Wer im Internet nach "Risk Assessment" sucht, findet sehr schnell reichlich Darstellungen und Vorlagen, um Risk Assessments durchzuführen. Sie sind allgegenwärtig geworden und aus einer Vielzahl von technischen und kommerziellen Fragestellungen gar nicht mehr wegzudenken. Was jedoch erstaunt, ist die Tatsache, dass die Qualität und Ergebnisse der meisten Risk Assessments eher mittelmäßig bis schlecht sind. Woran liegt das? Und was ließe sich dagegen tun?
Wozu dient ein Risk Assessment? Warum immer mehr?
Geradezu ein Hype um Risk Assessments ist entstanden, weil immer mehr Industrie-Standards nach Risk Assessments verlangen. Es reicht offensichtlich nicht mehr aus, über Safety und Security bei Produkten, bei technischen Vorhaben, bei Bauprojekten, bei Pharmaentwicklung oder IT-Projekten nachzudenken, sondern es muss inzwischen ein Risk Assessment sein. Das soll der gestiegenen Komplexität und dem Risikopotential besser Rechnung tragen als ein reines Projekt-, Security- oder Safety- Assessment oder – häufig in der Vergangenheit – gar kein obligatorisches Assessment. So weit so gut, möchte man meinen. Aber wann hilft ein Risk Assessment überhaupt und was ist zwingend zu beachten, damit das Assessment Qualitätsansprüchen genügt und die Ergebnisse am Ende hilfreich, aussagekräftig und nachvollziehbar sind?
Vorweggenommen: Eine hervorragende Orientierung, wie ein qualitativ gutes Assessment aufgebaut und durchgeführt werden sollte und was relevant für das Ergebnis ist, findet sich in der Norm "ISO 31010 Risk Assessment Techniques" – Stand 2019.
Was sind die typischen Anwendungsfälle für Risk Assessments?
Prinzipiell gibt es ganz viele mögliche Anwendungsfälle. Die Durchführung eines Risk Assessments bietet sich grundsätzlich an, wenn man der Meinung ist, dass ein Vorhaben, ein Produkt oder ein Projekt vielleicht gewisse Risiken birgt, welche man transparent machen möchte. Bei der genaueren Auseinandersetzung mit der Materie kristallisierten sich vier prinzipielle Typen heraus, wo Risk Assessments zum Einsatz kommen bei:
- Entscheidungen unter Unsicherheit
- Entscheidungen zwischen Risiken / Optionen
- Genaueres Verständnis für ein bestimmtes Risiko
- Im Prozess zur Findung einer angemessenen Risiko-Behandlung
Man könnte diese vier Typen auch als Etappen verstehen in einem Prozess, der sich von "noch ziemlich diffuse Überlegungen" zu "sehr konkrete Problemlösung" entwickelt und in jeder Phase unterschiedliche Hilfestellung bieten könnte. Aus der Natur der Sache heraus ergibt sich somit schon mal die Notwendigkeit einer differenzierten Zielsetzung und Anwendung von Risk Assessments.
Was sind typische Fehler im Kontext eines Risk Assessments?
Bei Risk Assessments unterlaufen den meisten Anwendern allerdings regelmäßig Fehler – das trickreiche ist, dass viele davon eher unbewusst oder aus Nachlässigkeit passieren, indem man beispielsweise einfach Vorlagen aus dem Internet anwendet, ohne sich genauer mit der Problematik auseinander gesetzt zu haben. Problemtisch ist, dass diese Fehler weitreichende Folgen haben können. Typische Fehler lassen sich aus Sicht des Autors grob in drei Kategorien einteilen:
- Definitorische Fehlerquellen: Es fängt an bei der Frage, in welchem Stadium man sich eigentlich in dem erwähnten Prozess befindet, inklusive der Frage nach einer gemeinsamen Definition von Risiken und dem angestrebten Ziel? Evtl. ist der Startpunkt schon falsch gesetzt und folglich trifft auch das Ergebnis entweder auf andere Erwartungen oder eben keine Akzeptanz. Damit einher gehen Diskrepanzen zur Relevanz und evtl. der Versuch Risiken, die keine sind, zu bewerten.
