Risikomanagement neu gedacht

Text: Christian Hugo Hoffmann

Technische Redakteurinnen und Redakteure beurteilen Risiken, deren Bewertung sich in Warn- und Sicherheitshinweisen niederschlägt. Man könnte also sagen, dass sie ein Gespür für Risiken entwickelt haben, die sich aus der Technik ergeben. Umso mehr gilt es über Risikomanagement zu wissen.

Inhaltsübersicht

Lesedauer: 10:26 Minuten

Nach vielen Krisen des Risikomanagements mit teils verheerenden Erfahrungen – von der globalen Finanzkrise im Jahr 2008 bis zur globalen Pandemie und nachteiligen Energieabhängigkeiten heute – ist es Zeit, Risikomanagement zu überdenken und neue Herangehensweisen zu entwickeln. Davon würde auch die Technische Redaktion profitieren, vorausgesetzt sie bekommt Antworten darauf, was unter effektivem Risikomanagement für Technologien zu verstehen ist (was unter Risikomanagement gemeint ist, fasst der Info-Kasten „Was ist Risikomanagement?“ zusammen – Inf. 01).

Was ist Risikomanagement?

Risikomanagement umfasst die Identifizierung, Bewertung und Priorisierung von Risiken, gefolgt von einem koordinierten und sparsamen Einsatz von Ressourcen zur Minimierung, Überwachung und Kontrolle der Eintrittswahrscheinlichkeit und/oder der Auswirkungen ungewünschter Ereignisse. So lässt sich Risikomanagement als Prozess in eine Reihe von Teilprozessen untergliedern:

  1. Risikoermittlung: Interne und externe Ereignisse, so genannte Risikoereignisse, die das persönliche Wohl­ergehen oder die finanzielle Leistungsfähigkeit einer Organisation beeinträchtigen würden oder könnten. Risiken können darum alle möglichen Ereignisse sein, die sich ne­gativ auf einen Entscheider auswirken können – vom Wettersturz über Bedien­fehler bis hin zu Beziehungsstreitigkeiten.
  2. (Quantitative) Risikobe­wertung: Die Risiken werden unter Berücksichtigung der Wahrscheinlichkeit und der Auswirkungen analysiert (Erwartungswerte), um zu bestimmen, wie sie bewältigt werden sollten. Es gibt also zwei Komponenten in der Bewertung: Wie wahrscheinlich ist es, dass zum Beispiel ein technisches Gerät ausfällt, und was wäre dann der Schaden für den Nutzer?
  3. Kommunikation der Risiken von der Risikomanagementeinheit/dem Experten an die Person oder Gruppe, die die Risiken verwaltet oder auch verantwortet. Bei Einzelpersonen und im Alltag findet diese Trennung gewöhnlich nicht statt: Eine Person ermittelt selbst die Regenwahrscheinlichkeit (etwa durch Öffnen der Wetterapp auf dem Mobiltelefon) und entscheidet selbst, ob sie einen Regenschirm mitnimmt oder nicht.
  4. Planung der Risikobewälti­gung: Das Management wählt Maßnahmen und Strategien aus, einschließlich Abwenden, Akzeptieren, Reduzieren oder Teilen von Risiken. Ziel davon ist, dass die Risiken mit den Risiko­toleranzen und der Risikobereitschaft der Person oder Organisation in Einklang gebracht werden. Eine Person, die beispielsweise ins Casino geht, um dort Roulette zu spielen, ist dem Risikoereignis ausgesetzt, Verluste bis hin zum Totalverlust hinzunehmen. Um diese Einsicht mit einer nicht übermäßig hohen Risikofreude in Einklang zu bringen – wer möchte schon sein gesamtes Hab und Gut verzocken – kann die Person festlegen, nur eine bestimmte Geldmenge ins Casino mitzunehmen, die unabhängig vom Verlauf des Abends nicht erhöht werden kann. Zum Beispiel kann ein Freund auf den Spieler achtgeben.
  5. Risikoüberwachung und -kontrolle: Die Überwachung oder Kontrolle erfolgt durch fortlaufende Aktivitäten wie Änderungen am Risiko­managementprozess oder durch separate Bewertungen oder auch beides. Um an das Beispiel „Casinobesuch“ anzuknüpfen: Sollte die Begleitung ebenfalls dem Spielrausch verfallen sein und in der Konsequenz beide mehr verzocken, als sie vor dem Abend wollten, dann kann die Person insofern eingreifen, dass sie künftig auf eine andere Begleitung setzt.

