Nach vielen Krisen des Risikomanagements mit teils verheerenden Erfahrungen – von der globalen Finanzkrise im Jahr 2008 bis zur globalen Pandemie und nachteiligen Energieabhängigkeiten heute – ist es Zeit, Risikomanagement zu überdenken und neue Herangehensweisen zu entwickeln. Davon würde auch die Technische Redaktion profitieren, vorausgesetzt sie bekommt Antworten darauf, was unter effektivem Risikomanagement für Technologien zu verstehen ist (was unter Risikomanagement gemeint ist, fasst der Info-Kasten „Was ist Risikomanagement?“ zusammen – Inf. 01).
Was ist Risikomanagement? |
Risikomanagement umfasst die Identifizierung, Bewertung und Priorisierung von Risiken, gefolgt von einem koordinierten und sparsamen Einsatz von Ressourcen zur Minimierung, Überwachung und Kontrolle der Eintrittswahrscheinlichkeit und/oder der Auswirkungen ungewünschter Ereignisse. So lässt sich Risikomanagement als Prozess in eine Reihe von Teilprozessen untergliedern:
Eine wichtige Erkenntnis: Ein herkömmliches quantitatives Risikomanagement zeichnet sich durch eine wahrscheinlichkeitsbasierte Risikobewertung aus. Es ist darauf ausgelegt, die zugrunde liegenden Risiken so zu überwachen und zu meistern, dass die Person oder Organisation nur diejenigen Risiken trägt, denen sie ausgesetzt sein möchte, eigene Risiken erzeugt, die es zu managen gilt. |
Es mag banal klingen, aber im Grunde wird in diesem Artikel der Ruf nach mehr Reflexion laut. Denn durch tiefgehendes Nachdenken bzw. Reflexion können wir Illusionen im Risikomanagement enttarnen, nämlich der Gestalt, dass Methodenstrenge und Quantifizierungen Garanten für die Überwindung von (allen) Herausforderungen wären, mit denen sich Risikomanager konfrontiert sehen.
Ein aussagekräftiges Beispiel für eine solche Falle wäre die Verwendung eines Standardrisikomodells, das nahezu immer mit quantitativen Wahrscheinlichkeitswerten daherkommt, wie etwa Delphi-Szenario-Studien. Diese Studien basieren im Grunde auf einem mehrstufigen Befragungsverfahren mit Rückkopplung und stellen eine Schätzmethode dar, um zukünftige Ereignisse, Trends, technische Entwicklungen und dergleichen möglichst gut einschätzen zu können. Solche Modelle werden aus vergangenen Daten einer unvollkommenen Welt gewonnen, wobei in der Praxis oft ungeprüft die idealisierende Annahme unterstellt wird, dass diese Daten stochastisch unabhängig und/oder normalverteilt seien. Dargestellt werden sie mit Hilfe einer Glockenkurve (Abb. 01).
Abb. 01 Graph der Normal- und Gauß-Verteilung (nach dem Mathematiker Carl-Friedrich Gauß benannt). Quelle Christian Hugo Hoffmann
Aber die Ähnlichkeit zwischen Modell und abgebildeter Wirklichkeit ist nicht dasselbe wie Deckungsgleichheit. Einige Risikoanalysten oder „Quants“ (auf Neudeutsch) vernachlässigen die Frage, ob die Annahmen, die sie nach Auswahl und Anwendung eines bestimmten Modells festlegen müssen, in ihrem jeweiligen realen Kontext wirklich erfüllt sind. Trotz der häufigen Lippenbekenntnisse für kritischeres und ganzheitlicheres Risikomanagement gibt es immer noch fundamentale und konzeptionelle Probleme und viele weitere Beispiele für Mängel beim Einsatz der technischen Risikobewertung. Es stehen damit nicht generell quantitative Methoden im Risikomanagement an sich in Frage, sondern zu kritisierende Anwendungen davon, weil wie oben schon angedeutet idealisierende Annahmen getroffen werden.
Allerdings ist anzuerkennen, dass die Grenzen der formalen Risikomodellierung nicht unbekannt, sondern in der breit gefächerten Literatur des Risikomanagements streckenweise skizziert sind. Daher kann die Forderung nach einer Vermeidungs- und Minderungsstrategie für Anwendungsfehler nicht länger ignoriert werden, wenn man lauernde Fallen auf dem Gebiet des Risikomanagements und fehlende Einsichten und Lehren aus früheren Erfahrungen in der Praxis bedenkt – von Finanzökonomie bis Energiepolitik und Technik.
