Die Risikoquantifizierung ist eine der am häufigsten diskutierten Herausforderung im Risikomanagement. Nicht nur, dass die zahlreichen Standards wie ERM von COSO oder die ISO 31.000 eine Quantifizierung beinhalten, dann jedoch auch qualitative Ansätze als legitim ansehen, auch in der Praxis ist oft zu hören „man könne das nicht quantifizieren“. Als Gründe werden unter anderem genannt, dass der Sachverhalt „weich“ sei und sich einer Quantifizierung entziehen würde, Daten dazu nicht vorliegen würden, oder wenn Zahlen dazu vorliegen, diese nicht „belastbar“ wären.
Experte Prof. Dr. Thomas Berger zeigt Ihnen in diesem Beitrag, wann eine Risikoquantifizierung wirklich möglich ist, welche Datenbasis Sie benötigen und wie Sie die Wahrscheinlichkeit der Risikohöhe zuverlässig einschätzen können.
Übrigens: Tiefergehende Tipps zu diesem Thema erhalten Sie von Prof. Dr. Thomas Berger sowie weiteren Experten in unserem Seminar „Der zertifizierte Risikomanager“.
Eine Risikoquantifizierung ist wahrscheinlich immer möglich, hängt jedoch davon ab, ob der Aufwand vertretbar ist. Bücher wie „How to measure anything“ von Douglas Hubbard zeigen dies anschaulich. Es geht wohl eher um die Frage, wie wohl man sich mit den Zahlen fühlt, die ermittelt werden könnten. Hier wird dann oft darauf verwiesen, dass diese nicht objektiv seien oder nur von Experten geschätzt werden können. Zum anderen ist ein zentrales Problem, dass einfache Verteilungen, die man eher intuitiv nutzen kann und daher meiner Erfahrung nach von allen verstanden und angewendet werden können, nicht bekannt sind oder trotzdem nicht genutzt werden, weil diese „ungenau seien“.
Zunächst einmal zu der Frage, ob man objektive Zahlen benötigt. Standards wie der ISO 31.000 fordern, die bestverfügbaren Informationen einzubeziehen, nicht, dass diese objektiv seien. Wenn Daten aus der Vergangenheit vorliegen, mögen diese objektiv erscheinen, sind jedoch vergangenheitsbezogen. Sie können damit nützlich sein, um zum Beispiel damit eine passende Verteilung abzuleiten (mit sogenannten Anpassungstests), jedoch muss immer noch analysiert werden, ob diese Daten auch für die Zukunft angenommen werden können. Damit wird auch dann eine nicht-objektive Sicht einbezogen, sprich subjektive Meinungen von Experten einbezogen. Dazu kommt jedoch das „schlechte Gefühl“ das viele haben, wenn Sie auf die Meinung weniger oder einer Person angewiesen sind. Das mag so sein, doch wenn dies die bestverfügbare Information ist, muss diese einbezogen werden.
Das zweite Problem entsteht, weil man davon ausgeht, dass jedes Risiko mit einer Wahrscheinlichkeit und einer Risikohöhe quantifiziert werden sollte. Woher dies genau kommt, kann ich nicht sagen, jedoch ist bei sehr vielen Systemen diese Art der Quantifizierung der Risiken sehr weit verbreitet und wird oft auch für alle Arten von Risiken angewandt. Ich erlebe dann auch, dass sich die Beteiligten damit schwertun, EINE Eintrittswahrscheinlichkeit und EINE Risikohöhe anzugeben. Ich kann das nachvollziehen, denn intuitiv ist dies nicht. Wenn wir im Alltag von Abweichungen von Zielen sprechen – also von Risiken – höre ich keine Sätze wie „ich komme mit einer Wahrscheinlichkeit von 65 % nur 3 Minuten zu spät an“. Wir sprechen eher davon, dass wir „etwa drei Minuten zu spät kommen könnten“ oder „ungefähr 3-5 Minuten zu spät sind“. Genau dies kann man auch in der Quantifizierung von Risiken nutzen: Man gibt eine Bandbreite der Risikohöhe an, ohne eine Eintrittswahrscheinlichkeit für einen Punkt davon anzugeben (die sogenannte Gleichverteilung). Diese Bandbreite steht dann für 100 % der Fälle. Weiß man mehr, kann man auch eine Dreieckverteilung nutzen, die dazu noch eine Angabe enthält, welche Risikohöhe wahrscheinlicher ist. Für eine erste Risikoquantifizierung ist dies vollkommen ausreichend. Zeigt sich dann, dass dieses Risiko eine besonders hohe Relevanz aufweist, kann immer noch genauer analysiert werden, welche weiteren Informationen einbezogen werden könnten. Dass die Bandbreitenschätzungen nicht beliebig sein sollten, sondern so „eng“ geschätzt werden sollten, wie man dies zulässiger Weise noch begründen kann, versteht sich von selbst. Für die Anwendung ist diese Art der Risikoquantifizierung jedoch deutlich besser nutzbar als Punktschätzungen.
Holen Sie sich neue Impulse für Ihren Alltag! Wir geben in diesem Seminarprogramm zum Thema Führung & Management praktische Tipps und passende Seminarempfehlungen, mit denen Sie Ihre größten Herausforderungen im Daily Business erfolgreich meistern.
Kommentare
Keine Kommentare