Auf dem Weg zur Risikoquantifizierung?!

Sie haben bereits erkannt, dass Risikomanagement sich wie beim Eiskunstlauf von der Pflicht zur Kür entwickelt. Dort ist die „Pflicht“ die von den Wettkampfrichtern vorgeschriebene Basis, um sich im Wettkampf weiter bestätigen zu können. Der „Gewinner“ wird jedoch in der „Kür“ ermittelt. Dort gewinnt er/sie jene Punkte, die letztendlich den Sieger auf das Podest steigen lassen.

Verständlicherweise ist der Weg zur Bewältigung der Unsicherheit der Zukunft von der allseits bekannten „Risikomatrix“ zur stochastischen Simulation und der risikoadjustierten Planung ein großer Schritt. Für manchen Unternehmer ist er vielleicht ein zu großer, um ihn in einem Schritt bewältigen zu können.

Dennoch zwingen bereits sehr viele Normen und Verordnungen Unternehmen zu einer nachvollziehbaren und aussagekräftigen Risikobewertung. Der Eintrag eines Punktes in einer simplen 3-färbigen „Auswirkungs- und Eintrittswahrscheinlichkeits-Risikomatrix“ war bislang ein Feigenblatt, das den Prüfern und Auditoren als Risikomanagement verkauft wurde. Sollten Entscheider effiziente Schutzmasken anstatt Feigenblätter tragen, um sich damit wirkungsvoll vor Risiken zu schützen? In Zeiten von COVID19 ist es nicht primär wichtig nach außen gerichtet Prüfern und Auditoren eine Fassade vorzugaukeln. Die primäre Aufgabe des Risikomanagements fokussiert sich darauf, auch in risikobehafteten Umfeldern das Über- und Weiterleben eines Unternehmens sicherzustellen. Entscheidungen müssen unter Berücksichtigung und einer bestmöglichen Vorausschau denkbarer Volatilitäten und Ereignisse in der Zukunft getroffen werden. Richtige Entscheidungen zur Steuerung des Unternehmens sind die Grundlage, die für ein Überleben und Weiterleben relevant sind.

Das Risikomanagement darf im Unternehmen kein „Feigenblatt“ bleiben, sondern muss den Unternehmer in seinen Entscheidungen nutzbringend unterstützen. Das Qualitätsmanagement, Umweltmanagement, Informationssicherheitsmanagement, der Datenschutz, Arbeitsschutz und viele weitere verpflichtende Managementsysteme verlangen die Identifikation und Bewertung von Risiken.

Betrachtet man das Beispiel der Datenschutz-Folgenabschätzung (DSFA) aus dem Artikel 35 DSGVO, so ist die Bewertung möglicher Risiken für betroffene natürliche Personen aus der Verarbeitung derer Daten per Verordnung festgeschrieben. Übernimmt man für diese Beurteilung den „Worst Case“, eine denkbar schlimmste Auswirkung, die enorme physische, materielle oder moralische Risken für Betroffene mit sich bringen kann, in ihrer Auftretenswahrscheinlichkeit jedoch nahezu auszuschließen ist, so wird man eine sehr kostenintensive Investition zur Risikoabmilderung tätigen müssen. Den „Schwarzen Schwan“ werden wir dennoch nicht einfangen können! Bindet man die DSFA am „Best Case“, der denkbar geringsten Auswirkung fest, so läuft man Gefahr in der Risikobewertung grob fahrlässig vorgegangen zu sein. Risiken werden aus der Auswirkung und deren Auftretenswahrscheinlichkeit gebildet. Daher wird die Risikowahrheit zwischen den beiden Eckpunkten der Bewertung liegen.

Im Kontext verschiedener risikobasierter Ansätze, beispielsweise der Fehlermöglichkeits- und Einflussanalyse (FMEA), wird der Begriff der „Risikoprioritätszahl“ als Kenngröße zur Bewertung eines Risikos verwendet. Dabei werden sehr einfach die Auftretenswahrscheinlichkeit, die Fehlerschwere und Entdeckungswahrscheinlichkeit multipliziert. Eine Alternative dazu ist die „Risikopotentialzahl“ (RPZ), bei der lediglich die Auftretenswahrscheinlichkeit und die Fehlerschwere multipliziert werden. Dieses Produkt der Multiplikation definiert einen einzelnen Schnittpunkt in der Matrix von Eintrittswahrscheinlichkeit und Auswirkung.