News

News

Wir wollen Sie mit den aktuellen Informationsen, sowohl aus unserem Unternehmen, als auch aus aktuellen Themen der Branche informieren

_____________________________________________________________________________________________________________________.

Quantitatives Enterprise-Risikomanagement: Eine realistische Perspektive

In der heutigen Geschäftswelt sind Unternehmen mit einer Vielzahl von Risiken konfrontiert, die ihre Fähigkeit, langfristig zu wachsen und erfolgreich zu sein, erheblich beeinflussen können. Das Risikomanagement ist daher zu einer unverzichtbaren Disziplin geworden, um diese Risiken zu identifizieren, zu bewerten und strategisch zu steuern. Dabei hat sich das quantitative Risikomanagement als eine wertvolle Methode herauskristallisiert, um Risiken präzise zu messen und fundierte Entscheidungen zu treffen. Doch während quantitative Ansätze zunehmend bevorzugt werden, gibt es auch weiterhin Unternehmen, die auf qualitativ orientierte Methoden wie Risikomatrixen setzen.

Quantitatives Risikomanagement basiert auf der Anwendung von mathematischen Modellen und statistischen Methoden, um Risiken objektiv zu messen und zu bewerten. Ziel ist es, Risiken in Bezug auf ihre Eintrittswahrscheinlichkeit und ihre potenziellen Auswirkungen zu quantifizieren. Dies ermöglicht Unternehmen, Risiken nicht nur zu identifizieren, sondern auch ihre finanziellen Auswirkungen zu berechnen und zu priorisieren. Zu den häufig verwendeten quantitativen Methoden gehören Wahrscheinlichkeitsberechnungen und Simulationen, bei denen durch die Anwendung von Monte-Carlo-Simulationen oder anderen stochastischen Modellen die Unsicherheit und Variabilität von Risiken abgebildet werden. Diese Simulationen erlauben eine detaillierte Analyse von möglichen Szenarien und deren Auswirkungen auf das Unternehmen. Darüber hinaus ist der Value-at-Risk (VaR) eine weit verbreitete Methode in der Finanzbranche, die das maximale Verlustpotenzial eines Unternehmens bei einem bestimmten Konfidenzniveau über einen festgelegten Zeitraum quantifiziert. Auch Sensitivitäts- und Szenarioanalysen finden Anwendung, um die Auswirkungen von Veränderungen in bestimmten Annahmen oder Parametern auf das Risikoprofil eines Unternehmens zu verstehen.

Der quantitative Ansatz bietet zahlreiche Vorteile, darunter Objektivität und Präzision. Im Gegensatz zu qualitativen Methoden basiert der quantitative Ansatz auf klaren Zahlen und Daten, was zu einer objektiveren Risikoanalyse führt. Durch den Einsatz von Simulationen und mathematischen Modellen können Unternehmen eine Vielzahl von potenziellen Risiken und deren Auswirkungen simulieren, was zu einer detaillierteren Risikoeinschätzung führt. Diese präzise, datengetriebene Analyse fördert zudem eine bessere Entscheidungsfindung, da Unternehmen mit klaren Fakten und Zahlen über potenzielle Risiken und ihre Auswirkungen auf das Unternehmen besser informiert sind.

Obwohl qualitative Ansätze wie Risikomatrixen in vielen Unternehmen nach wie vor populär sind, haben sie klare Nachteile, die ihre Anwendung in komplexen und dynamischen Risikoszenarien limitieren. Risikomatrixen basieren auf den Einschätzungen von Experten und Führungskräften, die ihre Bewertungen oft subjektiv und ohne fundierte Grundlagen vornehmen. Diese Subjektivität kann zu Verzerrungen führen, da persönliche Erfahrungen und Meinungen die Risikoeinschätzung beeinflussen. Darüber hinaus wird in einer Risikomatrix die Auswirkung und die Wahrscheinlichkeit des Eintritts eines Risikos nicht in ausreichendem Maße berücksichtigt. Auswirkungen haben eine Bandbreite an möglichen Schäden! Risiken werden in der Regel auf einer Skala von „hoch“, „mittel“ und „niedrig“ und „häufig“ bis „nahezu ausgeschlossen“ eingestuft, was eine grobe und vereinfachte Darstellung darstellt. Dies kann in komplexen Risikoszenarien zu einer falschen Risikobewertung führen, da wichtige Details zur Eintrittswahrscheinlichkeit und den potenziellen Auswirkungen des Risikos fehlen. Zudem berücksichtigen Risikomatrixen nur isolierte Risiken und nicht die Wechselwirkungen bzw. die Gesamtheit verschiedener Risikofaktoren. In der realen Welt sind Risiken jedoch oft miteinander verknüpft und interagieren miteinander, was die Risikomanagement-Strategien verkompliziert. Schließlich lässt sich in einer Risikomatrix nicht priorisieren, welche Risiken am dringlichsten behandelt werden müssen, insbesondere wenn die Bewertungen vage sind.

