Risk Management und Simulation

Zunächst beobachten wir, dass vielen Unternehmen die Bewertung über eine rein qualitative Skala sowie die anschließende einfache Multiplikation von Eintrittswahrscheinlichkeit und Schadenspotential nicht mehr ausreicht. Es wird häufiger der Weg über eine quantitative Bewertung gegangen, vermehrt auch über mehrere Betrachtungszeiträume hinweg und das meist in Vorbereitung für die Anwendung von Simulationsverfahren. 

Simulation ist in diesem Kontext übrigens so zu verstehen, dass unterschiedliche “Was-wäre-wenn”-Analysen zufällig durchgespielt werden und als Ergebnis eine möglichst wahrscheinliche Variante steht. In der Regel ist hinsichtlich der Simulation die Monte-Carlo-Methode gefordert mit dem Ziel, über den jeweils bewerteten Erwartungswert der Einzelrisiken per Aggregation eine Aussage zur Gesamtrisikolage treffen zu können. Es wird ermittelt, welcher Wert mit einer Wahrscheinlichkeit von z.B. 95% erreicht wird. Hierbei ist oft gewünscht, verschiedene Verteilungen anwenden zu können und auch Abhängigkeiten zwischen den Risiken zu berücksichtigen. Mit vielen Fachbereichen ergibt sich hier schon eine erste fachliche Diskussion über die Begriffe Korrelation und Kausalität und was der zugrunde liegende Hintergedanke für die Anforderung ist.

Viele Anforderungen drehen sich insbesondere auch um die Auswertungsmöglichkeiten und die Darstellungsformen. So etabliert sich beispielsweise nach und nach der Gedanke, die aggregierten Auswirkungen mit entsprechenden Positionen in der Planung oder dem Jahresabschluss zusammenzubringen. Weiterhin wird häufig gewünscht, den Anteil von z.B. einer bestimmten Risikokategorie am Gesamtergebnis ermitteln zu können. Auch die einschlägigen graphischen Darstellungen wie die Verteilungskurven oder ein Tornado-Diagramm gehören in der Regel zu den geforderten Funktionalitäten.

Obwohl wir auch bisher diese Anforderungen umsetzen konnten, haben wir uns zu Anpassungen an unserem Kernprodukt, den BIC GRC Solutions (ehemals risk2value), entschieden. Unser Ziel ist es dabei, den beschriebenen Kundenwünschen noch schneller und einfacher gerecht werden zu können.

Im Ergebnis unterstützen wir nun den gesamten Prozess entlang des Risikomanagementprozesses von der quantitativen Bewertung, der Simulation bzw. Aggregation bis hin zu Input zur Optimierung von Maßnahmen integriert aus den BIC GRC Solutions heraus. Im Detail sind folgende Komponenten zur Verwendung vorgesehen:

1. Vorlage zur quantitativen Risikobewertung

• Bewertung der Eintrittswahrscheinlichkeit 
  • Aus einer vorgegebenen Liste 
  • Hinterlegung als Prozentwert
• Bewertung des Schadens
  • Minimaler Schaden
  • Erwarteter Schaden
  • Maximaler Schaden
• Festlegung der Verteilungsfunktion
  • Auswahl von vordefinierten Verteilungen aus einer Liste
  • Konzernweite Entscheidung für eine Verteilung

2. Vorlage zur Erfassung von Maßnahmen

• Bewertung der Schadensreduktion
  • Aus einer vorgegebenen Liste
  • Hinterlegung als Prozentwert
• Bewertung der Wirkung
  • auf Eintrittswahrscheinlichkeit
  • auf minimalen Schaden
  • auf erwarteten Schaden
  • auf maximalen Schaden
•  Bewertung der Kosten
  • initiale Kosten
  • laufende Kosten

3. Verfahren zur Aggregation der Einzelrisiken zu einer Gesamtrisikoposition

• Freie Programmiersprache für statistische Berechnungen und Grafiken welche in SQL verfügbar ist
• Gilt als die Standardsprache für statistische Problemstellungen, sowohl in der Wirtschaft als auch in der Wissenschaft
• Individualentwicklung durch GBTEC

4. Verfahren zur Risikokorrelation

• Ziel ist die Bestimmung einer Maßzahl (-1 bis 1) für den Grad des Zusammenhanges eines Risikos zum Aggregationsergebnis.
• Damit können die Risken ermittelt werden, welche den höchsten Anteil am Aggregationsergebnis verursachen.

