Risiko-Assessment macht jeder – aber macht er es auch richtig?

Kleinere oder grössere Risikoabwägungen führt man täglich durch, beispielsweise im Strassenverkehr, beim Sport oder medizinischen Fällen. Dazu kommen viele weitere Risikobeurteilungen, die man im beruflichen Umfeld aus unterschiedlichen Motiven durchführt. Diese Beurteilungen dienen unter anderem dazu, über Investitionen zu entscheiden, Aufwände abzuschätzen, Sicherheit von Produkten zu schaffen oder Zuverlässigkeit von Dienstleistungen zu gewährleisten.

Interessant ist dabei zu beobachten, dass Risikobeurteilungen im Kleinen wie im Grossen von allen Ebenen im Unternehmen durchgeführt werden. Die Tragweite der resultierenden Entscheidung ist dabei nicht von der Hierarchieebene abhängig. So kann beispielsweise die Beurteilung einer potenziellen Terrorbedrohung durch einen Wachmann eventuell sogar kurzfristig weitreichendere Folgen haben als eine Investitionsentscheidung durch die Geschäftsleitung. Dies zeigt, dass die Qualität von Risikobeurteilungen und der daraus resultierenden Entscheidungen über alle Unternehmensebenen hinweg sehr wichtig ist. Viele dieser Beurteilungen erfolgen – auch im geschäftlichen Umfeld – unbewusst, implizit beziehungsweise automatisch. Allerdings werden einige dieser Beurteilungen explizit durchgeführt, weil sie aus Gründen der Governance und/oder Compliance nötig sind.

Erkenntnisse und typische Fehler

Zumindest solche Risikobeurteilungen, die aus Gründen der «good governance» oder Compliance durchgeführt werden, sollten gewisse Regeln und Mindeststandards erfüllen. Unabhängig von der Bedeutung der Risikobeurteilung, unterlaufen uns dabei allerdings regelmässig Fehler – teils bewusst, teils unbewusst. Diese lassen sich aus Sicht des Autors grob in drei Kategorien einteilen:

1. Definitorische Fehlerquellen
2. Prozedurale Fehlerquellen
3. Kognitive Fehlerquellen

Risiken, die keine sind: In die Gruppe der definitorischen Fehlerquellen fallen unter anderem fehlerhafte, unzureichende oder nicht gemeinsam vereinbarte Definitionen von Risiken. Dies erschwert eine korrekte Bewertung. Hier fällt – allerdings erst bei genauerem Hinsehen – auf, dass es häufig kein gemeinsames Verständnis unter den involvierten Personen gibt. Allein diese Tatsache ist schon problematisch. Weiterhin werden die Risiken in der Regel nicht konsequent mit Unternehmenszielen verknüpft. Auch dies ist problematisch, da somit die Relevanz der Risiken nicht zwingend gegeben ist. Schliesslich werden Ursache-Wirkungs-Ketten nicht per Definition genauer hinterfragt. Man begnügt sich stattdessen häufig «aus pragmatischen Gründen» mit Vereinfachungen, wel­che aber der tatsächlichen Komplexität der Risiken selten gerecht werden.

All diese Faktoren führen dazu, dass in vielen Risikoportfolios nicht nur Risiken aufgelistet sind, sondern entweder vielfach Risikotreiber stehen, also Faktoren, die das eigentliche Risiko beeinflussen, oder aber es handelt sich um Unsicherheiten, also Situationen oder Szenarien, die sich unter Umständen zu einem späteren Zeitpunkt in ein tatsächliches Risiko verwandeln können, aber nicht unbedingt müssen. Die Unterscheidung zwischen Risiko und Unsicherheit erfolgt anhand von Wahrscheinlichkeiten und dem Grad der Konkretisierung der Folgen. Da Unsicherheiten ihre Wirkung auch in positiver Richtung entfalten können, werden sie ab und zu auch als «Chancen» betitelt.

In der Summe kommt es nicht selten vor, dass Risikobeurteilungen durchgeführt werden für Risiken, die keine sind. Das macht die Bewertung sehr schwierig und die Steuerbarkeit fast unmöglich.