In einer zunehmend komplexen und dynamischen Geschäftswelt ist es entscheidend, dass Unternehmen ihre Risikomanagementpraktiken weiterentwickeln und auf präzisere, quantitative Methoden setzen. Während qualitative Methoden in wenigen Szenarien noch einen gewissen „Feigenblatt-Effekt“ haben, bieten quantitative Ansätze eine detailliertere und objektivere Grundlage für die Risikobewertung und -bewältigung. Durch den Einsatz von mathematischen Modellen und Simulationen können Unternehmen potenzielle Risiken besser verstehen und deren Auswirkungen präzise messen, was letztlich zu fundierteren und fundierteren Entscheidungen führt. Angesichts der zunehmenden Komplexität der Geschäftslandschaft ist ein quantitativer Ansatz im Enterprise-Risikomanagement nicht nur eine Option, sondern ein wichtiger Schritt, um langfristig wettbewerbsfähig und resilient zu bleiben.

IT-Risiken sind Teil der gesamten Unternehmens-Risikolandkarte

In einer zunehmend digitalisierten Welt sind IT-Risiken nicht mehr isoliert, sondern ein zentraler Bestandteil des gesamten Risikomanagements eines Unternehmens. Ob durch Cyberangriffe, Systemausfälle oder technische Fehlfunktionen – IT-Risikoereignisse können weitreichende Auswirkungen auf alle Geschäftsprozesse haben und somit den Unternehmenserfolg gefährden. Dieser Artikel soll das Faktum beleuchten, warum vermeintliche IT-Risiken als integraler Teil der Unternehmensrisiken betrachtet werden müssen und wie eine ganzheitliche Risikomanagementstrategie dazu beiträgt, die Resilienz und langfristige Stabilität eines Unternehmens zu sichern.

Die Notwendigkeit, IT-Risikomanagement (IRM) und Enterprise-Risikomanagement (ERM) zusammenzuführen und auf eine Unternehmenskennzahl, beispielsweise dem geplanten Budget oder EBIT, zu aggregieren, scheitert meist an einer geeigneten Methodik, einem geeigneten Werkzeug und am erforderlichen Know-How für ein quantitativ betriebenen Risikomanagement. Somit verbleibt lediglich die Aufgabe, das „Bauchgefühl“ als Punkt in eine rot-gelb-grün gefärbte Matrix zu transferieren. Man bedenke jedoch, Bäuche sind verschieden!

Der Bedarf ein integriertes Risikomanagement zu betreiben, liegt in der zentralen Bedeutung von IT-Systemen und ihrer Verknüpfung zu nahezu allen Geschäftsprozessen. Systembezogene IT-Risikoereignisse wie Hardwareausfälle, Softwarefehler oder Datenverlust können schnell andere Unternehmensrisiken wie operationelle oder finanzielle Auswirkungen nach sich ziehen. Diese Wechselwirkungen machen es erforderlich, IT-Risiken im Gesamtzusammenhang des Unternehmens zu betrachten. Zusätzlich müssen exogene, nicht steuerbare, von außen getriggerte Ereignisse wie Naturkatastrophen, externe Cyberangriffe, regulatorische Änderungen oder politische Unsicherheiten berücksichtigt werden. Diese Ereignisse beeinflussen sowohl IT-Systeme als auch das gesamte Unternehmen wesentlich.

Eine aus externen und systembezogenen Risiken aggregierte Bewertung ermöglicht es, diese Risiken ganzheitlich zu erfassen, und eine realistischere Betrachtung der Auswirkungen auf das Unternehmen transparent zu gestalten. Daraus lassen sich geeignete Risikomilderungsmaßnahmen ableiten und auf ihre Effizienz und Effektivität zu prüfen. So wird nicht nur die Resilienz aus eine IT-Sicht, sondern aus einer gesamtunternehmerischen Brille betrachtet.

Die Problematik nicht aggregierter Risiken liegt darin, dass isoliert betrachtete Einzelrisiken nicht die tatsächlichen Wechselwirkungen und kumulierten Auswirkungen auf das gesamte Unternehmen widerspiegeln. Werden Risiken als vom Geschäftsbetrieb losgelöst betrachtete IT-Fehlfunktionen, finanzielle oder operationelle Risiken separat bewertet, werden wesentliche Verflechtungen übersehen. Ein Cyberangriff stellt ein Ereignis dar, das gegen IT-Infrastrukturen gerichtet ist. Erst die Auswirkung auf die Geschäftsprozesse, Kundenbeziehungen, den Umsatz und gesamthaft betrachtet, den Geschäftserfolg, bildet das Risiko. Ohne eine ganzheitliche Betrachtung besteht die Gefahr, dass Risiken falsch priorisiert oder unzureichend gemanagt werden, was zu unvorhergesehenen Schäden und einer geringeren Resilienz des Unternehmens führt.

