HeatMap

Aus ControllingWiki

Wechseln zu: Navigation, Suche
Achtung. Sie nutzen eine nicht mehr unterstützte Version des Internet Explorer. Es kann zu Darstellungsfehlern kommen. Bitte ziehen Sie einen Wechsel zu einer neueren Version des Internet Explorer in Erwägung oder wechseln Sie zu einer freien Alternative wie Firefox.

Zusammenfassung

Risikomanagement befasst sich mit der Identifikation, Bewertung und Steuerung von Risiken. Hierbei handelt es sich um Ereignisse und Entwicklungen, die eintreten können und die dann zu einer Abweichung von geplanten Zuständen oder Ergebnissen führt. Risiken werden typischerweise mittels Eintrittswahrscheinlichkeit und Schadenshöhe bewertet. Über diese beiden Kriterien kann dann eine Matrix (sog. HeatMap) aufgespannt werden, in welcher Risiken positioniert und dargestellt werden. Diese Darstellungsform hat das schnellere Erfassen der Risikolage und Priorisieren von Handlungsnotwendigkeiten zur Risikosteuerung zum Ziel.

Aufbau und Verwendung einer HeatMap

Der Begriff HeatMap lässt sich nach Wikipedia definieren als „ein Diagramm zur Visualisierung von Daten, deren abhängige Werte einer zweidimensionalen Definitionsmenge als Farben repräsentiert werden. Sie dient dazu, in einer großen Datenmenge intuitiv und schnell besonders markante Werte zu erfassen“ (o.V. 2015). Die HeatMap kommt in den unterschiedlichsten Anwendungsfeldern zum Einsatz. Ihre Verwendung im Rahmen des Risikomanagements wurde initiiert durch das im Jahr 1998 eingeführte Gesetz zur Kontrolle und Transparenz in Unternehmen (KonTraG). Dieses fordert von Unternehmen, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden” (§ 91 Abs. 2 AktG). Sie haben ein Frühwarnsystem für Risiken zu etablieren sowie die Risiken und Risikostruktur im Lagebericht darzustellen (Martin/Bär, 2001, S. 38ff). Unternehmen mussten sich seinerzeit überlegen, mit welchen Prozessen und Methoden sie den dort formulierten Anforderungen gerecht werden. Zwischenzeitlich hat sich ein Risikomanagementkreislauf als Standard herausgebildet, der typischerweise aus den vier Phasen

• Risikoidentifikation

• Risikobewertung

• Risikosteuerung und

• Risikomonitoring

besteht.

Organisatorisch wird dieser in der Regel über einen zentralen Risikomanager umgesetzt, der auf ein Netzwerk von Risikobeauftragten in den einzelnen Organisationseinheiten zugreift. Mittels Angabe

• der Wahrscheinlichkeit für den Risikoeintritt und

• die Schadenshöhe im Falle des Risikoeintritts

werden Risiken standardmäßig bewertet.

Um einen zusammenfassenden Überblick über die Vielzahl von Risiken zu erhalten, werden diese in einer HeatMap eingetragen, die über jene zwei Bewertungskriterien aufgespannt wird. Die Achsen können quantitativ (in Prozent bzw. Euro) oder qualitativ (z.B. niedrig/mittel/hoch) unterteilt werden. Je nach Unterteilung der Achsen und Granularitätsgrad der Risikobewertungsskalen können sich unterschiedlich viele Felder ergeben; in der Praxis finden sich 3 x 3 (wie in Abb. 1) oder 4 x 4 Felder HeatMaps am häufigsten. In der HeatMap befinden sich besonders schwerwiegende Risiken weiter oben (hohe Eintrittswahrscheinlichkeit) und weiter rechts (hohe Schadenshöhe im Falle des Risikoeintritts).


HeatMap 1.jpg

Die HeatMap soll einen schnellen Überblick über die Gesamtheit aller Risiken und ihrer Bedeutung ermöglichen. Sie soll damit auch die Basis für eine Priorisierung liefern, die für das Management der Risiken notwendig ist. Im Zeitablauf kann über die Bewegung der Risiken innerhalb der Matrix (z.B. nach unten und nach links) die Wirksamkeit der Risikomanagementmaßnahmen grafisch verdeutlicht werden.

Modifikationen

Eine Bewertung nach den zwei Dimensionen Eintrittswahrscheinlichkeit und Schadenshöhe lässt nicht notwendigerweise eine eindeutige Priorisierung zu, wenn ein Risiko mit einer höheren Eintrittswahrscheinlichkeit und niedrigeren Schadenshöhe mit einem Risiko mit niedrigerer Eintrittswahrscheinlichkeit und höherer Schadenshöhe verglichen wird. Vor diesem Hintergrund wird die HeatMap um Iso-Risikolinien ergänzt:

HeatMap 2.jpg

Diese verlaufen so, dass für alle auf der Linie liegenden Punkte das Produkt aus Eintrittswahr-scheinlichkeit und Schadenshöhe (also der Erwartungswert des Risikoschadens) gleich ist. Alle Risiken, die sich auf einer Linie befinden, sollen einen vergleichbaren Risikogehalt haben. Diese Betrachtungsweise soll erlaubten, die beiden Kriterien Eintrittswahrscheinlichkeit und Schadenshohe zu verdichten und so zu eindeutigen Aussagen über die relative Bedeutung von Risiken zu kommen.