Risikobeurteilungsprozess – unausgereift, unsachgemäss, unvollständig: Defizite in der Definition haben unmittelbare Auswirkung auf den Beurteilungsprozess. Abgesehen von erwähnten definitorischen Fehlerquellen, lauern auch im Beurteilungsprozess selbst neue, zusätzliche Fehlerquellen. Neben eher offensichtlichen Fehlerpotenzialen (z.B. manuelle Fehleingaben, individuelle Fehleinschätzungen, absichtliche Falschangaben, usw.) gibt es auch nicht ganz so offensichtliche Fehlerpotenziale, von denen hier einige exemplarisch genannt seien:

− Allein die Auswahl und Zusammensetzung der Teilnehmer eines Risiko-Workshops kann das Ergebnis signifikant beeinflussen.

− Die Wahl der Methode hat massiven Einfluss auf das Ergebnis und die daraus resultierenden Entscheidungen. Prominentes Beispiel für die Wahl einer nicht geeigneten Methode liefert die Finanzkrise: Alle Banken haben vor der Finanzkrise zur Berechnung des Risikos fast ausschliesslich auf die Value-at-Risk-Methode gesetzt und bei Zusammenbruch der Hypothekarmärkte gigantische Verluste realisiert. Denn diese Methode weist nur realistische Risikowerte aus, wenn die Rahmenbedingungen konstant bleiben. Bei einem kompletten Zusammenbruch des Marktes sind die auf diesem Modell ermittelten Risikowerte eben nicht korrekt.

− Beurteilung von Risiken anhand von Wahrscheinlichkeiten: Es gibt Fälle, in denen das gut funktioniert und sinnvoll ist. Allerdings fehlt beispielsweise häufig eine geeignete statistische Datenbasis für eine korrekte Bewertung oder die Beteiligten verschätzen sich massiv. Darüber hinaus bieten Wahrscheinlichkeiten auch in der anschliessenden Auswertung der Ergebnisse erhebliche Fehlerpotenziale. Wissenschafter wie Gigerenzer und Kahneman & Tversky haben eindrücklich nachgewiesen, dass Wahrscheinlichkeiten in der Risikobeurteilung in vielen Fällen eher nicht geeignet sind.

− Am Ende eines Risikobeurteilungsprozesses wird das Ergebnis i.d.R. als visuelle Matrix präsentiert. Auch wenn diese sogenannte Risikomatrix sehr weit verbreitet ist, führt diese Darstellung durch Verdichtung von Informationen häufig zu krassen Fehlinterpretationen.

− Eine noch gefährlichere (weil irreführende) Darstellung sind Rankinglisten. Hierbei speziell gefährlich sind Rankingansätze auf Basis von Multiplikation der Achsen (Wahrscheinlichkeit mal Schadensausmass). Abgesehen davon, dass unabhängige Grössen nicht miteinander verquickt werden sollten, sind sie aus Sicht der Mathematik gar nicht möglich (Ordinalskalen).

Kognitive Fallen: Die dritte Gruppe von Fehlerpotenzialen umfasst kognitive Aspekte, die je nachdem stark auf den Prozess einwirken. Die folgenden Effekte sind eine extrem stark verkürzte Auswahl von Erkenntnissen der Professoren Gigerenzer und Kahneman & Tversky, die sich jahrelang mit diesen Fragen intensiv auseinandergesetzt haben. Sie beeinflussen den gesamten Beurteilungsprozess und damit das Ergebnis signifikant. Dem interessierten Leser werden zur intensiveren Lektüre am Ende des Artikels Buchempfehlungen beigefügt:

Erstens – Illusion der Gewissheit: Menschen neigen dazu, Gewissheit zu suchen. Manchmal geht das so weit, dass ein «präziser Risikowert» (auch wenn er fragwürdig entstanden bzw. evtl. sogar falsch ist) einer ungefähren Betragsspanne vorgezogen wird (auch wenn diese Spanne sehr viel realistischer ist).

Zweitens – Ankereffekt: Im Rahmen einer Gruppendiskussion zur Risikobeurteilung kann es vorkommen, dass jemand bewusst oder unbewusst einen sogenannten «Anker» setzt, indem er einen Wert X vorschlägt. In der Folge wird dann häufig nur noch über eine Justierung des Wertes diskutiert, statt den Wert komplett infrage zu stellen oder einen ganz anderen dagegenzusetzen.

Drittens – Selbstüberschätzung: Führungskräfte tendieren dazu, ihre eigene Urteilskraft oder besser gesagt die Qualität ihres Urteils zu überbewerten. Dieser Effekt wird tendenziell noch verstärkt bei besonders erfolgreichen Personen (weil sie in ihrer Wahrnehmung ja vieles bisher richtig gemacht haben), bei bestimmten Persönlichkeitsmerkmalen und bei situativen Aspekten.