Eine wichtige Erkenntnis: Ein herkömmliches quantitatives Risikomanagement zeichnet sich durch eine wahrscheinlichkeitsbasierte Risikobewertung aus. Es ist darauf ausgelegt, die zugrunde liegenden Risiken so zu überwachen und zu meistern, dass die Person oder Organi­sation nur diejenigen Risiken trägt, denen sie ausgesetzt sein möchte, eigene Risiken erzeugt, die es zu managen gilt.
Inf. 01 Quelle Christian Hugo Hoffmann

Es mag banal klingen, aber im Grunde wird in diesem Artikel der Ruf nach mehr Reflexion laut. Denn durch tiefgehendes Nachdenken bzw. Reflexion können wir Illusionen im Risikomanagement enttarnen, nämlich der Gestalt, dass Methodenstrenge und Quantifizierungen Garanten für die Überwindung von (allen) Herausforderungen wären, mit denen sich Risikomanager konfrontiert sehen.

Ein aussagekräftiges Beispiel für eine solche Falle wäre die Verwendung eines Standardrisikomodells, das nahezu immer mit quantitativen Wahrscheinlichkeitswerten daherkommt, wie etwa Delphi-Szenario-Studien. Diese Studien basieren im Grunde auf einem mehrstufigen Befragungsverfahren mit Rückkopplung und stellen eine Schätzmethode dar, um zukünftige Ereignisse, Trends, technische Entwicklungen und dergleichen möglichst gut einschätzen zu können. Solche Modelle werden aus vergangenen Daten einer unvollkommenen Welt gewonnen, wobei in der Praxis oft ungeprüft die idealisierende Annahme unterstellt wird, dass diese Daten stochastisch unabhängig und/oder normalverteilt seien. Dargestellt werden sie mit Hilfe einer Glockenkurve (Abb. 01).

Normalverteilung dargestellt als Glockenkurve.
Abb. 01 Graph der Normal- und Gauß-Verteilung (nach dem Mathematiker Carl-Friedrich Gauß benannt). Quelle Christian Hugo Hoffmann

Aber die Ähnlichkeit zwischen Modell und abgebildeter Wirklichkeit ist nicht dasselbe wie Deckungsgleichheit. Einige Risikoanalysten oder „Quants“ (auf Neudeutsch) vernachlässigen die Frage, ob die Annahmen, die sie nach Auswahl und Anwendung eines bestimmten Modells festlegen müssen, in ihrem jeweiligen realen Kontext wirklich erfüllt sind. Trotz der häufigen Lippenbekenntnisse für kritischeres und ganzheitlicheres Risikomanagement gibt es immer noch fundamentale und konzeptionelle Probleme und viele weitere Beispiele für Mängel beim Einsatz der technischen Risikobewertung. Es stehen damit nicht generell quantitative Methoden im Risikomanagement an sich in Frage, sondern zu kritisierende Anwendungen davon, weil wie oben schon angedeutet idealisierende Annahmen getroffen werden.

Allerdings ist anzuerkennen, dass die Grenzen der formalen Risikomodellierung nicht unbekannt, sondern in der breit gefächerten Literatur des Risikomanagements streckenweise skizziert sind. Daher kann die Forderung nach einer Vermeidungs- und Minderungsstrategie für Anwendungsfehler nicht länger ignoriert werden, wenn man lauernde Fallen auf dem Gebiet des Risikomanagements und fehlende Einsichten und Lehren aus früheren Erfahrungen in der Praxis bedenkt – von Finanzökonomie bis Energiepolitik und Technik.

Entscheidungen klarer darstellen

In unserer dicht vernetzten und turbulenten Welt können Optimierung oder Effizienz, ermöglicht durch elegante Risikomodelle, immer noch Wunschgedanken sein. Aber die Sicherstellung der Effektivität oder effektiver (robuster, nicht etwaig katastrophaler) Risikomanagemententscheidungen, die oft als unhinterfragt abgetan oder als Mindestleistung unterschätzt werden, würde sich als ein respektabler Fokus erweisen. Ein fundiertes und effektives Risikomanagement ist letztlich entscheidend für gute Entscheidungen. „Fundiert“ heißt, dass Risikomanagementüberlegungen, -praktiken und -prozesse nicht nur auf gut erprobten Modellen, sondern auch auf Prinzipien abgestützt sind, wozu die folgenden Leitlinien anregen; „effektiv“ heißt, dass die vom Entscheider/Risikomanager gewünschten Effekte mit der Anwendung der Risikomanagementtools oder -praktiken eintreten.

