News
Wir wollen Sie mit den aktuellen Informationsen, sowohl aus unserem Unternehmen, als auch aus aktuellen Themen der Branche informieren
_____________________________________________________________________________________________________________________.
Seit Ende des vergangenen Jahrtausends sind Mag. Markus Oman (O.P.P.) und Dr. Manfred Stallinger (ZTI) in Beratungsprojekten mit den Schwerpunkten IT-Recht, Information Security Management, Risk-Management; Finanzen-Compliance, und Datenschutz tätig. Teilweise standen sich beide sogar in einer Wettbewerbssituation gegenüber. Nun haben sie beschlossen, ihr Know-How und ihre Erfahrungen der letzten 20 Jahre zu verbinden und in einer Partnerschaft eng zu kooperieren. Die sich daraus ergebenden Dienstleistungen spannen einen Bogen von Beratung, Coaching und Interims-Management bis hin zu Audits und Gutachtenserstellung.
Inspiriert von Albert Einsteins Gedanken „Eine neue Art von Denken ist notwendig, wenn die Menschheit weiterleben will“ haben Oman und Stallinger den Begriff „weiterleben“ durch „erfolgreich vorankommen“ ersetzt und beschlossen, ihr Wissen und ihre Erfahrungen zu bündeln. Nach dem Prinzip „Gemeinsam sind wir wesentlich mehr als die einzelnen Teile“ werden O.P.P. und ZTI zwar weiterhin als getrennte wirtschaftliche Einheiten agieren, jedoch ihre gebündelten Ressourcen und das umfassende Know-How, allen österreichischen und europäischen Kunden zur Verfügung stellen.
Der „Marktplatz der Besten“ zu sein, ist die Vision und auch gleichzeitig der Antrieb für den gemeinsamen Weg. Die Bündelung des Wissens und der Erfahrungen beider Gruppen bringt eine große Bandbreite an Expertenwissen und Problemverständnis zur Lösung all Ihrer Aufgaben mit.
Sie haben bereits erkannt, dass Risikomanagement sich wie beim Eiskunstlauf von der Pflicht zur Kür entwickelt. Dort ist die „Pflicht“ die von den Wettkampfrichtern vorgeschriebene Basis, um sich im Wettkampf weiter bestätigen zu können. Der „Gewinner“ wird jedoch in der „Kür“ ermittelt. Dort gewinnt er/sie jene Punkte, die letztendlich den Sieger auf das Podest steigen lassen. Verständlicherweise ist der Weg zur Bewältigung der Unsicherheit der Zukunft von der allseits bekannten „Risikomatrix“ zur stochastischen Simulation und der risikoadjustierten Planung ein großer Schritt. Für manchen Unternehmer ist er vielleicht ein zu großer, um ihn in einem Schritt bewältigen zu können. Dennoch zwingen bereits sehr viele Normen und Verordnungen Unternehmen zu einer nachvollziehbaren und aussagekräftigen Risikobewertung. Der Eintrag eines Punktes in einer simplen 3-färbigen „Auswirkungs- und Eintrittswahrscheinlichkeits-Risikomatrix“ war bislang ein Feigenblatt, das den Prüfern und Auditoren als Risikomanagement verkauft wurde. Sollten Entscheider effiziente Schutzmasken anstatt Feigenblätter tragen, um sich damit wirkungsvoll vor Risiken zu schützen? In Zeiten von COVID19 ist es nicht primär wichtig nach außen gerichtet Prüfern und Auditoren eine Fassade vorzugaukeln. Die primäre Aufgabe des Risikomanagements fokussiert sich darauf, auch in risikobehafteten Umfeldern das Über- und Weiterleben eines Unternehmens sicherzustellen. Entscheidungen müssen unter Berücksichtigung und einer bestmöglichen Vorausschau denkbarer Volatilitäten und Ereignisse in der Zukunft getroffen werden. Richtige Entscheidungen zur Steuerung des Unternehmens sind die Grundlage, die für ein Überleben und Weiterleben relevant sind. Das Risikomanagement darf im Unternehmen kein „Feigenblatt“ bleiben, sondern muss den Unternehmer in seinen Entscheidungen nutzbringend unterstützen. Das Qualitätsmanagement, Umweltmanagement, Informationssicherheitsmanagement, der Datenschutz, Arbeitsschutz und viele weitere verpflichtende Managementsysteme verlangen die Identifikation und Bewertung von Risiken. Betrachtet man das Beispiel der Datenschutz-Folgenabschätzung (DSFA) aus dem Artikel 35 DSGVO, so ist die Bewertung möglicher Risiken für betroffene natürliche Personen aus der Verarbeitung derer Daten per Verordnung festgeschrieben. Übernimmt man für diese Beurteilung den „Worst Case“, eine denkbar schlimmste Auswirkung, die enorme physische, materielle oder moralische Risken für Betroffene mit sich bringen kann, in ihrer Auftretenswahrscheinlichkeit jedoch nahezu auszuschließen ist, so wird man