Die Mehrzahl der Publikationen zum Thema Risikomanagement in der Industrie präsentiert einfache, fast triviale Ansätze hinsichtlich Risikobewertung. Zusammengefasst: Der Experte führt ein Risk Assessment durch und schätzt eine Eintrittswahrscheinlichkeit und ein potenzielles Schadensausmaß – entweder qualitativ oder semi-quantitativ. Miteinander multipliziert resultiert hieraus ein Erwartungswert. So steht es nicht nur in vielen Einführungswerken zum Risikomanagement, sondern auch in diversen Standards (siehe hierzu exemplarisch BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz). Und das, was in einem Standard steht, muss ja nun mal stimmen. Doch Falsches wird auch durch Wiederholung nicht richtig. Eine solche Bewertung wäre nur dann richtig, wenn das Schadensszenario durch eine Bernoulliverteilung beschrieben werden könnte. Konkret heißt das: Entweder es gibt einen Schaden mit einer Eintrittswahrscheinlichkeit von p und einem festen Schadensausmaß oder eben nicht (Eintrittswahrscheinlichkeit 1-p). Ein Blick in die Praxis zeigt recht deutlich, dass reale Risiken nur höchst selten diesem Münzwurf-Experiment folgen. Um die Beschränkungen der eigenen Kompetenz zu überwinden, müssten diejenigen, die diesen Beschränkungen unterliegen, die entsprechenden Beschränkungen kennen. Dort liegt die Ursache für viele Defizite im Risikomanagement in der Praxis. Erwin Stampfer schreibt in der Einleitung zu seinem Buch, dass die Quantifizierung von Risiken ein Herzstück des Risikomanagementprozesses bildet. So sollte es sein, damit Risikomanagementsysteme überhaupt einen Mehrwert stiften können. Doch die Praxis sieht häufig – insbesondere in Industrie- und Handelsunternehmen – völlig anders aus.
Das Buch "Risikosteuerung in der Industrie" gliedert sich in 9 Kapitel. Das kurze einleitende Kapitel liefert u.a. einen Erklärungsversuch für Komplexität und Dynamik sowie präsentiert aktuelle Trends und Spannungsfelder. Das anschließende zweite Kapitel baut ein gemeinsames Fundament über die Definition von Begrifflichkeiten, liefert eine kurze Einführung in den Risikomanagementprozess sowie eine Abgrenzung zu anderen Unternehmensfunktionen. Außerdem skizziert der Autor ein Reifegradmodell und führt einige Schwächen existierender Risikomanagementsysteme auf. Im dritten Kapitel folgt eine kurze Einführung in den Industrieanlagenbau. Der Kern des Buches beginnt mit Kapitel 4, einer Einführung in die quantitative Risikoanalyse.
Erwin Stampfer verdeutlicht, dass eine Quantifizierung von Risiken nicht nur eine immer mögliche Option darstellt, sondern ganz wesentlich für das Verständnis der Risiken ist. Durch Data Mining, Data Science und Artificial Intelligence bieten sich hier neue Möglichkeiten, beispielsweise zum Aufbau von Predictive-Analytics-Systemen. Es folgt eine Einführung in die Grundbegriffe der Wahrscheinlichkeitstheorie und Statistik. Der Leser erfährt in einer kompakten Form, welche Verteilungsfunktionen für die Praxis des Risikomanagements relevant sind (Bernoulli-Verteilung, diskrete Gleichverteilung, Binomialverteilung, Poissonverteilung, stetige Gleichverteilung, Normalverteilung, Log-Normalverteilung, Gammaverteilung sowie Beta-Verteilung). Von einer hohen Relevanz für die Praxis wäre noch die sog. Compoundverteilung zu erwähnen, die Häufigkeit (beispielsweise abgebildet über eine Poissonverteilung) und Schadensausmaß (beispielsweise abgebildet mit einer PERT-Verteilung) in einer kombinierten Verteilung abbildet. Basierend auf Erfahrungen in der quantitativen Modellierung in der Industrie kann die Mehrzahl der dort existierenden Risiken, insbesondere operative und strategische Risiken, mit Hilfe einer Compoundverteilung adäquat beschrieben werden.
