Eine fundierte Risikoanalyse vermeidet Scheingenauigkeiten

Die Entmystifizierung der Quantifizierung


Kolumne

Sowohl die Gegenwart als auch die Vergangenheit ist voll mit Beispielen von Risikoblindheit, Risikoignoranz und Dummheit. Bei einem Blick in die Historie liefert uns beispielsweise der sog. Rasmussen-Report aus dem Jahr 1975 ein exzellentes Beispiel für die Ignoranz bei der Bewertung von Risiken sowie bei der Umsetzung erforderlicher Maßnahmen.

Im Rasmussen-Report (WASH-1400, "The Reactor Safety Study") wurden erstmals von dem MIT-Physiker und Wissenschaftler Rasmussen in der Kerntechnik neue wahrscheinlichkeitstheoretische Verfahren der quantitativen Sicherheits- und Risikobeurteilung (Probabilistic Risk Assessment, PRA) eingeführt, da die klassischen Fehlerbäume zu unübersichtlich und groß wurden.

Der Bericht löste in den Jahren nach seiner Veröffentlichung zunächst einen Sturm der Empörung und Kritik aus, u.a. auch wegen einer quantitativen Bewertung verschiedener Risikoszenarien. In diesem Kontext ist besonders hervorzuheben, dass der Bericht die potenziellen Auswirkungen, die ein Tsunami auf ein Kernkraftwerk haben könnte, richtig antizipiert und bewertet hatte. Er kam zu dem Ergebnis, dass einige Anlagen, bei denen die Möglichkeit eines Tsunami oder hoher Wasserstände aufgrund von Wirbelstürmen besteht, die größten Wellen und Wasserstände berücksichtigen müssten (d.h. die Worst-case-Szenarien), die zu erwarten sind.

Im Jahr 2011 sollte das im Bericht skizzierte Szenario Realität werden: Das Erdbeben an der Pazifik-Küste vor der Tōhoku-Region am 11. März 2011 löste eine Tsunami-Flutwelle aus, die eine Fläche von über 500 km² der japanischen Pazifikküste überflutete. In der Folge wurde das japanische Kernkraftwerk Fukushima Daiichi (Fukushima I) von Tsunamiwellen mit einer Höhe von ungefähr 13 bis 15 Metern überrollt. Fukushima I war nicht an das existierende Tsunami-Warnsystem angeschlossen, sodass das Bedienpersonal keine frühzeitige Warnung erhielt. Außerdem existierte für den meerseitigen Teil des Geländes nur eine 5,70 Meter hohe Schutzmauer.

Es ist nicht genug, zu wissen, man muss auch anwenden

Von dem großen Dichter und Naturforscher Johann Wolfgang von Goethe wissen wir: "Es ist nicht genug zu wissen, man muss auch anwenden; es ist nicht genug zu wollen, man muss auch tun."

Genau dieses Tun fehlte bei der Umsetzung der Erkenntnisse des Rasmussen-Reports. Da ist es doch viel komfortabler, den "Schwarzen Schwan" als Entschuldigung für ein nicht vorhandenes Risikomanagement aus der Tasche zu zaubern. Bevor Australien entdeckt wurde, waren die Menschen in der Alten Welt überzeugt, alle Schwäne seien weiß. Diese Überzeugung war unanfechtbar, da sie durch die empirische Evidenz anscheinend völlig bestätigt wurde. Als der erste schwarze Schwan gesichtet wurde, wurde das bisherige Gedankengebäude schwer erschüttert. Die Schwarze-Schwan-Illustration veranschaulicht eine schwerwiegende Beschränkung und Blindheit bei unserem Lernen durch Beobachtung oder Erfahrung und die Zerbrechlichkeit unseres (historischen) Wissens. Da die meisten Beobachter über den eigenen Tellerrand nicht hinausschauen, war für sie klar, dass alle Schwäne weiß sind. Es lag schlichtweg außerhalb der eigenen Erfahrungen und Vorstellungskraft, dass schwarze (Trauer-)Schwäne in allen Bundesstaaten Australiens vorkommen, sowohl auf dem Festland wie auch in Tasmanien.