eine sehr kostenintensive Investition zur Risikoabmilderung tätigen müssen. Den „Schwarzen Schwan“ werden wir dennoch nicht einfangen können! Bindet man die DSFA am „Best Case“, der denkbar geringsten Auswirkung fest, so läuft man Gefahr in der Risikobewertung grob fahrlässig vorgegangen zu sein. Risiken werden aus der Auswirkung und deren Auftretenswahrscheinlichkeit gebildet. Daher wird die Risikowahrheit zwischen den beiden Eckpunkten der Bewertung liegen. Im Kontext verschiedener risikobasierter Ansätze, beispielsweise der Fehlermöglichkeits- und Einflussanalyse (FMEA), wird der Begriff der „Risikoprioritätszahl“ als Kenngröße zur Bewertung eines Risikos verwendet. Dabei werden sehr einfach die Auftretenswahrscheinlichkeit, die Fehlerschwere und Entdeckungswahrscheinlichkeit multipliziert. Eine Alternative dazu ist die „Risikopotentialzahl“ (RPZ), bei der lediglich die Auftretenswahrscheinlichkeit und die Fehlerschwere multipliziert werden. Dieses Produkt der Multiplikation definiert einen einzelnen Schnittpunkt in der Matrix von Eintrittswahrscheinlichkeit und Auswirkung.
In der linken Darstellung der Abbildung 1 wurde ein Risiko in fünf zusammenhängenden Risikoausprägungen möglicher Folgen aus der Verarbeitung personenbezogener Daten für eine natürliche Person ermittelt und bewertet. Aus Sicht möglicher Auswirkungen würden die Risikoausprägungen R5 als der „Worst Case“ und R1 als der „Best Case“ des Risikos bezeichnet. Jeder Ausprägung ist daher eine RPZ zuzuordnen; nämlich dem Risiko R1=5, R2=10, R3=12, R4=12 und R5=5. Diese Beurteilung kann durchaus ein besseres Bild für die DSFA geben: Das Risiko 5 mit enormer Auswirkung für den Betroffenen, das nahezu auszuschließen ist und das Risiko 1 hingegen mit nahezu unbedeutender Auswirkung für den Betroffenen, das jedoch sehr wahrscheinlich auftreten wird. Beide Risiken besitzen eine idente Risikopotentialzahl. Werden alle identifizierten Risikoausprägungen R1 bis R5 zum eigentlich einzelnen Risiko zusammengefasst und mit einer Linie verbunden, wird ein Profil des betrachteten Risikos gezeichnet. Jede Risikoausprägung auf dieser Linie kann mit der zugehörigen Auftretenswahrscheinlichkeit abgelesen werden.
Entwickelt man die einfache Risikomatrix mit Auftretenswahrscheinlichkeit und Auswirkung weiter, sodass die Grenzen von GRÜN zu GELB und zu ROT nicht an den inneren Quadranten der Matrix enden, sondern einer Linie mit konstantem Risikopotential (Risikopotentialzahl – RPZ) folgen, dann können auch bei einem semiquantitativen Verfahren vom Management plausible Risikogrenzen festgelegt werden. Die als „Risikoappetit“ festgelegte Risikoakzeptanz kann in dieser neuen Matrix somit als Referenzlinie bzw. Grenze der akzeptablen Risiken bestimmt werden.
In der Abbildung 2 ist das „Upgrade“ der semiquantitativen Risikomatrix abgebildet. Die festgelegten Grenzen zur roten Fläche werden mit einer Risikoakzeptanz (RPZ) von 10 und zur gelben Fläche mit einer RPZ von 2 beschrieben.
In den abgebildeten drei, für die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) geforderten Risikoprofilen für physische, materielle und moralische Risiken, wird deren Kritikalität in Form eines „Risikoprofils“ dargestellt. Darin ist zu erkennen, dass das größte Risiko (größte RPZ) keinesfalls beim vermeintlichen „Worst Case“ liegt.
Die „neue“ Matrix ist so einfach wie die herkömmliche Risikomatrix zu lesen, doch die vermittelten Informationen sind deutlich aussagekräftiger!
Das Maximum des beispielhaft dargestellten materiellen Risikos für Betroffene ist im mittleren Bereich ihrer Auswirkung, bei einer als wahrscheinlich eingestuften Eintrittswahrscheinlichkeit zu finden. Exakt an dieser Stelle grenzt dieses Risiko an den roten Bereich. Insbesondere ist aus dem Diagramm abzulesen, dass moralische Risiken die Toleranzgrenze überschreiten und zwingende Maßnahmen zur Risikomilderung erforderlich sind. Aus dem Diagramm ist auch abzulesen, dass sowohl die geringsten, als auch die extremsten Auswirkungen sich im GRÜNEN Bereich der Matrix befinden. Es gilt: Eine Gefahr die nicht eintritt oder ein Ereignis, das permanent eintritt, jedoch keinen Schaden verursacht SIND KEINE HOHEN RISIKEN! Teure Investitionen, um den „Worst Case“ eines Risikos abzumildern, wären wahrscheinlich eine Überinvestition und damit das eigentliche Risiko!