Außerdem liefert der Autor im 4. Kapitel eine Einführung in die Welt der stochastischen Prozesse. Hierbei handelt es sich um mathematische Modelle für die Beschreibung und Untersuchung der zeitlichen und räumlichen Entwicklung zufallsbeeinflusster Systeme. Gängige stochastische Prozesse, wie beispielsweise der Wiener Prozess bzw. Brownsche Bewegung sowie der Poisson-Prozess werden kurz und prägnant erläutert. Ein weiteres Unterkapitel skizziert die für die Praxis relevanten Risikokennzahlen (Standardabweichung, Value at Risk etc.). Außerdem erläutert Erwin Stampfer verschiedene Ansätze zur Berücksichtigung von Abhängigkeiten, beispielsweise mit Hilfe von Korrelationen oder Copulas. Kapitel 4.9 beschreibt in einer kompakten Form Ansätze zur Aggregation von Risiken (insb. Varianz-Kovarianz-Ansatz). Die ausführlichen Ansätze zur Risikoaggregation basierend auf einer stochastischen Simulation folgen in einem separaten Kapitel (4.11). Der Autor weist zu Beginn des Kapitels darauf hin, dass Simulationstechniken ein unverzichtbares Hilfsmittel der stochastischen Analyse sind. "Die Stärke dieser Methode besteht in ihrer Einfachheit und ihrem universellen Charakter", so der Autor. Dem muss nichts hinzugefügt werden. Trotz dieser Einfachheit und der seriösen Abbildung von "Unsicherheit" über geeignete Verteilungsfunktionen, ist das Thema "stochastische Simulation" in vielen Unternehmen unbekannt oder wird von "Experten" in den Unternehmen abgelehnt.
Die Gründe für die Ablehnung in der Praxis lieferte bereits vor vielen Jahren die Studie "Simulationen in der Unternehmenssteuerung", die RiskNET in Kooperation mit der Technischen Universität Hamburg-Harburg sowie der C21 Consulting GmbH durchgeführt hat. Die Studie zeigt deutlich auf, dass Simulationen allgemein der Ruf vorauseilt, dass sie zu komplex seien. Dies wird auch als die größte Hürde beim Einsatz von Simulationsmodellen wahrgenommen. Hingegen sind positive Erfahrungen ein klarer Treiber für den Einsatz dieser Methoden. Liegt einmal eine positive Erfahrung mit dem Einsatz eines Instruments vor, wird es zukünftig tendenziell häufiger eingesetzt als Instrumente, mit denen keine bzw. negative Erfahrungen vorliegen. Das Management hat in der Regel eher wenig Erfahrung mit Simulationen und setzt daher häufiger bekannte und vermeintlich einfachere Methoden ein. Die damit fehlenden "persönlichen Erfolgserlebnisse beim Einsatz von Simulationen" können als Grund für den Nichteinsatz gesehen werden. Kompakt könnte man das Ergebnis zusammenfassen mit dem Sprichwort: "Was der Bauer nicht kennt, frisst er nicht!"
Schließlich liefert das fünfte Kapitel eine Einführung in die Risikoidentifikation sowie Risikosystematik im Industrieanlagenbau. Hier habe ich eine saubere Unterscheidung zwischen Ursachen (causes), Risiken (risk) und Wirkungen (effects) vermisst. So werden beispielweise in Abbildung 60 (Systematisierung der Risikofelder im Anlagenbau) keine "Risiken" aufgezeigt, sondern eine Mischung aus Ursachen (Epidemien, Streik etc.), Wirkungen und Risiken. Risiken sind immer als Ziel-/Planabweichung zu interpretieren (siehe Kapitel 2). Auch Abbildung 61 (Ursachenbezogene Risikokategorisierung) ist hier alles andere als konsistent. Das Unterkapitel zu Methoden der Risikoidentifikation ist mit rund zwei Seiten arg kurz geraten und wird dem Praktiker nur wenige neue Erkenntnisse für die Umsetzung in der Praxis liefern.
Das anschließende sechste Kapitel zeigt auf, wie Risiken gemessen werden können. Da sich der Autor in seinem Buch primär auf quantitative Ansätze konzentriert, erfolgt ein direkter Bezug zum vierten Kapitel (Quantitative Risikoanalyse). Es wäre konsistent gewesen, Kapitel 6 direkt an Kapitel 4 anzuschließen. Skizziert werden unterschiedlich Ansätze zur Messung von Projektrisiken (beispielsweise mit Hilfe stochastischer Prozesse). Überrascht hat mich, dass die im Projektrisikomanagement bekannt PERT-Verteilung nicht erwähnt wird. Auch das Thema Risikoaggregation wird im sechsten Kapitel noch einmal aufgegriffen und konkret am Beispiel von Projektrisiken beschrieben.
