Archiv der Kategorie ‘Risikomanagement‘

 
 

Gelesen: Katastrophenmanagement

Alexander Siedschlag, Rosemarie Stangl, Katastrophenmanagement: Eine wissenschaftliche Einführung, Hamburg 2020, ISBN-13: 9783347179301 (Amazon Affiliate Link)

Statt noch ein Buch über Risikomanagement oder Projektmanagement zu lesen, ist es manchmal wesentlich anregender in ein benachbartes Regal zu greifen, statt erneut in der eigenen Blase zu bleiben und sich gegenseitig selbst zu bestätigen. Das „Katastrophenmanagement“ entstammt der Sicherheitsforschung und versteht sich als eine wissenschaftliche Einführung, steht also in einem Nachbarregal und nicht im PM-Sumpf.

Ja, es ist ein akademisches Buch und die Ländervergleiche und politischen Betrachtungen haben mich jetzt weniger interessiert, aber das ist ja vollkommen ok, weil nicht mein Anspruch. Die grundlegenden Schulen und Analysemethoden, Katastrophenkommunikation und das Resilienzkonzept hingegen schon.

Wir kennen klassische Risikobetrachtungen die mathematisch das Produkt aus Eintrittswahrscheinlichkeit (Likelihood) und den verbunden Auswirkungen (Impact) bilden. Das Disaster Risk Model zeigt, dass man sich auch mit anderen Ansätzen mit der Risikothematik befassen kann:

Jetzt ist so ein Venn-Diagramm, dass die Schnittmenge aus Gefährdung, Exponiertheit und Verletzlichkeit betrachtet nicht so einfach modellierbar wie ein mathematisches Produkt, zeigt aber, dass es sich darüber nachzudenken lohnt, ob es nicht noch andere Faktoren gibt, die wir in die Risikobetrachtung einbeziehen sollten und warum – zum Teufel – müssen diese Faktoren multiplikativ verknüpft sein? Weil es einfach ist?

Ich muss gestehen, dass es noch ein weiteres Motiv für die Lektüre gab: Neugier, denn Alex Siedschlag kenne ich schon aus Schulzeiten. wir haben gemeinsam Abitur gemacht, waren gemeinsam bei der Bundeswehr und haben uns lose im Auge behalten. Insofern war eine solche Einführung auch der willkommene Anlass in sein Metier zu schnuppern. Alex ist heute Professor für Homeland Security an der Penn State University. Zugegebenermaßen musste ich schmunzeln, als ich bei der Beschreibung des Szenariotrichters dann eine Abbildung gefunden habe, die ich vor langer Zeit mal für einen Wikipedia-Artikel gebaut habe (siehe Foto oben) – selbstverständlich ordentlich zitiert, auch wenn die Wikipedia in wissenschaftlichen Kreisen ja eher verpönt ist, aber meine Grafik hat es immerhin in das „Katastrophenmanagement“ geschafft. Die inhaltlichen Belegstellen sind selbstverständlich wissenschaftlicher Natur, aber die Darstellung wurde übernommen.

Für mich wertvolle Inputs waren u.a. die Unterscheidung von Krise und Katastrophe, das Sieben-Phasen-Modell nach Chapmann oder die Impact-Zonen nach Tiryakian. Psychologische Aspekte und systemische Betrachtungen bis hin zum Resilienzkonzept hatten naturgemäß eine hohe Überschneidung zu meinem persönlichen Hintergrund (habe doch Organisationspsychologie (im Nebenfach) durchaus studiert).

Das Buch hält was es verspricht und – ja – es hat auch schon kritische Bezüge zu COVID-19:

„In diesem Zusammenhang wird wiederum deutlich, dass COVID-19 im Bereich des planerisch durchaus vorstellbaren und Antizipiertem lag. Aus sozialwissenschaftlicher Sicht besteht die katastrophale Qualität dieser Pandemie eben auch darin, dass über Jahrzehnte hinweg verfolgte Risikomanagementstrategien entweder nicht (mehr) Praxis bereit waren, nicht kohärent angewandt wurden oder nicht wie vorgesehen griffen (…).“

Diese inhaltliche Aktualität ist bemerkenswert. An anderer Stelle habe ich sie allerdings vermisst: Die Rolle von Blogs und Web 2.0 in der Gefahrenkommunikation ist überholt. An ihre Stelle ist längst Social Media getreten, schneller als die zitierte Fachliteratur nachziehen konnte. Alles in allem aber nur eine Kleinigkeit, die den Gesamteindruck nicht schmälert.

Qualitativ vs. quantitaiv

Zahlen haben fast schon eine „magische“ Wirkung auf uns. Wir schenken ihnen Vertrauen und sie liefern uns exakte Aussagen.

