Definition von Risikoschwellen in einer Risk-Map

Risk-Map: Zur Navigation geeignet?!


News

Die Risk-Map ist eine Methode im Risikomanagement für die Priorisierung von Risiken. Die bewerteten Einzelrisiken werden in einem zweidimensionalen Koordinatensystem mit den Achsen Eintrittswahrscheinlichkeit und Schadenshöhe dargestellt. Durch die Festlegung einer oder mehrerer Risikoschwellen in der Risk-Map werden bestimmte Bereiche gebildet. Die Lage der Einzelrisiken zur Risikoschwelle ist daraufhin ausschlaggebend für die Bedeutung des jeweiligen Risikos. Der einfachste Fall wäre die Einteilung der Risiken in zwei Prioritätsklassen – beispielsweise wichtig und weniger wichtig –, die durch eine Risikoschwelle getrennt werden. Diese Risikopriorisierung ist für das Risikomanagement von entscheidender Bedeutung, da hierdurch die Dringlichkeit und der Umfang der Risikohandhabung bestimmt werden.

Wesentlich für die Risikopriorisierung ist die Form und Lage der Risikoschwelle. Hierfür finden sich in der Literatur unterschiedliche Ansätze. Im Wesentlichen sind vier Grundformen verbreitet: die diagonale, hyperbelartige, rechteckige und viertelkreisähnliche Risikoschwelle (vgl. Abbildung 1). In welchen Fällen welche Form der Risikoschwelle einzusetzen ist, wurde bisher noch nicht abschließend in der Literatur geklärt. Mit dem Hinweis vieler Autoren auf eine subjektive, unternehmensindividuelle Festlegung, bleibt es letztlich den Unternehmen selbst überlassen, welche Form der Risikoschwelle zur Risikopriorisierung verwendet wird.

 
Abbildung 1: Mögliche Formen der Risikoschwellen in einer Risk-Map

Betrachtet man die unterschiedlichen Formen der Risikoschwelle genauer, fällt auf, dass beispielsweise bei der diagonalen Risikoschwelle, die Risiken, die genau auf der Risikoschwelle liegen, einen unterschiedlichen Erwartungswert aufweisen. Zudem entstehen eigenartige Effekte, wie beispielsweise, dass ein Risiko mit einem Erwartungswert von ca. 18 (EW: 90% SH: 20) als wichtiges Risiko eingestuft wird, während ein Risiko mit einem Erwartungswert von 20 (EW: 50% SH: 40) als unwichtiges Risiko durch die diagonale Risikoschwelle eingestuft wird. Zu ähnlich fragwürdigen Ergebnissen führt auch die Verwendung der rechteckigen oder viertelkreisähnlichen Risikoschwelle.

Lediglich die hyperbelartige Risikoschwelle, weist, bei entsprechender Konstruktion, diese fragwürdigen Eigenschaften nicht auf. Alle Risiken, die auf der hyperbelartigen Risikoschwelle liegen, weisen einen identischen Schadenserwartungswert auf. Gemäß der Bayes-Regel müsste ein Entscheider somit indifferent zwischen den Risiken mit gleichem Erwartungswert sein. Die Annahme, die dabei jedoch zum Tragen kommt, ist dass der Entscheider eine neutrale Risikopräferenz aufweist. Eine realitätsnähere Annahme wäre jedoch eine risikoaverse Einstellung eines Akteurs, da in der Realität Ereignisse mit einem identischen Erwartungswert nicht zwangsläufig auch Indifferenz bedeuten. So ist es vielen Entscheidern eben nicht egal, für welche Alternative sie sich entscheiden, wenn sie vor der Entscheidung stehen, sich entweder für einen sicheren Gewinn von 1.000 EUR oder einen Gewinn von 100.000 EUR mit einer 1%igen Gewinnchance zu entscheiden. Somit ist auch die hyperbelartige Risikoschwelle, die mit einem konstanten Erwartungswert konstruiert ist, bei praxisnahen Annahmen durchaus fragwürdig. Insgesamt sind somit alle bisherigen Formen der Risikoschwelle nicht konsistent mit den Entscheidungsprinzipien der Betriebswirtschaft.

