Qualitativ vs. quantitaiv

Zahlen haben fast schon eine „magische“ Wirkung auf uns. Wir schenken ihnen Vertrauen und sie liefern uns exakte Aussagen.

Schön wäre es, denn im Detail liegen ein paar Tücken: Messen bzw. zeigen die Zahlen tatsächlich das, was sie vermeintlich vorgeben zu zeigen? Und mit welcher Zuverlässigkeit und Genauigkeit tun sie es?

Die Krux mathematischer Modelle und Berechnungen liegt darin, dass sie uns Ergebnisse mit Nachkommastellen liefern. Das aber ist lediglich eine Scheingenauigkeit, denn das Ergebnis kann nicht besser sein als das zugrundeliegende Modell. Wie sehr uns das überfordert, zeigt der aktuelle Umgang mit den Covid Statistiken. Von uns Laien werden Zahlen vogelwild interpretiert ohne das wir wirklich wissen, was sie aussagen, ohne das wir statistische Effekte aus Erfassung und Verarbeitung, wie z.B. durch die Änderung der Teststrategie oder das Meldeverhalten, berücksichtigen.

Wir sind in guter Gesellschaft. Seit langem bemängelt  Gerd Gigerenzer (Amazon Affiliate Link), dass die meisten Mediziner, medizinische Wahrscheinlichkeitsaussagen nicht interpretieren können. Wie soll das dann bei Covid anders sein?

Oder im Risikomanagement?

Die bekannteste Quantifizierung eines Risikos ergibt sich aus der versicherungmathematischen Formel als Produkt von Eintritswahrscheinlichkeit und potentiellem Schaden, dem sogenannten Erwartungwert.

Aber welche Aussagekraft hat der Erwartungswert?

Nun statistisch gesehen, ist das der durchschnittlich zu erwartende Schaden. Aber nutzt uns das was? Das ist in etwas wie die durchschnittliche Fiebertemperatur aller Krankenhauspatienten. Nehmen wir einmal an, ein Unternehmen würde aufgrund eines solchen Modells finanzielle Rückstellungen in Höhe des Erwartungswerts treffen. Bei Risiken die digital eintreten, d.h. sie treten entweder ein oder sie treten nicht ein, stecken wir in dem Dilemma, dass wir im einen Fall zu niedrige und im anderen Fall zu hohe Rückstellungen getroffen haben. Worst case ist beides existenzbedrohend, z.B. im Falles des Eintretens eines „schwarzen Schwans“ (Amazon Affilitate Link), also eines äußerst unwahrscheinlichen Ereignisses – z.B. einer Covid-Pandemie….

Ist deshalb quantitatives Risikomanagement unsinnig? – Nein, ist es nicht, wenn wir uns seiner Limitationen bewusst sind.

Mit einer auf RiskNET veröffentlichten Studie, versucht Thomas Berger die „Grenzen einer qualitatitven Risikobewertung“ aufzuzeigen. Für mich zeigt dies aber genau den hier beschriebenen Trugschluss. Statt sich mit einer ordinalen Skala zur Risikobewertung (in verbaler Form der Art: ausgeschlossen, selten, möglich, häufig , höchst wahrscheinlich, sicher) zufrieden zu geben, wurden die Probanden zu einer Quantifizierung dieser Stufen angehalten. Probanden verschiedener Fachrichtungen wurden dann miteinander verglichen.

Ich halte ein solches zwanghaftes Festhalten ein quantitativen Konzepten für falsch (es sei denn das jeweilige Konzept ist hinreichend valide und exakt).

Der Kern jeglichen Risikomanagements ist die systematische und fortlaufende Auseinandersetzung mit etwaigen Risiken. Weit wichtiger als eine Quantifizierung, ist dabei die Sensibilisierung der Betroffenen, die Sicherstellung von Handlungsfähigkeit, ein vernünftiges Maß der Vorbeugung und die regelmäßige Anwendung.

Quantifizierte Modelle, wie der Erwartungswert, können uns bei der Priorisierung und Einschätzung helfen, wenn wir ihre Grenzen kennen. Ein grundsätzliches Problem stellt dabei die Unvollständigkeit unserer Betrachtung dar. Wir können nur Risiken bewerten, die wir auch als solche erkannt haben, die Unknown-unknowns stellen uns mit ihrem Eintreten dann vor ähnliche Herausfoprderungen wie die schwarzen Schwäne.

Ich bin ein großer Fan qualitativer Ansätze. Ja, sie sind nicht so schön, nicht so exakt und nicht so handhabbar, aber sie machen uns ihre Limitationen auch bewusst. Wir werden nicht betriebsblind. Und nachdem wir nicht von Rocket Science, sondern wohl eher von hemdsärmligen Vorsichtsmaßnahmen sprechen, ist das meist vollkommen ausreichend.

Neben dem erwähnten versicherungsmathematischen Modell der Risikobetrachtung gibt es übrigens auch andere Möglichkeiten zur Ausdifferenzierung eines Risikoprofils. Im Modell der Disaster Risk Reduction des United Nations Office für Disaster Risk Reduction werden drei Dimensionen unterschieden:

• Harzard (die Bedrohung)
• Vulnerability (die Verletzbarkeit oder Anfälligkeit)
• Exposure (Wie exponiert ist unser Betrachtungsgegenstand?)

Und schon ist sie dahin unsere einfache mathematische Betrachtung.

Eine solche Differenzierung macht aber durchaus Sinn, z.B. übertragen auf die Cybersecurity. Ein Cybersecurity-Risiko ergibt sich letztlich aus dem Zusammenspiel einer Bedrohung (z.B. durch Hacker, Geheimdienste oder Konkurrenz), der eigenen Anfälligkeit (Sind alle Sicherheitslücken geschlossen? Haben wir einen aktuellen Softwarestand? …) und wie exponiert sind unsere Anwendung bzw. unsre Daten (liegen sie im Internet, hinter eine Firewall oder gar in einer gekapselten Umgebung).

Letztlich werden wir nicht umhin kommen uns mit jeder dieser Fragestellungen auseinanderzusetzen.

Noch ein letzter Punkt, weil wir hier im Blog das Thema Projektmanagement immer wieder aufgreifen: Alles was hier gesagt wurde betrifft mich nicht, weil wir sind ja agil und Risikomanagement ist old-school traditionelles Projektmanagement.

Bullshit. Auch wenn im agilem Projektmanagement auf ein dediziertes Risikomanagement i.d.R. verzichtet wird, sind Risiken und Qualität gleichermaßen relevant, vielleicht sogar noch mehr, denn Risiko- (und Qualitäts-)Bewusstsein sind immanent verankert. Iteratives Vorgehen soll Probleme und Risiken möglichst frühzeitig zu Tage bringen, um schnell auf diese reagieren zu können und etwaige Schäden zu begrenzen. Und wenn man an Ereignisse wie schwarze Schwäne oder Unkonwn-unkonws denkt, dann ist für solche Fälle vielleicht auch eine klassische Risikobetrachtung sinnvoll, in jedem Fall ist aber die Organisation besser bei ihrem Eintreten vorbereitet, weil das Maß der Selbstorganisation hilft die Handlungsfähigkeit aufrecht zu erhalten.

Tags: Grenzen, Modell, qualitativ, Quantifizierung

Geschrieben am Donnerstag, 25. Februar 2021 und abgelegt unter IT-Security, Projektmanagement, Qualitätsmanagement, Risikomanagement. Verfolgen Sie die Diskussion zu diesem Beitrag per RSS 2.0 Feed. Sie können diesen Beitrag kommentieren oder einen Trackback von Ihrer eigenen Webseite setzen.