Unternehmen über den Blick in den Rückspiegel steuern

Es ist bekannt, dass Menschen systematisch die schmerzhaften Folgen von Extremereignissen unterschätzen. Die Gründe hierfür sind einfach und schlicht: Wir denken in schlüssigen Geschichten, verknüpfen Fakten zu einem stimmigen Bild, nehmen die Vergangenheit als Modell für die Zukunft. So schaffen wir uns eine Welt, in der wir uns zurechtfinden. Aber die Wirklichkeit ist anders: chaotisch, überraschend, unberechenbar. Oftmals ist für diese Fälle die Vergangenheit ein sehr schlechter Berater und führt zu einer eingeschränkten Sicht. Auch ein Autofahrer steuert sein Gefährt nicht über einen Blick in den Rückspiegel. Und auch für die Unternehmenssteuerung gilt nichts anderes.

Das Phänomen der Schwarzen Schwäne ist eng verbunden mit dem grundlegenden (philosophischen) Problem der Induktion, also dem Schließen von (endlichen) Vergangenheitsdaten auf die Zukunft. Es besteht immer das Problem, dass möglicherweise sehr relevante extreme (aber seltene) Ereignisse im betrachteten Vergangenheitszeitraum nie eingetreten sind.

Weder die Nuklearkatastrophe von Fukushima noch die Explosion der Challenger und auch nicht die COVID-19-Pandemie oder der Zusammenbruch von Wirecard oder ein potenzielles Black-Out-Szenario ist ein "Schwarzer Schwan".

Vielmehr wird der "Schwarze Schwan" immer wieder gerne als Entschuldigung für die eigenen Fehler, unzureichend ausgeprägte Antizipationsfähigkeiten und mangelhafte Methodenkompetenz herangezogen.

Wir konnten das nicht wissen – das war doch Betrug

Bei der Analyse der Risikoblindheit im Zusammenhang mit Wirecard höre ich immer wieder die Aussage: "Das konnte man ja nicht wissen. Das war Betrug …"

Interessanterweise stellten basierend auf akribischen Bilanz- und Datenanalysen verschiedene Analysten, u.a. Thomas Borgwerth, bereits im Herbst 2013 fest, dass die veröffentlichen Zahlen von Wirecard "Rätsel aufgeben" und schlicht und einfach nicht stimmen können. Als Schablone für seine Untersuchung diente ihm der ähnlich umjubelte niederländische Zahlungsdienstleister Adyen. Borgwerth war tief in die Geschäftsberichte beider Unternehmen eingetaucht und hat unzählige Kennzahlen miteinander verglichen – und kommt basierend auf einer quantitativen Risikoanalyse zu verblüffenden Ergebnissen, die jedoch niemand hören will. Und auch der Hedgefund Greenvale Capital stellt Fragen zu dubiosen Transaktionen, die niemand beantworten kann. Ganz zu schweigen von dem Financial-Times-Journalisten Dan McCrum, der wichtige Fragen stellt, die eigentlich die Finanzaufsicht oder Wirtschaftsprüfer hätten stellen müssen. Und was passiert mit diesen wertvollen Frühwarninformationen? Der Investigativ-Journalist gerät ins Visier der deutschen Finanzaufsicht. Die BaFin erstattet am 9. April 2019 Strafanzeige bei der Staatsanwaltschaft München I, wegen des Verdachts der Marktmanipulation gegen die beiden Journalisten McCrum und Stefania Palma.

Und die Aufseher beschäftigen sich nicht mit den wirklich wichtigen Fragen, beispielsweise wie es Wirecard schafft, in einer margen-armen Branche gegenüber den Wettbewerbern die rund vierfache Marge herauszuholen.

RM-Methoden transformieren Risiken in die "Sprache der Unternehmensleitung"

"Ich weiß, dass ich nichts weiß", so wird der griechische Philosoph Sokrates von dem römischen Politiker und Schriftsteller Marcus Tullius Cicero zitiert. Er wollte damit wohl ausdrücken, dass ihm Weisheit oder ein wirkliches, über jeden Zweifel erhabenes Wissen fehle. Die wahre menschliche Weisheit ist es, sich des Nichtwissens im Wissenmüssen bewusst zu sein.

