Wie habe ich mich gefreut, als ich durch Zufall gelesen habe, dass die Association for Supply Chain Management (ASCM) in ihrem Supply Chain Operations Reference (SCOR)-Modell auf das Risikomanagement für die Supply Chain (altmodisch dt. "Lieferkette") eingeht.
Die hohe Relevanz ergibt sich für mich dadurch, dass Cyber-Angriffe auf die Supply Chain immer mehr zunehmen. Dies kann für das Unternehmen zu operativen Verfügbarkeitsrisiken führen, zu Informationsverlustrisiken und zu Reputationsrisiken. Die Zunahme an Supply Chain-Angriffen kann man vielfältig nachlesen, als Beispiel dient der aktuelle Artikel "Supply Chain-Angriffe nehmen zu und Ransomware-Forderungen brechen Rekorde" der Plattform Infopoint Security.
Deutlich gedämpft wurde meine Freude, als ich die ersten Artikel zum SCOR-Modell und der dort erwähnten Risikoberechnung gelesen hatte. Als Beispiel eine Erklärung von Oracle zum Value at Risk (VaR) im SCOR-Modell:
"The Association for Supply Chain Management (ASCM) has a metric called Value at Risk as part of its Supply Chain Operations Reference (SCOR) model, and it’s another way for businesses to compare the amount of risk that various suppliers present. A company will consider categories of risks — whether they be risks related to politics, weather, ethical practices, quality or other categories — and assign probabilities to the likelihood of occurrence. For example, if there’s a 10% chance that a hurricane will hit a particular geography; and the supplier in that region is your only provider of a certain component; and the value of the product affected would be $3 million, then the Value at Risk is .1 x $3,000,000 = $300,000. Based on these calculations, your company might shift orders to less risky regions or carry enough inventory to cover typical recovery times."
An dieser Stelle wird wahrscheinlich jeder (Finanz-) Mathematiker und quantitative Risikomanager mit den Augen rollen. Der Value at Risk wird als Punktbetrachtung aus Schaden mal Eintrittswahrscheinlichkeit berechnet? Das kann doch wohl der Autor nicht im Ernst meinen.
Der Artikel ist aber kein Einzelfall, wie "Talking Supply Chain Risk in a Language Everyone Understands – Money!!" von Mitul Shah aus dem Jahr 2009 zeigt. Zwar zeigt der Autor kurz eine Verteilungsfunktion auf ohne diese zu erklären, er schließt dann aber leider ab mit der Aussage "Calculating the probability for a continuous supply chain process requires the use of distribution and we will not go into that detail here.". Nachfolgend berechnet er in einem Beispiel die Risikomaße VaR und Expected Loss als Punktbetrachtung aus Schaden mal Eintrittswahrscheinlichkeit. Unreflektiert aufgegriffen wird dieses Verfahren von Jan Husdal im Artikel "Calculating the Value-at-Risk".
Bevor man jetzt alleine den Autoren die Schuld gibt, sollte man die Quelle bemühen, das SCOR-Modell. Dort steht im Kapitel AG.1.4 "Overall Value at Risk (VAR)" die folgende Aussage:
Simple VaR calculation:
VaR = Probability of Risk Event (P) x Monetized Impact of Risk Event (I)
Zumindestens erwähnt das Modell, dass es neben diesem simplen Ansatz noch eine Alternative gibt: "More accurate measures of VaR can be attained by applying more complex calculations, use of distributions and confidence intervals".
Zur Erinnerung: Der Value at Risk ist ein Risikomaß, welches durch analytische oder Simulationsverfahren bestimmt werden kann. Das analytische Verfahren ist der Varianz-Kovarianz-Ansatz, der für Portfoliorenditen eine Normalverteilung zugrunde legt. Bei den Simulationsverfahren seien die historische Simulation und die Monte-Carlo-Simulation genannt. Der Vorteil von Risikomaßen ist gerade, dass man, im Gegensatz zu einer Punktbetrachtung, das Risiko entlang einer Dichtefunktion in Bandbreiten mit unterschiedlichen Konfidenzen beschreibt. Im deutschsprachigen Raum verlässt man sich bei diesem Thema besser auf die verlässlichen Quellen des Kompetenzportals RiskNET.
Abschließend frage ich mich, wieviel Gefallen die ASCM dem Risikomanagement tut, wenn sie sich nicht ganz auf das quantitative Risikomanagement einlässt. Das Thema Supply Chain hätte es verdient.
Autor:
Jan-Arendt Klingel ist seit vielen Jahren in der Informationssicherheit tätig. Er hat Allgemeine Informatik und Mathematik studiert.