Was ist eine quantitative Risikoanalyse?

„Was man nicht messen kann, kann man nicht managen." 

Ein Managementklassiker und eine Erfindung. Peter Drucker hat das nie gesagt. Was er tatsächlich warnte, war fast das Gegenteil, eine Idee, die viel näher an der Kritik liegt, die V. F. Ridgway in seinem klassischen Aufsatz Dysfunctional Consequences of Performance Measurements (1956) formulierte: was gemessen wird, wird gemanagt, selbst wenn es sinnlos ist, es zu messen und zu managen. Seine Sorge galt nicht der Messung selbst, sondern der Illusion, dass Zahlen die ganze Geschichte erzählen.

Dennoch überlebt das Zitat, weil es einen beruhigenden Glauben nährt: dass wir etwas kontrollieren können, wenn wir es quantifizieren können. Aber kann digitales Risikomanagement wirklich quantitativ sein, oder verkleiden Zahlen einfach nur unsere Ängste und Hoffnungen?

Es kann und es muss. Aber nicht als statische Wissenschaft der Fakten. Vielmehr ist es eine kontinuierliche Übung in der Modellierung, eine Disziplin, die Daten, Wahrnehmung und Kontext in Erkenntnisse umformt. 

Quantitatives Risikomanagement kann die Vorbereitung verbessern, aber es sollte niemals deterministische Ergebnisse versprechen; seine Macht liegt in der Iteration, nicht in der Illusion. Und der menschliche Geist bleibt das raffinierteste Messinstrument, das wir haben. Wir sind fähig, Muster wahrzunehmen, die kein Datensatz vollständig erfassen kann.

In praktischer Hinsicht ist die quantitative Risikoanalyse der Modellierungsaufwand, der numerische, oft monetäre Schätzungen verwendet, um die Häufigkeit und das Ausmaß der potenziellen Auswirkungen eines Risikos zu bewerten, sei es eine Chance oder eine Bedrohung. Dies macht Risiken direkt vergleichbar mit anderen Elementen in den Backlogs des Unternehmens und daher einfacher zu priorisieren.

Obwohl die quantitative Analyse kostspielig und teilweise urteilsbasiert bleibt, verbessert der Aufwand zur Modellierung von Risiken die Fähigkeit der Organisation, mit dem Unerwarteten umzugehen. Sie ermöglicht die Abstimmung der Risikokontrollfähigkeiten des Unternehmens für das Management sowohl von Chancen als auch von Bedrohungen.

Häufige Risikoereignisse sind besser verstanden und leichter zu quantifizieren, wodurch Organisationen ihre Schutzmaßnahmen stärken können, ähnlich wie Japans erdbebensichere Architektur oder die Verwendung der statistischen Seltenheit extremer Niederschläge in der Zivilschutzplanung.

Um diese Herausforderung zu bewältigen, stützt sich das quantitative Risikomanagement auf konzeptuelle Zerlegung, indem es ein komplexes, undurchsichtiges Risiko in einfachere und allgemeinere Komponenten aufteilt, die geschätzt, modelliert und letztendlich verglichen werden können. Ohne diese Modellierungsanstrengungen bleiben seltene Risiken unbeherrschbar, wodurch es für die Organisation unmöglich wird, ihr Risiko sinnvoll zu bewerten oder Investitionen zu priorisieren.

Eine hilfreiche Metapher innerhalb von DARE25 - Digital Approach to Risk for Enterprise - ist die eines Wettkampfspiels, bei dem die Offensive die Akteure repräsentiert, die versuchen, ein Asset herauszufordern oder sich anzueignen, und die Defensive diejenigen darstellt, die für dessen Schutz verantwortlich sind. Dies sind breite systemische Rollen, die beschreiben, wie sich interagierende Akteure um ein Asset in jedem organisatorischen oder strategischen Kontext positionieren. Doch dies ist kein Spiel mit festen Regeln: Die wirkenden Kräfte können sich dynamisch entwickeln, wenn neue Spieler hinzukommen, und beide Seiten passen ihre Strategien in Echtzeit an. Die quantitative Analyse bietet in diesem Sinne die strukturierte Brille, durch die diese sich wandelnden Dynamiken modelliert werden können.

In einem solchen Kontext wird die Schlüsselfrage: Welche Fähigkeiten und Kontrollen kann jede Seite einsetzen, um sowohl die Wahrscheinlichkeit als auch das Ausmaß ihres Erfolgs zu erhöhen? In der digitalen Welt ist der wahrscheinliche Gewinner die Seite, die über handlungsrelevante Informationen sowohl über das Asset als auch über ihren Gegner verfügt und dieses Wissen in praktisches Handeln umsetzen kann.

