Risikomatrix - Risk matrix
Eine Risikomatrix ist eine Matrix , die während der Risikobewertung verwendet wird , um das Risikoniveau zu definieren, indem die Kategorie der Wahrscheinlichkeit oder Wahrscheinlichkeit mit der Kategorie der Schwere der Folgen verglichen wird. Dies ist ein einfacher Mechanismus, um die Sichtbarkeit von Risiken zu erhöhen und die Entscheidungsfindung des Managements zu unterstützen.
Definitionen
Risiko ist der Mangel an Gewissheit über das Ergebnis einer bestimmten Entscheidung. Statistisch kann das Abwärtsrisiko als Produkt aus der Wahrscheinlichkeit des Eintretens eines Schadens (z Schaden). In der Praxis ist die Risikomatrix ein nützlicher Ansatz, wenn weder die Wahrscheinlichkeit noch die Schadensschwere mit Genauigkeit und Präzision geschätzt werden können.
Obwohl es in bestimmten Kontexten Standard-Risikomatrizen gibt (zB US DoD , NASA , ISO ), müssen einzelne Projekte und Organisationen möglicherweise ihre eigene erstellen oder eine bestehende Risikomatrix anpassen. Die Schadensschwere kann beispielsweise wie folgt kategorisiert werden:
- Katastrophal: Tod oder dauerhafte vollständige Behinderung, erhebliche irreversible Umweltauswirkungen, Totalverlust der Ausrüstung
- Kritisch: Verletzungen auf Unfallniveau mit Krankenhausaufenthalt, bleibende Teilinvalidität, erhebliche reversible Umweltauswirkungen, Geräteschäden
- Geringfügig: Verletzungen, die zu Ausfalltagen führen, reversible mäßige Umweltbelastung, geringfügiger Unfallschaden
- Geringfügig: Verletzung, die keine Ausfalltage verursacht, minimale Umweltbelastung, Schaden unter einem geringfügigen Unfallniveau
Die Wahrscheinlichkeit des Auftretens eines Schadens kann in die Kategorien „sicher“, „wahrscheinlich“, „möglich“, „unwahrscheinlich“ und „selten“ eingeteilt werden. Es muss jedoch berücksichtigt werden, dass sehr niedrige Wahrscheinlichkeiten möglicherweise nicht sehr zuverlässig sind.
Die resultierende Risikomatrix könnte sein:
| Wahrscheinlichkeit | Schadensschwere | |||
|---|---|---|---|---|
| Unerheblich | Rand | Kritisch | Katastrophal | |
| Sicher | Hoch | Hoch | Sehr hoch | Sehr hoch |
| Wahrscheinlich | Mittel | Hoch | Hoch | Sehr hoch |
| Möglich | Niedrig | Mittel | Hoch | Sehr hoch |
| Unwahrscheinlich | Niedrig | Mittel | Mittel | Hoch |
| Selten | Niedrig | Niedrig | Mittel | Mittel |
| Eliminiert | Eliminiert | |||
Das Unternehmen oder die Organisation würde dann berechnen, welche Risikostufen sie bei verschiedenen Ereignissen eingehen können. Dies würde durch Abwägen des Risikos des Eintretens eines Ereignisses gegen die Kosten für die Implementierung der Sicherheit und den daraus resultierenden Nutzen erfolgen.
Beispielmatrix
Das Folgende ist eine beispielhafte Matrix möglicher Personenschäden, wobei bestimmte Unfälle den entsprechenden Zellen innerhalb der Matrix zugeordnet sind:
| Unerheblich | Rand | Kritisch | Katastrophal | |
|---|---|---|---|---|
| Sicher | Zehe stoßen | |||
| Wahrscheinlich | Herbst | |||
| Möglich | Großer Autounfall | |||
| Unwahrscheinlich | Flugzeugabsturz | |||
| Selten | Großer Tsunami |
Entwicklung
Am 30. Januar 1978 wurde eine neue Version der Instruktion 6055.1 des US-Verteidigungsministeriums ("Department of Defense Occupational Safety and Health Program") veröffentlicht. Es soll ein wichtiger Schritt zur Entwicklung der Risikomatrix gewesen sein.
Im August 1978 definierte der Autor von Wirtschaftslehrbüchern, David E. Hussey, eine „Risikomatrix“ für Investitionen mit dem Risiko auf einer Achse und der Rentabilität auf der anderen. Die Werte auf der Risikoachse wurden bestimmt, indem zunächst die Risikoauswirkungs- und Risikowahrscheinlichkeitswerte auf eine Weise bestimmt wurden, die identisch mit dem Ausfüllen einer 7 x 7-Version der modernen Risikomatrix war.
Eine 5 x 4-Version der Risikomatrix wurde vom US-Verteidigungsministerium am 30. März 1984 in "MIL-STD-882B System Safety Program Requirements" definiert.