Doch welche Form der Risikoschwelle sollte nun im Risikomanagement verwendet werden? Damit eine echte Indifferenz für die Risiken auf der Risikoschwelle entsteht, ist es erforderlich, dass der Erwartungswert des Nutzens identisch ist. Das Risikomanagement müsste somit eine Risikoschwelle entwickeln, die auf der Grundlage der (Gruppen-)Nutzenfunktion des Entscheiders bzw. der Entscheider (beispielsweise Vorstand und Aufsichtsrat) einen konstanten Erwartungswert des Nutzens aufweist. Eine solche Risikoschwelle führt zu einer nutzenkonsistenten Risikopriorisierung und stellt letztlich eine rationale Entscheidung dar.

Neben der Form der Risikoschwelle ist auch die Frage nach der Lage und Anzahl der Risikoschwelle(n) in einer Risk-Map durch die aktuelle Risikomanagementliteratur und -praxis nicht eindeutig beantwortet. Der einfachste Fall wäre eine Risikoschwelle, die Risiken in zwei Prioritätsklassen einteilt. Es finden sich jedoch auch Vorschläge mit bis zu fünf Risikoschwellen und sechs Prioritätsklassen.

Was sollte ein Risikomanager vor dem Hintergrund dieser Vielfalt also tun? Bei einer Risikoschwelle könnte die Orientierung an der Risikotragfähigkeit ein logischer Ansatz sein. Alle Risiken, die über dieser Risikotragfähigkeitsschwelle liegen, sind wichtig und müssen reduziert werden. Sind jedoch alle Risiken, die unterhalb der Risikotragfähigkeitsschwelle liegen automatisch alle gleich unwichtig? Bis zu einer gewissen Risikohöhe, kann die Situation entstehen, dass trotz Risikoeintritt, die angestrebten Ziele immer noch im Rahmen der Zieltoleranz erreicht werden. Für solche, nicht signifikante Risiken dürfte eine Akzeptanz weitgehend unkritisch sein, sodass alle Risiken, die unterhalb der Risikosignifikanzschwelle in der Risk-Map liegen, die niedrigste Priorität aufweisen. Letztlich kann eine weitere Differenzierung der Risiken vorgenommen werden, die über der Signifikanz- und unterhalb der Tragfähigkeitsschwelle liegen. Durch die Risikobereitschaft (Risk Appetite) wird festgelegt, welchen Risikoumfang die Geschäftsführung bereit ist aktiv einzugehen, um die gesetzten Ziele zu erreichen. Diese Risikobereitschaft liegt unterhalb der Risikotragfähigkeit, jedoch oberhalb der Risikosignifikanz. Insgesamt ergeben sich somit 3 Risikoschwellen mit 4 Prioritätsklassen: (A) Risiken, die die Risikotragfähigkeit übersteigen, (B) Risiken, die tragbar wären, die jedoch die Unternehmensführung nicht tragen will, (C) Risiken, die signifikant sind, jedoch innerhalb der Risikobereitschaft der Unternehmensführung liegen, (D) Risiken, die für das Unternehmen nicht signifikant sind.

Insgesamt zeigt sich also, dass die Risk-Map zunächst simpel und einfach anwendbar erscheint, jedoch bei einer genaueren Betrachtung durchaus einige Herausforderungen birgt, um eine gute und richtige Risikopriorisierung zu gewährleisten. Neben den diskutierten Aspekten der Risikoschwelle in der Risk-Map, sind auch Aspekte zu beachten, die zu gewissen Problemen im Risk-Map-Zusammenhang führen können, wie beispielsweise die Achsenskalierung oder der Umgang mit Verteilungen in der Risikobewertung. Nimmt man jedoch eine bewusste und angemessene Konzeption der Risk-Map vor, ist sie eine vernünftige Methode zur Risikopriorisierung und somit zur Navigation geeignet.



