Risikomanagement und Simulation

  1. Home
  2. Blog
  3. Risikomanagement
  4. Blog Post
Veröffentlicht am 29.10.2019

Von Claudia Howe, GRC Competence Lead bei avedos GRC GmbH

Jahrelang hatte ich mich in der Beratertätigkeit gegen aus meiner Sicht zu quantitative Verfahren nebst Simulation gesperrt. Zu kompliziert, zu wenig nachvollziehbar und verständlich für die ganze Organisation von Risikobewerter bis hin zum Vorstand, Vortäuschen einer Scheingenauigkeit, erstmal die Basis etablieren, Akzeptanz bekommen, Risikobewusstsein in der Kultur verankern, zu viel Aufwand im Verhältnis zum Mehrwert – welcher Mehrwert übrigens?

Das war nicht Faulheit oder der Widerwille, mich tiefer einzuarbeiten. Es war schlicht meine Überzeugung. Und nun? Die Kunden wollen “auf einmal” quantitativ arbeiten. Nicht nur diejenigen aus einem finanzgeprägten Umfeld. Sie wollen mit Hilfe von Simulationen gewisse Antworten finden. Wohin also mit meiner Überzeugung?

Schauen wir uns zunächst an, welche typischen Anforderungen an ein Software-Tool gestellt werden.

Warum quantitative Bewertung?

Zunächst ist zu beobachten, dass vielen Unternehmen die Bewertung über eine rein qualitative Skala sowie die anschließende einfache Multiplikation von Eintrittswahrscheinlichkeit und Schadenspotential nicht mehr ausreicht. Es wird häufiger der Weg über eine quantitative Bewertung gegangen, vermehrt auch über mehrere Betrachtungszeiträume hinweg und das meist in Vorbereitung für die Anwendung von Simulationsverfahren.

Simulation ist in diesem Kontext übrigens so zu verstehen, dass unterschiedliche “Was-wäre-wenn”-Analysen zufällig durchgespielt werden und als Ergebnis eine möglichst wahrscheinliche Variante steht. In der Regel ist hinsichtlich der Simulation die Monte-Carlo-Methode gefordert mit dem Ziel, über den jeweils bewerteten Erwartungswert der Einzelrisiken per Aggregation eine Aussage zur Gesamtrisikolage treffen zu können. Es wird ermittelt, welcher Wert mit einer Wahrscheinlichkeit von z.B. 95% erreicht wird. Hierbei ist oft gewünscht, verschiedene Verteilungen anwenden zu können und auch Abhängigkeiten zwischen den Risiken zu berücksichtigen. Mit vielen Fachbereichen ergibt sich hier schon eine erste fachliche Diskussion über die Begriffe Korrelation und Kausalität und was der zugrunde liegende Hintergedanke für die Anforderung ist.

Darstellung der Ergebnisse einer Simulation zur Ermittlung der Risikoposition eines Unternehmens

Anforderungen ändern sich

Viele Anforderungen drehen sich insbesondere auch um die Auswertungsmöglichkeiten und die Darstellungsformen. So etabliert sich beispielsweise nach und nach der Gedanke, die aggregierten Auswirkungen mit entsprechenden Positionen in der Planung oder dem Jahresabschluss zusammenzubringen. Weiterhin wird häufig gewünscht, den Anteil von z.B. einer bestimmten Risikokategorie am Gesamtergebnis ermitteln zu können. Auch die einschlägigen graphischen Darstellungen wie die Verteilungskurven oder ein Tornado-Diagramm gehören in der Regel zu den geforderten Funktionalitäten.

Nutzen der quantitativen Bewertung

Insgesamt lässt sich der Nutzen von quantitativer ausgelegten Ansätzen recht gut zusammenfassen:

  • Es ist unbestritten korrekter, weil die doch zu triviale Verwendung einer Normalverteilung sowie der Multiplikation von Eintrittswahrscheinlichkeiten und Schadensbetrachtung sowie das schlichte Aufaddieren der Risiken innerhalb einer Kategorie durch feinere Verfahren ersetzt werden.
  • Im Zeitalter der unbegrenzten Computerkapazitäten können nahezu beliebige Simulationen in vertretbar kurzer Rechenzeit durchgeführt werden.
  • Die Ergebnisse dieser Simulation erlauben es, verschiedene Optionen, Handlungsmöglichkeiten und mögliche Konsequenzen im Rahmen einer Entscheidungsfindung zu beachten.
  • Eine größere Transparenz zu Abhängigkeiten und Ursache-Wirkungsketten zwischen den einzelnen Risiken und Maßnahmen kann erreicht werden.
  • Ein intuitiveres Abholen des Managements ist möglich, da durch die Visualisierung Daten und Zusammenhänge sichtbar werden.
  • Insbesondere die Ansätze zur Maßnahmenoptimierung bieten die Möglichkeit, im Sinne einer Kosten-Nutzen-Optimierung zu einer Rangordnung der am sinnvollsten umzusetzenden Maßnahmen zu gelangen.