- Prozedurale Fehlerquellen: Die eigentliche Durchführung erscheint auf den ersten Blick simpel, da es laut ISO 31000 nur drei Phasen gibt: Identifikation, Analyse und Bewertung. Wie häufig steckt hier der Teufel im Detail: so können beispielweise
a) die Auswahl der Mitwirkenden,
b) die Wahl der Methode und
c) der Maßstab zur Beurteilung und Darstellung als Matrix
– um nur drei kritische Elemente zu benennen – ganz gravierenden Einfluss auf das Ergebnis haben. Renommierte Wissenschaftler haben beispielsweise nachgewiesen, dass wir mehrheitlich keine geborenen Statistiker sind und somit der Einsatz von Wahrscheinlichkeiten – auch wenn er wahnsinnig weit verbreitet ist – in der überwiegenden Mehrheit der Fälle Nonsens ist bzw. bestenfalls zu verzerrten oder irreführenden Bewertungsresultaten führt. Dies äußert sich beispielsweise immer wieder im fehlerhaften Einsatz sogenannter Risiko-Matrizen. - Kognitive Fehlerquellen: Die dritte Gruppe von Fehlerpotentialen umfasst kognitive Aspekte, die je nachdem stark auf den Prozess einwirken. Salopp ausgedrückt: unser Kopf spielt uns manchmal einen Streich. Die folgenden drei Effekte sind eine stark verkürzte Auswahl von Erkenntnissen der Professoren Gigerenzer und Kahneman und Tversky, die sich jahrelang mit diesen Fragen intensiv auseinandergesetzt haben. Sie beeinflussen den gesamten Beurteilungsprozess und damit das Ergebnis signifikant. Dem interessierten Leser werden zur intensiveren Lektüre am Ende des Artikels Buchempfehlungen beigefügt:
- Illusion der Gewissheit: Menschen neigen dazu, Gewissheit zu suchen. Manchmal geht das so weit, dass ein «präziser Risikowert» (auch wenn er fragwürdig entstanden, bzw. evtl. sogar falsch ist) einer ungefähren Betragsspanne vorgezogen wird (auch wenn diese Spanne sehr viel realistischer ist).
- Ankereffekt: Im Rahmen einer Gruppendiskussion zur Risikobeurteilung kann es vorkommen, dass jemand bewusst oder unbewusst einen sogenannten «Anker» setzt, indem er einen Wert X vorschlägt. In der Folge wird dann häufig nur noch über eine Justierung des Wertes diskutiert, statt den Wert komplett in Frage zu stellen oder einen ganz anderen dagegen zu setzen.
- Framing-Effekt: Dieser Effekt beschreibt den Umstand, dass theoretisch gleiche Problemstellungen bei gleichen Rahmenbedingungen von den gleichen Personen identisch entschieden werden müssten, selbst wenn sie leicht anders formuliert sind. Dies ist aber genau nicht der Fall: Selbst geringe Abweichungen der Problembeschreibungen (also des «Frames») können zu völlig widersprüchlichen beziehungsweise entgegengesetzten Entscheidungen führen.
Es gäbe noch viele weitere Punkt aufzuzählen. Abschließend sei noch erwähnt, dass häufig «aus pragmatischen Gründen» mit Vereinfachungen oder Annahmen gearbeitet wird. Das ist prinzipiell akzeptabel, sofern diese der tatsächlichen Komplexität der Risiken annähernd gerecht und sauber dokumentiert werden. Geschieht dies nicht – was leider häufig der Fall ist – so wird nicht nur das Ergebnis fragwürdig, sondern nachträglich ist meistens auch keine Nachvollziehbarkeit gegeben.
Alles in allem sprechen alle diese Punkte entschieden dafür, Risk Assessments in Zukunft eher mit mehr Sorgfalt durchzuführen, da immerhin die Resultate doch erheblichen Einfluss und Wirkung haben können.
Was macht ein gutes Risk Assessment aus?