Ein qualitativ betriebenes Risikomanagement wird zunehmend als weniger effektiv und veraltet angesehen, insbesondere im Vergleich zum quantitativen Risikomanagement, das präzise, datenbasierte Bewertungen und eine fundierte Entscheidungsfindung ermöglicht. Während das qualitative Risikomanagement oft auf subjektiven Einschätzungen und dem „Bauchgefühl“ basiert, fehlt es ihm an einer systematischen, messbaren Grundlage. Risiken werden häufig in Kategorien wie „hoch“, „mittel“ oder „gering“, die selten bis sehr oft passieren, ohne klare, objektive Kriterien eingeteilt, was zu wesentlichen Unsicherheiten und sehr großen Interpretationsspielräumen führt.

Bauchgefühle sind subjektiv und können nicht aggregiert werden. Qualitativ bewertete Risiken, sehr oft werden auch einzelne Risikoereignisse fälschlich als Risiko bezeichnet, bleiben somit immer isoliert. Eine gesamthafte Bewertung aller identifizierten Risiken auf den Geschäftserfolg ist nicht möglich. Dieser unscharfe Ansatz führt in vielen Fällen auch dazu, dass Risiken entweder überschätzt oder unterschätzt werden, da sie nicht mit konkreten Daten und Fakten unterlegt sind. In einer zunehmend datengetriebenen Welt, in der Unternehmen immer komplexeren und dynamischeren Bedrohungen ausgesetzt sind, reichen diese vagen und qualitativen Risikovermutungen nicht mehr aus, um fundierte Entscheidungen zu treffen.

Im Vergleich dazu bietet das quantitativ betriebene Risikomanagement konkrete, nachvollziehbare Daten und Modelle, die es ermöglichen, Risiken genauer messbar zu machen und die potenziellen finanziellen Auswirkungen auf eine wirtschaftliche Unternehmenskennzahl zu aggregieren. Dadurch wird nicht nur eine objektive Basis für Entscheidungen geschaffen, sondern auch eine klare Darstellung der Risiken ermöglicht, die eine fundierte Risikosteuerung ermöglicht.

Das qualitative Risikomanagement, ein in einer einfachen Matrix positionierter Punkt, erscheint daher zunehmend als unpräzise und ineffizient, da es der Komplexität moderner Unternehmen und ihrer Risiken nicht mehr gerecht wird. Unternehmen, die auf qualitative Ansätze setzen, laufen Gefahr, wichtige Risiken zu übersehen oder falsch zu bewerten, was langfristig zu größeren Schäden führen kann. In einer Zeit, in der Präzision und Datenanalyse entscheidend sind, hat der qualitative Ansatz seinen Wert als Entscheidungshilfe für den Vorstand oder Geschäftsführer verloren.

Zusammenfassend lässt sich feststellen, dass IT-Risiken ein integraler Bestandteil des gesamten Unternehmensrisikomanagements sind. Ohne eine Aggregation von IT-Risiken und anderen Unternehmensrisiken wird die tatsächliche Risikolage unzureichend erfasst, was zu falschen Priorisierungen und unzureichenden Schutz- und Risikomilderungsmaßnahmen führen kann. Qualitative Bewertungen sind in einem gesamten Risikoverbund nicht aggregierbar, da sie auf subjektiven Einschätzungen beruhen, die keine klare und messbare Grundlage bieten. Eine ganzheitliche, quantitative Betrachtung aller Risiken ermöglicht eine präzisere Einschätzung und stärkt die Resilienz des Unternehmens gegenüber potenziellen Bedrohungen.

Risikomanagement neu denken – Change your Flight-Level

Wer kennt das nicht – es werden penibel kleine und kleinste Details aller IT-Systeme erfasst, alle Kollegen permanent mit immer denselben Fragen gequält und das Ergebnis in eine Datenbank gespeichert, während die Kollegen der IT bereits alles wieder verändert, upgedatet oder virtualisiert haben. In die Datenbank gelangen dabei jährlich oder bestenfalls halbjährlich auch nur Auditergebnisse von vorhandenen und nicht von erforderlichen Infrastrukturen und Prozessen! Daraus werden bunte Berichte generiert, die beschreiben, wie es einmal war, wie compliant man gewesen ist und welche Details nachzubessern gewesen wären. Nicht betrachtete, jedoch zwingend erforderliche Sicherheitskonzepte zeigen kein Security-Gap an und weisen falsche Ergebnisse aus.

