Die Quantifizierung wesentlicher Risiken ist von grundlegender Bedeutung für eine wertorientierte Unternehmensführung. Doch häufig sind die Erhebung der verfügbaren Risikoinformationen und Zusammenführung zu einer bestmöglichen Datengrundlage problematisch. Ursachen sind beispielsweise unzureichende Datenqualität, fehlende Daten oder geringer Informationsgehalt einer kurzen Datenhistorie genauso wie die möglicherweise unüberwindbare Komplexität einer fehler- und überschneidungsfreien Aggregation von Informationen aus unterschiedlichen Datenbanken und Dateien. Aus diesem Grund wird häufig auf "subjektives" Expertenwissen zurückgegriffen. Die methodischen Herausforderungen, die sich zu Beginn der Risikoquantifizierung ergeben, liegen in einer adäquaten und transparenten Zusammenführung von Daten und Expertenwissen. Mit den Methoden der Bayesschen Statistik kann die Kombination unterschiedlicher Informationsquellen in der Risikomodellierung berücksichtigt und Schätzunsicherheiten im Zusammenhang mit der Parametrisierung eines Risikomodells reduziert werden.
Herausforderungen in der Risikoquantifizierung am Beispiel operationeller Risiken
Ausgangspunkt des klassischen Risikomanagementprozesses ist die Risikoanalyse, die Gleißner [vgl. Gleißner 2019] als grundlegende Voraussetzung für eine wertorientierte Unternehmenssteuerung anführt. Neben einer strukturierten Identifikation und Beurteilung von Risiken beinhaltet die Risikoanalyse die Risikoquantifizierung, die sich aus den folgenden zwei Schritten zusammensetzt:
- Das Risiko wird als Zufallsgröße aufgefasst. Die möglichen Ausprägungen mit ihren Eintrittswahrscheinlichkeiten werden durch eine Wahrscheinlichkeitsverteilung beschrieben.
- Ein Risikomaß wird angewandt, welches unter Berücksichtigung der Wahrscheinlichkeitsverteilung den Risikogehalt durch eine reelle, positive Zahl ausdrückt.
Mit Hilfe der Quantifizierung sollten insbesondere die für ein Unternehmen wesentlichen Risiken auf ihre quantitativen Auswirkungen untersucht werden. Je nach Risikoart bereitet aber gerade deren quantitative Beschreibung Schwierigkeiten, wie nachfolgend an einem Beispiel verdeutlicht wird.
Die bedeutendsten Geschäftsrisiken für Unternehmen weltweit stellen dem "Risikobarometer 2019" der Allianz SE folgend Betriebsunterbrechungen und Cybervorfälle dar. Das Risiko der Betriebsunterbrechung führt schon zum siebten Mal die Rangliste an, während Cybervorfälle erstmals im Jahr 2019 gleichauf mit Betriebsunterbrechungen genannt werden. Beide Risiken sind direkt oder indirekt miteinander verflochten. So sind beispielsweise die Ursachen von Betriebsunterbrechungen Cybervorfälle. Auch mögliche Ursachen wie Naturkatastrophen, Brände in der Produktion, Terrorismus, Betrug, Sabotage und Systemausfälle überschneiden sich. Für diese oft unter dem Begriff "operationelles Risiko" kategorisierten Gefahren ist ein Risikomanagement unerlässlich, jedoch erweist sich deren Quantifizierbarkeit als schwierig. Folgende Herausforderungen treten auf:
- Operationelle Risiken zeichnen sich häufig durch sehr unternehmensspezifische Charakteristika aus, so dass die Übertragbarkeit von statistischen Methoden und Modellen ggf. nicht uneingeschränkt möglich ist.
- Es handelt sich um seltene Risikoereignisse mit hoher, aber unsicherer Wirkung. Die mathematische Modellierung mit Hilfe der Stochastik wird durch extreme Schadenwerte und eine unregelmäßige aber stetige Zunahme dieser Schäden im Zeitverlauf erschwert [vgl. Embrechts/Kaufmann/Samorodnitsky 2004].
- Relativ wenige Daten bzw. eine unzureichende Datenbasis steht für die quantitative Beschreibung des Risikos zur Verfügung.
Unter Berücksichtigung dieser Herausforderungen gründen die verfügbaren Risikoinformationen oft auf internen Daten und (unternehmensspezifischem) Expertenwissen. Eine bestmögliche Datengrundlage resultiert somit aus einer adäquaten Kombination aller Risikoinformationen und hat einen wesentlichen Einfluss auf Güte und Belastbarkeit der anschließenden Risikoquantifizierung und aller weiteren Prozessschritte. Die Bayessche Statistik zeigt einen strukturieren Weg auf, wie unterschiedliche Informationen konsistent und nachvollziehbar zusammengeführt werden können. Sie stellt wissenschaftliche Methoden zur Verfügung, die die Zusammenführung qualitativer Informationen aus Experteninterviews und quantitativer Informationen aus Datenanalysen "objektivieren" und Transparenz über die Herleitung eines Risikomodells schaffen.
Um die Möglichkeiten der Bayesschen Statistik darzustellen, werden zunächst an einem Praxisbeispiel die Methoden der klassischen Statistik aufgezeigt, die bei der quantitativen Beschreibung eines operationellen Risikos zum Einsatz kommen (der sogenannte "frequentistische Ansatz" zur Risikomodellierung). Die mit der Risikomodellierung einhergehende Schätzunsicherheit wird aufgezeigt und die Anwendung des "Bayesschen Ansatzes" in die Risikomodellierung implementiert (vgl. Abbildung 01).
Abbildung 01: Risikoquantifizierung im Vergleich – Klassisch und Bayes
Autoren
Prof. Dr. Gabriele Wieczorek, Lehrgebiet Industrielle Statistik und Wahrscheinlichkeitstheorie, Hochschule Hamm-Lippstadt
Oliver Disch, Leiter des Konzernrisikomanagements eines größeren, kommunalen Querverbundunternehmens
[Quelle: Wieczorek, G./Disch, O. (2019): Bayessche Statistik in der Risikoquantifizierung, in: RISIKO MANAGER 10/2019, S. 42-57]