Die Risikomatrix wurde 1995 vom Acquisition Reengineering-Team des US Air Force Electronic Systems Center verwendet .
Huihui Ni, An Chen und Ning Chen schlugen 2010 einige Verfeinerungen des Ansatzes vor.
Im Jahr 2019 waren die drei beliebtesten Formen der Matrix:
- eine 3x3-Risikomatrix ( OHSAS 18001 )
- eine 5x5-Risikomatrix (MIL-STD-882B)
- eine 4x4-Risikomatrix (AS/NZS 4360 2004)
Auch andere Standards werden verwendet.
Probleme
In seinem Artikel „What's Wrong with Risk Matrices?“ argumentiert Tony Cox, dass Risikomatrizen mehrere problematische mathematische Merkmale aufweisen, die die Bewertung von Risiken erschweren. Diese sind:
- Schlechte Auflösung. Typische Risikomatrizen können nur einen kleinen Bruchteil (zB weniger als 10 %) von zufällig ausgewählten Gefahrenpaaren korrekt und eindeutig vergleichen. Sie können quantitativ sehr unterschiedlichen Risiken identische Bewertungen zuordnen („Range Compression“).
- Fehler. Risikomatrizen können fälschlicherweise quantitativ kleineren Risiken höhere qualitative Bewertungen zuordnen . Bei Risiken mit negativ korrelierten Häufigkeiten und Schweregraden können sie „schlimmer als nutzlos“ sein und zu Entscheidungen führen, die nicht zufällig sind.
- Suboptimale Ressourcenzuweisung. Eine effektive Ressourcenallokation für risikomindernde Gegenmaßnahmen kann nicht auf den Kategorien von Risikomatrizen basieren.
- Mehrdeutige Ein- und Ausgänge. Schweregradeinstufungen können bei ungewissen Folgen nicht objektiv vorgenommen werden. Eingaben zu Risikomatrizen (z. B. Häufigkeits- und Schweregradkategorisierungen) und daraus resultierende Ausgaben (dh Risikobewertungen) erfordern eine subjektive Interpretation, und verschiedene Benutzer können unterschiedliche Bewertungen derselben quantitativen Risiken erhalten. Diese Einschränkungen legen nahe, dass Risikomatrizen mit Vorsicht und nur mit sorgfältiger Erklärung eingebetteter Urteile verwendet werden sollten.
Thomas, Bratvold und Bickel zeigen, dass Risikomatrizen willkürliche Risikorankings erzeugen. Die Rangfolge hängt vom Design der Risikomatrix selbst ab, beispielsweise davon, wie groß die Bins sind und ob eine auf- oder absteigende Skala verwendet wird oder nicht. Mit anderen Worten, eine Änderung der Skala kann die Antwort ändern.
Ein zusätzliches Problem ist die Ungenauigkeit, die bei den Wahrscheinlichkeitskategorien verwendet wird. Zum Beispiel; 'sicher', 'wahrscheinlich', 'möglich', 'unwahrscheinlich' und 'selten' sind hierarchisch nicht verwandt. Eine bessere Wahl könnte durch die Verwendung des gleichen Basisbegriffs wie „extrem häufig“, „sehr häufig“, „ziemlich häufig“, „weniger häufig“, „sehr selten“, „extrem selten“ oder eine ähnliche Hierarchie erreicht werden ein Basis-"Frequenz"-Begriff.
Ein weiteres häufiges Problem besteht darin, den Matrixachsen Rangindizes zuzuweisen und die Indizes zu multiplizieren, um eine "Risikobewertung" zu erhalten. Dies erscheint zwar intuitiv, führt jedoch zu einer ungleichmäßigen Verteilung.
Onlinesicherheit
Douglas W. Hubbard und Richard Seiersen übernehmen die allgemeine Forschung von Cox, Thomas, Bratvold und Bickel und liefern spezifische Diskussionen im Bereich der Cybersicherheitsrisiken . Sie weisen darauf hin, dass dies ein ernsthaftes Problem darstellen kann, da 61 % der Cybersicherheitsexperten irgendeine Form von Risikomatrix verwenden. Hubbard und Seiersen betrachten diese Probleme im Zusammenhang mit anderen gemessenen menschlichen Fehlern und kommen zu dem Schluss: „Die Fehler der Experten werden einfach durch die zusätzlichen Fehler, die durch die Skalen und Matrizen selbst eingeführt werden, noch verschlimmert. Wir stimmen der von Thomas et al. vorgeschlagenen Lösung zu. Es besteht keine Notwendigkeit für Cybersicherheit (oder andere Bereiche der Risikoanalyse, die ebenfalls Risikomatrizen verwenden), um etablierte quantitative Methoden, die bei vielen ebenso komplexen Problemen verwendet werden, neu zu erfinden.