Risk Management und Simulation

von Claudia Howe, GRC Competence Lead bei GBTEC Austria (ehemals avedos)

Jahrelang hatte ich mich in der Beratertätigkeit gegen aus meiner Sicht zu quantitative Verfahren nebst Simulation gesperrt. Zu kompliziert, zu wenig nachvollziehbar und verständlich für die ganze Organisation von Risikobewerter bis hin zum Vorstand, Vortäuschen einer Scheingenauigkeit, erstmal die Basis etablieren, Akzeptanz bekommen, Risikobewusstsein in der Kultur verankern, zu viel Aufwand im Verhältnis zum Mehrwert – welcher Mehrwert übrigens? 

Das war nicht Faulheit oder der Widerwille, mich tiefer einzuarbeiten. Es war schlicht meine Überzeugung. Und nun? Die Kunden wollen “auf einmal” quantitativ arbeiten. Nicht nur diejenigen aus einem finanzgeprägten Umfeld. Sie wollen mit Hilfe von Simulationen gewisse Antworten finden. Wohin also mit meiner Überzeugung?

Schauen wir uns zunächst an, welche typischen Anforderungen an uns als Tool-Anbieter gestellt werden.

Warum quantitative Bewertung?

Zunächst beobachten wir, dass vielen Unternehmen die Bewertung über eine rein qualitative Skala sowie die anschließende einfache Multiplikation von Eintrittswahrscheinlichkeit und Schadenspotential nicht mehr ausreicht. Es wird häufiger der Weg über eine quantitative Bewertung gegangen, vermehrt auch über mehrere Betrachtungszeiträume hinweg und das meist in Vorbereitung für die Anwendung von Simulationsverfahren. 

Simulation ist in diesem Kontext übrigens so zu verstehen, dass unterschiedliche “Was-wäre-wenn”-Analysen zufällig durchgespielt werden und als Ergebnis eine möglichst wahrscheinliche Variante steht. In der Regel ist hinsichtlich der Simulation die Monte-Carlo-Methode gefordert mit dem Ziel, über den jeweils bewerteten Erwartungswert der Einzelrisiken per Aggregation eine Aussage zur Gesamtrisikolage treffen zu können. Es wird ermittelt, welcher Wert mit einer Wahrscheinlichkeit von z.B. 95% erreicht wird. Hierbei ist oft gewünscht, verschiedene Verteilungen anwenden zu können und auch Abhängigkeiten zwischen den Risiken zu berücksichtigen. Mit vielen Fachbereichen ergibt sich hier schon eine erste fachliche Diskussion über die Begriffe Korrelation und Kausalität und was der zugrunde liegende Hintergedanke für die Anforderung ist.

Anforderungen ändern sich

Viele Anforderungen drehen sich insbesondere auch um die Auswertungsmöglichkeiten und die Darstellungsformen. So etabliert sich beispielsweise nach und nach der Gedanke, die aggregierten Auswirkungen mit entsprechenden Positionen in der Planung oder dem Jahresabschluss zusammenzubringen. Weiterhin wird häufig gewünscht, den Anteil von z.B. einer bestimmten Risikokategorie am Gesamtergebnis ermitteln zu können. Auch die einschlägigen graphischen Darstellungen wie die Verteilungskurven oder ein Tornado-Diagramm gehören in der Regel zu den geforderten Funktionalitäten.

Obwohl wir auch bisher diese Anforderungen umsetzen konnten, haben wir uns zu Anpassungen an unserem Kernprodukt, den BIC GRC Solutions (ehemals risk2value), entschieden. Unser Ziel ist es dabei, den beschriebenen Kundenwünschen noch schneller und einfacher gerecht werden zu können.

