Zentrales Problem: Die EBA stellt fest, dass physische Risikoindikatoren aufgrund inkonsistenter Offenlegungspraktiken und unterschiedlicher Methoden nur eingeschränkt vergleichbar sind. Eine breitere Akzeptanz von ISO 14091 würde diese Vergleichbarkeit verbessern.

Versicherer: GDV, Solvency II und ORSA

Solvency II verlangt seit 2022 mindestens zwei langfristige Klimawandelszenarien im ORSA (Own Risk and Solvency Assessment): ein Szenario unter 2 °C und eines deutlich darüber. Der GDV stellt ein Methodenpapier auf NGFS-Basis bereit, das physische und Transitionsrisiken abdeckt. ISO 14091 und GDV-ORSA-Ansatz unterscheiden sich in der Granularität: ISO 14091 auf Unternehmensebene mit Wirkungsketten, GDV auf Kapitalanlage- und versicherungstechnische Portfolioauswirkungen. Beide sind komplementär. Industrieversicherer werten ISO 14091 zunehmend als anerkannte Methodik. Eine formale Zertifizierungspflicht besteht nicht, aber der Druck steigt, die Analyse nach einer auditierbaren Methode durchführen zu können. Wer den Zusammenhang Klimarisikoanalyse und Versicherbarkeit sauber begründet, hat im Markt einen messbaren Verhandlungsvorteil.

Anwendungsfälle in Deutschland

Kommunale Anwendung als Vorreiter: Das UBA hat ISO 14091 als methodische Grundlage für kommunale Klimarisikoanalysen aufgegriffen. Die Gemeinde Geestland identifizierte mit einem auf ISO 14091 basierenden Werkzeug innerhalb von sechs Monaten die wesentlichen Klimarisiken des Standorts, mit dokumentiert geringem Aufwand. Die Stadt Mainz hat ihre Klimarisikoanalyse explizit nach ISO 14091:2021 erstellt.

Mittelständisches Automobilunternehmen: Standortspezifische Georeferenzierung auf CORDEX-EUR-11-Raster (12,5 km), RCP 4.5 und 8.5 für 2031–2040 und 2041–2070, Analyse aller 28 physischen Gefahren der EU-Taxonomie. Das Ergebnis diente sowohl der TCFD-Berichterstattung als auch der EU-Taxonomie-Konformität. Die Methodik ist in der Case Study Klimarisikoanalyse Automobilunternehmen ausführlich dokumentiert.

Offshore-Wind-Sektor: Betreiber strukturieren physische Risikoanalysen nach den drei ISO-14091-Schritten: Gefahr-Identifikation, Exposition-Bewertung, Planung von Anpassungs- und Resilienzmaßnahmen.

Erste ESRS-Berichte zeigen eine ernüchternde Ausgangslage: Die KPMG-Studie 2026 (mit Universität Graz) analysierte 74 EU-Unternehmen aus Erdöl/Gas, Bergbau, Hoch-/Tiefbau und Einzelhandel. Emissionen werden meist berichtet, strategische Klimarisikoprozesse und finanzielle Einbettung sind aber oft noch unzureichend ausgereift. Angaben zu finanziellen Auswirkungen fehlen in den meisten Berichten fast vollständig, obwohl genau diese für Banken, Investoren und Förderstellen entscheidend sind.

