67
frequenzen dokumentiert werden. Wollte man
hier quantifizieren, so ließe sich jedes beliebige
Szenario bis zum Untergang des Unternehmens
darstellen. Dies wäre unsinnig, da diese Risiken
ja üblicherweise durch Design und Kontrolle
von Prozessen beherrschbar sind. Ist das nicht
gegeben, fallen sie unter das Gedankengut der
nachfolgenden Ausführungen.
IT-Risiken gewinnen in unseren Prozessen eine
immer stärkere Bedeutung. Die steigende In-
formationsdichte, gezielte Angriffe von innen
und außen und die Zunahme der Komplexität
steigern den Bedarf an Risikoerfassung und
Behandlung in diesem Bereich. Nicht zuletzt die
Notwendigkeit von Zertifizierungen (z. B. nach
ISO 27001) fordert ein stärkeres Risikobe-
wusstsein. Hier setzt sich bereits seit einiger
Zeit der Gedanke durch, eine Einstufung von
Problemen vorzunehmen, um über die Definiti-
on von Prioritäten ein Ranking in der Bearbei-
tung zu erhalten. Dazu bietet sich die Fehler-
Möglichkeits-Einflussanalyse (FME/FMEA) an.
Damit erfolgt eine Klassifizierung des Sachver-
haltes nach drei Kriterien. Über die Verknüp-
fung der drei Ergebnisklassen entsteht eine Pri-
oritätenkennzahl, die final eine Klassifizierung,
nicht jedoch eine Quantifizierung darstellt.
4
Auch hier gilt: Handelt es sich um Ereignisse,
die nicht allein über Prozessdesign und Kontrol-
len „in den Griff“ zu bekommen sind, ist eine
Quantifizierung als Basis für eine weitere Beur-
teilung im Sinne dieses Artikels anzuraten.
Grundlagen der Quantifizierung
5
Der Sinn der Quantifizierung besteht darin,
Sachverhalte mit ihren Streuungen quantitativ
zu beschreiben, um mögliche Gefahren frühzei-
tig zu erkennen. Hier kommt die Betrachtung
komplexer Einzelereignisse (z. B. Bewertung
von Investitionen) genauso in Frage wie die
möglicher Abweichungen von einem geplanten
Jahresergebnis und darauf aufbauend die Be-
wertung einer möglichen Bestandsbedrohung.
Häufig vergessen wird in dieser Diskussion,
dass es bei der Quantifizierung nicht nur darum
geht, zum Schluss eine Zahl erzeugt zu haben.
Vielmehr liegt der Sinn dieses Prozesses
auch darin, richtiges Denken sicher zu stel-
len.
Wie wollte man mit einem unvollständi-
gen oder gar falschen Modellansatz ein richti-
ges Gedankenresultat erreichen? Hierfür ist
eine Beschreibung der Wirklichkeit mit allen
für den Betrachtungsgegenstand wesentli-
chen Facetten wichtig.
Möglicherweise ahnt der Leser schon, dass
gern benutzte Phrasen wie
„Risikomanagement
ist doch einfach. Man schätzt einfach einen Ma-
ximalschaden und eine Eintrittswahrscheinlich-
keit und ist fertig“
einer näheren Betrachtung
nicht standhalten können.
Zunächst sollen einige grundlegende Begriffe
anhand eines Beispiels geklärt werden. Es geht
dabei nicht darum, dass der Leser in seiner
späteren Praxis jedes Thema so Schritt für
Schritt bearbeitet. Vielmehr möge es grundle-
gende Zusammenhänge darstellen. Im zweiten
Teil des Artikels soll die Anwendung eines
Werkzeuges skizziert werden, welches diese
Überlegungen in großen Teilen automatisch
umsetzt. Für den Einsatz ist es aber wichtig,
den Inhalt des nachfolgenden Beispiels – und
damit die grundlegenden Zusammenhänge –
verinnerlicht zu haben.
Bettet man die zu klärenden Begriffe in Frage-
stellungen ein, so könnten diese lauten:
·
Was ist eine Wahrscheinlichkeitsdichtefunk-
tion und was kann man daraus entnehmen?
·
Was hat dies mit Eintrittswahrscheinlich-
keiten zu tun?
·
In welchem Zusammenhang stehen
Wahrscheinlichkeitsdichtefunktion und
Häufigkeitsverteilung?
·
Was ist eine Verteilungsfunktion und
was hat diese mit der Betrachtung eines
Value-at-Risk (VaR)zu tun?
·
Was ist eine Monte-Carlo-Simulation und
wofür wird diese benötigt?
Das Beispiel ist keineswegs hoch theoretisch,
sondern praktisch immer dann relevant, wenn
sehr hohe Schäden möglich, aber kleinere
Schäden eher wahrscheinlich sind.
Begriffserklärung anhand eines Beispiels
Derartige Konstellationen treten beispielsweise
bei Schäden durch extreme Wetterereignisse
oder Schäden durch rechtliche Risiken auf. Im
Beispiel sei der maximale (realistische) Scha-
den mit 81Mio. € aus Großschadensereignis-
sen oder theoretischen Überlegungen bekannt.
Über die Auswertung von meteorologischen
Untersuchungen oder bei rechtlichen Risiken
durch Auswertung vergleichbarer Fälle soll be-
kannt sein, dass Schäden bei etwa 10% des
Maximalschadens am häufigsten sind. Ferner
kann der Schaden im günstigsten Fall gleich
null sein. Wie kann man das alles in einem
Modell ausdrücken? Welche Möglichkeit be-
steht für das Risikomanagement, mit diesen
drei Informationen den Sachverhalt sinnvoll zu
beschreiben und relevante Informationen zu
erzeugen?
Folgende Überlegungen helfen weiter
Der Zusammenhang zwischen Schadenshöhe
und „Eintrittswahrscheinlichkeit“ wird durch
eine Wahrscheinlichkeitsdichtefunktion f(x) be-
schrieben. Wenn eine sehr hohe bis unendliche
Anzahl von Werten (inklusive der theoretisch
unendlich vielen möglichen Nachkommastellen)
in einem bestimmten Bereich (Intervall) auftre-
ten kann, dann ist die Funktion einer solchen
Verteilung annähernd stetig und es gilt neben
der Nichtnegativität, d. h. f(x) ist überall größer
gleich null, Folgendes:
·
die Vollständigkeitsrelation, d. h. es sind
100% der Fälle abgebildet.
(Dies entspricht dem Integral f(x)dx=1);
·
dass ein einzelner Punkt (Schaden) eine
Wahrscheinlichkeit nahe null hat;
·
aber die Angabe von Intervallwahrschein-
lichkeiten über eine Häufigkeitsverteilung
möglich ist.
Zunächst eine Erklärung der drei vorstehenden
Punkte: Dass die zu wählende Methode das
Problem vollständig (Vollständigkeitsrelation)
abbilden soll, ist verständlich. Da ein Modell ge-
sucht wird, welches die Wirklichkeit „richtig“
wiedergibt, entsteht zum Schluss auch eine
hinreichend vollständige Abbildung.
Aber wieso soll ein einzelner Schaden eine Ein-
trittswahrscheinlichkeit von null haben? Prak-
tisch haben sehr viele Probleme eine hohe bis
unendliche Anzahl von Schadensausprägun-
gen. In unserem Beispiel sind alle ganzzahligen
Werte von 1 € bis 81Mio € möglich. Der ein-
CM März / April 2018