Autor:

Christian BrüngerChristian Brünger ist Doktorand an der Universität Paderborn. In seiner Dissertation beschäftigt er sich mit einer neuartigen Methode zur Klassifizierung und Priorisierung von Unternehmensrisiken. Einen weiteren Forschungsschwerpunkt legt er auf die Konzeption integrierter Managementkonzepte, wie beispielsweise einheitliche und übergreifende Prozess-, Qualitäts- und Risikomanagementsysteme. Leiter des "Center for Risk Management" an der Universität Paderborn.



[Bildquelle oben: iStockPhoto]


Kommentare zu diesem Beitrag

Joachim /02.03.2010 08:24
Sehr guter Text zu einem interessanten Thema. Neben der unterschiedlichen Form und Lage der Risikoschwelle ist jedoch vor allem auch interessant, auf welcher Basis die Positionierung der einzelnen Risiken in der Riskmap erfolgt. Häufig handelt es sich um eine Worst-Case-Betrachtung. In den seltensten Fällen handelt es sich tatsächlich um einen Erwartungswert. In dem Zusammenhang frage ich mich bspw., ob es den oberen rechten Bereich in einer Riskmap überhaupt geben darf. Unternehmen, die dort Risiken zu verzeichnen haben (hohes Schadensausmass und hohe Eintrittswahrscheinlichkeit als Erwartungswert!!!) dürften nicht mehr lange am Markt existieren.
Frank /02.03.2010 10:02
Bei der Anwendung der Risk-Maps wird implizit davon ausgegangen, dass ein Risiko überhaupt sinnvoll durch Schadenshöhe und Eintrittswahrscheinlichkeit beschrieben werden kann. Dies gilt jedoch offensichtlich nur dann, wenn diese - und genau diese - Parameter eine adäquate (möglichst vollständige) Beschreibung eines Risikos ermöglichen. Dies trifft speziell jedoch nur für einen bestimmten Verteilungstyp von Risiken zu, nämlich für binomialverteilte Risiken.

Derartige binomialverteilte Risiken weisen genau zwei Zustände auf, entweder das Risiko tritt ein (dann tritt ein Schaden infolge einer Schadenshöhe ein) oder es tritt nicht ein. Tatsächlich ist jedoch der Großteil aller Risiken eines Unternehmens so nicht sinnvoll zu beschreiben. Für Zinsänderungen, Ölpreisschwankungen oder konjunkturelle Umsatzschwankungen ist sicherlich eine Normalverteilung eine sinnvollere Beschreibung des Risikos als eine Binomialverteilung. Bei Zinsveränderungen ist die Wahrscheinlichkeit ihres Eintretens offensichtlich praktisch 100 Prozent. Prinzipiell ist bei diesem Risiko jede beliebige Veränderung der Zinsen möglich, jeweils jedoch mit unterschiedlicher Wahrscheinlichkeit und Wirkung (Schaden).

Eine weitere Schwäche der klassischen RiskMap liegt darin begründet, dass korrekterweise der Erwartungswert abgebildet werden müsste. In der Praxis wird jedoch eher ein Mix aus Bauchgefühl, Worst Case und Best Case bzw. "wahrscheinlichste Entwicklung" (nicht zu verwechseln mit dem Erwartungswert) in RiskMaps abgebildet.
Frank /11.03.2010 08:26
Bei der Berechnung von Erwartungswerten spielen nicht nur historische Daten eine Rolle. Ja, ich kann auf historische Werte komplett verzichten und Experten nach Szenarien befragen und daraus einen potenziellen Erwartungswert berechnen.