Porträtfoto von Herbert A. Simon.
Abb. 02 "Satisfizierung" ist eine Wortschöpfung des Nobelpreisträgers Herbert A. Simon und ein Kofferwort, zusammengesetzt aus den englischen Wörtern satisfying (=befriedigend) und suffice (= genügen). [1]

Die Risikobewertung leitet daher die Entscheidung. Das Ergebnis des Risikomanagementprozesses, bei dem die Bewertung von Risiken der entscheidende Schritt ist, ist eine Reihe konkreter Entscheidungen. Dazu zählt etwa die Entscheidung, ob eine Künstliche Intelligenz (KI) für das Recruitingverfahren in einem Unternehmen zum Einsatz kommen soll oder nicht. Was kann da ein adäquates oder effektives Risikomanagement leisten und was werden die Kriterien sein?

In den folgenden Abschnitten stelle ich drei Lehren für ein modernes Risikomanagement vor:

  • Lehre 1: Jeder Risikomanagementeinsatz kann schlechte Ergebnisse verursachen.
  • Lehre 2: Effektives Risikomanagement läuft auf fundierte, wohlinformierte Entscheidungen hinaus, bei denen die Risiken den Entscheidungsträgern bekannt sind und von ihnen verstanden wurden.
  • Lehre 3: Veritable Entscheidungs­kompetenz umfasst epistemische Bescheidenheit.

Lehre 1: Verluste dürfen sein

Es scheint eine Binsenweisheit zu sein, dass ein effektives Risikomanagement keinen absoluten Schutz vor Verlusten bietet. Denn Risiken sind untrennbar verbunden mit einer unbestreitbaren Unsicherheit (ob messbar oder nicht). Das bedeutet, dass das Eingehen und Managen von Risiken mit unsicheren Entscheidungsergebnissen verbunden ist. Aber auch wenn das kein Risikomanager bestreiten würde, so ist doch eine zentrale Folge dieser Einsicht nicht ausreichend gewürdigt: Der springende Punkt für das Verständnis der Qualität einer Risikomanagemententscheidung ist nämlich nicht durch die noch ungewisse Höhe des tatsächlichen Gewinns oder Verlusts (von Nutzen oder Geldwerten) gegeben, die durch die jeweilige Maßnahme induziert wird; denn zum Zeitpunkt der Entscheidung könnte der Erwartungswert positiv sein, aber am Ende könnte es dennoch zu realen Verlusten kommen: Wenn ich als begeisterter Skitourengänger regelmäßig unterwegs bin, dann entstehen jedes Mal große Glücksgefühle, was einen insgesamt positiven Erwartungswert rechtfertigen kann.

Obwohl ich mich wiederholt der Gefahr eines Unfalls oder einer Lawine aussetze, was wiederum einen realen Verlust bedeuten würde, würde das Szenario eintreten. Daraus kann gefolgert werden, dass wir uns nicht für die Bewertung der Wirksamkeit von Risikomanagement-Instrumenten auf das vorab Unwissbare (reale Gewinn- oder Verlustwerte) stützen sollten. Einige Risiken wie Skitourengehen (in bestimmten Gegenden, unter bestimmten Lawinenverhältnissen) oder heute ins Restaurant zu gehen (wenn etwa keine Vorerkrankungen bestehen) sind es wert, eingegangen zu werden. Selbst große Risiken (im Sinne von Erwartungswerten) können rational verteidigt werden, nämlich wenn die (erwarteten) Erträge ausreichend hoch sind: Auch mit einer Vorerkrankung oder auch ungeimpft kann es vernünftig sein, in ein belebtes Restaurant zu gehen, nämlich dann, wenn die Person eine starke Präferenz dafür hat, aus welchen Gründen auch immer.

