Prof. Dr. Robert Rieg, Prof. Dr. Ute Vanini
3.1 Datenmanagement als Basis
Die Datenqualität ist im traditionellen RC oft gering, der manuelle Dokumentationsaufwand für die Risikoerfassung und -bewertung hoch und die Vergleichbarkeit zwischen Abteilungen, Niederlassungen und Weltregionen niedrig. Folglich sind auch die Entscheidungsgrundlagen, die auf einer derartigen Risikoanalyse basieren, wenig verlässlich und können zu Fehlentscheidungen führen – etwa bezüglich der Maßnahmen zur finanziellen Risikoabsicherung.
Digitale, datengetriebene Risk-Analytics-Tools helfen dabei, grundsätzlich bekannte Risiken zu identifizieren, für die genügend Daten vorliegen. Mit ihnen lassen sich unternehmensweit risikorelevante Daten sammeln, Risiken können vorgeschlagen sowie automatisiert bewertet und überwacht werden, z. B. für Compliance-Verstöße, Arbeitsunfälle, Diebstähle, Maschinen- bzw. Produktionsausfälle, Wechselkursschwankungen etc.
Ein geeigneter Startpunkt, um Risiko- und Schadensfalldaten konzernweit zu sammeln, sind Daten, die Unternehmen regulatorisch bedingt erfassen müssen, etwa zu Arbeitsunfällen, Gesetzesverstößen und Strafzahlungen. Diejenigen Abteilungen, in der solche Daten bereits heute zusammenlaufen, sollten die Daten an eine spezialisierte und zentrale (Data-Analytics-) Einheit weitergeben. Diese wiederum kann die Daten aufbereiten und sie bereichs- und regionsübergreifend für die Risikoidentifikation und -bewertung bereitstellen.
Alternativ ließe sich die Kompetenz zur Datenaufbereitung und -verarbeitung direkt im zentralen RC eines Unternehmens aufbauen. Für den externen Datenaustausch bzw. -einkauf gibt es zurzeit eine Vielzahl kostenpflichtiger und kostenfreier Datenbankangebote. Mittels solcher Datenquellen und einem unternehmensinternen Risikoanalyse-Tool können Unternehmen z. B. das Einbruchrisiko bei Firmengebäuden genauer einschätzen. Auch in puncto Wirtschaftskriminalität oder Entführungen in gefährlichen Ländern lassen sich diese Risiken mit externen Daten beurteilen und geeignete Maßnahmen treffen.
Eine bessere Datenqualität hat mehrere Vorteile:
- Es kann eine höhere Aktualität der Risikoinformationen im Unternehmen erreicht werden,
- durch die Datenverfügbarkeit können Risikomodelle besser fundiert werden, da sich Zusammenhänge zwischen risikorelevanten Informationen erkennen lassen als auch eine bessere Schätzung von Parametern und vereinfachtes Backtesting zur Validierung solcher Modelle möglich ist,
- weiterhin können Risiken durch statistische Analysen erkannt werden und
- es lassen sich Aufgaben des RCs automatisieren bzw. durch komplementäre IT-Systeme ein Mehrnutzen erzeugen. Allerdings entstehen durch die Digitalisierung neue Arten von Risiken.
3.2 Beispiele einer besseren Risikoidentifikation durch Big Data, Analytics und KI
Durch die schnellere Verfügbarkeit – insbesondere interner Datenmengen z. B. durch die Signalisierung von Störungsmeldungen über Sensortechnik oder die Betriebsdatenerfassung in Echtzeit – lassen sich interne Prozess- sowie Fraud-Risiken früher identifizieren. Das trägt auch dazu bei, dass Unternehmen bessere Frühwarn- und Früherkennungssysteme aufbauen können.
Zum zweiten ergeben sich Möglichkeiten durch die statistische Analyse von Zusammenhängen. Dazu zählt etwa die Identifikation von Determinanten von Zahlungsausfällen von Kunden und die damit ermöglichten Prognosen der Wahrscheinlichkeit künftiger Zahlungsausfälle sowie der Klassifizierung von Risiko- und Chancen-Kunden. Die Qualität beider Aspekte wird auch dadurch erhöht, dass statt kleiner Stichproben, die eher manuell auszuwerten waren, große Datenmengen automatisiert bzw. IT-gestützt auswertbar sind.
KI kann zudem dazu beitragen, neue Risiken, deren Einflussfaktoren sowie Zusammenhänge zu identifizieren. Wie bereits erwähnt ist eine der Kern-KI-Technologien das NLP. Die Technologie ermöglicht es, praktisch unbegrenzte Textmengen aus unterschiedlichen Textquellen, wie etwa Nachrichten-Websites, Firmen-Newsletter, Behördenveröffentlichungen oder Blogs, inhaltlich zu strukturieren und auszuwerten, zu verstehen und zu interpretieren. Für Auswertungen können Unternehmen eigene Regeln definieren, etwa wann und in welcher Sprache ein Artikel veröffentlicht wurde, welche Unternehmen und Personen erwähnt werden und ob der Tenor positiv oder negativ ist.
KI kann Nachrichten zu definierten Risiken und Schadensfällen verfolgen und Trends anhand von Themen-Clustern analysieren. So überwachen Unternehmen Risiken leichter und nehmen sie in ihren Risikokatalog auf. Sie können auch Wettbewerber als "Risiken" einstufen und von einer KI beobachten lassen. Allerdings kann die KI kaum Strukturbrüche prognostizieren und damit "Schwarze Schwäne" identifizieren, da sie i. d. R. auf historischen Trainingsdaten basiert.
3.2.1 Beispiel: Datengetriebene Risikoüberwachung in Lieferketten
Nach dem Lieferkettensorgfaltspflichtengesetz (LkSG) sind bestimmte Unternehmen verpfli...