Schwächen und Lücken in der Praxis

  • Generizität statt Operativität: Keine konkreten Schwellenwerte (keine Temperaturgrenzen, keine Niederschlagsmengen, ab denen ein Risiko als wesentlich gilt). Die Norm beschreibt den Prozess, nicht das Ergebnis. Anwender müssen Wesentlichkeitsschwellen selbst festlegen.
  • Kein Bezug auf spezifische Klimagefahr-Datensätze: Empfehlung zur Nutzung von Klimaszenarien ohne konkrete Datenquellen. Anwender müssen Datensätze (Copernicus, DWD, CHELSA, EU-CORDEX) selbst identifizieren und methodische Konsistenz sicherstellen.
  • Quantifizierungsdefizit: Qualitative und quantitative Analyse werden als gleichwertig genannt, ein expliziter Leitfaden zur monetären Quantifizierung fehlt. Genau das verlangt aber ESRS E1-9.
  • Keine Verbindung zu Anpassungsmaßnahmen: Die Norm endet bei Risikoidentifikation und -priorisierung, führt nicht zu Maßnahmendefinition, Kosten-Nutzen-Bewertung oder Überwachung. Für die ESRS-konforme Berichterstattung muss das mit anderen Normen ergänzt werden.
  • Datenverfügbarkeit: Oliver Wyman und EBA identifizieren Datenverfügbarkeit als die größte Einzelherausforderung. ISO 14091 setzt qualitativ hochwertige Klimadaten voraus, bietet aber keine Lösung für fehlende Daten.

Aus Beratungspraxis heißt das: Wer ISO 14091 als Prozessrahmen wählt, sollte parallel die methodische Brücke zu konkreten Datenportalen wie CORDEX EUR-11 oder CMIP6 bauen und für die finanzielle Quantifizierung ein eigenes Schema entwickeln. Ohne diese Ergänzung trägt die Norm allein nicht durch ein Audit.

Audit- und Assurance-Anforderungen

Mit der CSRD wird Klimarisikoberichterstattung prüfpflichtig. Wirtschaftsprüfer verlangen nachvollziehbare Methodenherleitung. Drei Aspekte sind für Auditoren entscheidend:

  • Prozessdokumentation: Auswahl der Klimaszenarien, angewandte Datenquellen, Begründung der Wesentlichkeitsschwellen müssen nachvollziehbar sein.
  • Methodische Konsistenz: ESRS verlangt Konsistenz zwischen den Jahren. ISO 14091 gibt Auditoren eine stabile Referenz.
  • Quantifizierungslücke als Prüfungsrisiko: PwC weist darauf hin, dass CSRD-Berichte in der Finanzbranche starke Prozess- und Datenintegrität erfordern. Fehlende finanzielle Quantifizierung trotz ESRS-E1-9-Pflicht ist ein zentrales Prüfungsrisiko.

Die Assurance-Reifegrade differieren stark: Während große Konzerne mit externen Beratern (PwC, KPMG, EY, Deloitte) strukturierte Klimarisikoanalysen nach ISO 14091/TCFD aufstellen, arbeiten viele mittlere Unternehmen noch mit Excel-Lösungen oder informellen Prozessen. Mit zunehmender Limited-Assurance- und perspektivisch Reasonable-Assurance-Pflicht wird der Druck zur Methodenstandardisierung steigen.

Spezifische ISO-14091-Zertifizierungsprogramme analog zu „ISO 9001 Lead Auditor" existieren in Deutschland noch nicht. TÜV-Akademie, DGQ, KATE Umwelt & Entwicklung e.V. bieten Schulungen mit zunehmender Integration der Klimarisikothemen.

ISO 14091 ist der Prozess, nicht die fertige Analyse.

Wer eine ISO-14091-konforme Klimarisikoanalyse aufbauen will, braucht zusätzlich Datenwahl, Szenariologik und finanzielle Quantifizierung. Im Erst-Assessment bauen wir das gemeinsam auf, prüfungsfest dokumentiert und mit klarer ROI-Sicht für die Maßnahmenpriorisierung.

Erst-Assessment Klimarisiko anfragen

Häufig gestellte Fragen

Ist ISO 14091 verpflichtend?

Nein, sie ist eine freiwillige Norm. Faktisch hat sie sich aber als Referenzmethodik für CSRD-ESRS-E1-Berichte und EU-Taxonomie-DNSH-Prüfungen etabliert. EFRAG, BaFin, ECB und EBA orientieren sich an der Gefahr-Exposition-Vulnerabilitäts-Logik der Norm.

