Herr Schüttel, Friedensforscher aus Stockholm orten in einem aktuellen Bericht «ein neues Zeitalter der Risiken». Umwelt- und Sicherheitskrisen sowie andere Bedrohungen wirkten zusammen und die Mischung sei tiefgreifend und schädlich. Teilen Sie diese Meinung?
Ich teile die Meinung, dass grundsätzlich Risiken voneinander abhängig sind und daher in gewisser Weise miteinander korrelieren, vor allem auf lange Sicht. Dies gilt umso mehr für globale gesellschaftliche Risiken im Bereich Umwelt und Sicherheit, bei denen die Interdependenzen vielschichtig sind. Umweltkatastrophen gefährden die globale Sicherheit, wie am Beispiel von zahlreichen Dürren, die zu Nahrungsknappheit führen und in Verteilkämpfen münden können, ersichtlich wird. Tatsächlich kann diese Mischung tiefgreifend sein, obwohl dies für sehr lokal und zeitlich begrenzte Ereignisse zu relativieren ist. Die Globalisierung führt uns einmal mehr vor Augen, wie stark die Volkswirtschaften und damit auch die Sicherheitslagen verflochten sind und sich lokale Risiken rasch dynamisieren und in ihrer Komplexität zu globalen Risiken ausdehnen können
Wie kann man sich als Land und als Unternehmen auf eine solch komplexe Risikolage vorbereiten?
Einen Blick in die Kristallkugel werfen zu können, wäre am hilfreichsten … Solch komplexe Risiken sind maximal dynamisch mit zahlreichen unbekannten Variablen – am ehesten müsste man sich hier der Modelle aus der Chaostheorie bedienen, um alle Risikoursachen und -entwicklungen laufend erfassen und bewerten zu können. Die aktuellen Möglichkeiten im Risikomanagement sind aber weder technologisch noch ressourcenmässig so weit.
Eine Unterstützung durch AI ist vorstellbar, technologisch bereits ansatzweise möglich, aber aktuell – zumindest bei Fedpol – noch Zukunftsmusik.
Wie gehen Sie als Fedpol damit um?
Als Organisation der Verwaltungseinheit Fedpol verfolgen wir für das organisationale Risikomanagement einen systematischen Ansatz in Kombination mit der Nutzung der Schwarmintelligenz und neuer Technologien.
Was heisst das?
Im Risikomanagement arbeiten wir klassisch nach ISO 31000. Das heisst, wir identifizieren und bewerten fortlaufend bestehende und neue Risiken. Dazu nutzen wir unsere internen und externen Know-how-Träger, die in ihrer Gesamtheit einen hohen Grad an Wissen und Erfahrung bilden. Technologische Hilfsmittel wie ein Früherkennungsradar unterstützen uns in Zukunft in der Risikoantizipierung, damit wir uns besser auf mögliche Gefahren vorbereiten können.
Risikomanagement bleibt jedoch trotz allen Möglichkeiten ein «Geschäft mit dem Unbekannten» – rasches und richtiges Reagieren im Ereignisfall bleibt somit eine wichtige Kompetenz.
Welche Rolle spielt der Mensch im aktuellen Risikoumfeld?
Den Menschen wird es zum Glück auch in den nächsten Jahren noch brauchen, schon nur deshalb, weil «jemand» die Verantwortung für Risiken und Massnahmen übernehmen muss.
Und welche Rolle kommt der Digitalisierung dabei zu?
Die Digitalisierung unterstützt die Human Intelligence in der Datenbeschaffung und -auswertung, in der Automatisierung, in Reportings usw. Diese Technologien sind aber, zumindest zurzeit, nur Mittel zum Zweck – Risikomanagement ist ja im Kern das Managen von Informationen zu Risiken und Massnahmen. Es ist also zu einem hohen Grad People Management, weil das Wissen dazu bei Risikoeignerinnen und -eignern sowie Massnahmenverantwortlichen liegt. Dies geschieht ganz pragmatisch: im Dialog mit den Menschen. Und das ist auch gut so.
Wie weit kann AI dabei helfen, Risiken einzuschätzen und Risiken zu minimieren?
Eine Unterstützung durch AI ist vorstellbar, technologisch bereits ansatzweise möglich, aber aktuell – zumindest bei Fedpol – noch Zukunftsmusik.
Wo wäre die künstliche Intelligenz denn einsetzbar?
AI ist denkbar in der Früherkennung von neuen Gefahren und Bedrohungsformen, beim Führen der Key Risk Indicators oder in der Aufdeckung von Korrelationen und Klumpenrisiken in einem Risikoportefeuille.
Was braucht es dazu?
Basis sind in jedem Fall solide und qualitative Daten, eine hohe Automatisierung und in der Regel eine Quantifizierung von qualitativen Informationen. Dies sind schon einige Hürden und sie stellen für viele Unternehmen eine grosse Herausforderung dar. Sobald aber diese Basis besteht, können Eingabedaten zu Risiken, Gefahren, Bedrohungen, Massnahmen usw. in Ausgabedaten, sprich Algorithmen, interpretiert werden. Das maschinelle Erkennen von Mustern, Schwellenwerten usw. wäre möglich und in der Folge auch maschinelles Lernen.
Ein Risikomanagement-System unterliegt betriebswirtschaftlichen Prinzipien, Aufwand und Nutzen müssen stets abgewogen werden.
Welche Konzepte sind bereits Realität und welche noch Zukunftsmusik?
Ich kann hier nicht für alle Branchen sprechen. Die Finanzindustrie z. B. ist in gewissen Gebieten weit fortgeschritten, da diese seit längerer Zeit ein professionelles Risikomanagement betreibt und dieses meist auf quantitativen Messgrössen basiert.
Bei Fedpol sind wir daran, ein Frühwarnsystem aufzubauen. Dabei werden Primärdaten aus öffentlich zugänglichen Quellen wie Medien verwendet, welche mittels Kategorisierungen und Filterungen aufbereitet, verdichtet und customized werden. Die Sekundärdaten daraus weisen dann eine höhere Relevanz für uns auf. Mit diesen können wir weiterarbeiten, z. B. mit einer Einspeisung in ein Alertsystem mit Schwellenwerten. Dies hat jedoch mehr mit Datafusion als mit Algorithmen zu tun.
Wie sieht in Ihren Augen das perfekte Risikomanagement aus?
Spannende Frage … Ein Risikomanagement hat ja bekanntlich die Funktion, die Aufgabenerfüllung einer Organisation jederzeit sicherzustellen und das nachhaltige Überleben einer Organisation zu sichern. Sofern es diese Funktion erfüllt, ist es adäquat und wirksam. Perfekt ist es für mich, wenn das RM eine echte Führungsunterstützung ist, wenn das Management also jederzeit über Risiken, Massnahmen, Störungen und Trends ins Bild gesetzt werden kann. In den Bereichen Controlling, Reporting und Monitoring bietet die Digitalisierung dazu ideale Hilfestellungen.
Gibt es ein perfektes Risikomanagement?
Nein, ein perfektes Risikomanagement gibt es nie: Ein Risikomanagement-System unterliegt betriebswirtschaftlichen Prinzipien, Aufwand und Nutzen müssen stets abgewogen werden. Zudem hinkt das Risikomanagement den Entwicklungen immer etwas hinterher. Die Digitalisierung ermöglicht dem Risk Management viele Möglichkeiten, birgt aber auch wieder neue Risiken, wie z. B. Cyber- oder Hackerangriffe.