Risikomanagement ist keine „Rückspiegeldisziplin“, sondern beschäftigt sich mit Gefährdungen, zukünftigen, möglichen Ereignissen und Auswirkungen, die auf das Unternehmen oder die Organisation wirken. Unter den größten #Gefährdungen, die Unternehmer unruhig schlafen lassen, sind aktuell #Verschlüsselungstrojaner, allgemeine #Cyberangriffe, oder auch IT-unabhängige, externe Ursachen aus Volatilitäten am Finanzmarkt, Beeinträchtigungen in der Logistik, der Versorgung mit Energie und Rohstoffen und weitere. Darüber hinaus gefährden systembezogene, IT-/OT-interne Ursachen, bei Dienstleistern oder aus der Cloud betriebene Dienste den Geschäftserfolg, die jedoch kaum den Weg bis zur Unternehmensspitze finden.

Es stellt sich daher die Frage: Wie kann der Wettlauf zwischen Bewertung und Betrieb von IT/OT-Infrastrukturen aus Risikosicht gewonnen werden? Eine Antwort könnte lauten: Change your Flight-Level and follow actual NOTAMs! Verwerfen Sie die penible kleinteilige Bewertung aller IT-Systeme und beurteilen Sie die Reife umgesetzter und erforderlicher #Sicherheitskonzepte aus normativen Empfehlungen der ISO 27000 Reihe, Vorgaben des BSI oder auch der NIS für kritische Infrastrukturen. Um potenzielle Gefährdungen zu beurteilen, gelten Sicherheitskonzepte als aussagekräftiger, mit längerer Gültigkeit der Bewertung versehen und mit wesentlich geringerem Aufwand als hunderte Fragen verbauter Assets zu beantworten.

NOTAMs (Notice to Airmen) sind aktuelle und für den sicheren Flugbetrieb zwingend einzuhaltende, erforderliche Vorgaben. Sie sind verbindlich vor Flugantritt zu lesen und in die Flugplanung einzubeziehen. Sollte der Risikomanager nicht auch Gefahrenmeldungen als „Notice to Riskmanager“ im Daily Business berücksichtigen, daraus „Was wäre, wenn Szenarien“ simulieren und dem verantwortlichen Management Entscheidungsalternativen zeitnah bereitstellen?

Vorstände und Geschäftsführer denken globaler. Die Flughöhe ihrer Risikowahrnehmung ist wesentlich höher angesiedelt als einzelne Bausteine verwendeter Infrastrukturen wahrzunehmen. Sie denken an unerwünschte Ereignisse, die ihr Unternehmen oder ihre Organisation gefährden könnten. Vielleicht sind es 10, 50 oder auch 100 Risiken, die das Unternehmen in den Grundmauern erschüttern könnten; jedoch sind es keine hunderte oder tausende. Diese sind in ihren Ursachen, Auftretenshäufigkeiten und Auswirkungen entsprechend einer Kosten-Nutzen Betrachtung zu managen. Eine #Kosten-Nutzen-Betrachtung erfordert daher eine verbindliche und nachvollziehbare #Risikoquantifizierung.

Für Vorstände und Geschäftsführer ist es kaum von Relevanz, ob ein möglicher Schaden aus einer systembezogenen oder auch externen Gefährdung resultiert, ob ein direkter oder indirekter IT-Bezug besteht oder markt-, pandemie- bzw. kriegsbedingte Ursachen ein Risiko verursachen. Risiken bedrohen das Unternehmensergebnis, können Unternehmen in eine Verlustzone bringen, in einem Worst Case vielleicht auch in eine Insolvenz treiben. Risiken dürfen daher nicht in getrennten „Risikosilos“ gemanagt werden, sondern sind integriert, konsolidiert und aggregiert gegen den geplanten Unternehmenserfolg zu bewerten.