Was ist die Gefahr-Exposition-Vulnerabilitäts-Triade?

Gefahr ist die klimabedingte Bedrohung (Hitze, Hochwasser, Hagel etc.), Exposition das Ausmaß, in dem ein Standort oder Prozess ihr ausgesetzt ist, Vulnerabilität die innere Empfindlichkeit und Anpassungskapazität. Risiko ergibt sich als Funktion aller drei Dimensionen, ergänzt durch Wirkungsketten (Impact Chains), die direkte und indirekte Effekte auf Geschäftsprozesse abbilden.

Wie verhält sich ISO 14091 zu ISO 14090, 14092 und 14001?

ISO 14090:2019 ist die Elternnorm mit Adaptionsprinzipien. ISO 14091:2021 operationalisiert die Risikoanalyse. ISO/TS 14092 spezifiziert die kommunale Anwendung. ISO 14001:2015 (Umweltmanagement) bekommt seit 2024 Klimaberücksichtigungspflicht, ISO 14091 lässt sich als Vertiefungsmodul integrieren.

Was fordert die BaFin MaRisk 7. Novelle?

Messung von Nachhaltigkeitsrisiken mit wissenschaftlich fundierten Szenarien (AT 2.2 und AT 4.1), Integration in Geschäfts- und Risikostrategien, Berücksichtigung in Risikoklassifizierungsverfahren. ISO 14091 wird nicht namentlich zitiert, die Methodik entspricht aber exakt der aufsichtsrechtlich erwarteten Risikoidentifikation.

Wie kompatibel ist ISO 14091 mit TCFD und IFRS S2?

Konzeptionell vollständig kompatibel. TCFD fokussiert auf Offenlegung und Strategie, ISO 14091 auf Methodik. IFRS S2 verlangt analog zu ESRS E1 Szenarioanalyse, bleibt aber methodenagnostisch. Die Kombination TCFD plus ISO 14091 wird in der Praxis großer Beratungshäuser (z. B. PwC) als Standard genutzt.

Welche Schwächen hat ISO 14091 in der Praxis?

Generizität ohne konkrete Schwellenwerte, kein Bezug auf spezifische Klimagefahr-Datensätze, kein expliziter Leitfaden für finanzielle Quantifizierung (genau das fordert aber ESRS E1-9), keine Verbindung zur Maßnahmendefinition. Anwender müssen die Norm mit eigenen Datenwahl- und Quantifizierungs-Modulen ergänzen.

Welche Unternehmen wenden ISO 14091 erkennbar an?

Kommunale Vorreiter wie Geestland und Mainz, ein mittelständisches Automobilunternehmen mit CORDEX-EUR-11-Geocodierung und EU-Taxonomie-konformer Analyse aller 28 Gefahren, Offshore-Wind-Betreiber für physische Risikoanalysen. Die KPMG-Studie 2026 zeigt aber, dass viele Unternehmen die finanziellen Auswirkungen noch unzureichend quantifizieren.

Wie bereite ich mich auf das CSRD-Audit vor?

Vier Schritte: ISO 14091 als Prozessrahmen wählen und dokumentieren, Klimaszenarien und Datenquellen begründet auswählen (CORDEX EUR-11, CMIP6, ISIMIP3b), Wesentlichkeitsschwellen schriftlich festlegen, finanzielle Quantifizierung als eigenes Modul aufbauen. Wirtschaftsprüfer akzeptieren das Vorgehen, wenn es konsistent und nachvollziehbar dokumentiert ist.

Weiterführende Ressourcen
Johannes Fiegenbaum

Johannes Fiegenbaum

ESG- und Nachhaltigkeitsberater mit Schwerpunkt auf VSME‑Berichterstattung und Klimarisikoanalysen. Begleitet seit 2014 über 300 Projekte für den Mittelstand und Konzerne – unter anderem Commerzbank, UBS und Allianz.

Zur Person
Ähnliche Artikel

Das könnte dich auch interessieren