Und ich gebe Ihnen Recht, nicht das Risikomanagement der Banken hat im Kontext der Finanzkrise versagt, sondern die Verknüpfung mit der strategischen Steuerung. Es sind keine mathematischen Methoden erforderlich, um zu erkennen, dass viele Marktteilnehmer ihre Risikotragfähigkeit (limitiert durch EK + Liquidität) massiv überschätzt hatten und ihr EK tw. um den Faktor 100 gehebelt hatten. Dafür hätte der gesunde Menschenverstand genügt. Und ehrlich gesagt, wäre es völlig egal, ob ich in meiner Riskmap eine diagonale, hyperbelartige, rechteckige und viertelkreisähnliche Risikoschwelle einzeichne. Fakt ist, dass das Unternehmen nach dem Prinzip Hoffnung ("Es wird schon nichts passieren!") strategische Entscheidungen getroffen hatte und alle Informationen aus dem Risikomanagement völlig irrelevant waren.

Daher haben Sie völlig Recht: Zu viel Mathematik bringt Scheingenauigkeiten und hält uns davon ab, dass wir uns mit den wesentlichen Inhalten beschäftigen. Ohne Mathematik (d.h. nur Bauchgefühl) ist jedoch auch der falsche Weg. Die richtige Balance zwischen "gesundem Menschenverstand" (= Expertenwissen) und Mathematik (und da bitte methodische sauber arbeiten und nicht alle Risiken mit einer Normalverteilung abbilden) muss das Ziel sein!!
Daniel /15.03.2010 23:02
Die Frage nach dem "gesunden Menschenverstand" führt mich zu der Frage nach der organisatorischen Zuordnung. Ist es tatsächlich so, dass komplexe Realitäten eine verstärkt dezentrale Organisation der Risikoverantwortlichen haben? Anders: das Risiko entsteht durch das Grundgeschäft. Wer sich mit Debitoren zu befassen hat, sollte die (wichtigsten?) Debitoren und ihr Geschäftsmodell kennen und bewerten können. Das setzt persönliche Nähe und zeitliche Ressource voraus. Ist das praxisnah?
Marco /24.03.2010 17:28
Herzlichen Dank für den Artikel. Ich hätte jedoch eine Frage praktischer Natur, die an den o.g. Punkt der häufig dargestellten Normalverteilung von Risiken anknüpft:

Wenn ich aus den Erhebungen von potenziellem Minimalschaden, potenziellen Maximalschaden sowie deren jeweiligen Verteilung/Gewichtung einen Durchschnittsschaden berechne, müsste ich dann nicht auch die potenzielle Eintrittswahrscheinlichkeit des Durchschnittsschadens entsprechend gewichten, bevor ich den Impact dieser beiden Faktoren in einer x/y-Risikomatrix verorten kann?

Oder ist es ausreichend, nach "irgendeiner" Schadenseintrittswahrscheinlichkeit pro Jahr (unabhängig von der gewichteten Schadenshöhe) zu fragen, um den Impact in einer x/y-Risikomatrix darstellen zu können?

Gewichtet man die Eintrittswahrscheinlichkeit nicht bzw. erhebt man nicht die Eintrittswahrscheinlichkeit des gewichteten Durchschnittsschadens, dürfte man m.E.n. diesen Impact nicht in einer Matrix verorten können, da man ja praktisch Äpfel (gewichteter Schaden) mit Birnen (ungewichtete Eintrittswahrscheinlichkeit) vergleicht, oder?

Wie könnte ferner die Formel für die Gewichtung der Eintrittswahrscheinlichkeit lauten, wenn man folgende Daten erhebt:
-(realistischer und potenzieller) Minimalschaden,
-(realistischer und potenzieller) Maximalschaden,
-Gewichtungsfaktoren zwischen Mini- und Maximalschaden &
-Eintrittswahrscheinlichkeit pro Jahr (unabhängig von Schadenshöhe)?

Sind diese Faktoren überhaupt ausreichend für die Berechnung der gewichteten Eintrittswahrscheinlichkeit?

Herzlichen Dank für Ihre Hilfe auf diese - für mich als Nicht-Mathematiker - ziemlich knifflige Frage!
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.