Viertens – Framing-Effekt: Dieser Effekt beschreibt den Umstand, dass theoretisch gleiche Problemstellungen bei gleichen Rahmenbedingungen von den gleichen Personen identisch entschieden werden müssten, selbst wenn sie leicht anders formuliert sind. Dies ist aber genau nicht der Fall: Selbst geringe Abweichungen der Problembeschreibungen (also des «Frames») können zu völlig widersprüchlichen beziehungsweise entgegengesetzten Entscheidungen führen. Es gäbe noch diverse weitere kognitive Fallen wie den Konjunktionseffekt, den Spielerfehlschuss oder Aspekte des Gruppendenkens, die im Risikobeurteilungsprozess eine nicht unwesentliche Rolle spielen können. Gigerenzer bzw. Kahneman & Tversky sprechen in diesem Zusammenhang auch von «heuristics and biases». Zusammenfassend werden also Risiko-Assessments durch solche kognitiven Effekte der handelnden Personen massiv beeinflusst. Im Zusammenspiel mit den weiter oben beschriebenen definitorischen und prozeduralen Aspekten kann somit ein Risiko-Assessment schnell zu einem politisch gewünschten, aber eventuell ziemlich unrealistischen Resultat führen.

Es gäbe noch diverse weitere kognitive Fallen wie den Konjunktionseffekt, den Spielerfehlschuss oder Aspekte des Gruppendenkens, die im Risikobeurteilungsprozess eine nicht unwesentliche Rolle spielen können. Gigerenzer bzw. Kahneman & Tversky sprechen in diesem Zusammenhang auch von «heuristics and biases».

Zusammenfassend werden also Risiko-Assessments durch solche kognitiven Effekte der handelnden Personen massiv beeinflusst. Im Zusammenspiel mit den weiter oben beschriebenen definitorischen und prozeduralen Aspekten kann somit ein Risiko-Assessment schnell zu einem politisch gewünschten, aber eventuell ziemlich unrealistischen Resultat führen.

Als Konsequenz muss sich daher der Initiator oder Moderator eines Risiko-Assessment-Prozesses über diese Effekte im Klaren sein und durch geeignete Massnahmen, Auswahl und Moderation sicherstellen, dass diese Effekte möglichst ausgeschaltet oder ausbalanciert werden. Eine sehr wirksame Hilfestellung dazu bietet die neu überarbeitete ISO-Norm 31010 in der Fassung 2019.

ISO 31010:2019 – ein hilfreicher Standard für «Risk Assessment»

Mit der völlig überarbeiteten Neuauflage der ISO 31010:2019 «Risk Assessment Techniques», veröffentlicht 2019, liegt nun ein neues Referenzwerk vor. Diese Norm (ca. 40 Seiten) gibt detaillierte Hilfe, wie ein «Risk Assessment» nach Ansicht von Experten ablaufen sollte, welche Aspekte darin zu berücksichtigen wären und welche der 41 beschriebenen Methoden man wann einsetzen könnte. Wie alle ISO-Standards, basiert er auf einem Minimum-Konsens. Das heisst, es gibt keine zwingenden Vorgaben, sondern nur Empfehlungen. Folgt der Anwender den Empfehlungen, wäre das als «good practice» zu interpretieren.

Die Vorgängerversion der ISO 31010 aus dem Jahre 2009 wies deutliche inhaltliche Schwächen auf und orientierte sich zu stark an der «Mutternorm» 31000 (Risk Management). Neu sind in der Version ISO 31010:2019 vor allem die folgenden Aspekte:

Scope erweitert: Im Rahmen der Überarbeitung wurde zunächst der Scope bereinigt und erweitert. Grundidee ist, dass 31010 neu nicht nur im Kontext von ISO 31000 anwendbar ist, sondern möglichst viele unterschiedliche Fälle abdeckt, in denen ein «Risk Assessment» gefordert sein könnte. Hervorzuheben ist dabei, dass explizit Unsicherheit eben auch ein Anwendungsfall sein kann.

Kernkonzept und Prozess überarbeitet: Während die Originalversion in enger Anlehnung an ISO 31000 entstand, liegt bei der neuen Version der Fokus auf Anwendung und Nutzen. Daher wurden der gesamte Text und der gesamte «Risk Assessment»-Prozess von Grund auf überarbeitet.