Conclusio:

Bewerten Sie ihre IT/OT-Infrastrukturen nicht am aktuellen IST, sondern gegen das erforderliche SOLL.
Gewinnen Sie aus Risikosicht den Wettlauf zwischen der Bewertung und dem Betrieb von IT/OT-Infrastrukturen, indem Sie die Flughöhe erhöhen, Sicherheitskonzepte anstatt einzelner IT-Assets bewerten und den personellen Aufwand auf Ressourcen reduzieren, die für ein effektives Risikomanagement erforderlich sind. Bedenken Sie, dass auch für das Risikomanagement die Regel einer positiven Kosten-Nutzen-Bilanz gilt.
Integrieren Sie Ihren Risikomanagement-Prozess in Ihr Daily-Business, um agieren zu können und nicht reagieren zu müssen.
Denken Sie wie Vorstände und Geschäftsführer denken. Bewerten Sie Gefährdungen und keine kleinteiligen Ursachen von Ursachen für mögliche Schadensereignisse.
Wägen Sie Kosten und Nutzen im Sinne eines risikobasierten Ansatzes ab und setzen Sie lediglich Maßnahmen um, die eine positive Nutzenbilanz besitzen.
Eliminieren Sie „Risikosilos“ getrennter IRMs und ERMs und bewerten Sie alle relevanten Gefährdungen mit deren Auswirkungen konsolidiert und aggregiert gegen den geplanten Unternehmenserfolg.

Lieber Leser, es würde mich sehr freuen, wenn Sie mir auch Ihre Meinung zum „Flightlevel-Change“ im Risikomanagement und die Auflösung von „Risikosilos“ geben würden.

Auf dem Weg zur Risikoquantifizierung?!

Sie haben bereits erkannt, dass Risikomanagement sich wie beim Eiskunstlauf von der Pflicht zur Kür entwickelt. Dort ist die „Pflicht“ die von den Wettkampfrichtern vorgeschriebene Basis, um sich im Wettkampf weiter bestätigen zu können. Der „Gewinner“ wird jedoch in der „Kür“ ermittelt. Dort gewinnt er/sie jene Punkte, die letztendlich den Sieger auf das Podest steigen lassen. Verständlicherweise ist der Weg zur Bewältigung der Unsicherheit der Zukunft von der allseits bekannten „Risikomatrix“ zur stochastischen Simulation und der risikoadjustierten Planung ein großer Schritt. Für manchen Unternehmer ist er vielleicht ein zu großer, um ihn in einem Schritt bewältigen zu können. Dennoch zwingen bereits sehr viele Normen und Verordnungen Unternehmen zu einer nachvollziehbaren und aussagekräftigen Risikobewertung. Der Eintrag eines Punktes in einer simplen 3-färbigen „Auswirkungs- und Eintrittswahrscheinlichkeits-Risikomatrix“ war bislang ein Feigenblatt, das den Prüfern und Auditoren als Risikomanagement verkauft wurde. Sollten Entscheider effiziente Schutzmasken anstatt Feigenblätter tragen, um sich damit wirkungsvoll vor Risiken zu schützen? In Zeiten von COVID19 ist es nicht primär wichtig nach außen gerichtet Prüfern und Auditoren eine Fassade vorzugaukeln. Die primäre Aufgabe des Risikomanagements fokussiert sich darauf, auch in risikobehafteten Umfeldern das Über- und Weiterleben eines Unternehmens sicherzustellen. Entscheidungen müssen unter Berücksichtigung und einer bestmöglichen Vorausschau denkbarer Volatilitäten und Ereignisse in der Zukunft getroffen werden. Richtige Entscheidungen zur Steuerung des Unternehmens sind die Grundlage, die für ein Überleben und Weiterleben relevant sind. Das Risikomanagement darf im Unternehmen kein „Feigenblatt“ bleiben, sondern muss den Unternehmer in seinen Entscheidungen nutzbringend unterstützen. Das Qualitätsmanagement, Umweltmanagement, Informationssicherheitsmanagement, der Datenschutz, Arbeitsschutz und viele weitere verpflichtende Managementsysteme verlangen die Identifikation und Bewertung von Risiken. Betrachtet man das Beispiel der Datenschutz-Folgenabschätzung (DSFA) aus dem Artikel 35 DSGVO, so ist die Bewertung möglicher Risiken für betroffene natürliche Personen aus der Verarbeitung derer Daten per Verordnung festgeschrieben. Übernimmt man für diese Beurteilung den „Worst Case“, eine denkbar schlimmste Auswirkung, die enorme physische, materielle oder moralische Risken für Betroffene mit sich bringen kann, in ihrer Auftretenswahrscheinlichkeit jedoch nahezu auszuschließen ist, so wird man eine sehr kostenintensive Investition zur Risikoabmilderung tätigen müssen. Den „Schwarzen Schwan“ werden wir dennoch nicht einfangen können! Bindet man die DSFA am „Best Case“, der denkbar geringsten Auswirkung fest, so läuft man Gefahr in der Risikobewertung grob fahrlässig vorgegangen zu sein. Risiken werden aus der Auswirkung und deren Auftretenswahrscheinlichkeit gebildet. Daher wird die Risikowahrheit zwischen den beiden Eckpunkten der Bewertung liegen. Im Kontext verschiedener risikobasierter Ansätze, beispielsweise der Fehlermöglichkeits- und Einflussanalyse (FMEA), wird der Begriff der „Risikoprioritätszahl“ als Kenngröße zur Bewertung eines Risikos verwendet. Dabei werden sehr einfach die Auftretenswahrscheinlichkeit, die Fehlerschwere und Entdeckungswahrscheinlichkeit multipliziert. Eine Alternative dazu ist die „Risikopotentialzahl“ (RPZ), bei der lediglich die Auftretenswahrscheinlichkeit und die Fehlerschwere multipliziert werden. Dieses Produkt der Multiplikation definiert einen einzelnen Schnittpunkt in der Matrix von Eintrittswahrscheinlichkeit und Auswirkung.