Die andere Seite

Auf der anderen Seite stehen nach wie vor Zweifel und Skepsis. Dies wird unter anderem auch dadurch weiter befeuert, dass es zumindest einzelne Erfahrungsberichte gibt, an deren Ende die quantitativen Ansätze wieder zurückgezogen wurden. Es gab in diesen Fällen einfach zu viele Debatten um den methodisch-mathematisch-statistischen Ansatz, wie korrekt er ist, wie er zu verstehen ist und zu viel Verwirrung um die einzelnen Ergebnisse. Damit wird erst recht weniger Raum für die inhaltliche, zukunftsorientierte Auseinandersetzung mit den Risiken frei.

Damit komme ich abschließend auf meine frühere Überzeugung zurück. In meinen Augen ist die langsame Entwicklung hin zu quantitativer geprägten Ansätzen ein logisches Resultat des allgemein verbesserten Reifegrades des Risikomanagements in den Unternehmen. Ausschlaggebend ist nach wie vor der jeweilige Reifegrad und sämtliche Initiativen zur Weiterentwicklung des Risikomanagements müssen davon ausgehend wohl dosiert, überlegt und stufenweise umgesetzt werden.

Mein Fazit

Quantitative Methoden und Verfahren der Simulation ordnen sich da gleichermaßen ein und bedingen für mich einen gewissen gehobenen Reifegrad, ohne den diese Elemente nicht zu den gewünschten Effekten und Nutzen führen. Durch die Natur der Simulationsverfahren kommt einer sauberen, ausgereiften und zuverlässigen Datenqualität eine besondere Bedeutung zu. Solange bestimmte Gegebenheiten wie eine einheitliche Risikosprache, die Verankerung des Risikobewusstseins im täglichen Handeln und der Kultur und die Aufmerksamkeit des Top Managements für diese Themen nicht gegeben sind, muss das Augenmerk der Fachbereiche genau darauf bleiben, um diese wichtige Basis zu schaffen.

Meine Überzeugung bleibt also: Nicht quantifizieren, um des Quantifizierens oder einer formellen Korrektheit willen – sondern das Risikomanagement entsprechend dem aktuellen Reifegrad angemessen betreiben und weiterentwickeln.

Claudia Howe, GRC Competence Lead bei der avedos GRC GmbH zum Thema Risikomanagement und Simulation

Durch ihre langjährige Beratungstätigkeit rund um die Themen Governance, Risk and Compliance bei weltweit führenden Unternehmensberatungen sammelte Claudia Howe einen großen Fundus an fachlicher Expertise. Diese Erfahrungen bringt sie als GRC Competence Lead bei der avedos GRC GmbH ein.
Im Mittelpunkt steht der Dialog mit Unternehmen, wie die einschlägigen Disziplinen aufgebaut und die dazugehörigen Prozesse auch durch den Einsatz von Technologie unterstützt werden können – immer von der Überzeugung geleitet, dass eine funktionierende und integrierte GRC Landschaft einen greifbaren Mehrwert bietet und nicht nur eine lästige Pflichtaufgabe ist.

Ihr Tool für qualitatives und quantitatives Risikomanagement – risk2value von avedos
avedos unterstützt mit der GRC-Softwareplattform risk2value die Digitalisierung von GRC-Prozessen und deren effiziente Verankerung in der Organisation. Als Bindeglied zwischen operativen Ebenen und dem Top-Management ermöglicht risk2value die bereichsübergreifende Vernetzung verschiedener GRC-Informationen und damit die Entwicklung eines einheitlichen Bezugsrahmens für transparentere Entscheidungen auf den unterschiedlichen Management Ebenen.

Weitere interessante Informationen zum Thema Risikomanagement finden Sie hier.