Zu Beginn wird die Verteidigung eine Abschottungskontrolle anwenden, um das Asset zu verbergen oder es unzugänglich zu machen. Sie könnte auch versuchen, den Business Case der Offensive durch Abschreckungskontrollen zu beeinflussen, indem sie die wahrgenommenen Vorteile des Angriffs reduziert und/oder die wahrgenommenen Kosten und die Bedrohung einer defensiven Reaktion erhöht. 

Wenn wir beispielsweise die Offensive sind und einen Konkurrenten in einer bestimmten Marktnische verdrängen wollen, könnte der Konkurrent (die Verteidigung) versuchen, seine wichtigsten Kundendaten zu verstecken, Vertriebskanäle zu schützen oder Partner durch Exklusivvereinbarungen zu binden, wodurch der Zielmarkt weniger zugänglich wird und die Attraktivität unseres Business Cases reduziert wird.

Die Offensive hingegen könnte versuchen, Abschottungsbarrieren zu umgehen, ihr Wissen über das Asset und die Verteidigung zu erweitern und geduldig Schritt für Schritt Erkenntnisse zu sammeln, ähnlich wie ein geschickter Beobachter Verhaltensmuster erlernt, bevor er eine Handlungsstrategie plant. In unserem Beispiel könnte dies bedeuten, schrittweise zu erlernen, wie der Konkurrent arbeitet — seine Preisstrategie, Kundenakquise-Methoden und operative Schwächen zu verstehen — damit wir eine effektivere Markteintrittstrategie entwickeln können.

Die Offensive könnte auch durch eine Kultur des Experimentierens innerhalb des Unternehmens dazu ermutigt werden, die Abschreckungsmaßnahmen der Verteidigung zu ignorieren. In unserem Szenario könnte eine Kultur, die Experimentierfreudigkeit belohnt, uns dazu veranlassen, unkonventionelle Marketingtaktiken oder alternative Produktbündel zu testen, auch wenn der Konkurrent versucht, neue Marktteilnehmer durch aggressive Preisgestaltung oder vertraglichen Druck auf Lieferanten abzuschrecken.

Die Offensive könnte auch einen unkonventionellen Angriff starten, der unsichtbar bleibt und einfach deshalb erfolgreich ist, weil die Verteidigung nie erkennt, dass das Spiel begonnen hat. Erkennungsfähigkeit wird daher zu einem entscheidenden defensiven Asset. In der Praxis könnte dies bedeuten, über ein neues Kundensegment oder einen indirekten Kanal in den Markt einzutreten, den der Konkurrent übersieht — was es uns ermöglicht, Fuß zu fassen, bevor die Verteidigung erkennt, dass ihre Position angegriffen wird.

Sobald dieses „Wissensspiel" in Gang gesetzt ist, hängt das Ergebnis von der relativen Stärke der Ressourcen und Lernfähigkeiten ab, die beide Seiten einsetzen. Wenn zwei Unternehmen in einem Marktsegment konkurrieren, ist der wahrscheinliche Gewinner derjenige, der zuerst aufkommende Kundenbedürfnisse versteht und Konkurrentenzüge antizipiert. Organisationen, die für Lernen und schnellen Wissenstransfer konzipiert sind, wie fraktale Organisationen, haben einen strategischen Vorteil.

Auch nachdem das Spiel gespielt wurde, kann die Verteidigung noch einen Teil des Verlustes durch reaktive Kontrollen wiederherstellen, während die Offensive, wenn sie mehrere Optionen vorbereitet hat, den vorteilhaftesten Weg verfolgen kann (eine Form des Optionsdenkens). 

Starke Stakeholder-Management-Fähigkeiten sind für beide Seiten unerlässlich: Die Verteidigung wird versuchen, die Auswirkungen auf den Ruf zu minimieren, während die Offensive frühe Erfolge nutzen wird, um Schwung aufzubauen und die Unterstützung der Stakeholder zu stärken. Der Konkurrent könnte immer noch versuchen, Boden zurückzugewinnen, indem er sein Angebot verbessert oder defensive Kommunikation betreibt. Ebenso können uns frühe Erfolge in der Ziel-Nische dabei helfen, breitere interne Unterstützung von Stakeholdern, Investoren oder Partnern zu sichern und weitere Expansion zu ermöglichen.