Lehre 2: Risiken werden verstanden

Dennoch zeigen die jüngsten Krisen (vom Crash 2008 bis zur Pandemie und ihrem Management heute), dass Risikomanager das Risiko, das sie manchmal eingehen, nicht verstehen und daher Entscheidungen treffen, die nicht nur im Nachhinein, das heißt ergebnismäßig schlecht ausfallen, sondern zum Zeitpunkt der Entscheidungsfindung ungerechtfertigt sind. Zum Beispiel dann, wenn der betagte Restaurantbesucher Covid für eine Erfindung von Bill Gates hält.

Einfach gesagt: Es ist Unsinn, die Qualität von Prozessen nur nach Ergebnissen in einer stochastischen oder unsicheren Welt zu beurteilen. Laut einer seriösen Wettervorhersage besteht zum Beispiel eine Regenwahrscheinlichkeit von 15 Prozent für morgen in Karlsruhe. Ich habe also guten Grund, meinen schweren Schirm auf dem Weg zur Uni morgen zuhause zu lassen. Falls ich trotzdem nass werden sollte, folgt daraus nicht, dass ich ein schlechter Risikomanager wäre.

Das Risikomanagement sollte eine fundierte Entscheidungsfindung ermöglichen, die nicht als trivial oder eindimensional (etwa nicht allein mit Hilfe der stochastischen Eigenschaften der Risiken) zu beschreiben ist. Wesentlich für die Erfassung der Qualität einer Risikomanagemententscheidung ist somit der Grad, mit dem die Entscheidungsträgerinnen und Entscheidungsträger die mit möglichen Ergebnissen der jeweiligen Strategie oder Handlungspfade verbundenen Verluste oder Schäden kennen und verstehen, bevor sie Entscheidungen vornehmen. Insofern ist die Qualität von Risikomanagemententscheidungen ein graduelles Konzept.

Lehre 3: bescheiden bleiben

Intellektuelle Bescheidenheit folgt aus selbstbezogener Reflexion, welche die folgenden Facetten im Risikomanagement für Technik umfassen kann:

  • Beherzte und mutige Verwendung numerischer und qualitativer Risikobewertungsansätze sowie Durchmischung von Teams mit Quants und Kommunikationsspezialisten, um (Verlust-)Werte und (Risiko-)Faktoren zu schätzen, ohne dabei von der Mathematik übermäßig beeindruckt zu sein.
  • Streben nach neuen Informationen, weil sie unsere Unkenntnis mindern und die Wahrscheinlichkeiten verändern: Wenn das mystisch klingt, dann denken Sie an die Wahrscheinlichkeit, mit der ein Würfel, den Sie gerade geworfen haben, eine eins zeigt. Für den einen ist sie gleich 1/6, für Sie beträgt die Wahrscheinlichkeit null (denn Sie haben nachgesehen).
  • Vom Risikomanagement nicht mehr zu erwarten, als es leisten kann; denn wie eingangs gesehen, gibt es keine Garantien gegen Verluste.
  • Nicht nur angebliche Lösungen für (die scheinbar richtigen) Probleme hinterfragen, sondern auch, ob wir überhaupt mit den richtigen Problemen starten. Das Problem ist hier in der Regel unsere Tendenz, in disziplinären Silos zu denken und von dort aus Probleme zu formulieren. Hier kommt der Ruf nach Transdisziplinarität ins Spiel. Das dialogische Vordenken mit anderen Gruppen (etwa Stakeholder) neben den akademischen (und in der Folge somit auch Fachleute aus der Technischen Redaktion) ist hierbei wesentlich.

Mehr von allem

Kein einziges Risikomodellergebnis kann komplexen Risiken in einer komplexen Welt ganzheitlich Rechnung tragen. Aber wir können sie dennoch im Griff behalten, solange wir eine Vielzahl von Tools der Rationalität einsetzen und im Grunde offen im Geiste bleiben, was in der Terminologie der neudeutschen Praxis oft mit der Formel „think outside the box“ übersetzt wird. Damit ist kein Appell ausgedrückt, dass Risikomanager von ihrer Erfahrung im Sinne einer Einbeziehung eines obskurantistischen Intuitionismus oder einer mechanischen und unkritischen Anwendung von Denkgewohnheiten auf andere Bereiche als die, in denen sie gebildet wurden, Gebrauch machen sollen. Vielmehr geht es um das Einbringen einer Erfahrung, die sie für das sensibilisiert, was formal modelliert werden sollte und wie; sowie eine Erfahrung, welche sie gelehrt hat, sehr bescheiden bei der Anwendung der formalen Apparate auf reale Systeme zu sein und äußerst vorsichtig gegenüber ehrgeizigen Theorien zu sein, die letztlich versuchen, menschliches Verhalten zu modellieren.