In der linken Darstellung der Abbildung 1 wurde ein Risiko in fünf zusammenhängenden Risikoausprägungen möglicher Folgen aus der Verarbeitung personenbezogener Daten für eine natürliche Person ermittelt und bewertet. Aus Sicht möglicher Auswirkungen würden die Risikoausprägungen R₅ als der „Worst Case“ und R₁ als der „Best Case“ des Risikos bezeichnet. Jeder Ausprägung ist daher eine RPZ zuzuordnen; nämlich dem Risiko R₁=5, R₂=10, R₃=12, R₄=12 und R₅=5. Diese Beurteilung kann durchaus ein besseres Bild für die DSFA geben: Das Risiko 5 mit enormer Auswirkung für den Betroffenen, das nahezu auszuschließen ist und das Risiko 1 hingegen mit nahezu unbedeutender Auswirkung für den Betroffenen, das jedoch sehr wahrscheinlich auftreten wird. Beide Risiken besitzen eine idente Risikopotentialzahl. Werden alle identifizierten Risikoausprägungen R₁ bis R₅ zum eigentlich einzelnen Risiko zusammengefasst und mit einer Linie verbunden, wird ein Profil des betrachteten Risikos gezeichnet. Jede Risikoausprägung auf dieser Linie kann mit der zugehörigen Auftretenswahrscheinlichkeit abgelesen werden.

Entwickelt man die einfache Risikomatrix mit Auftretenswahrscheinlichkeit und Auswirkung weiter, sodass die Grenzen von GRÜN zu GELB und zu ROT nicht an den inneren Quadranten der Matrix enden, sondern einer Linie mit konstantem Risikopotential (Risikopotentialzahl – RPZ) folgen, dann können auch bei einem semiquantitativen Verfahren vom Management plausible Risikogrenzen festgelegt werden. Die als „Risikoappetit“ festgelegte Risikoakzeptanz kann in dieser neuen Matrix somit als Referenzlinie bzw. Grenze der akzeptablen Risiken bestimmt werden.

In der Abbildung 2 ist das „Upgrade“ der semiquantitativen Risikomatrix abgebildet. Die festgelegten Grenzen zur roten Fläche werden mit einer Risikoakzeptanz (RPZ) von 10 und zur gelben Fläche mit einer RPZ von 2 beschrieben.

In den abgebildeten drei, für die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) geforderten Risikoprofilen für physische, materielle und moralische Risiken, wird deren Kritikalität in Form eines „Risikoprofils“ dargestellt. Darin ist zu erkennen, dass das größte Risiko (größte RPZ) keinesfalls beim vermeintlichen „Worst Case“ liegt.

Die „neue“ Matrix ist so einfach wie die herkömmliche Risikomatrix zu lesen, doch die vermittelten Informationen sind deutlich aussagekräftiger!

Das Maximum des beispielhaft dargestellten materiellen Risikos für Betroffene ist im mittleren Bereich ihrer Auswirkung, bei einer als wahrscheinlich eingestuften Eintrittswahrscheinlichkeit zu finden. Exakt an dieser Stelle grenzt dieses Risiko an den roten Bereich. Insbesondere ist aus dem Diagramm abzulesen, dass moralische Risiken die Toleranzgrenze überschreiten und zwingende Maßnahmen zur Risikomilderung erforderlich sind. Aus dem Diagramm ist auch abzulesen, dass sowohl die geringsten, als auch die extremsten Auswirkungen sich im GRÜNEN Bereich der Matrix befinden. Es gilt: Eine Gefahr die nicht eintritt oder ein Ereignis, das permanent eintritt, jedoch keinen Schaden verursacht SIND KEINE HOHEN RISIKEN! Teure Investitionen, um den „Worst Case“ eines Risikos abzumildern, wären wahrscheinlich eine Überinvestition und damit das eigentliche Risiko!

