Prof. Dr. Robert Rieg, Prof. Dr. Ute Vanini
Ein datengetriebenes RC führt in der Praxis zu mehreren Herausforderungen: Zunächst liegen zwar viele, aber längst nicht alle Informationen digital vor oder sind digital verarbeitbar. Ein vollständig digitales RC wird daher nicht immer möglich sein. Selbst wenn viele Daten digital vorliegen, kann die Heterogenität von IT-Systemen es verhindern oder erschweren, sie zusammenzuführen. IT-Systeme für die Analyse von Betriebsrisiken in der Produktion sind anders aufgebaut als Systeme für den Online-Handel. Es kann eine beträchtliche Herausforderung sein, Informationen aus beiden in eine Auswertung einzubeziehen.
Insbesondere für den Einsatz von KI im datengetriebenen RC sind neben der Verfügbarkeit großer Datenmengen als Grundlage für die Generierung von Testdaten, die Vernetzung von verschiedene IT-Systemen und -Komponenten, durch die diese Daten gesammelt werden, die Verfügbarkeit hoch leistungsfähiger Hard- und Software für Datenverarbeitung und -speicherung sowie leistungsfähige Deep-Learning-Algorithmen notwendig.
Die Nutzung von Big Data, Analytics-Anwendungen sowie KI erfordert zudem einen umfassenden Knowhow-Aufbau im RC in Bezug auf Statistik, KI und Datenmanagement. Ähnlich wie die Controller werden sich Risikocontroller zumindest teilweise zu Datenanalysten entwickeln oder müssen zumindest effektiv mit diesen kommunizieren können.
Daneben existieren konzeptionelle Herausforderungen aus der Natur der Datensammlung und -verarbeitung heraus. Die Daten, die in Business Analytics für die Risikoerkennung und -bewertung eingehen, sind Vergangenheitsdaten bzw. Prognosen, die auf Vergangenheitsdaten beruhen und die auf statistische und nicht kausale Zusammenhänge hin analysiert werden. Daraus leiten sich drei Probleme ab:
- Ein statistischer Zusammenhang bedeutet nicht, dass er auch eine tatsächliche Ursache-Wirkung widerspiegelt. Insofern kann das RC mittels Risk Analytics nicht sicher sein, ob die identifizierten Zusammenhänge nicht doch zufällige Muster sind oder die wirklichen Wechselwirkungen verdecken;
- Der Vielzahl an Daten und darin erkannten Risiken stehen die oft relevanten Einzelrisiken gegenüber, deren Auswirkungen erheblich sein können und die nicht durch solche Systeme vorab erkennbar sind; seien es die Insolvenz eines wichtigen Kunden, Pandemien, Naturkatastrophen oder politische Krisen. Da die Zukunft nicht identisch mit der Vergangenheit und den aus ihr abgeleiteten Prognosen ist, kann eine datengestützte Risikoanalyse niemals alle Risiken erkennen;
- Selbst wenn ein bestimmtes Risiko glaubhaft prognostiziert wird, ist damit nicht entschieden, wie ein Unternehmen damit umgehen soll. Prognosen sind nicht identisch mit Plänen, vielmehr bedarf es einer Managemententscheidung, die Ziele, Präferenzen und viele andere Aspekte mit einbezieht.
Die oben genannten Punkte deuten bereits darauf hin, dass man Ergebnisse datengestützter Analysen nicht unreflektiert hinnehmen sollte. Eine kritische Haltung tut not. Dies wird jedoch umso herausfordernder, je weniger Erfahrung Risikocontroller und Manager damit besitzen, selbst entsprechende Risiko-Daten zu identifizieren, zu bewerten und auszuwerten. Es fehlt dann schlicht an einem tieferen Verständnis des Analyseprozesses und der Daten und einem Lernen aus Erfahrungen von Fehlern und Problemen.
Das wirkliche Potenzial des datengetriebenen RC liegt schlussendlich nicht in der Ansammlung und Dokumentation, sondern in der Verbesserung von Entscheidungen der Führungskräfte. Anders gesagt, dem Verständnis und der Mitwirkung im Prozess der Unternehmenssteuerung und nicht allein in der Beherrschung statistischer Analyseverfahren.