Wie aussagefähig sind qualitative Risikoeinschätzungen?

Im Business Continuity Management wird häufig auf qualitative Einschätzung von Risiken zurückgegriffen. Das Risiko wird als “unwahrscheinlich”, “wahrscheinlich” oder “selten” klassifiziert. Diese Klassifizierungen sollten einheitlich gleich verstanden werden, um eine solide Grundlage für das Risikomanagement zu bilden. Leider werden die Wahrscheinlichkeiten, für die diese Klassifizierungen stehen, von verschiedenen Personen zum Teil völlig unterschiedlich interpretiert. Eine weitere Schwachstelle, auf die beim Design des Risikomanagements zu achten ist, neben den psychologischen Wahrnehmungsfehlern für Risiken und deren Eintrittswahrscheinlichkeit.

Auf RiskNet ist am 1. Februar 2021 unter dem Beitragstitel “Grenzen einer qualitativen Risikobewertung” das Ergebnis einer sehr aufschlussreichen Studie über das Verständnis der Begriffe zur Klassifizierung der Eintrittswahrscheinlichkeit erschienen. Bei der qualitativen Risikoeinschätzung werden Klassifizierungen wie “höchstwahrscheinlich”, “wahrscheinlich”, “häufig”, “selten” oder “nie” verwendet. Wichtig bei der qualitativen Risikoeinschätzung ist ein gemeinsames Verständnis der Klassifizierungen. Die Studienergebnisse zeigen jedoch auf, dass selbst Klassifizierungen, die vermeintlich eindeutig sind, wie “sicher” oder “ausgeschlossen”, von den Studienteilnehmern nicht eindeutig einer Wahrscheinlichkeit zugeordnet werden konnten. Die Klassifizierungen “höchstwahrscheinlich”, “wahrscheinlich” und “möglich” weisen breite Streuungen des Verständnisses über die dahinterliegende Wahrscheinlichkeit auf. Die Einschätzung der Wahrscheinlichkeit unterscheidet sich zudem zum Teil stark nach Geschlechtern und Studienrichtung der Studienteilnehmer.

Die Ergebnisse dieser Studie zeigen klar auf, dass die häufig verwendeten Klassifizierungen für Risiken nicht eindeutig sind, sondern im Auge des Betrachters liegen. Wenn auf eine qualitative Risikoeinschätzung nicht verzichtet werden kann, sind die Klassifizierungen daher möglichst genau zu beschreiben und voneinander abzugrenzen. Der Autor der Studie schlägt hierfür zum Beispiel Zuordnungstabellen mit Bandbreiten vor (Bsp. “unwahrscheinlich” entspricht Wahrscheinlichkeiten unter 15 Prozent, “möglich” 15 bis 30 Prozent).

Neben dieser sprachlichen Unschärfe, die in der Studie beleuchtet wird, gibt es zahlreiche psychologische Fehler in der Risikobeurteilung, die in der Natur des Menschen liegt. Wer diesen Wahrnehmungsfehlern auf die Spur kommen möchte, dem empfehle ich die Literatur des Buches How Risky Is IT, Really von David Ropeik – Why our fears don´t always match the facts, in dem viele schöne Beispiele für die fehlerhafte Wahrnehmung von Risiken beschrieben werden begründet darin, wie Risiken formuliert und wie diese subjektiv wahrgenommen werden.

BCM-Wiki

Warum das Produkt aus Eintrittswahrscheinlichkeit mal Schadenshöhe zu Fehlentscheidungen führt

Vor Kurzem habe ich auf der Plattform 3GRC den Artikel “Wie wahrscheinlich ist das Unwahrscheinliche” veröffentlicht. In diesem Beitrag lege ich dar, dass die Eintrittswahrscheinlichkeit eines Ereignisses keine Rolle bei der Bewertung eines Risikos spielen darf. Jetzt bin ich auf einen Artikel in der Resiliencepost gestossen, der diese Argumentation bestärkt und zudem ein sehr anschauliches Beispiel hierfür liefert. Ich habe mir daher erlaubt dieses Beispiel aus dem Artikel “zu klauen” und hier etwas modifiziert wiederzugeben.