Diese Elemente definieren eine Reihe von Variablen, die bewertet und, wo möglich, quantifiziert werden müssen. 

Für jede Variable weisen wir eine Wahrscheinlichkeitsverteilung zu und berechnen dann das Gesamtrisiko mittels einer Monte-Carlo-Simulation, wodurch eine aggregierte Risikoverteilung entsteht.

In quantitativen Begriffen ergibt sich das Gesamtrisiko durch Multiplikation der Effekthäufigkeit (wie oft das Risiko während der Transformationsperiode eine greifbare Auswirkung erzeugt; Element 1) mit der Effektgröße (Auswirkung; Element 2), wie im RCD-Diagramm dargestellt.

Die Wahrscheinlichkeitsverteilung der Effekthäufigkeit wird geprägt durch:

• Asset-Zugänglichkeit (Element 3): die Fähigkeit, kritische Vermögenswerte zu verbergen oder abzuschotten, versus die Fähigkeit der Angreifer, Schutzbarrieren zu umgehen, was bestimmt, wie oft die Angreifer in der Lage sind, das Spiel auszulösen.

• Spiel-Auslöser (Element 4): die Stärke der Abschreckungsmaßnahmen versus anreizgestaltende Mechanismen, was die Wahrscheinlichkeit bestimmt, dass die Angreifer tatsächlich handeln.

• Verteidigungs-Auslöser (Element 5): der innovative Charakter von Angriffsstrategien versus die Erkennungsreife der Verteidigung, was die Wahrscheinlichkeit bestimmt, dass die Verteidigung die Herausforderung erkennt und darauf reagiert.

• Spielergebnis (Element 6): die relativen Lern- und Aufnahmefähigkeiten der gegnerischen Seiten (Elemente 7 und 8), die das endgültige Ergebnis beeinflussen.

Die Wahrscheinlichkeitsverteilung der Effektgröße hängt hauptsächlich von der Wirksamkeit reaktiver Kontrollen ab, die die Spiel-Effektgröße (Element 9) prägen, und von der Robustheit der Stakeholder-Management-Fähigkeiten, die die durch die Unterstützer des Spiels erzeugte externe Auswirkung (Element 10) bestimmen.

Zusammenfassend kann die Monte-Carlo-Technik die Sequenz numerisch simulieren:

Zugang → Entscheidung → Erkennung → Lernen → Ergebnis → Erweiterte Auswirkung

Beispielsweise kann Monte Carlo durch die Modellierung einer Verteilung für die Wahrscheinlichkeit eines Markteintrittsversuchs und einer Verteilung für dessen potenzielle finanzielle Auswirkungen Tausende möglicher Kombinationen simulieren, um einen erwarteten Geldwert und eine Spanne abzuleiten.

Daraus können wir ableiten:

• den wahrscheinlichsten Geldwert des Risikos;
• die bestmöglichen und schlechtestmöglichen Ergebnisse.

Diese Technik kann auch mit der Entscheidungsbaumanalyse kombiniert werden, um verschiedene strategische Optionen zu vergleichen, beispielsweise die Entscheidung, ob ein Konkurrent in einer engen Marktnische angegriffen oder die Herausforderung auf ein globales Segment ausgeweitet werden soll.

Die quantitative Risikoanalyse bietet Organisationen einen strukturierten Ansatz, um Unsicherheiten in messbaren, vergleichbaren Begriffen zu verstehen. Durch die Modellierung von Risiken, anstatt sich ausschließlich auf Intuition oder historische Muster zu verlassen, ermöglicht sie eine fundiertere, transparentere und besser begründbare Entscheidungsfindung.

Darüber hinaus kommt es in der heutigen digitalen Welt darauf an, Teams zu befähigen, Entscheidungen dort zu treffen, wo Informationen und Wissen tatsächlich vorhanden sind. Das quantitative Risikomanagement sollte daher die Entscheidungsfindung auf allen Ebenen des Unternehmens unterstützen, nicht nur auf Führungs- oder Portfolioebene. Das bedeutet, dass Teams selbst mit den konzeptionellen Werkzeugen ausgestattet werden müssen, die sie benötigen, um Unsicherheiten zu interpretieren, Szenarien zu modellieren und quantitative Erkenntnisse in ihrer täglichen Arbeit zu nutzen.