Entscheidungen klarer darstellen
In unserer dicht vernetzten und turbulenten Welt können Optimierung oder Effizienz, ermöglicht durch elegante Risikomodelle, immer noch Wunschgedanken sein. Aber die Sicherstellung der Effektivität oder effektiver (robuster, nicht etwaig katastrophaler) Risikomanagemententscheidungen, die oft als unhinterfragt abgetan oder als Mindestleistung unterschätzt werden, würde sich als ein respektabler Fokus erweisen. Ein fundiertes und effektives Risikomanagement ist letztlich entscheidend für gute Entscheidungen. „Fundiert“ heißt, dass Risikomanagementüberlegungen, -praktiken und -prozesse nicht nur auf gut erprobten Modellen, sondern auch auf Prinzipien abgestützt sind, wozu die folgenden Leitlinien anregen; „effektiv“ heißt, dass die vom Entscheider/Risikomanager gewünschten Effekte mit der Anwendung der Risikomanagementtools oder -praktiken eintreten.
Abb. 02 "Satisfizierung" ist eine Wortschöpfung des Nobelpreisträgers Herbert A. Simon und ein Kofferwort, zusammengesetzt aus den englischen Wörtern satisfying (=befriedigend) und suffice (= genügen). [1]
Die Risikobewertung leitet daher die Entscheidung. Das Ergebnis des Risikomanagementprozesses, bei dem die Bewertung von Risiken der entscheidende Schritt ist, ist eine Reihe konkreter Entscheidungen. Dazu zählt etwa die Entscheidung, ob eine Künstliche Intelligenz (KI) für das Recruitingverfahren in einem Unternehmen zum Einsatz kommen soll oder nicht. Was kann da ein adäquates oder effektives Risikomanagement leisten und was werden die Kriterien sein?
In den folgenden Abschnitten stelle ich drei Lehren für ein modernes Risikomanagement vor:
- Lehre 1: Jeder Risikomanagementeinsatz kann schlechte Ergebnisse verursachen.
- Lehre 2: Effektives Risikomanagement läuft auf fundierte, wohlinformierte Entscheidungen hinaus, bei denen die Risiken den Entscheidungsträgern bekannt sind und von ihnen verstanden wurden.
- Lehre 3: Veritable Entscheidungskompetenz umfasst epistemische Bescheidenheit.
Lehre 1: Verluste dürfen sein
Es scheint eine Binsenweisheit zu sein, dass ein effektives Risikomanagement keinen absoluten Schutz vor Verlusten bietet. Denn Risiken sind untrennbar verbunden mit einer unbestreitbaren Unsicherheit (ob messbar oder nicht). Das bedeutet, dass das Eingehen und Managen von Risiken mit unsicheren Entscheidungsergebnissen verbunden ist. Aber auch wenn das kein Risikomanager bestreiten würde, so ist doch eine zentrale Folge dieser Einsicht nicht ausreichend gewürdigt: Der springende Punkt für das Verständnis der Qualität einer Risikomanagemententscheidung ist nämlich nicht durch die noch ungewisse Höhe des tatsächlichen Gewinns oder Verlusts (von Nutzen oder Geldwerten) gegeben, die durch die jeweilige Maßnahme induziert wird; denn zum Zeitpunkt der Entscheidung könnte der Erwartungswert positiv sein, aber am Ende könnte es dennoch zu realen Verlusten kommen: Wenn ich als begeisterter Skitourengänger regelmäßig unterwegs bin, dann entstehen jedes Mal große Glücksgefühle, was einen insgesamt positiven Erwartungswert rechtfertigen kann.
Obwohl ich mich wiederholt der Gefahr eines Unfalls oder einer Lawine aussetze, was wiederum einen realen Verlust bedeuten würde, würde das Szenario eintreten. Daraus kann gefolgert werden, dass wir uns nicht für die Bewertung der Wirksamkeit von Risikomanagement-Instrumenten auf das vorab Unwissbare (reale Gewinn- oder Verlustwerte) stützen sollten. Einige Risiken wie Skitourengehen (in bestimmten Gegenden, unter bestimmten Lawinenverhältnissen) oder heute ins Restaurant zu gehen (wenn etwa keine Vorerkrankungen bestehen) sind es wert, eingegangen zu werden. Selbst große Risiken (im Sinne von Erwartungswerten) können rational verteidigt werden, nämlich wenn die (erwarteten) Erträge ausreichend hoch sind: Auch mit einer Vorerkrankung oder auch ungeimpft kann es vernünftig sein, in ein belebtes Restaurant zu gehen, nämlich dann, wenn die Person eine starke Präferenz dafür hat, aus welchen Gründen auch immer.