Doch warum ist Nichtwissen so schwer zu erfassen? Weil es Nichtwissen nicht gibt. Es ist unsinnig auf Wissen als Gegensatz von Nichtwissen zu verweisen. Während wir in der heutigen Zeit Wissensdefizite haben (etwa über die Unendlichkeit oder Endlichkeit des Universums oder die positive und negative Wirkung von Viren und Bakterien in der Umwelt, in Tieren oder in unserem Körper), werden wir auf der anderen Seite überfrachtet mit einem Tsunami an unnützem Wissen. Die Informationsmenge nimmt jeden Tag mit 2,5 Quintillionen Bytes zu, aber damit eben gerade nicht die Menge an nützlicher Information. So fällt es vielen Menschen immer schwerer, sinnvolle Signale im allgemeinen Rauschen wahrzunehmen.

Wichtig ist hierbei, dass man sich der Wissensdefizite bewusst ist und die unterschiedlichen Szenarien aus unterschiedlichen Perspektiven abwägt, um schließlich zu einer Entscheidung zu gelangen. Erforderlich ist hierfür eine Kultur der Abwägung. Dies bedingt immer einen interdisziplinären Ansatz, Methodenkompetenz und einen konstruktiven Diskurs. Die Alternative wäre die Fokussierung auf ein (gewünschtes) Szenario und die Erfindung alternativer Fakten. Was heute leider in der Politik (und leider auch immer häufiger in der Wissenschaft) eher die Regel als die Ausnahme ist.

Probabilistik macht unser Wissen facettenreicher und vielfältiger

Ein unseriöser Umgang mit Unsicherheit kann regelmäßig bei der Bewertung von Risiken in der Praxis der Unternehmen beobachtet werden. So werden Risiken von "Experten" anhand von Eintrittswahrscheinlichkeiten und einem Schadensausmaß bewertet, als würden Sie die Zukunft aus einer Kristallkugel ablesen. Oder es werden einzelne potenzielle Szenarien (bspw. das Worst-Case-Szenario) aus einer ganzen Bandbreite möglicher Ausprägungen herausgefiltert, da dies für die eigene Agenda gerade als passend erscheint. Es liegt eine Anmaßung von Wissen vor, welches nicht vorhanden ist.

Stochastische Aussagen würden hingegen eine Bandbreite potenzieller Szenarien liefern. Das wusste bereits Rasmussen, als er seine Risikoanalyse über nukleare Risiken im Jahr 1975 erstellte. Wir kennen schlicht und einfach die potenziellen Überraschungen in der Zukunft nicht. Daher sollten Risiken in einem interdisziplinären Diskurs über eine Bandbreite potenzieller Szenarien bewertet werden. Eine fundierte Risikoanalyse vermeidet Scheingenauigkeiten und Einzelszenarien und bietet dafür realistische Bandbreiten der zukünftigen Entwicklung. Im einfachsten Fall werden ein Worst-case-, ein Realistic-case- und ein Best-case-Szenario bewertet. Die Welt der Stochastik und Probabilistik macht unser Wissen facettenreicher und vielfältiger, aber nicht ungenauer. Auch das wusste Rasmussen bei der Entwicklung des "Probabilistic Risk Assessment". Und auch der Physiker und Nobelpreisträger Richard P. Feynman brachte dem NASA-Management die Grundlagen der Wahrscheinlichkeitsrechnung bei, als er die Ursachen der Challenger-Katastrophe untersuchte. Die Ursachen, der Verschleiß der O-Ringe und das Ausströmen des Verbrennungsgases (Blowby) waren bekannt, wurden jedoch vom NASA-Management ignoriert.