Eine andere Form der Darstellung des Risikoprofiles wird am Beispiel des moralischen Risikos in der Abbildung 3 gezeigt. Dabei werden lediglich die Stützwerte der RPZ in den 5 Stufen der Eintrittswahrscheinlichkeit für alle Zwischenwerte linear interpoliert. Aus der daraus gebildeten „Verteilungsfunktion“ der RPZ lässt sich das Risikoprofil sehr gut interpretieren. Das größte Risiko kann daher am höchsten Punkt, dem Modus, bei einer Eintrittswahrscheinlichkeit von „wahrscheinlich“ abgelesen werden. Das durchschnittliche Risiko wird beim Mittelwert (50% der bedeckten Fläche unterhalb und 50% oberhalb) mit etwa einer RPZ von 11 und einer Eintrittswahrscheinlichkeit von etwas höher als „möglich“ sein.
Hätte man ein Szenario der möglichen größten Gefährdung durch entsprechende Maßnahmen in der Auswirkung abgemildert, bedeutet dies nicht, dass damit auch das Szenario des größten Risikos (RPZ) abgemildert worden wäre! Eine effiziente Maßnahmenwirkung kann nur sichergestellt werden, wenn man einem Risiko auf den „Zahn“ fühlt und es quantitativ analysiert.
Die Pflicht wird zur Kür indem man es zum eigenen Nutzen tut! Besonders die von Gesetzes wegen verpflichtende Datenschutz-Folgenabschätzung (DSFA) kann eine perfekte Übungsumgebung sein, diese Art der Risikoquantifizierung durchzuführen. MAN&GO® ist eine DSGVO-Wissensdatenbank, die auch einfache Möglichkeiten bereitstellt, Risikoabschätzungen für DSFA von kritischen Verarbeitungstätigkeiten in dieser Form durchzuführen.
Wer hätte dem Pandemie-Risiko aus dem dunkelroten Quadranten einer Risiko-Matrix wirklich eine Bedeutung beigemessen? Die Eintrittswahrscheinlichkeit unbekannt und gegen null geschätzt? Die Auswirkung einer weltweiten Gesundheits- und Wirtschaftskrise als „Black Swan“ abgetan? Aber es gibt sie, die schwarzen Schwäne!
Alle Schwäne sind weiß! So lautete bis zum 17. Jahrhundert das anerkannte europäische, ornithologische Wissen zur Farbe von Schwänen. Erst nach der Entdeckung des ersten „Schwarzen Schwans“ in West-Australien, wurde die „objektive“ Wahrheit, dass alle Schwäne weiß sind, widerlegt. Damit wurde ein „vogelkundliges Naturgesetz“ erschüttert.
Epidemien sind lokal begrenzt und mit den weltweiten Gesundheitsstandards auch regional zu begrenzen. So war die Denke vor Covid-19. Virenstämme werden nicht von Tieren auf Menschen so einfach übertragen. Diese Erkrankung war erstmals Ende Dezember 2019 in der Millionenstadt Wuhan, der chinesischen Provinz Hubei, auffällig geworden. Sie entwickelte sich im Januar 2020 in China zur Epidemie und breitete sich schließlich weltweit aus. Der Ausbruch wurde durch das bis dahin unbekannte Coronavirus SARS-CoV-2 ausgelöst. Dieses Virus wird auch als neuartiges Coronavirus bezeichnet.
Der Schwarze Schwan war geboren, jedoch noch nicht entdeckt. Im dunkelroten Quadranten werde im qualitativen Risikomanagement alle Phantasien, deren Realität jeder Praktikabilität und Vorstandsakzeptanz widerspricht geparkt und auch ausgeblendet. Zum Teil wurden diese „Phantasien“ gar nicht in den Scope von unternehmensrelevanten Risiken aufgenommen.
Diese „Phantasie“ stellt derzeit das wohl größte sich realisierte Risiko seit dem zweiten Weltkrieg dar. So bezeichnen es zumindest sehr viele Medienberichte im In- und Ausland. Ist dieses Risiko eine „Phantasie“, die es gar nicht in den „dunkelroten Quadranten“ geschafft hat, weil es so „unwahrscheinlich“ war und damit als Phantasie abgestempelt werden musste?