Lehre 2: Risiken werden verstanden
Dennoch zeigen die jüngsten Krisen (vom Crash 2008 bis zur Pandemie und ihrem Management heute), dass Risikomanager das Risiko, das sie manchmal eingehen, nicht verstehen und daher Entscheidungen treffen, die nicht nur im Nachhinein, das heißt ergebnismäßig schlecht ausfallen, sondern zum Zeitpunkt der Entscheidungsfindung ungerechtfertigt sind. Zum Beispiel dann, wenn der betagte Restaurantbesucher Covid für eine Erfindung von Bill Gates hält.
Einfach gesagt: Es ist Unsinn, die Qualität von Prozessen nur nach Ergebnissen in einer stochastischen oder unsicheren Welt zu beurteilen. Laut einer seriösen Wettervorhersage besteht zum Beispiel eine Regenwahrscheinlichkeit von 15 Prozent für morgen in Karlsruhe. Ich habe also guten Grund, meinen schweren Schirm auf dem Weg zur Uni morgen zuhause zu lassen. Falls ich trotzdem nass werden sollte, folgt daraus nicht, dass ich ein schlechter Risikomanager wäre.
Das Risikomanagement sollte eine fundierte Entscheidungsfindung ermöglichen, die nicht als trivial oder eindimensional (etwa nicht allein mit Hilfe der stochastischen Eigenschaften der Risiken) zu beschreiben ist. Wesentlich für die Erfassung der Qualität einer Risikomanagemententscheidung ist somit der Grad, mit dem die Entscheidungsträgerinnen und Entscheidungsträger die mit möglichen Ergebnissen der jeweiligen Strategie oder Handlungspfade verbundenen Verluste oder Schäden kennen und verstehen, bevor sie Entscheidungen vornehmen. Insofern ist die Qualität von Risikomanagemententscheidungen ein graduelles Konzept.
Lehre 3: bescheiden bleiben
Intellektuelle Bescheidenheit folgt aus selbstbezogener Reflexion, welche die folgenden Facetten im Risikomanagement für Technik umfassen kann:
- Beherzte und mutige Verwendung numerischer und qualitativer Risikobewertungsansätze sowie Durchmischung von Teams mit Quants und Kommunikationsspezialisten, um (Verlust-)Werte und (Risiko-)Faktoren zu schätzen, ohne dabei von der Mathematik übermäßig beeindruckt zu sein.
- Streben nach neuen Informationen, weil sie unsere Unkenntnis mindern und die Wahrscheinlichkeiten verändern: Wenn das mystisch klingt, dann denken Sie an die Wahrscheinlichkeit, mit der ein Würfel, den Sie gerade geworfen haben, eine eins zeigt. Für den einen ist sie gleich 1/6, für Sie beträgt die Wahrscheinlichkeit null (denn Sie haben nachgesehen).
- Vom Risikomanagement nicht mehr zu erwarten, als es leisten kann; denn wie eingangs gesehen, gibt es keine Garantien gegen Verluste.
- Nicht nur angebliche Lösungen für (die scheinbar richtigen) Probleme hinterfragen, sondern auch, ob wir überhaupt mit den richtigen Problemen starten. Das Problem ist hier in der Regel unsere Tendenz, in disziplinären Silos zu denken und von dort aus Probleme zu formulieren. Hier kommt der Ruf nach Transdisziplinarität ins Spiel. Das dialogische Vordenken mit anderen Gruppen (etwa Stakeholder) neben den akademischen (und in der Folge somit auch Fachleute aus der Technischen Redaktion) ist hierbei wesentlich.
Mehr von allem
Kein einziges Risikomodellergebnis kann komplexen Risiken in einer komplexen Welt ganzheitlich Rechnung tragen. Aber wir können sie dennoch im Griff behalten, solange wir eine Vielzahl von Tools der Rationalität einsetzen und im Grunde offen im Geiste bleiben, was in der Terminologie der neudeutschen Praxis oft mit der Formel „think outside the box“ übersetzt wird. Damit ist kein Appell ausgedrückt, dass Risikomanager von ihrer Erfahrung im Sinne einer Einbeziehung eines obskurantistischen Intuitionismus oder einer mechanischen und unkritischen Anwendung von Denkgewohnheiten auf andere Bereiche als die, in denen sie gebildet wurden, Gebrauch machen sollen. Vielmehr geht es um das Einbringen einer Erfahrung, die sie für das sensibilisiert, was formal modelliert werden sollte und wie; sowie eine Erfahrung, welche sie gelehrt hat, sehr bescheiden bei der Anwendung der formalen Apparate auf reale Systeme zu sein und äußerst vorsichtig gegenüber ehrgeizigen Theorien zu sein, die letztlich versuchen, menschliches Verhalten zu modellieren.