Schön wäre es, denn im Detail liegen ein paar Tücken: Messen bzw. zeigen die Zahlen tatsächlich das, was sie vermeintlich vorgeben zu zeigen? Und mit welcher Zuverlässigkeit und Genauigkeit tun sie es?

Die Krux mathematischer Modelle und Berechnungen liegt darin, dass sie uns Ergebnisse mit Nachkommastellen liefern. Das aber ist lediglich eine Scheingenauigkeit, denn das Ergebnis kann nicht besser sein als das zugrundeliegende Modell. Wie sehr uns das überfordert, zeigt der aktuelle Umgang mit den Covid Statistiken. Von uns Laien werden Zahlen vogelwild interpretiert ohne das wir wirklich wissen, was sie aussagen, ohne das wir statistische Effekte aus Erfassung und Verarbeitung, wie z.B. durch die Änderung der Teststrategie oder das Meldeverhalten, berücksichtigen.

Wir sind in guter Gesellschaft. Seit langem bemängelt  Gerd Gigerenzer (Amazon Affiliate Link), dass die meisten Mediziner, medizinische Wahrscheinlichkeitsaussagen nicht interpretieren können. Wie soll das dann bei Covid anders sein?

Oder im Risikomanagement?

Die bekannteste Quantifizierung eines Risikos ergibt sich aus der versicherungmathematischen Formel als Produkt von Eintritswahrscheinlichkeit und potentiellem Schaden, dem sogenannten Erwartungwert.

Aber welche Aussagekraft hat der Erwartungswert?

Nun statistisch gesehen, ist das der durchschnittlich zu erwartende Schaden. Aber nutzt uns das was? Das ist in etwas wie die durchschnittliche Fiebertemperatur aller Krankenhauspatienten. Nehmen wir einmal an, ein Unternehmen würde aufgrund eines solchen Modells finanzielle Rückstellungen in Höhe des Erwartungswerts treffen. Bei Risiken die digital eintreten, d.h. sie treten entweder ein oder sie treten nicht ein, stecken wir in dem Dilemma, dass wir im einen Fall zu niedrige und im anderen Fall zu hohe Rückstellungen getroffen haben. Worst case ist beides existenzbedrohend, z.B. im Falles des Eintretens eines „schwarzen Schwans“ (Amazon Affilitate Link), also eines äußerst unwahrscheinlichen Ereignisses – z.B. einer Covid-Pandemie….


Den ganzen Beitrag lesen…

Truthahn Irrtum

Weil heute Thanksgiving ist: Kennt Ihr den Truthahn Irrtum?

Unter dem Truthahn Irrtum versteht man nach Nassim Taleb die irrige Annahme des Truthahns, nachdem ihn der Der Farmer 364 Tage gefüttert hat, er wäre sein Freund. Das war am Tag vor Thanksgiving.

Die Geschichte zeigt, dass uns Erkenntnisgewinn nicht immer weiter hilft. Zumindest hat es dem Truthahn nichts genutzt.

Das Compliance-Dilemma

Compliance, die Einhaltung rechtlicher und eigener verbindlicher Vorgaben und Richtlinien, scheint doch so einfach, tja wären doch unsere Regelungen widerspruchsfrei und aufeinander abgestimmt.

Und dann leben wir auch noch in einer globalisierten Welt, wo wir dann auch noch die Compliance in den verschiedenen betroffenen Rechtsräumen brauchen – ich meine jetzt nicht unterschiedliche Fachgebiete, sondern geografisch einzelne Länder mit ihren eigenen Rechtssystemen. Welcher Rechtsraum ist für unseren konkreten Geschäftsvorfall relevant? Bzw. welche Rechtsräume sind relevant? Die direkt betroffenen? Also wenn wir einen deutsch-ägyptischen Geschäftsfall anschauen: deutsches Recht und ägyptisches Recht? Was ist mit der Transitstrecke? Oh Mist, US-Recht beansprucht für sich weltweite Gültigkeit, verpflichtet „US-Persons“ und das sind nicht nur US-Staatsbürger, sondern beispielsweise auch Greencard-Inhaber oder Geschäftsreisende, die sich in USA aufhalten, und nimmt sie in die Pflicht. Wenn auch noch US-Technologie davon betroffen ist, weil die verwendeten Schrauben auf einer US-Drehbank gefertigt wurden, dann mal viel Spaß. Und wir haben noch nicht geschaut, ob nicht auch das nordkoreanisches Recht Anforderungen an unseren konkreten Vorgang richtet. Dessen Relevanz haben wir womöglich gedanklich ausgeblendet. Ein Abwägungsprozess – nicht Compliance.

