Skip to Content
Business Trends

Die Optimierung des Risikomanagements durch Einsatz von Frühwarnindikatoren (Key Risk Indicators)

Das Risikomanagement hat in der unternehmerischen Tätigkeit die Aufgabe, ggf. existenzbedrohende Situationen zu vermeiden, indem man sie frühzeitig erkennt und abwehrende oder absichernde Maßnahmen zuvor einleiten kann. So schreibt § 91 Abs. 2 AktG Unternehmen vor, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.

Hier stellt sich jetzt die Frage, wie eine Risikosituation möglichst weit im Voraus erkannt und entschlüsselt werden kann. Risikomanagement-Prozesse, die von eher starren Risikokatalogen ausgehen und nur wenige Male im Jahr ein update der Risikolage erbringen, werden dieser Anforderung wohl eher nicht gerecht. Dieses ist insbesondere dann der Fall, wenn Unternehmen versuchen, dieses Thema mit recht einfachen „Bordmitteln“, wie MS Excel für die Dokumentation und MS Outlook für das Einholen der Informationen, angehen.

Ein weiterer systemischer Fehler zeigte sich in der Finanzkrise 2009, in der insbesondere die eigentlich im Risiko-Management führende Bankbranche in Mitleidenschaft gezogen wurde. Banken verließen sich damals eher „geistlos“ auf die Daten, die ihnen die verschiedenen statistischen Vorhersagemodelle (z.B. Value at Risk) „vorgaukelten“. Die NZZ (Neue Züricher Zeitung) titelte damals „Gefahr der Scheinsicherheit“ (https://www.nzz.ch/gefahr_der_scheinsicherheit-1.3399994) und die Wirtschaftswoche geht ebenfalls 2009 sehr kritisch auf diese Modelle ein: https://www.wiwo.de/finanzen/finanzkrise-weshalb-banken-trotz-aller-risikomodelle-milliarden-verloren/5556756.html.

Zusammenfassend lässt sich wohl sagen, daß beide zuvor beschriebenen Prozesse den Nachweis ihrer Wirksamkeit für das Ziel der Verhinderung von bestandsgefährdenden  Risiken schuldig geblieben sind. Daher möchte ich hier näher auf die Nutzung von Frühwarnindikatoren im Rahmen eines integrierten IT-gestützten Risikomanagements eingehen.

Was sind die wesentlichen lessons learned aus den Fehlern der Vergangenheit:

  1. man muß ständig über den Tellerrand hinausschauen. Neue Produkte und neue Strategien (Stichwort „Disruption“) bringen neue Risiken mit sich. Ein Festhalten an alten und starren Katalogen ist nicht hilfreich. Hier helfen Werkzeuge, mit denen man sich einen Überblick über Ursache-Wirkungszusammenhänge von Risiken Gedanken macht. Die sogenannten Treiber eines Risikos sind die Attribute, die mithilfe von Frühwarnindikatoren permanent überwacht werden sollten.
  2. Die Begutachtung des Risikos sollte real-time erfolgen. Ändern sich unternehmens-externe oder -interne Begleitumstände, die einen Einfluß auf das Risiko haben, sollte dieses sofort überprüft und in die Risikobewertung eingebracht werden.

Es ist vielleicht am besten mit dem Kontrollraum eines Atomkraftwerkes zu vergleichen, was hier mit Frühwarnsystem gemeint ist.  In dem Kontrollraum laufen alle wesentlichen Parameter und Messungen zusammen, die sekündlich auf den neuesten Stand gebracht werden. Im Rahmen von vorgedachten Unfallszenarien (Risiken) werden Modelle entworfen, wie sich die Parameter verhalten würden, wenn diese Fälle einträten (Ursache-Wirkungs-Ketten). Ein schöner Vergleich ist auch das in einer Ausgabe des „Risikomanager“ aus 2006 angesprochene Bildnis mit dem Tsunami-Frühwarnsystem, das die Autoren Romeike/van den Brink illustrieren (Ausgabe 13/2006).

Ein großer Vorteil, dieser KRI-Methodik ist auch, daß Daten aus verschiedensten Bereichen einfließen können, die nicht zwingend einen statistischen Zusammenhang aufweisen müssen bzw. überhaupt statistisch auswertbar sind. Bleiben wir im Beispiel der Finanzkrise: Die Tatsache, daß Immobilienkredite seinerzeit in den USA in großem Stile auch an eigenkapitalschwache und damit eher kreditunwürdige Personen vergeben wurden, ist damals wohl von keinem VAR-Modell erfasst worden. Solange die großen Rating-Agenturen ihren Gütestempel vergaben, war aus deren Sicht alles im grünen Bereich.

SAP Risk Management setzt exakt an den zwei o.g. Punkten an. Es fördert mit einfachen und intuitiven Oberflächen die Bereitschaft, sich ständig mit neuen Risikosituationen auseinanderzusetzen, sie in ihre Ursache-Wirkungs-Zusammenhänge zu zerlegen und am Ende permanent neue und aktuelle Bewertungen dazu abzugeben. Hier ist vorstellig der sog. Bow-Tie-Builder zu erwähnen (s. Abbildung 1).

Abbildung%201%3A%20Ursache-Wirkungs-Diagramm

Abbildung 1: Ursache-Wirkungs-Diagramm

 

Die an den Treibern zu orientierenden Frühwarnindikatoren lassen sich ebenfalls stringent mit dem Risiko verlinken. Sie werden hier dokumentiert und über Datenschnittstellen immer aktuell gehalten. Sollte eine einzelne Kennzahl, oder auch mehrere Kennzahlen gemeinsam (z.B. mit Hilfe einer mathematischen Formel kombiniert) einen Grenzpunkt überschreiten, löst das SAP Risk Management automatisch eine Benachrichtigung an den Risiko-Verantwortlichen aus. Es markiert das Risiko graphisch und fordert ggf. eine Neubewertung des Risikos ein (s. Abbildung 2 und 3).

Abbildung%202%3A%20Fr%FChwarnindikatoren%20liiert%20am%20Risiko

Abbildung 2: Frühwarnindikatoren liiert am Risiko

Komplexere%20Formeln%20%FCber%20alle%20Fr%FChwarnindikatoren%20%28auch%20gemittelte%20Werte%29

Abbildung 3: Komplexere Formeln über alle Frühwarnindikatoren (auch gemittelte Werte)

 

Zusammenfassend läßt sich sagen, daß SAP Risk Management die perfekte Lösung ist, die Schwächen der eher statischen bzw. rein statistischen Risikoanalyse durch ein fortlaufendes Risiko-Frühwarnsystem, das insbesondere an den Treibergrößen von Risiken ansetzt, zu umgehen.

Nähere Informationen auch unter https://www.sap.com/germany/products/risk-management.html

Aktuelle Webinar-Empfehlung zu diesem und anderen GRC- und Security-Themen:

 

Martin Stecher

Dipl.-Kfm.

Presales Expert SAP Governance, Risk and Compliance

SAP Deutschland SE & Co. KG

Be the first to leave a comment
You must be Logged on to comment or reply to a post.