Eine andere Form der Darstellung des Risikoprofiles wird am Beispiel des moralischen Risikos in der Abbildung 3 gezeigt. Dabei werden lediglich die Stützwerte der RPZ in den 5 Stufen der Eintrittswahrscheinlichkeit für alle Zwischenwerte linear interpoliert. Aus der daraus gebildeten „Verteilungsfunktion“ der RPZ lässt sich das Risikoprofil sehr gut interpretieren. Das größte Risiko kann daher am höchsten Punkt, dem Modus, bei einer Eintrittswahrscheinlichkeit von „wahrscheinlich“ abgelesen werden. Das durchschnittliche Risiko wird beim Mittelwert (50% der bedeckten Fläche unterhalb und 50% oberhalb) mit etwa einer RPZ von 11 und einer Eintrittswahrscheinlichkeit von etwas höher als „möglich“ sein.

Hätte man ein Szenario der möglichen größten Gefährdung durch entsprechende Maßnahmen in der Auswirkung abgemildert, bedeutet dies nicht, dass damit auch das Szenario des größten Risikos (RPZ) abgemildert worden wäre! Eine effiziente Maßnahmenwirkung kann nur sichergestellt werden, wenn man einem Risiko auf den „Zahn“ fühlt und es quantitativ analysiert.

Die Pflicht wird zur Kür indem man es zum eigenen Nutzen tut! Besonders die von Gesetzes wegen verpflichtende Datenschutz-Folgenabschätzung (DSFA) kann eine perfekte Übungsumgebung sein, diese Art der Risikoquantifizierung durchzuführen. MAN&GO® ist eine DSGVO-Wissensdatenbank, die auch einfache Möglichkeiten bereitstellt, Risikoabschätzungen für DSFA von kritischen Verarbeitungstätigkeiten in dieser Form durchzuführen.

Verdienen Sie als Risikomanager Wertbeiträge für Ihr Unternehmen, indem Sie den Prozess des Risikomanagements vom Bauch in den Kopf, von der Risikoqualifizierung zur Risikoquantifizierung bringen!

Sie sind interessiert? >>

Covid-19 – oder das Ende des qualitativen Risikomanagements?

Wer hätte dem Pandemie-Risiko aus dem dunkelroten Quadranten einer Risiko-Matrix wirklich eine Bedeutung beigemessen? Die Eintrittswahrscheinlichkeit unbekannt und gegen null geschätzt? Die Auswirkung einer weltweiten Gesundheits- und Wirtschaftskrise als „Black Swan“ abgetan? Aber es gibt sie, die schwarzen Schwäne!

Alle Schwäne sind weiß! So lautete bis zum 17. Jahrhundert das anerkannte europäische, ornithologische Wissen zur Farbe von Schwänen. Erst nach der Entdeckung des ersten „Schwarzen Schwans“ in West-Australien, wurde die „objektive“ Wahrheit, dass alle Schwäne weiß sind, widerlegt. Damit wurde ein „vogelkundliges Naturgesetz“ erschüttert.

Epidemien sind lokal begrenzt und mit den weltweiten Gesundheitsstandards auch regional zu begrenzen. So war die Denke vor Covid-19. Virenstämme werden nicht von Tieren auf Menschen so einfach übertragen. Diese Erkrankung war erstmals Ende Dezember 2019 in der Millionenstadt Wuhan, der chinesischen Provinz Hubei, auffällig geworden. Sie entwickelte sich im Januar 2020 in China zur Epidemie und breitete sich schließlich weltweit aus. Der Ausbruch wurde durch das bis dahin unbekannte Coronavirus SARS-CoV-2 ausgelöst. Dieses Virus wird auch als neuartiges Coronavirus bezeichnet.

Der Schwarze Schwan war geboren, jedoch noch nicht entdeckt. Im dunkelroten Quadranten werde im qualitativen Risikomanagement alle Phantasien, deren Realität jeder Praktikabilität und Vorstandsakzeptanz widerspricht geparkt und auch ausgeblendet. Zum Teil wurden diese „Phantasien“ gar nicht in den Scope von unternehmensrelevanten Risiken aufgenommen.

Diese „Phantasie“ stellt derzeit das wohl größte sich realisierte Risiko seit dem zweiten Weltkrieg dar. So bezeichnen es zumindest sehr viele Medienberichte im In- und Ausland. Ist dieses Risiko eine „Phantasie“, die es gar nicht in den „dunkelroten Quadranten“ geschafft hat, weil es so „unwahrscheinlich“ war und damit als Phantasie abgestempelt werden musste?

