Quantifizierung und Aggregation von Risiken / 2 Quantifizierung von Risiken ist notwendig

Ein scheinbar nicht quantifizierbares Risiko ist implizit mit "null" quantifiziert

Oft hört man in Unternehmen, dass auf eine quantitative Beschreibung des Risikos verzichtet wird, weil über die quantitativen Auswirkungen und die Eintrittswahrscheinlichkeit eines Risikos keine adäquaten (historischen) Daten vorlägen. Das Risiko wird dann nicht quantifiziert und nur als "verbale Merkposition" im Risikomanagement verwaltet. Es fließt entsprechend nicht ein in

• die Beurteilung der Bestandsgefährdung des Unternehmens,
• die Berechnung des Eigenkapitalbedarfs mittels Aggregation oder
• die Ableitung risikogerechter Kapitalkostensätze für die Unternehmenssteuerung.

Rechtfertigt eine schlechte Datenqualität einen derartigen Umgang mit einem Risiko? Sicher nicht. Es sollte bewusst werden, dass mit der hier beschriebenen Vernachlässigung eines Risikos eine echte "Nichtquantifizierung" überhaupt nicht erreicht wird. Tatsächlich erreicht worden ist, dass das Risiko in allen genannten Berechnungen nicht berücksichtigt wurde, d. h., es wurde faktisch mit null quantifiziert (d. h. null Eintrittswahrscheinlichkeit oder null Schadenshöhe).

Es gibt keine Nichtquantifizierung von Risiken

Fazit: Eine Nichtquantifizierung von Risiken gibt es nicht; eine sog. Nichtquantifizierung bedeutet faktisch Quantifizierung mit null. Und dies ist sicherlich häufig nicht die beste Abschätzung eines Risikos. Statt einer derartigen "Nullquantifizierung" eines Risikos bietet es sich an, eine Quantifizierung mit den bestverfügbaren Informationen vorzunehmen. Dies könnten – wenn weder historische Daten noch Benchmark-Werte oder andere Informationen vorliegen – z. B. subjektive Schätzungen der quantitativen Höhe des Risikos durch Experten des Unternehmens sein. Eine akzeptable Qualität solcher Schätzungen lässt sich durch geeignete Verfahren, z. B. eine Verpflichtung zu einer nachvollziehbaren Herleitung, durchaus sicherstellen.^[1]

Risiken subjektiv schätzen

Auch Risiken subjektiv zu schätzen und sie im Risikomanagement zu verwenden ist methodisch zulässig und notwendig, was Sinn^[2] gezeigt hat. Auch subjektiv geschätzte Risiken können genauso verarbeitet werden, wie (vermeintlich) objektiv quantifizierte.

Man muss sich hier immer über die Alternativen klar sein:

• Die quantitativen Auswirkungen eines Risikos mit den bestverfügbaren Kenntnissen (notfalls subjektiv) zu schätzen oder
• die quantitativen Auswirkungen implizit auf null zu setzen und damit den Risikoumfang zu unterschätzen.

Eine "Schlechte Datenlage" ist ein Indiz für ein hohes Risiko und kein Argument, ein Risiko nicht zu quantifizieren.

[1] Vgl. Gleißner, 2017.

[2] Sinn, 1980.