Kapitel 7 erläutert Ansätze zur Risikosteuerung, d.h. Maßnahmen zur Definition und Umsetzung von Maßnahmen. Wichtige Parameter sind hierbei das Risikodeckungspotenzial sowie die Risikodeckungsmasse. Spätestens hier wird deutlich, warum Risikomanagement eine Quantifizierung erfordert. In diesem Kontext ist auch die Definition eines "Risikoappetits" von hoher Relevanz, da hierüber definiert wird, wie viel Risiko ein Unternehmen eingehen "will" (und nicht nur "kann").
Kapitel 8 liefert eine kurze und unterhaltsame Einführung in das Thema Antifragilität. Nassim Nicholas Taleb, der Advocatus Diaboli der Zukunftsforschung und der "Schwarzen Schwäne", definiert Antifragilität wie folgt: "Antifragilität ist mehr als Resilienz oder Robustheit. Das Resiliente, das Widerstandsfähige widersteht Schocks und bleibt sich gleich; das Antifragile wird besser […] Das Antifragile steht Zufälligkeit und Ungewissheit positiv gegenüber, und das beinhaltet auch – was entscheidend ist – die Vorliebe für eine bestimmte Art von Irrtümern. Antifragilität hat die einzigartige Eigenschaft, uns in die Lage zu versetzen, mit dem Unbekannten umzugehen, etwas anzupacken – und zwar erfolgreich –, ohne es zu verstehen."
Taleb kritisiert immer wieder in seinen Büchern die unreflektierte (!) Anwendung von Modellen der modernen Wahrscheinlichkeitstheorie, wie beispielsweise dem Random Walk (der übrigens auf einer Normalverteilungshypothese aufsetzt). Er misstraut den herrschenden mathematischen Modellen und statistischen Interpretationen. Erwin Stampfer zeigt in seinem Buch, dass viele Aussagen in den Büchern Talebs apodiktisch, polemisch, manchmal auch überzogen oder auch schlicht falsch sind. Und die Mehrzahl von Talebs Erkenntnissen sind alles andere als neu – sondern in der Wissenschaft und in Teilen der Praxis seit Jahrzehnten bekannt. So lieferte beispielsweise die letzte Bankenkrise kein Argument gegen quantitative Risikomodelle, sondern viele Argumente für deren Weiterentwicklungen.
Lernen aus Fehlern (beispielsweise der breite Einsatz von Modellen, die auf einer Normalverteilungshypothese aufsetzen) setzt Offenheit für Fakten voraus und eine gesunde Selbstkritik. Wer diese Offenheit nicht hat, kann nicht lernen und bleibt entsprechend in seiner methodischen Sackgasse stecken. Der Autor hat mit seinem Buch den Versuch unternommen, durch den Einsatz von quantitativen Modellen Risiken und Chancen besser zu verstehen. "Entscheidend scheint mir nicht, ja oder nein zu Modellen zu sagen, sondern eher an der richtigen Stelle ‚Ja!‘ und ab einem bestimmten Punkt ‚Nein, danke!‘. Was nützlich ist und ein Unternehmen besser macht, sollte den Maßstab dafür bilden", so Erwin Stampfer in seinem Ausblick im abschließenden Kapitel 9. Fakt ist auch, dass viele der heute in der Praxis existierenden Risikomanagementsysteme Unternehmen schlicht und einfach nicht besser machen, sondern allerhöchstens wertvolle finanzielle und personelle Ressourcen verbrauchen. Was keinen Nutzen hat oder keinen stiftet, das hat auch keine Berechtigung im Wirtschaftsleben. Und sollte daher abgeschafft werden.
Fazit: Das Buch von Erwin Stampfer liefert dem Risikomanager in Industrieunternehmen (und auch anderen Branchen) eine fundierte Einführung in die Welt der quantitativen Risikoanalyse. Hierbei geht es weniger um ein Risikomanagement als Feigenblatt-Funktion, sondern um die Umsetzung eines Systems, dass einen echten Mehrwert für die Unternehmens- bzw. Projektsteuerung liefert. Das Buch kann vor allem Praktikern in Industrie- und Handelsunternehmen empfohlen werden, die einen kompakten und breiten Einstieg in die Methodenwelt des quantitativen Risikomanagements suchen.