Eine reine Risikobetrachtung im Sinne von potentiellen negativen Abweichungen hat sich im Laufe der Zeit weiterentwickelt, in dem auch immer öfters potentielle positive Abweichungen (Chancen) betrachtet werden. Entsprechend wurde auch die HeatMap um positive „Schadenshöhen“ ergänzt und so die Abszisse in den positiven Bereich verlängert:

HeatMap 3.jpg

Kritische Würdigung und Weiterentwicklungen

Die HeatMap hat eine schnelle Verbreitung erfahren und findet sich auch heute noch in vielen Unternehmen. Dies dürfte nicht zuletzt auf das weitverbreitete Bestreben, Sachverhalte grafisch darzustellen, sowie ihr leichtes Verständnis zurückzuführen sein. Weiterhin dürfte die Möglichkeit, eine zweidimensionale Bewertung mittels Iso-Risikolinien auf eine Dimension zu reduzieren, ihre Attraktivität ausmachen.

Mit der Reduktion geht aber auch ein Verlust von Information, Aussagekraft und Steuerungsimpuls verloren; diese Erkenntnis wird für viele Unternehmen immer bedeutsamer: So ist eine Bewertung von Risiken über "die eine Schadenshöhe" in den allermeisten Fällen nicht adäquat. Vielmehr kann je nach konkretem Szenario eine Vielzahl von Schadenshöhen mit zu differenzierenden Eintrittswahrscheinlichkeiten eintreten. Dies abzubilden ist nicht nur eine Frage der Genauigkeit, sondern auch der Akzeptanz durch den Bewertenden. Dann ist aber eine eindeutige Positionierung in der HeatMap nicht mehr möglich.

Des Weiteren existiert eine Reihe von Unsicherheiten, die sowohl Chancen als auch Risiken beinhalten. Hierzu gehören beispielweise die meisten Finanzrisiken, wie z.B. nicht gehedgte Währungsrisiken. Diese entziehen sich einer eindeutigen Zuordnung genau einer Eintrittswahrscheinlichkeit und Schadenshöhe und damit auch einer Einsortierung in die HeatMap.

Die vereinfachende Aussage, dass eine Position „oben rechts“ ungünstig ist (in Verbindung mit den Iso-Risikolinien) und Gegenmaßnahmen verlangt, vereinfacht zu stark. So ist mit einem Risiko mit einem mittleren Schaden und sehr hoher Eintrittswahrscheinlichkeit anders zu managen als ein Risiko mit sehr hoher Schadenshöhe und niedrigerer Eintrittswahrschein-lichkeit, auch wenn die sich als Produkt ergebenden jeweiligen Erwartungswerte gleich sind. Dies ist offensichtlich, wenn bei letzterem Risiko ein Projekt oder ein Unternehmen in ernsthafte finanzielle Schwierigkeiten geraten würde.

In der Realität zeigt sich, dass Risiken sich gegenseitige Abhängigkeiten aufweisen können, in dem sie sich gegenseitig verstärken oder anderweitig korreliert sind. Wenn jedes Risiko isoliert dargestellt wird, wie dies in der HeatMap der Fall ist, werden derartige Interdependenzen vernachlässigt.

Da es sich bei der HeatMap um eine primär grafische Darstellung oft in Verbindung mit qualitativen Einschätzungen handelt, ist eine methodisch saubere Integration in das Planungs- und Controllinginstrumentarium nicht möglich. Daher wird die HeatMap in Unternehmen immer mehr durch „Betrachtungen in Bandbreiten“ abgelöst, wie sie z.B. in CFaR-Betrachtungen in Verbindung mit Monte Carlo-Simulationen (Sommerfeld, 2011, S. 260f) wie zum Beispiel Korridorplanungen (Cunitz, O./ Klingmann, P./ Radtke, B., 2012, S. 44) vorgenommen werden:

HeatMap 4.jpg

Nur diese Betrachtung erlaubt die Integration in einen stringenten Planungs- und Steuerungsansatz, der auf einer simultanen Betrachtung von Ergebnis und Risiko basiert.

Literatur

Cunitz, O./ Klingmann, P./ Radtke, B., Steuerung & Controlling in volatilen Zeiten – Projekt bei der Bayer CropScience, in: Zeitschrift für Controlling & Management, Controlling und IT, Sonderheft 2/2012, S. 39-45.

Martin, T./ Bär, T., Grundzüge des Risikomanagements nach KonTraG, 2001.

Sommerfeld, H., Unternehmensführung in volatilen Zeiten: Optimierung durch Integration von Controlling und Risikomanagement, in: Klein, A. (Hrsg.) Risikomanagement und Risiko-Controlling, S. 243 – 264.

o.V., HeatMap, in: Wikipedia, [1], abgerufen am 9. Oktober 2015

Ersteinstellender Autor

Dr. Holger Sommerfeld, Dipl.-Kfm., AREVA GmbH Erlangen, [2]