5. Verfahren zur Bestimmung der Maßnahmen hinsichtlich bester Kosten-Nutzen-Wirkung

• Dafür wird eine Optimierungsaufgabe gelöst
• Ziel der Optimierung ist, die Kosten der Maßnahmen zu minimieren
• Nebenbedingung der Optimierung ist, dass die Gesamtrisikoposition (z.B. p95) einen angegebenen Wert nicht überschreitet

Nach den ersten Erfahrungen in Kundenprojekten wird unser neuer Ansatz gut angenommen und die Ergebnisse sind sowohl hinsichtlich der Erfüllung der geforderten Funktionalitäten als auch in Bezug auf Rechengeschwindigkeit und Auswertbarkeit sehr zufriedenstellend. 

Insgesamt lässt sich der Nutzen von quantitativer ausgelegten Ansätzen recht gut zusammenfassen:

• Es ist unbestritten korrekter, weil die doch zu triviale Verwendung einer Normalverteilung sowie der Multiplikation von Eintrittswahrscheinlichkeiten und Schadensbetrachtung sowie das schlichte Aufaddieren der Risiken innerhalb einer Kategorie durch feinere Verfahren ersetzt werden.
• Im Zeitalter der unbegrenzten Computerkapazitäten können nahezu beliebige Simulationen in vertretbar kurzer Rechenzeit durchgeführt werden.
• Die Ergebnisse dieser Simulation erlauben es, verschiedene Optionen, Handlungsmöglichkeiten und mögliche Konsequenzen im Rahmen einer Entscheidungsfindung zu beachten.
• Eine größere Transparenz zu Abhängigkeiten und Ursache-Wirkungsketten zwischen den einzelnen Risiken und Maßnahmen kann erreicht werden.
• Ein intuitiveres Abholen des Managements ist möglich, da durch die Visualisierung Daten und Zusammenhänge sichtbar werden.
• Insbesondere die Ansätze zur Maßnahmenoptimierung bieten die Möglichkeit, im Sinne einer Kosten-Nutzen-Optimierung zu einer Rangordnung der am sinnvollsten umzusetzenden Maßnahmen zu gelangen.

Auf der anderen Seite stehen nach wie vor Zweifel und Skepsis. Dies wird unter anderem auch dadurch weiter befeuert, dass es zumindest einzelne Erfahrungsberichte gibt, an deren Ende die quantitativen Ansätze wieder zurückgezogen wurden. Es gab in diesen Fällen einfach zu viele Debatten um den methodisch-mathematisch-statistischen Ansatz, wie korrekt er ist, wie er zu verstehen ist und zu viel Verwirrung um die einzelnen Ergebnisse. Damit wird erst recht weniger Raum für die inhaltliche, zukunftsorientierte Auseinandersetzung mit den Risiken frei.

Damit komme ich abschließend auf meine frühere Überzeugung zurück. In meinen Augen ist die langsame Entwicklung hin zu quantitativer geprägten Ansätzen ein logisches Resultat des allgemein verbesserten Reifegrades des Risikomanagements in den Unternehmen. Ausschlaggebend ist nach wie vor der jeweilige Reifegrad und sämtliche Initiativen zur Weiterentwicklung des Risikomanagements müssen davon ausgehend wohl dosiert, überlegt und stufenweise umgesetzt werden.