Quantitative Methoden in den BIC GRC Solutions

Im Ergebnis unterstützen wir nun den gesamten Prozess entlang des Risikomanagementprozesses von der quantitativen Bewertung, der Simulation bzw. Aggregation bis hin zu Input zur Optimierung von Maßnahmen integriert aus den BIC GRC Solutions heraus. Im Detail sind folgende Komponenten zur Verwendung vorgesehen:

1. Vorlage zur quantitativen Risikobewertung

  • Bewertung der Eintrittswahrscheinlichkeit 
    • Aus einer vorgegebenen Liste 
    • Hinterlegung als Prozentwert
  • Bewertung des Schadens
    • Minimaler Schaden
    • Erwarteter Schaden
    • Maximaler Schaden
  • Festlegung der Verteilungsfunktion
    • Auswahl von vordefinierten Verteilungen aus einer Liste
    • Konzernweite Entscheidung für eine Verteilung

2. Vorlage zur Erfassung von Maßnahmen

  • Bewertung der Schadensreduktion
    • Aus einer vorgegebenen Liste
    • Hinterlegung als Prozentwert
  • Bewertung der Wirkung
    • auf Eintrittswahrscheinlichkeit
    • auf minimalen Schaden
    • auf erwarteten Schaden
    • auf maximalen Schaden
  •  Bewertung der Kosten
    • initiale Kosten
    • laufende Kosten

3. Verfahren zur Aggregation der Einzelrisiken zu einer Gesamtrisikoposition

  • Freie Programmiersprache für statistische Berechnungen und Grafiken welche in SQL verfügbar ist
  • Gilt als die Standardsprache für statistische Problemstellungen, sowohl in der Wirtschaft als auch in der Wissenschaft
  • Individualentwicklung durch GBTEC

4. Verfahren zur Risikokorrelation

  • Ziel ist die Bestimmung einer Maßzahl (-1 bis 1) für den Grad des Zusammenhanges eines Risikos zum Aggregationsergebnis.
  • Damit können die Risken ermittelt werden, welche den höchsten Anteil am Aggregationsergebnis verursachen.

5. Verfahren zur Bestimmung der Maßnahmen hinsichtlich bester Kosten-Nutzen-Wirkung

  • Dafür wird eine Optimierungsaufgabe gelöst
  • Ziel der Optimierung ist, die Kosten der Maßnahmen zu minimieren
  • Nebenbedingung der Optimierung ist, dass die Gesamtrisikoposition (z.B. p95) einen angegebenen Wert nicht überschreitet

Nach den ersten Erfahrungen in Kundenprojekten wird unser neuer Ansatz gut angenommen und die Ergebnisse sind sowohl hinsichtlich der Erfüllung der geforderten Funktionalitäten als auch in Bezug auf Rechengeschwindigkeit und Auswertbarkeit sehr zufriedenstellend. 

Quantitative Bewerungen Risikomanagement

Fotocredit (c) Stefan Heigl / RiskNET GmbH

Nutzen der quantitativen Bewertung

Insgesamt lässt sich der Nutzen von quantitativer ausgelegten Ansätzen recht gut zusammenfassen:

  • Es ist unbestritten korrekter, weil die doch zu triviale Verwendung einer Normalverteilung sowie der Multiplikation von Eintrittswahrscheinlichkeiten und Schadensbetrachtung sowie das schlichte Aufaddieren der Risiken innerhalb einer Kategorie durch feinere Verfahren ersetzt werden.
  • Im Zeitalter der unbegrenzten Computerkapazitäten können nahezu beliebige Simulationen in vertretbar kurzer Rechenzeit durchgeführt werden.
  • Die Ergebnisse dieser Simulation erlauben es, verschiedene Optionen, Handlungsmöglichkeiten und mögliche Konsequenzen im Rahmen einer Entscheidungsfindung zu beachten.
  • Eine größere Transparenz zu Abhängigkeiten und Ursache-Wirkungsketten zwischen den einzelnen Risiken und Maßnahmen kann erreicht werden.
  • Ein intuitiveres Abholen des Managements ist möglich, da durch die Visualisierung Daten und Zusammenhänge sichtbar werden.
  • Insbesondere die Ansätze zur Maßnahmenoptimierung bieten die Möglichkeit, im Sinne einer Kosten-Nutzen-Optimierung zu einer Rangordnung der am sinnvollsten umzusetzenden Maßnahmen zu gelangen.