Solche rein technischen Antworten wären oft unvollständig und unbefriedigend. Übermäßige Vereinfachungen oder rigide Reduktionen auf Modelle sollten nicht bereitwillig akzeptiert werden. Hingegen sollte die Öffnung von Risikomanagern gegenüber einer Vielzahl von Instrumenten erfolgen, die nicht bloß auf der Hand liegende Risikomodelle, sondern letztlich sämtliche Instrumente der Rationalität einschließen – von Wahrscheinlichkeitskalkülen über Logiken, Spieltheorie, Kausalitätsauffassungen bis hin zur Komplexitätslehre.

Für den interessierten Leser habe ich zur Weiterführung eine Literaturauswahl zusammengestellt (Inf. 02) samt Kurzvorstellung des jeweiligen Fokus. Ab Herbst 2022 werde ich zu einer Auswahl immer wieder angefragter Themen aus der Kombination von Technikethik, Unternehmertum und Risikomanagement verschiedene Formate (von virtuell bis physisch) anbieten und gelegentlich bespielen. Weitere (Follow-up- bzw. Vertiefungs-) Wünsche aus Leserbriefen und Rückmeldungen zu diesem Artikel sowie Anregungen nehme ich gerne auf. Für 2022 und die Folgejahre ist abzusehen, dass Risikomanagement als (Kern-)Kompetenz eine größere Aufmerksamkeit erfahren wird und auch von verschiedenen Stakeholdern eine stärkere Nachfrage aufkommen dürfte. Für interessierte Fachleute aus der Technischen Kommunikation ist dies eine weitere Gelegenheit, Know-how auszubauen und zu stärken.

Link zum Beitrag

[1] https://www.britannica.com/biography/Herbert-A-Simon

Zum Weiterlesen

Böschen, S./Grunwald, A./Krings, B.-J./Rösch, C. (Hrsg.) (2021): Technologiefolgenabschätzung. Handbuch für Wissenschaft und Praxis. Baden-Baden: Nomos. Die Komplexität soziotechnischer Herausforderungen und die Ungewissheit von Entscheidungen nimmt zu und so der Bedarf an wissensbasierter und optionaler Bewertung und Beratung. Technikfolgenabschätzung kann alternative Zugänge und Perspektiven auf aktuelle Entscheidungslagen geben. Das Handbuch leitet dazu an, neue Antworten, auch im Risiko­management, für die zur Untersuchung stehenden Problemstellungen zu erarbeiten.

Hoffmann, C.H. (2017): Assessing Risk Assessment: Towards Alternative Risk Models for Complex Financial Systems. Berlin: Springer. Das Buch ficht am Beispiel der Finanzökonomie den Common Sense in der Risikobewertung und im Risikomanagement an, indem argumentiert wird, dass die klassische Wahrscheinlichkeitstheorie keine angemessene Grundlage für die Modellierung systemischer und extremer Risiken in komplexen Finanzsystemen darstellt. Stattdessen wird eine neue Klasse von Modellen vorgeschlagen, die sich auf die so genannte Wissensdimension abstützen, sowie eine synthetische Methodenreflexion, die auf die Bedeutung der Entscheidungskompetenz im Risikomanagementkontext im Bankwesen tiefer eingeht.

Hoffmann, C.H. (2022): The Quest for a Universal Theory of Intelligence. The Mind, the Machine, and Singularity Hypotheses. Berlin: De Gruyter. Anwendungsfragen wie die nach der Anwendung des richtigen Mixes von Risikomanagement-Tools und -praktiken sind der Klärung grundlegender oder konzeptioneller Fragen nachgeordnet, selbst für Praktiker. Dieser Einsicht verschreibt sich das Buch für die Bewertung der Technologien im Rahmen des Sammelbegriffs der künstlichen Intelligenz (KI). In diesem Geiste adressiert es die basale Frage, wofür eigentlich das „I“ in „KI“ steht und leitet praxisnahe Implikationen ab.
Inf. 02 Quelle Christian Hugo Hoffmann

 

Person rutscht aus.