Die Hauptvorteile der quantitativen Risikoanalyse umfassen:

• klare Priorisierung von Risiken: numerische Schätzungen helfen dabei, Risiken und andere Backlog-Elemente auf vergleichbarer Basis zu bewerten;

• bessere Ressourcenallokation: Quantifizierung unterstützt rationalere Investitionen in Kontrollen und Gegenmaßnahmen;

• verbesserte Szenarioplanung: Simulationen zeigen Best-Case-, Worst-Case- und wahrscheinlichste Ergebnisse auf;

• bessere Sensitivitätseinsicht: Analysen zeigen, welche Annahmen die Variabilität antreiben;

• Fähigkeit zur Bewertung seltener Risiken: Modellierung unterstützt die Bewertung von Ereignissen mit geringer Häufigkeit und hohem Impact;

• Unterstützung für kontinuierliches Lernen: iterative Modellierung stärkt Lernen und Anpassung.

Qualitative Risikobewertungsmethoden beruhen auf subjektiven Einschätzungen, spielen jedoch eine entscheidende Rolle bei der Information und Anleitung nachfolgender quantitativer Bewertungen. Ihre Beliebtheit bei Organisationen, insbesondere für kleinere Projekte, resultiert aus ihrer Zugänglichkeit: Sie erfordern keine numerische Modellierung oder Simulation und ermöglichen es, Risiken in breite Wahrscheinlichkeits- und Stakeholder-Impact-Kategorien zu klassifizieren. Der Prozess erzeugt typischerweise eine priorisierte Liste von Risiken. Er unterstützt ein klareres Verständnis ihrer potenziellen Auswirkungen und mündet oft in die Zuordnung von Risikobewertungen durch eine Matrix oder ein Board.

Quantitative Methoden versuchen hingegen, Risiken anhand von Variablen zu bewerten, die die Häufigkeit und das Ausmaß potenzieller Auswirkungen darstellen. Obwohl sie darauf ausgelegt sind, Subjektivität zu minimieren, können sie diese nicht vollständig eliminieren, insbesondere dort, wo menschliches Verhalten und Organisationskultur die zugrunde liegenden Risikodynamiken beeinflussen. Aus diesem Grund integrieren zeitgenössische quantitative Ansätze zunehmend systemische, verhaltensbezogene und kulturelle Dimensionen, um eine robustere und realistischere Bewertung zu erreichen.

Wenn es zutrifft, dass quantitative Methoden unweigerlich subjektive Elemente enthalten, gilt auch das Umgekehrte: Qualitative Methoden beinhalten quantitative Urteile, wenn sie die Klassen definieren, die in Rastern verwendet werden, welche Wahrscheinlichkeit (Auswirkungshäufigkeit) und Impact (Auswirkungsgröße) kombinieren. Um ein Risiko als potenziell kritisch zu beschreiben, muss man das Ausmaß seiner Auswirkung mit der Größe des Unternehmens vergleichen, wie etwa seinem Gesamtumsatz, oder alternativ mit dem Umsatz des spezifischen betrachteten Projekts. Ebenso muss zur Klassifizierung eines Risikos als häufig seine Wiederholung relativ zum Zeitrahmen der Initiative bewertet werden.

Die qualitative Analyse zielt darauf ab, die relevantesten Risiken zu priorisieren und diejenigen zu identifizieren, die für eine weitere und aufwändigere quantitative Bewertung ausgewählt werden sollten.

Quantitative Risikoanalyse wird genau dann unverzichtbar, wenn Messungen dem Lernen dienen müssen und nicht der Illusion. Wie zu Beginn argumentiert wurde, garantieren Zahlen keine Kontrolle: Sie bieten einen disziplinierten Weg zum Experimentieren, zum Vergleich von Alternativen und zur Verfeinerung unseres Verständnisses von Unsicherheit.

Quantitative Analyse ist besonders effektiv, wenn Unsicherheit in wirtschaftliche Begriffe übersetzt werden muss, die Priorisierung, Ressourcenzuteilung und szenariobasierte Planung unterstützen. Weit davon entfernt, numerische Gewissheit zu bieten, stattet sie Organisationen mit etwas Wertvollerem aus: einem systematischen Weg, schneller zu lernen als die Risiken, denen sie gegenüberstehen. 

Der wahre Wert der Integration qualitativer Erkenntnisse mit quantitativer Stringenz liegt darin, wie sie die Entscheidungsfindung verändert: Sie drängt das Unternehmen dazu, sich der Ungewissheit zu stellen, Annahmen zu hinterfragen und mit größerer strategischer Disziplin zu handeln. In einem digitalen Zeitalter, in dem sich Risiken schneller ändern als Pläne, sollte diese Fähigkeit ein Standardbestandteil jedes organisatorischen Überlebens-Toolkits sein.