Weiterlesen…

Allianz Risk Barometer 2017: Betriebsunterbrechungen sind das größte Risiko

Betriebsunterbrechung ist zum im fünften Jahr in Folge das größte Risiko für Unternehmen. Neue Auslöser sind auf dem Vormarsch. Gefahren wie Naturkatastrophen und Brände sind weiterhin die Ursachen, die Unternehmen am meisten fürchten, aber die Art des Risikos verschiebt sich zunehmend auf Nicht-Schaden-Ereignisse. Ein Cybervorfall oder die indirekten Auswirkungen eines terroristischen Gewaltakts sind Ereignisse, die zu großen Verlusten führen können, ohne physische Schäden zu verursachen. Eine Zunahme solcher Ereignisse wird erwartet.“, so das Ergebnis des Allianz Risk Barometer 2017. Gute Gründe also, Notfallvorsorge in Form von Business Continuity Management (BCM), IT-Service Continuity Management (ITSCM) und Krisenmanagement zu betreiben. Ein gutes Business Continuity Management in Form eines “all hazard approach” wirkt sowohl für Schaden, als auch Nicht-Schaden-Ereignisse gleichermaßen. Nicht-Schaden-Ereignisse wie Cyber-Attacken erfordern neben den klassischen BCM-Konzepten und -plänen eine enge und sorgfältige Abstimmung aller Disziplinen von den Notfallplänen über eine abgestimmte IT-Notfallvorsorge bis hin zu einem funktionierenden Krisenmanagement mit der internen und externen Krisenkommunikation. Notfallpläne in der Schublade alleine reichen für die aktuellen Anforderungen komplexer und dynamischer Szenarien nicht mehr aus. BCM, ITSCM und Krisenmanagement müssen fester Bestandteil der Unternehmensführung und -steuerung sein. Nicht umsonst steckt in jeder dieser Disziplinen das Wörtchen “…management”. Die Implementierung mag ein langer, steiniger Weg sein, doch erkennen viele Unternehmen inzwischen den Nutzen dieser Investition über die reine Notfallvorsorge hinaus. Gibt eine Versicherung nur ein etwas beruhigerendes Gefühl für das ausgegebene Geld, schaffen BCM und ITSCM demgenüber ein hohes Maß an Transparenz der komplexen Zusammenhänge von Wertschöpfungsketten und Ressourcen des Unternehmens – quasi als Nebenprodukt einer Business Impact Analyse.  Das Krisenmanagement unterstützt in Form von Krisenstabstrainings und -übungen die übergreifende Zusammenarbeit und das Verständnis für die Inhalte des “Silos” der jeweiligen Anderen. Damit zu starten, ist ein guter Vorsatz für 2017. Viele Vorsätze für das neue Jahr scheitern, weil die Ziele für das Leistungsvermögen, Zeit und Budget weit zu hoch gesteckt sind. Ich empfehle daher eine stufenweise Implementierung in überschaubaren Schritten  mit einer abgestimmten Vision, damit die Organisation in das Thema “wachsen” kann und keine Investitionsruine entsteht.

Der Allianz Risk Barometer 2017 ist auf der Webseite der AGCS verfügbar.

Be prepared

Matthias Hämmerle MBCI

Todesfalle Aufzug?

Diese Filmszenen kennt jeder: ein Aufzug rast ungebremst in die Tiefe und reißt die Mitfahrer in den Tod.

Ist dieses Szenario realistisch und welche Risiken bestehen tatsächlich  bei einer Fahrt mit dem Aufzug?

Die Zeitschrift “Sicherheitsberater” hat diese Fragestellung in seiner aktuellen Ausgabe im Interview mit einem Experten vom TÜV Rheinland auf den Grund gegangen.

Soviel sei vorab verraten: ich werde Aufzüge weiter meiden, obwohl überhaupt kein sachlicher Grund hierfür besteht und ich achte darauf ein Handy im Aufzug dabei zu haben.

Manager sollen für Pflichtverletzungen beim Risikomanagement ins Gefängnis

Am kommenden Mittwoch ist ein Gesetzespaket im Kabinett, das unter anderem eine deutliche Verschärfung der Haftung von Managern bei Pflichtverletzungen im Risikomanagement vorsieht. Bis zu fünf Jahre Gefängnis oder Geldstrafen von bis zu 11 Millionen Euro drohen Managern, die vorsätzlich oder fahrlässig handeln und Unternehmen hierdurch Schaden zugefügt wird. Der Entwurf der Gesetze liegt dem Handelsblatt vor. Die D&O-Versicherungen werden dies wohl mit einer Beitragserhöhung honorieren.

WEF Global Risks 2013 Report

Das World Economic Forum hat die 8. Auflage des Reports Global Risks “Global Risks 2013” veröffentlicht. Der Report stellt die Eintrittswahrscheinlichkeiten und Schadensfolgen globaler Risiken dar, die Vernetzung der Risiken und das Resilience-Ranking der Staaten auf Basis einer empirischen Erhebung. Der Report kann auf den Seiten des WEF kostenfrei heruntergeladen werden. Auf der Seite kann mittels Data Explorer durch die Risiken navigiert und die Risiken aus unterschiedlichen Sichten betrachtet werden. Insbesondere die Vernetzung der Risiken wird hierdurch deutlich gemacht.