Die andere Seite

Auf der anderen Seite stehen nach wie vor Zweifel und Skepsis. Dies wird unter anderem auch dadurch weiter befeuert, dass es zumindest einzelne Erfahrungsberichte gibt, an deren Ende die quantitativen Ansätze wieder zurückgezogen wurden. Es gab in diesen Fällen einfach zu viele Debatten um den methodisch-mathematisch-statistischen Ansatz, wie korrekt er ist, wie er zu verstehen ist und zu viel Verwirrung um die einzelnen Ergebnisse. Damit wird erst recht weniger Raum für die inhaltliche, zukunftsorientierte Auseinandersetzung mit den Risiken frei.

Damit komme ich abschließend auf meine frühere Überzeugung zurück. In meinen Augen ist die langsame Entwicklung hin zu quantitativer geprägten Ansätzen ein logisches Resultat des allgemein verbesserten Reifegrades des Risikomanagements in den Unternehmen. Ausschlaggebend ist nach wie vor der jeweilige Reifegrad und sämtliche Initiativen zur Weiterentwicklung des Risikomanagements müssen davon ausgehend wohl dosiert, überlegt und stufenweise umgesetzt werden.

Mein Fazit

Quantitative Methoden und Verfahren der Simulation ordnen sich da gleichermaßen ein und bedingen für mich einen gewissen gehobenen Reifegrad, ohne den diese Elemente nicht zu den gewünschten Effekten und Nutzen führen. Durch die Natur der Simulationsverfahren kommt einer sauberen, ausgereiften und zuverlässigen Datenqualität eine besondere Bedeutung zu. Solange bestimmte Gegebenheiten wie eine einheitliche Risikosprache, die Verankerung des Risikobewusstseins im täglichen Handeln und der Kultur und die Aufmerksamkeit des Top Managements für diese Themen nicht gegeben sind, muss das Augenmerk der Fachbereiche genau darauf bleiben, um diese wichtige Basis zu schaffen.

Meine Überzeugung bleibt also: Nicht quantifizieren, um des Quantifizierens oder einer formellen Korrektheit willen – sondern das Risikomanagement entsprechend dem aktuellen Reifegrad angemessen betreiben und weiterentwickeln.

Wertorientiertes Governance, Risk und Compliance Management für Ihren Unternehmenserfolg

Eine professionelle GRC-Strategie bildet die optimale Grundlage für erfolgreiche Unternehmensführung. BIC unterstützt Sie dabei mit einer einzigartigen Kombination aus modernster Technologie, intuitiver Benutzeroberfläche und schneller Implementierung. Das macht die Arbeit mit den BIC GRC Solutions so einfach - in allen GRC-Bereichen.

Fachinformation
Integriertes GRC

Die Zusammenführung der Bereiche Governance, Risk und Compliance sorgt für entscheidende Wettbewerbsvorteile.

Produktinformation
BIC Enterprise Risk

Bauen Sie eine Basis für eine erfolgreiche Governance-, Risk- und Compliance-Strategie und decken Sie alle gesetzlichen Anforderungen ab.

Success Story
Deutscher Sparkassenverlag

Die DSV-Gruppe setzt auf die integrierte Softwareplattform BIC zur Verzahnung der Disziplinen Informationssicherheit, Risiko- und Kontrollmanagement.

Produktinformation
BIC Information Security

Schützen Sie Ihre Informationen und profitieren Sie von einem standardkonformen ISMS mit modernster Technologie.

Weitere Ressourcen zu BIC GRC Solutions

Haben Sie Fragen?

Haben Sie Fragen zu unseren Produkten oder Dienstleistungen?
Unsere Experten sind Ihnen gerne behilflich und freuen sich auf Ihre Anfrage.

Kontakt+43 1 3670876 -0

Erweitern Sie Ihr Wissen mit unseren E-Learnings zu BPM & GRC.

Zum GBTEC Learning Hub