Einen weiteren Abwägungsprozess liefert uns die Verhältnismässigkeit der Mittel. Denken wir an Informationssicherheit und fehlerfreie Programmierung. Mit absolutem Anspruch vollkommen unsinnige Zielsetzungen, weil wer 100%-ige IT-Sicherheit verspricht oder fehlerfreie Programme von der Materie keine Ahnung hat oder ein Blender ist. Ob wir wollen oder nicht kommen wir um Abwägung und einen Risiko-basierten Ansatz nicht herum. Wir müssen ein sinnvolles Sicherheitsniveau definieren und verfolgen. Und auch hier wieder bewusst abwägen.

Die Abwägung unterhöhlt elementare Grundprinzipien beispielsweise im Datenschutz, wo sich selbst staatliche Hüter der Domäne, die sonst alle Betroffenen mit aller Härte in Ihre Schranken verweisen, z.B. gegenüber Lobbyisten der Versicherungswirtschaft in die Knie gehen, selbst wenn es um die Auswertung besonderer personenbezogenen Daten geht.

Compliance ist zweifellos ein weites Feld. Ein schwammiges noch dazu.

Wenn wir mit Compliance-Anforderungen konfrontiert sind, ist die Definition geeigneter Prozesse unsere einzige Chance Transparenz in die Abläufe und Abwägungen  zu bringen und Verantwortung wahr zu nehmen.

Ein echtes Dilemma.

Das Compliance-Dilemma.

 

Beitrag #701 auf schlossBlog

#631 Informationssicherheit – Guiding Questions

Bei dem ganzen Hype, der dem Thema Informationssicherheit in den letzten Jahren widerfahren ist, darf man eines nicht vergessen: Informationssicherheit ist kein Selbstzweck, sie dient lediglich zur Sicherstellung des eigentlichen Geschäftszweckes/des eigentlichen Auftrags. Demnach gilt: Business first!

Beim Thema Informationssicherheit darf es nicht um die Befriedigung aus Normen abgeleiteter Anforderungen gehen, sondern es ist stets eine Abwägung aus Business Sicht. Dies gilt insbesondere, da es eine 100%-Sicherheit nicht gibt, insofern ist Informationssicherheit immer auch ein Risikomanagement-Prozess.

Bei einem großen Rollout-Projekt zur Implementierung eines IT-Security-Prozesses im IT Service-Management, mussten wir lernen, dass wir die Kollegen immer wieder überfordert haben. Zum Einen ging die eben erwähnte Business-Perspektive in den Köpfen immer wieder verloren, zum Anderen verloren die Kollegen bei der Vielzahl der Security Requirements schnell den Überblick und haben den Wald vor lauter Bäumen nicht mehr gesehen. Da wurden dann technische Betriebs-Details  formal mit dem Provider geklärt, anstatt sich grundsätzlich mit der Frage auseinander zu setzen, was (im konkreten Fall) eine Cloud-Lösung überhaupt ist und ob man die eigenen Daten wirklich in fremde Hände geben möchte. Natürlich braucht es auch dedizierte Anforderungen, aber ohne ein entsprechendes Mindset wurde die Bearbeitung schnell zum sinnentleerten Papiertiger.

Vor diesem Hintergrund habe ich eine Reihe von Guiding Questions formuliert, um die Kollegen wieder „abzuholen“. Natürlich gilt als oberster Grundsatz die Orientierung am Geschäftszweck (1), dann ist ein generelles Lösungsverständnis erforderlich (2) um überhaupt die klassischen Dimensionen der Informationssicherheit bearbeiten zu können (3-5). Zur Visualisierung habe ich mich des IT Security Canvas bedient:

(1) Business first!

(2) Lösung & Architektur
Um ein allgemeines Verständnis unserer Lösung zu entwickeln:

  • Wie sieht das generelle Design/die Architektur der Lösung aus?
  • Gibt es Schnittstellen zu anderen Systemen?
  • Wo sind diese Systeme räumlich angesiedelt?
  • Wo werden Daten gespeichert, verarbeitet oder transportiert?
  • Welche Parteien sind involviert (Benutzer, Administratoren, Dienstleister,…)?
  • Gibt es ein IT-Service-Management?


 
 
 
 
 

(3) Vertraulichkeit / Confidentiality
Wenn Vertraulichkeit von besonderer Relevanz für unsere Lösung ist:

  • Welche Personengruppen und Systeme sind beteiligt bzw. haben Zugriff?
  • Deckt die Zugriffskontrolle all diese ab?
  • Werden Verschlüsselungstechniken eingesetzt? Bei der Speicherung? Bei der Übertragung?


 
 
 
 
 

(4) Integrität / Integrity
Wenn Integrität von besonderer Relevanz für unsere Lösung ist:

  • Wie kann ein Integrationsverlust bemerkt werden?
  • Gibt es Optionen zur Wiederherstellung?
  • Werden unterstützende Features wie Plausibilisierungen, Verschlüsselung, Backups, etc. genutzt?


