Folge 6 (Teil 2) des avedos GRC Podcasts behandelt das Thema „Aggregation, Mehrwert quantitativer Methoden und Ausblick.“ Frank Romeike, Geschäftsführender Gesellschafter bei RiskNET, gibt hier interessante Einblicke aus Theorie und Praxis. Gesprächspartnerin war Claudia Howe, GRC Competence Lead bei avedos.

Die Digitalisierung betrifft nicht nur das Privatleben nahezu aller Menschen, sondern auch jeden Geschäftsprozess. Die daraus resultierende Unmenge an Daten eröffnet neue Chancen für das Risikomanagement - beispielsweise durch den Einsatz von Frühwarnindikatoren. Für die Verarbeitung dieser Daten ist allerdings Methodenkompetenz der verantwortlichen Personen erforderlich. Durch die Verknüpfung von historischen Daten mit Expertenwissen wird ein effektiver Mehrwert für Unternehmen geschaffen. Annahmen aus der Vergangenheit einfach direkt in die Zukunft zu übertragen, wäre allerdings höchst unseriös. Frank Romeike gibt in diesem Zusammenhang ein Beispiel aus seiner Praxiserfahrung: Ein internationaler Aluminiumkonzern wollte wissen, wie sich der Aluminiumpreis in Zukunft entwickeln wird. Kreativitätsmethoden ergaben hier eine ganze Reihe von Ursachen für die Preisentwicklung, es gab allerdings nur wenige Treiber, die den Preis heute aktuell beeinflussen. Wenn diese bekannt sind, können sie auch in die Zukunft antizipiert werden. Mittels Bandbreite und Erwartungswert wird eine seriöse Analyse erstellt.

 

Die meisten Risikomanager arbeiten, oft ohne es zu wissen, mit einer Verteilungsfunktion – der sogenannten Binomialverteilung. Das Schwierige ist, dass diese oft für Risiken verwendet wird, die nicht binomialverteilt sind. Diese können gar nicht mit Eintrittswahrscheinlichkeit und Schadensausmaß beschrieben werden. Risiken von Aluminiumpreisen sind beispielsweise darüber definiert, dass es eine Schwankungsbreite gibt. Sollte der Preis um 30% schwanken, ist das ein höheres Risiko als bei 5%. Frank Romeike wendet in Risk Assessments die Szenario-Bewertung an (Best Case, Realistic Case, Worst Case). Er spricht in diesem Zusammenhang auch von Heuristiken:

 

  • Bei einfachen Heuristiken wird in diskrete und stetige Ereignisse unterteilt:

    • Diskret bedeutet, dass konkrete einzelne Bezugspunkte bestehen. So können beispielsweise Kosten bei 500.000€, 1.000.000€ oder 1.500.000€ liegen.
    • Stetige Ereignisse decken eine gewissen Bandbreite ab, z.B.: Best Case – Worst Case.

  • Eine weitere Heuristik gibt Auskunft darüber, ob eine Aussage symmetrisch oder asymmetrisch ist. Ist auf der Chancen-Seite dieselbe Spreizung vorhanden wie auf der Risiken-Seite? Gibt es Extrem-Szenarien?

 

Am Ende des Regelkreises folgt in den meisten Fällen ein Bericht. Hier werden die gemeldeten Risiken nach bestimmten Kategorien zusammengefasst. Man unterscheidet zwischen zwei Formen:

 

  • Konsolidierung: Risiken werden in Cluster zusammengefasst - beispielsweise in strategische Risiken oder Finanzrisiken.
  • Aggregation: Es werden zusätzlich auch Abhängigkeiten zwischen Risiken berücksichtigt. Eine echte Aggregation bedingt die Anwendung quantitativer Methoden.

 

 

Oftmals wird die Frage gestellt, welchen konkreten Mehrwert quantitatives Risikomanagement Unternehmen bietet. Ein wichtiger Aspekt ist die höhere Akzeptanz auf der Entscheider-Ebene. Hier herrscht teilweise das Vorurteil, dass diese Personen quantitative Methoden nicht verstehen würden. Dies ist allerdings nicht korrekt, da Unternehmen immer über quantitative Performancegrößen (z.B.: Kapitalkosten, Eigenkapitalrentabilität, EBIT etc.) gesteuert werden. Es geht darum, eine Risikoadjustierung an jenen Größen vorzunehmen, mit denen der Vorstand tagtäglich arbeitet.

 

Ein weiterer Mehrwert von quantitativen Methoden ist die Abschätzung der Risikotragfähigkeit gemessen am Risikoumfang. Existenzbedrohende Szenarien können über einen qualitativen Ansatz nicht rechtzeitig erkannt werden. Ein Vorteil quantitativer Methoden ist, dass automatisch eine Business-Impact-Analyse durchgeführt wird. Es wird analysiert, wie sich Risiken auf die Ergebnisgrößen (z.B.: EBIT) auswirken. Laut Frank Romeike interessiert Vorstände genau dieser Umstand, und nicht ob ein Risiko als „hoch“ eingestuft wird.

 

Das Thema Haftung spielt ebenfalls eine entscheidende Rolle. Im Falle einer Fehlentscheidung muss ein Geschäftsführer nachweisen, dass diese trotz allem auf fundierten Informationen basierte.

 

Schlussendlich macht quantitatives Risikomanagement auch durchaus Spaß. Diese Aussage hat nicht Frank Romeike getätigt, sondern ein DAX-Konzern am RiskNET Summit, der sich gerade am Weg zu einem höheren Reifegrad befindet.

 

 

Die vollständige Podcast-Folge inkl. Transkript mit Frank Romeike finden Sie hier!

 

Im Februar 2019 startete die erste Folge des avedos GRC Podcasts. In dieser Reihe dreht sich alles um die Themen integriertes GRC, Enterprise Risk Management, Internes Kontrollsystem und Informationssicherheitsmanagement. Mittlerweise sind bereits 7 Folgen verfügbar und können auch über diverse bekannte Plattformen wie SoundcloudSpotifiy und Apple Podcast gestreamed werden.