Warum nicht Farbe bekennen und das Risiko als Ereignis beschreiben, das sehr unwahrscheinlich, vielleicht einmal in 100 Jahren auftreten könnte. Vor etwa 100 Jahren war eine ähnliche Pandemie im Gange, die die Menschen in Angst erstarren ließ. Die Spanische Grippe war eine Influenza-Pandemie, die durch einen ungewöhnlich virulenten Abkömmling des Influenzavirus verursacht wurde und sich zwischen 1918 und 1920 in mindestens zwei Wellen verbreitete und bei einer Weltbevölkerung von etwa 1,8 Milliarden zwischen 27 Millionen und 50 Millionen Menschenleben forderte Vermutungen reichen bis zu 100 Millionen. Damit starben an der Spanischen Grippe mehr Personen als im Ersten Weltkrieg. Insgesamt sollen etwa 500 Millionen Menschen infiziert worden sein, was eine Letalität von 5 bis 10 Prozent ergibt, die damit deutlich höher lag als bei Erkrankungen durch andere Influenza-Erreger.
War der Schwan nicht schwarz, sondern nur grau? Forscher erkannten, das aus der Historie der Statistiken etwa alle 100 Jahren eine „unerwartete“ Epidemie gewütet hat. Etwa Pest, Cholera, die Spanische Grippe und nun COVID-19. Ein Risiko, das mit einer Eintrittswahrscheinlichkeit von einem Prozent bewertet werden sollte? Oder ist eine Auftretenswahrscheinlichkeit mit einer Wahrscheinlichkeit von einem Prozent eine Spitzfindigkeit oder Realität?
Eine Eintrittswahrscheinlichkeit wird als „JA-NEIN“ Ereignis betrachtet. Tritt ein oder tritt nicht ein. Denken Sie an das Hochwasser 2002 in Mitteleuropa. Ein Jahrhundertereignis, das der Bezeichnung entsprechend alle 100 Jahre eintreten sollte. Sowohl im Frühjahr, als auch im Herbst hat sich das Ereignis zumindest zweimal in Österreich ereignet. Ein Irrtum der Natur? NEIN! Ereignisse sind durchschnittlich, im Erwartungswert mit diesen Erfahrungswerten besetzt. Ihre Auftrittswahrscheinlichkeit ist aus Sicht der Statistik Poisson-verteilt und die Zeitintervalle ihres Auftretens nach einer geometrischen Verteilung verteilt.
Befinden wir uns aktuell im „Long Tail“ einer sehr aggressiven Wahrscheinlichkeitsverteilung? Eine geringe Auftretenswahrscheinlichkeit mit einer möglichen Weltwirtschaftskrise, die einmal in 100 Jahren auftreten kann? Statistiker würden damit vielleicht den Tail einer „logarithmischen Normalverteilung“ meinen.
Wo finden wir in den simplen Quadranten des qualitativen Risikomanagements diese „Poisson-Verteilung“ und den „Tai l“ der „Log-Normalverteilung“?
Statistik und Simulation sind unsere Brille in die Zukunft! Ein dringend benötigtes Frühwarnsystem, um für mögliche zukünftige Pandemien gewappnet zu sein. Wir können nicht davon ausgehen, dass wir nach der Absolvierung des COVID-19 erst einem COVID 2120 entgegenschauen. Es könnte genauso ein COVID 2020 sein!
Verlassen wir den „dunkelroten Quadranten“ und wenden wir uns den Perzentilen einer Risikosimulation sowie aussagekräftigen Kennzahlen zu. Fragen: „Wie groß ist die Wahrscheinlichkeit den Erwartungen in der Planung zu folgen?“, „Wie groß ist die Wahrscheinlichkeit ein negatives Ergebnis zu schreiben?“ oder „Wie groß ist die Wahrscheinlichkeit insolvent zu werden?“ sind im Tagesgeschäft mehr denn je angekommen.
Eine Pandemie besitzt eine gewisse, Poisson-verteilte Auftrittswahrscheinlichkeit. Betrachten wir die Vergangenheit, so können wir diese mit etwa 1% einsetzen. Nehmen wir die Auswirkung für jedes Unternehmen, so können wir im Worst Case die Existenz, nämlich den Unternehmenswert mit einer realistischen Ertragsbewertung und einer mittelfristigen Zukunft betrachten. Im Best Case könnte das Unternehmen, weil es der Pandemiebekämpfung hilft, mit einem positiven Ergebnis aus der Krise herauskommen. Wahrscheinlich bleibt ein überlebensfähiger Verlust für das Unternehmen zurück.
Nur wer frühzeitig mit den Investoren und Geldgebern diese Szenarien durchspielt und effiziente Maßnahmen festlegt und auch konsequent verfolgt, wird als Kapitän eines nicht gekenterten Schiffes in unsicheren Gewässern überleben. Ahoi allen Kapitänen, die ihre Navigation auf ein quantitatives Verfahren umgestellt haben!