Solche rein technischen Antworten wären oft unvollständig und unbefriedigend. Übermäßige Vereinfachungen oder rigide Reduktionen auf Modelle sollten nicht bereitwillig akzeptiert werden. Hingegen sollte die Öffnung von Risikomanagern gegenüber einer Vielzahl von Instrumenten erfolgen, die nicht bloß auf der Hand liegende Risikomodelle, sondern letztlich sämtliche Instrumente der Rationalität einschließen – von Wahrscheinlichkeitskalkülen über Logiken, Spieltheorie, Kausalitätsauffassungen bis hin zur Komplexitätslehre.
Für den interessierten Leser habe ich zur Weiterführung eine Literaturauswahl zusammengestellt (Inf. 02) samt Kurzvorstellung des jeweiligen Fokus. Ab Herbst 2022 werde ich zu einer Auswahl immer wieder angefragter Themen aus der Kombination von Technikethik, Unternehmertum und Risikomanagement verschiedene Formate (von virtuell bis physisch) anbieten und gelegentlich bespielen. Weitere (Follow-up- bzw. Vertiefungs-) Wünsche aus Leserbriefen und Rückmeldungen zu diesem Artikel sowie Anregungen nehme ich gerne auf. Für 2022 und die Folgejahre ist abzusehen, dass Risikomanagement als (Kern-)Kompetenz eine größere Aufmerksamkeit erfahren wird und auch von verschiedenen Stakeholdern eine stärkere Nachfrage aufkommen dürfte. Für interessierte Fachleute aus der Technischen Kommunikation ist dies eine weitere Gelegenheit, Know-how auszubauen und zu stärken.
Link zum Beitrag
[1] https://www.britannica.com/biography/Herbert-A-Simon
Zum Weiterlesen |
Böschen, S./Grunwald, A./Krings, B.-J./Rösch, C. (Hrsg.) (2021): Technologiefolgenabschätzung. Handbuch für Wissenschaft und Praxis. Baden-Baden: Nomos. Die Komplexität soziotechnischer Herausforderungen und die Ungewissheit von Entscheidungen nimmt zu und so der Bedarf an wissensbasierter und optionaler Bewertung und Beratung. Technikfolgenabschätzung kann alternative Zugänge und Perspektiven auf aktuelle Entscheidungslagen geben. Das Handbuch leitet dazu an, neue Antworten, auch im Risikomanagement, für die zur Untersuchung stehenden Problemstellungen zu erarbeiten. Hoffmann, C.H. (2017): Assessing Risk Assessment: Towards Alternative Risk Models for Complex Financial Systems. Berlin: Springer. Das Buch ficht am Beispiel der Finanzökonomie den Common Sense in der Risikobewertung und im Risikomanagement an, indem argumentiert wird, dass die klassische Wahrscheinlichkeitstheorie keine angemessene Grundlage für die Modellierung systemischer und extremer Risiken in komplexen Finanzsystemen darstellt. Stattdessen wird eine neue Klasse von Modellen vorgeschlagen, die sich auf die so genannte Wissensdimension abstützen, sowie eine synthetische Methodenreflexion, die auf die Bedeutung der Entscheidungskompetenz im Risikomanagementkontext im Bankwesen tiefer eingeht. Hoffmann, C.H. (2022): The Quest for a Universal Theory of Intelligence. The Mind, the Machine, and Singularity Hypotheses. Berlin: De Gruyter. Anwendungsfragen wie die nach der Anwendung des richtigen Mixes von Risikomanagement-Tools und -praktiken sind der Klärung grundlegender oder konzeptioneller Fragen nachgeordnet, selbst für Praktiker. Dieser Einsicht verschreibt sich das Buch für die Bewertung der Technologien im Rahmen des Sammelbegriffs der künstlichen Intelligenz (KI). In diesem Geiste adressiert es die basale Frage, wofür eigentlich das „I“ in „KI“ steht und leitet praxisnahe Implikationen ab. |