Die stochastische Szenariosimulation kombiniert in einer intelligenten Form Expertenwissen (auch in Form von Intuition und Bauchgefühl) mit der Leistungsfähigkeit statistischer Werkzeuge. Denn statistisches Denken führt im Ergebnis zu mehr Kompetenz im Umgang mit Unsicherheit. Statistik zu verstehen ist eine notwendige Fähigkeit (nicht nur für Risikomanager), um die Welt, in der wir leben, einordnen und bewerten zu können und um Entscheidungen unter Unsicherheit zu treffen. Der indische Statistiker C.R. Rao bringt es auf den Punkt: Sicheres Wissen entstehe in einer neuen Art des Denkens aus der Kombination von unsicherem Wissen und dem Wissen über das Ausmaß der Unsicherheit. Analog zu einem Statistiker sollte auch ein Risikomanager über vier Kompetenzen verfügen:

  1. Sie können Wesentliches von Unwesentlichem unterscheiden.
  2. Sie können mit Risiko und Unsicherheit umgehen.
  3. Sie können Probleme strukturieren und in methodisch fundierte Modelle übersetzen.
  4. Sie können Daten strukturieren und in Lösungen übersetzen.

Fazit: Risikoanalysen braucht man, weil die Zukunft unsicher ist

Wer nun meint, dass wir die Antworten wegen der unsicheren Datenlage eben nicht wissen, versteht nicht, was eine Risikoanalyse ist. Risikoanalysen braucht man, weil die Zukunft unsicher ist und eine Entscheidung unter Unsicherheit notwendig ist.

Eine fundierte Risikoanalyse vermeidet Scheingenauigkeiten und bietet dafür realistische Bandbreiten der zukünftigen Entwicklung.

Perfekte Informationen hat man in der Realität nie und daher können Risikoanalysen mit schlechten Datengrundlagen umgehen und helfen, die tatsächlich verfügbaren Informationen optimal auszuwerten.

(Risiko-)Manager sollten damit aufhören, den "Schwarzen Schwan" als Entschuldigung für das eigenen Versagen aus der Tasche zu zaubern. Sie sollten stattdessen eher das graue Nashorn ("grey rhino") auf dem Radar haben. Denn hierbei handelt es sich um eine Gefahr, die sich langsam bewegt, offensichtlich ist und dennoch bequemerweise ignoriert wird.

Quellenverzeichnis sowie weiterführende Literaturhinweise:

  • Feynman, Richard P. (1996): Kümmert Sie, was andere Leute denken? 7. Auflage, Piper Verlag, München 1996.
  • Rao, C. R. (1995): Was ist Zufall? Statistik und Wahrheit, Prentice Hall Verlag, München 1995.
  • Renn, O. (2019): Gefühlte Wahrheiten – Orientierung in Zeiten postfaktischer Verunsicherung, Verlag Barbara Budrich, Opladen 2019.
  • Romeike, Frank (2020): Event tree analysis (ETA), in: GRC aktuell, 3. Jahrgang, Dezember 2020, Nr. 4/2020, S. 153-157.
  • Romeike, Frank (2021): Risikowahrnehmungsfalle – Gefangen in einer Welt der "gefühlten Wahrheiten", in: Trend-Dossier, Ausgabe 01/2021, 13. Januar 2020.

Autor:

Frank Romeike
ist geschäftsführender Gesellschafter der RiskNET GmbH und Autor einiger Standardwerke zum Risikomanagement. Mit RiskNET hat er das mit Abstand führende, deutschsprachige Kompetenz-Portal zum Thema Risk Management und Compliance aufgebaut. In seiner beruflichen Vergangenheit war er Chief Risk Officer bei der IBM Central Europe, wo er u. a. an der Einführung des weltweiten Risk-Management-Prozesses der IBM beteiligt war und mehrere internationale Projekte leitete. Außerdem hat er Lehraufträge an mehreren nationalen und internationalen Hochschulen und Universitäten angenommen. Er zählt international zu den renommiertesten und führenden Experten für Risiko- und Chancenmanagement.

 

[Der Artikel ist zuerst in den avedos GRC News veröffentlich worden]

[ Bildquelle Titelbild: Adobe Stock.com / agsandrew ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.