Wie aussagefähig sind qualitative Risikoeinschätzungen?
Im Business Continuity Management wird häufig auf qualitative Einschätzung von Risiken zurückgegriffen. Das Risiko wird als “unwahrscheinlich”, “wahrscheinlich” oder “selten” klassifiziert. Diese Klassifizierungen sollten einheitlich gleich verstanden werden, um eine solide Grundlage für das Risikomanagement zu bilden. Leider werden die Wahrscheinlichkeiten, für die diese Klassifizierungen stehen, von verschiedenen Personen zum Teil völlig unterschiedlich interpretiert. Eine weitere Schwachstelle, auf die beim Design des Risikomanagements zu achten ist, neben den psychologischen Wahrnehmungsfehlern für Risiken und deren Eintrittswahrscheinlichkeit.
Auf RiskNet ist am 1. Februar 2021 unter dem Beitragstitel “Grenzen einer qualitativen Risikobewertung” das Ergebnis einer sehr aufschlussreichen Studie über das Verständnis der Begriffe zur Klassifizierung der Eintrittswahrscheinlichkeit erschienen. Bei der qualitativen Risikoeinschätzung werden Klassifizierungen wie “höchstwahrscheinlich”, “wahrscheinlich”, “häufig”, “selten” oder “nie” verwendet. Wichtig bei der qualitativen Risikoeinschätzung ist ein gemeinsames Verständnis der Klassifizierungen. Die Studienergebnisse zeigen jedoch auf, dass selbst Klassifizierungen, die vermeintlich eindeutig sind, wie “sicher” oder “ausgeschlossen”, von den Studienteilnehmern nicht eindeutig einer Wahrscheinlichkeit zugeordnet werden konnten. Die Klassifizierungen “höchstwahrscheinlich”, “wahrscheinlich” und “möglich” weisen breite Streuungen des Verständnisses über die dahinterliegende Wahrscheinlichkeit auf. Die Einschätzung der Wahrscheinlichkeit unterscheidet sich zudem zum Teil stark nach Geschlechtern und Studienrichtung der Studienteilnehmer.
Die Ergebnisse dieser Studie zeigen klar auf, dass die häufig verwendeten Klassifizierungen für Risiken nicht eindeutig sind, sondern im Auge des Betrachters liegen. Wenn auf eine qualitative Risikoeinschätzung nicht verzichtet werden kann, sind die Klassifizierungen daher möglichst genau zu beschreiben und voneinander abzugrenzen. Der Autor der Studie schlägt hierfür zum Beispiel Zuordnungstabellen mit Bandbreiten vor (Bsp. “unwahrscheinlich” entspricht Wahrscheinlichkeiten unter 15 Prozent, “möglich” 15 bis 30 Prozent).
Neben dieser sprachlichen Unschärfe, die in der Studie beleuchtet wird, gibt es zahlreiche psychologische Fehler in der Risikobeurteilung, die in der Natur des Menschen liegt. Wer diesen Wahrnehmungsfehlern auf die Spur kommen möchte, dem empfehle ich die Literatur des Buches How Risky Is IT, Really von David Ropeik – Why our fears don´t always match the facts, in dem viele schöne Beispiele für die fehlerhafte Wahrnehmung von Risiken beschrieben werden begründet darin, wie Risiken formuliert und wie diese subjektiv wahrgenommen werden.