“Risk Assessment as Part of Business Continuity Planning is Overrated”

Welche Aufgaben hat das BCM in der Phase “Risk Assessment”? Dies ist vielleicht eines der noch ungeklärten Rätsel des BCM und die Meinungen hierzu gehen sehr weit auseinander. Auf der einen Seite der Anschauungen könnte man fast von einer “feindlichen Übernahme” des opRisk (oder sogar noch weitergehender) durch das BCM sprechen, was natürlich von den Risikomanagern heftig abgewehrt wird. Schließlich blicken sie auf eine längere Tradition mit ausgefeilten Methoden und Verfahren zurück. BCMer ohne eine fundierte Grundausbildung in Statistik sollten es nicht auf eine Diskussion mit diesen geschätzten Kollegen ankommen lassen. Auf der anderen Seite der Anschauungen stellt sich demgegenüber die existentielle Frage, was vom Risk Assessment im BCM überhaupt noch übrig bleibt. Ich bin Anhänger eines pragmatischen Ansatzes, der in diesem Artikel aus meiner Sicht sehr treffend und anschaulich beschrieben ist, ganz dem Motto folgend “Entmystifizierung des Risikomanagements im BCM”:   

http://blog.infotech.com/research/risk-assessment-as-part-of-business-continuity-planning-is-overrated/

Katastrophenforscher: “Die Welt hat aus dem Titanic-Untergang nichts gelernt”

Katastrophenforscher Martin Voss von der Katstrophenforschungssstelle an der FU Berlin zur Technikgläubigkeit der Menschen, um Katastrophen beherrschen zu können. “Statt unser Weltbild in Frage stellen zu lassen, bauen wir nur bessere Schiffe, höhere Deiche oder wollen uns mit Frühwarnsystemen schützen.”, so Martin Voss in dem Artikel, der in welt online veröffentlicht wurde. Doch er sieht momentan ein Umdenken. Katastrophen sind laut Voss in der Regel in der Kausalkette auf Menschen und nicht die Natur zurückzuführen. Dann nämlich, wenn zum Beispiel durch Erdbeben und Tsunami gefährdete Gebiete durch Menschen besiedelt werden. Diese Aussage wiederum passt sehr gut zu den Ergebnissen des UN-Berichts “World Urbanization Prospects: The 2011 Revision”, aus dem ich in einem Artikel vor Kurzem die wichtigen Erkenntnisse für das Katastrophenmanagement zusammengefasst habe: die risikogefährdeten Regionen werden überdurchschnittlich stark besiedelt. 890 Millionen Menschen leben in stark durch Naturkatastrophen gefährdeten Regionen und deren Zahl nimmt ständig zu.

Welt online

890 Millionen Menschen leben in Hochrisikogebieten für Naturkatastrophen

60 Prozent der Siedlungsgebiete mit mehr als einer Million Einwohner auf der Erde liegen in Zonen, die mindestens einer Naturgefahr ausgesetzt sind. 890 Millionen Menschen sind durch Überflutungen, Trockenheit und/oder Erdbeben gefährdet. Dies ist eines der Ergebnisse des “World Urbanization Prospects: The 2011 Revision” der UN. Die bevölkerungsreichsten Städte, die in Risikogebieten mit mindestens einer Gefährdung liegen sind Tokio, Dehli, Ciudad de México, New York-Newark und Shanghai. In Asien und Südamerika liegen die Megacities, die mindestens drei Risiken aus Naturkatastrophen ausgesetzt sind. Zwischen 2011 und 2050 wird die Weltbevölkerung um 2,3 Milliarden Menschen auf 9,3 Milliarden Menschen wachsen. Dieses Wachstum findet vor allem in den urbanen Gebieten der Entwicklungsländer stattfinden. Von den zehn am schnellsten wachsenden Metropolen in Risikogebieten befinden sich neun in China. Immer mehr Menschen werden in Zukunft daher den Risiken von Naturkatastrophen wie Flut, Trockenheit, Erdbeben und Vulkanismus ausgesetzt sein. Wenn diesen Gefährdungen keine regulierenden Maßnahmen für die Risikovorsorge wie erdbebensichere Bautechniken und Hochwasserschutz entgegengesetzt werden, müssen wir leider mit weiter stark steigenden Opferzahlen nach Naturkatastrophen rechnen.

World Urbanization Prospects: The 2011 Revision (UN) 

Center of Hazards and Risk Research at Columbia University

A long way to a risk-aware culture

“Focus on enterprise-wide risk management has grown, but most executives feel their companies still have a long way to go in building an effective, risk-aware culture.”, so eines der zentralen Ergebnisse der Studie zu Risk Management der Harvard Business Review sponsored by Zurich.

[Risk Management in a Time of Global Uncertainty (pdf)]

Welche Risiken sehen die Unternehmen für 2012? Die aktuelle Studie des BCI zu den Top-Risiken

Das Business Continuity Institute BCI hat im Dezember 2011 458 Organisationen aus 49 Ländern und 15 Branchen zu der Einschätzung von 28 Risiken befragt. In den Ergebnissen der Studie “Horizon Scan 2012” über alle Branchen und Länder hinweg rangieren die Risiken

  • ungeplante IT- und Telekommunikations-Ausfälle
  • Datenverlust
  • Cyber Attacken

an der Spitze der eingeschätzten Bedrohungen. Im verarbeitenden Gewerbe wird das Risiko einer Lieferunterbrechung vor allen anderen Risiken gesehen. Japan und Thailand habe die Bedeutung dieser Risiken in 2011 sehr deutlich werden lassen. Neben dem Ausfall von IT und Telekommunikation spielt das Risiko von Produktfehlern im produzierenden Gewerbe eine besonders bedeutende Rolle. Während Behörden eher Unwetter und den Ausfall Personal befürchten.

[BCI Horizon Scan 2012 (pdf)]