Warum nicht Farbe bekennen und das Risiko als Ereignis beschreiben, das sehr unwahrscheinlich, vielleicht einmal in 100 Jahren auftreten könnte. Vor etwa 100 Jahren war eine ähnliche Pandemie im Gange, die die Menschen in Angst erstarren ließ. Die Spanische Grippe war eine Influenza-Pandemie, die durch einen ungewöhnlich virulenten Abkömmling des Influenzavirus verursacht wurde und sich zwischen 1918 und 1920 in mindestens zwei Wellen verbreitete und bei einer Weltbevölkerung von etwa 1,8 Milliarden zwischen 27 Millionen und 50 Millionen Menschenleben forderte Vermutungen reichen bis zu 100 Millionen. Damit starben an der Spanischen Grippe mehr Personen als im Ersten Weltkrieg. Insgesamt sollen etwa 500 Millionen Menschen infiziert worden sein, was eine Letalität von 5 bis 10 Prozent ergibt, die damit deutlich höher lag als bei Erkrankungen durch andere Influenza-Erreger.

War der Schwan nicht schwarz, sondern nur grau? Forscher erkannten, das aus der Historie der Statistiken etwa alle 100 Jahren eine „unerwartete“ Epidemie gewütet hat. Etwa Pest, Cholera, die Spanische Grippe und nun COVID-19. Ein Risiko, das mit einer Eintrittswahrscheinlichkeit von einem Prozent bewertet werden sollte? Oder ist eine Auftretenswahrscheinlichkeit mit einer Wahrscheinlichkeit von einem Prozent eine Spitzfindigkeit oder Realität?

Eine Eintrittswahrscheinlichkeit wird als „JA-NEIN“ Ereignis betrachtet. Tritt ein oder tritt nicht ein. Denken Sie an das Hochwasser 2002 in Mitteleuropa. Ein Jahrhundertereignis, das der Bezeichnung entsprechend alle 100 Jahre eintreten sollte. Sowohl im Frühjahr, als auch im Herbst hat sich das Ereignis zumindest zweimal in Österreich ereignet. Ein Irrtum der Natur? NEIN! Ereignisse sind durchschnittlich, im Erwartungswert mit diesen Erfahrungswerten besetzt. Ihre Auftrittswahrscheinlichkeit ist aus Sicht der Statistik Poisson-verteilt und die Zeitintervalle ihres Auftretens nach einer geometrischen Verteilung verteilt.

Befinden wir uns aktuell im „Long Tail“ einer sehr aggressiven Wahrscheinlichkeitsverteilung? Eine geringe Auftretenswahrscheinlichkeit mit einer möglichen Weltwirtschaftskrise, die einmal in 100 Jahren auftreten kann? Statistiker würden damit vielleicht den Tail einer „logarithmischen Normalverteilung“ meinen.

Wo finden wir in den simplen Quadranten des qualitativen Risikomanagements diese „Poisson-Verteilung“ und den „Tai l“ der „Log-Normalverteilung“?

Statistik und Simulation sind unsere Brille in die Zukunft! Ein dringend benötigtes Frühwarnsystem, um für mögliche zukünftige Pandemien gewappnet zu sein. Wir können nicht davon ausgehen, dass wir nach der Absolvierung des COVID-19 erst einem COVID 2120 entgegenschauen. Es könnte genauso ein COVID 2020 sein!

Verlassen wir den „dunkelroten Quadranten“ und wenden wir uns den Perzentilen einer Risikosimulation sowie aussagekräftigen Kennzahlen zu. Fragen: „Wie groß ist die Wahrscheinlichkeit den Erwartungen in der Planung zu folgen?“, „Wie groß ist die Wahrscheinlichkeit ein negatives Ergebnis zu schreiben?“ oder „Wie groß ist die Wahrscheinlichkeit insolvent zu werden?“ sind im Tagesgeschäft mehr denn je angekommen.

Eine Pandemie besitzt eine gewisse, Poisson-verteilte Auftrittswahrscheinlichkeit. Betrachten wir die Vergangenheit, so können wir diese mit etwa 1% einsetzen. Nehmen wir die Auswirkung für jedes Unternehmen, so können wir im Worst Case die Existenz, nämlich den Unternehmenswert mit einer realistischen Ertragsbewertung und einer mittelfristigen Zukunft betrachten. Im Best Case könnte das Unternehmen, weil es der Pandemiebekämpfung hilft, mit einem positiven Ergebnis aus der Krise herauskommen. Wahrscheinlich bleibt ein überlebensfähiger Verlust für das Unternehmen zurück.

Nur wer frühzeitig mit den Investoren und Geldgebern diese Szenarien durchspielt und effiziente Maßnahmen festlegt und auch konsequent verfolgt, wird als Kapitän eines nicht gekenterten Schiffes in unsicheren Gewässern überleben. Ahoi allen Kapitänen, die ihre Navigation auf ein quantitatives Verfahren umgestellt haben!