Herkömmlich wird die Kombination aus Identifikation, Analyse und Bewertung genannt, wie man sie auch in der ISO 31000 finden kann. Allerdings sind diese drei Schritte bei weitem nicht präzise genug. Hier bietet sich an, den Standard "ISO 31010 Risk Assessment Techniques" in der Version 2019 heranzuziehen. Der Standard beschreibt nicht nur alle Phasen und Schritte eines Risk Assessments detailliert, sondern listet – wie der Name auch schon sagt – eine Vielzahl von Techniken auf, die man einsetzen oder sogar kombinieren kann innerhalb eines solchen Prozesses. Wichtig ist auch die Bedeutung der Fixierung eines präzisen Ziels und der designierten Empfänger: Wer soll welche Entscheidungen treffen auf Basis des Assessments?
Mit Bezug auf einige explizit angesprochene Schwachpunkte in Risk Assessments könnten insbesondere die folgenden Tipps hilfreich sein:
- Achten Sie darauf, dass das gewählte Vorgehen der tatsächlichen Komplexität des Sachverhalts gerecht wird. Dazu zählt auch, ein «geeignetes Werkzeug / Methode» zur Beurteilung auszuwählen.
- Da Wahrscheinlichkeiten in vielen Fällen eine hohe Fehleranfälligkeit haben, empfiehlt sich stattdessen die Nutzung von Häufigkeiten.
- Ordinalskalen sollten – wo immer möglich – vermieden und durch numerische Skalen ersetzt werden. Diese erlauben dann später, damit zu rechnen.
- Arbeiten und werten Sie in Bandbreiten, da exakte Werte (gar nicht möglich sind, sondern) nur unter speziellen Bedingungen passen und somit Scheinsicherheit bieten.
- Schauen Sie sich Ursache-Wirkungsketten genauer an, um echte Risiken von Treibern zu unterscheiden. Risiken sind bewertbar, Treiber steuerbar.
- Ziehen Sie allenfalls einen Fachmann bei. Stellen Sie sicher, dass die Annahmen und Rahmenbedingungen des Risk Assessments zwecks späterer Nachvollziehbarkeit gut dokumentiert sind.
Risk Assessments durchzuführen, ist ein Lernprozess und bei Berücksichtigung zumindest der Mehrheit der genannten Punkte wird sich die Qualität Ihrer nächsten Risk Assessments deutlich verbessern lassen.
ISO 31010:2019 – ein hilfreicher Standard für «Risk Assessment»
Mit der völlig überarbeiteten Neuauflage der ISO 31010:2019 «Risk Assessment Techniques», veröffentlicht 2019, liegt ein Referenzwerk vor. Diese Norm (ca. 40 Seiten) gibt detaillierte Hilfe, wie ein «Risk Assessment» nach Ansicht von Experten ablaufen sollte, welche Aspekte darin zu berücksichtigen wären und welche der 41 beschriebenen Methoden man wann einsetzen könnte. Wie alle ISO-Standards basiert er auf einem Minimum-Konsens. Das heißt, es gibt keine zwingenden Vorgaben, sondern nur Empfehlungen. Folgt der Anwender den Empfehlungen, wäre das als «good practice» zu interpretieren.
Autor:
Dr. Axel Sitt ist derzeit Principal GRC & IT Security Consultant bei der ensec AG in der Schweiz. Er promovierte in Risikomanagement und arbeitet seit 25 Jahren in den Bereichen Risiko- und Krisenmanagement, IKS und IT Security. Seit 2012 ist er auch als Delegierter der Schweiz bei ISO tätig und hat dort an der Aktualisierung von ISO 31000 und maßgeblich an der Überarbeitung der Norm ISO 31010 mitgearbeitet.
Weiterführende Literaturhinweise:
- Gerd Gigerenzer (2007): Das Eimaleins der Skepsis – über den richtigen Umgang mit Zahlen, Piper Verlag, München 2007.
- Daniel Kahneman (2012): Schnelles Denken, langsames Denken, Siedler Verlag, München 2012
- ISO 31010:2019 Risk Assessment Techniques