Risikomanagement für Theoretiker, Teil 1.
Risk-Management umfasst mehr als IT, das ist klar. Auch klar ist, dass wir die ganze Chose ja nicht zum Vergnügen machen, sondern weil wir sinnvoll mit den Risiken umgehen wollen - sie verstehen, sie berechnen (Eintrittswahrscheinlichkeit und Schaden), sie minimieren.
Zur Berechnung haben wir den PDCA-Zyklus - das macht uns lernfähig, d.h. wir schauen zurück auf die Dinge die passiert sind, verbessern unser Risikomanagement und extrapolieren daraus in die Zukunft.
Das ist ja auch erstmal sehr vernünftig - andere Daten haben wir nämlich nicht, als die aus der Vergangenheit.
Jetzt gibt es natürlich die Menschen, die das Buch "40 Arten sich quer zu stellen" von Frans Krips gelesen haben - übrigens sehr empfehlenswert, gibt es aber nur noch antiquarisch. Die reisen dann bei Veranstaltungen durch die Gegend und sagen "Ist ja alles Quatsch, dieser Blick in die Vergangenheit, wir wollen doch in die Zukunft sehen!"
Hört sich prima an, ist aber ein klassisches Nullargument. Was da postuliert wird, ist nämlich mathematischer Voodoo:
Normal nehme ich meine geschätzten Eintrittswahrscheinlichkeiten und meine geschätzten minimalen, maximalen und mittleren Risiken dazu. Getreu dem Motto "Garbage in, garbage out" entsteht daraus ein ebenso geschätztes Risiko - die Schätzung wird mit der Zeit besser durch Erfahrungswerte.
Jetzt kommt die herausragende Theorie: ich schätze nur noch mittlere Werte und eine passende Wahrscheinlichkeitsverteilung berechnet mir dann - millimietergenau! - die anderen Werte dazu. Und am Ende haben wir völlig vergessen das das ganze Gebilde auf.... Schätzungen beruht.
Ausserdem kann man ja trefflich und sehr gelehrt darüber streiten, wie die Verteilung aussieht. Bloss keine Gauss-Kurven! Das wissen ja sogar Biologen, wie die aussehen. Nein, Weibull muss her. Und dann streiten wir uns um Quantile und Perzentile, weil Weibull ja nur eine besondere Exponentialverteilung ist, und die Aussage "Weibull" sich ja nur gelehrt anhört, aber in wirklich ja auch nichts aussagt - nichts über das "warum" nämlich.
Anyway, heraus kommt eine Kurve, die man dann prima in die Zukunft strecken kann, und bingo - mathematische Hellseherei.
Liebe Leute, etwas zu schätzen und sich dann von einem Computer die anderen Schätzungen berechnen zu lassen ist wissenschaftlicher und praktischer Bullshit. Hier lohnt ein Blick über den Zaun: Die Mediziner rechnen mit Mortalitätsverteilungen (zu denen auch ein Weibull gehören kann), in denen man Therapieerfolge darstellen kann.
Gegenüber den IT-Riskomanagern haben sie allerdings den Vorteil der Kontrollgruppen. Den haben wir nicht - unsere Geschäftsführer würden uns steinigen wenn wir einen Standort verbessern und einen anderen nicht, nur um einen Vergleich zu haben.
Insofern - back to square one. Risikomanagement ist keine Wissenschaft, sondern eine Erfahrung. Wissenschaftliche Modelle können uns helfen, aber im Zweifelsfall gewinnt die Realität.
Was immer schief geht, und da geben wir den Spinnern recht, ist die Vorhersage von Katastrophen. Egal ob sie durch äußere Anlässe oder systematische Fehler im Risikomanagement passieren - Risikomanagement ist die eine Sache, Katastrophenvorsorge oder Notfallvorsorge die andere.
Wenn man so will: Der gute Risikomanager rechnet auch mit dem Risiko, dass das ganze Riskomanagement versagt.
Sonntag, 18. Oktober 2009
Abonnieren
Kommentare zum Post (Atom)
Keine Kommentare:
Kommentar veröffentlichen