 
 
 
 
 

(5) Verfügbarkeit / Availability
Wenn die Verfügbarkeit von besonderer Relevanz für unsere Lösung ist:

  • Ist unsere Lösung in einem IT Disaster Recovery und/oder in einem Business Continuity Management zu berücksichtigen?
  • Decken Disaster Recovery und Business Continuity Pläne alle beteiligten Systeme und Parteien ab?

#625 Was tun wenn´s brennt?

Für die zweite Ausgabe des ProjektSMag hat Tim Dettmer u.a. mich gefragt, was ich tun würde wenn ein Risiko mit hoher Tragweite eintritt. Hier meine Antwort:

  • (1) Orientieren – Meine „Lieblingswerkzeuge sind hierbei der MindManager und visuelle Hilfsmittel wie der openPM-Canvas (den ich auch selber mitentwickelt habe).
  • (2) Kommunizieren & Transparenz – Kommunikation ist der Erfolgsfaktor in Projekten schlechthin. Ohne Kommunikation gibt es keine Transparenz. Die Kommunikation muss dabei konstruktiv, also lösungsorientiert sein. Schuldzuweisungen, Fingerpointing, etc. sind gerade in Krisenzeiten zwar beliebt, aber kontraproduktiv
  • (3) Verbindliches Handeln – Ich brauche nicht die x-te Revision eines Projektplans, oft reicht schon eine einfache Aufgabenliste mit klaren Verantwortlichkeiten, die dann aber auch verbindlich umgesetzt und verfolgt wird.

#596 Risikomanagement und Intuition

Im aktuellen RiskNet-Newsletter ist ein Interview mit dem Neurowisenschaftler Prof. Dr. Bernd Weber und dem Beraterkollegen Axel Esser erschienen mit der Aufforderung sich im Risikomanagement nicht auf Intuition zu verlassen.

Hierzu entscheidend Bernd Weber:

Einerseits gibt es aus der Gehirnforschung die Aussage, analytisch-logische Verfahren sind hilfreich bei einfachen Entscheidungen und bei komplexen Entscheidungen ist Intuition besser. Das trifft so wohl auch für die alltäglichen Entscheidungen zu, die wir treffen müssen. Das ist allerdings anders, wenn es um unternehmerische oder finanzielle Entscheidungen unter Risiko geht. Da sollten wir uns lieber nicht auf Heuristiken oder Intuition verlassen. Intuition basiert auf der Fähigkeit der Mustererkennung im Gehirn, das heißt einer automatischen Abwägung von „gelernten Wahrscheinlichkeiten“. Das bedingt ein Umfeld, das hinreichend regelmäßig ist, um vorhersagbar zu sein und viele Gelegenheiten, diese Regelmäßigkeit durch langjährige Erfahrung zu bestätigen.

Diese Einstufung von Intuition erscheint mit plausibel und realistisch, aber was die komplexen unternehmerischen und finanziellen Entscheidungen angeht fehlt dieser Realismus gegenüber den dort nach Meinung von Weber und Esser anzuwendenden Methoden. Es ist wichtig die Grenzen der angewandten Methodik zu kennen. Was die Intuition angeht bin ich ganz bei den beiden, vermisse aber die relativierende Einschätzung anderer Methoden.

Wir leiden an einer Methodengläubigkeit ohne deren Grenzen zu thematisieren. Unsere Modelle sind logischerweise vereinfachend und unvollständig. Von der Intuition wissen wir, dass sie nicht perfekt ist, aber an Methoden klammern wir uns fest.

Wenn wir nicht hinreichend „gelernte Wahrscheinlichkeiten“ haben, können wir dann überhaupt die Zuverlässigkeit jedweder Methode beurteilen?

Nun, wir tun es wohl trotzdem. Ohne Kritikbewusstsein, Ein selbstkritisches intuitives Vorgehen  ist mir da lieber, wohlwissend dass die permanete Hinterfragung der Intuition keine leichte Hürde ist.

#578 Best of… Compliance

Compliance war schon das eine oder andere mal Thema auf schlossBlog, insbesondere Compliance-Themen vor dem Hintergrund von IT-Offshoring und Outsourcing:

#574 Best of… Risikomanagement

Der nächste Beitrag im Best of… diesmal zum Risikomanagement:

#550 Was können wir aus Großprojekten lernen?

Christian Vogel hat auf openPM eine Diskussion anlässlich der aktuellen BER-Geschichte gestartet.

Hallo Dummköpfe! Hallo Lügner!  – Diskutiert mit!

(Diese Anrede ist geklaut aus einem Google+ Post von Heiko Bartlog und bezieht sich auf einen Artikel des Planungsexperten Bent Flyvbjerg, der u.a. bei Spiegel online derzeit die Runde macht.)

Übrigens: Ich bin auch ein Lügner und Dummkopf!



bernhardschloss.de