Implementierungsaspekte ergänzt: Aus der gleichen Überlegung heraus wurde ein zusätzliches Kapitel mit Aspekten und Hinweisen ergänzt, die aus Sicht der Experten bei einer Umsetzung zu berücksichtigen sind.

Verknüpfung mit Anhang: Einer der wesentlichen Kritikpunkte der Vorversion war die fehlende Verbindung des Prozesses mit den vielen Methoden im Anhang. Auf diesen Aspekt wurde daher bei der Überarbeitung an unzähligen Stellen besonders geachtet und in der neuen Fassung entsprechende Hinweise gesetzt.

Methodenwahl: Als Hilfestellung für Anwender wurden zusätzlich eine Anleitung und Kriterien entworfen, die es dem Anwender vereinfachen sollen, aus der Vielzahl der im Anhang aufgelisteten Methoden eine für seine Situation und Bedürfnisse gerechte Methode herauszufiltern.

Überarbeitung des Anhangs: Zu guter Letzt wurde auch das Inventar der Methoden komplett überarbeitet. Dabei wurden von den bisher 31 Methoden einige gestrichen, andere hinzugefügt. Für alle 41 Methoden, die neu im Standard aufgelistet sind, wurde ein einheitliches Raster von zwei Seiten pro Methode festgelegt, welches pro Methode umfangreichere Informationen und Vergleichbarkeit sicherstellen soll.

Alles in allem macht diese Überarbeitung der ISO 31010:2019 einen inhaltlichen Quantensprung zur Vorversion. Zusammenfassend sei allerdings deutlich darauf hingewiesen, dass der Standard – bildlich gesprochen – nicht als Bauanleitung zu verstehen ist, sondern vielmehr als eine Anleitung für die adäquate Nutzung des verfügbaren «Werkzeugkastens».

Ausblick und Tipps für das nächste Assessment

Aufgrund der Qualität des neuen ISO-Standards 31010:2019 drängt sich eine Empfehlung zur Nutzung des Standards für das nächste Assessment auf. Mit Bezug auf einige explizit angesprochene Schwachpunkte in Risiko-Assessments könnten insbesondere die folgenden Tipps hilfreich sein:

− Achten Sie darauf, dass das gewählte Vorgehen der tatsächlichen Komplexität des Sachverhalts gerecht wird. Dazu zählt auch, ein «geeignetes Werkzeug/Methode» zur Beurteilung auszuwählen.

− Da Wahrscheinlichkeiten in vielen Fällen eine hohe Fehleranfälligkeit haben, empfiehlt sich stattdessen die Nutzung von Häufigkeiten.

− Ordinalskalen sollten – wo immer möglich – vermieden und durch numerische Skalen ersetzt werden. Diese erlauben dann später, damit zu rechnen.

− Arbeiten und werten Sie in Bandbreiten, da exakte Werte (gar nicht möglich sind, sondern) nur unter speziellen Bedingungen passen und somit Scheinsicherheit bieten.

− Schauen Sie sich Ursache-WirkungsKetten genauer an, um echte Risiken von Treibern zu unterscheiden. Risiken sind bewertbar, Treiber steuerbar.

− Ziehen Sie allenfalls einen Fachmann bei.

− Stellen Sie sicher, dass die Annahmen und Rahmenbedingungen des RisikoAssessments zwecks späterer Nachvollziehbarkeit gut dokumentiert sind.

Risiko-Assessments durchzuführen ist ein Lernprozess und bei Berücksichtigung zumindest der Mehrheit der genannten Punkte wird sich die Qualität des nächsten Risiko-Assessments deutlich verbessern lassen.

Zum Autor

Axel Sitt, Practice Lead Cyber Security & Privacy bei der AWK Group AG. Er promovierte in Risikomanagement und arbeitet seit 20 Jahren in den Bereichen Risiko- und Krisenmanagement, IKS und IT Security. Seit 2012 ist er als Delegierter der Schweiz bei ISO tätig und hat dort an der Aktualisierung von 31000 und massgeblich an der Überarbeitung der Norm 31010 mitgearbeitet.

Literaturhinweise

• Gerd Gigerenzer: Das Eimaleins der Skepsis

• über den richtigen Umgang mit Zahlen, Verlag Piper

• Daniel Kahneman: Schnelles Denken, langsames Denken. Pinguin Books

• ISO: 31010:2019 Risk assessment techniques (kann über SNV bezogen werden)