Risiken sind hinsichtlich Eintrittswahrscheinlichkeit und Auswirkung bewertete, zukünftige Ereignisse, die bei ihrem Eintreten ursächlich eine Abweichung der Ist-Daten von den Plandaten bewirken. Diese Abweichungen können sowohl negative als auch positive Effekte haben. Dementsprechend werden Risiken unterschieden nach Bedrohungen und Chancen.
Im allgemeinen Sprachgebrauch werden die Begriffe "Risiko" und "Bedrohung" meist gleichgesetzt. Die Richtlinien für Risikomanagement und Projektmanagement betrachten jedoch Risiken allgemein als ungewisse, in der Zukunft liegende Ereignisse, die sich positiv wie negativ auf die Projektziele auswirken können. Die folgende Darstellung beschäftigt sich deshalb zwar hauptsächlich mit Bedrohungen, berücksichtigt aber auch so weit als möglich das Management von Chancen.
Analysieren Sie das Umfeld!
Das Projektumfeld ist die wichtigste Quelle für Unsicherheiten, da es nicht durch das Projektmanagementteam gesteuert werden kann. Liegen noch keine Umfeld- und Stakeholderanalyse vor, führen Sie diese Analysen als erstes durch.
Hierfür stehen Ihnen drei Methoden zur Verfügung:
Umfeldanalyse
Stakeholdermanagement
Lessons Learned
Umfeldanalyse und Stakeholdermanagement weisen einige Überschneidungen auf. Sie können die beiden Methoden kombinieren oder sich auf nur eine beschränken, je nach Komplexität Ihres Projekts. Gibt es bereits eine etablierte Sammlung von Erfahrungswerten, können Sie direkt auf die dort dokumentierten Lessons Learned zugreifen, die sich auf Ihr spezifisches Projektumfeld beziehen. Ansonsten ist es empfehlenswert, mit Hilfe der Methode Lessons Learned gezielt die Erfahrungen von Beteiligten ähnlicher Projekte hinsichtlich Umfeldeinflüssen abzufragen.
Definieren Sie das Risikomanagementsystem für Ihr Projekt!
Je nachdem, ob Ihr Projekt die Steuerungssoftware für ein Passagierflugzeug oder ein innerbetriebliches Konzept für die Vereinbarkeit von Familie und Beruf entwickeln soll, brauchen Sie vollkommen unterschiedliche Ansätze für das Risikomanagement. Genauso wie für Qualität oder das Projektmanagement selbst benötigen Sie ein Managementsystem für Risiken. Dafür gibt es in der Literatur und den Richtlinien unterschiedliche Bezeichnungen: Der PMBOK® Guide (PMI) nennt es Risikomanagementplan, PRINCE2® (AXELOS) Risikomanagementstrategie bzw. Risikomanagement-Ansatz und die ICB 4.0 (IPMA) Risikomanagementstruktur.
Elemente eines Risikomanagementsystems
Ohne Anspruch auf Vollständigkeit finden Sie im Folgenden eine Auflistung von typischen Elementen eines Risikomanagementsystems, die Sie für Ihr Projekt definieren sollten.
Rollenbeschreibungen
Grundsätzlich ist der Projektmanager für das gesamte Risikomanagement im Projekt verantwortlich. Je nach Umfang und Anforderungen des Projekts ist es sinnvoll oder notwendig explizite Rollen für das Risikomanagement zu definieren und an Projektbeteiligte zu delegieren.
Definieren Sie Aufgaben, Verantwortungen und Befugnisse für die in Ihrem Projekt erforderlichen Rollen des Risikomanagements. Dies können z.B. sein:
Risikomanager: Hauptverantwortlicher für das gesamte Risikomanagement des Projekts als delegierte Aufgabe des Projektmanagers
Risikoeigentümer: Verantwortlicher für die Überwachung eines oder mehrerer Risiken
Risikobearbeiter: Ausführender einer Risikomassnahme nach Beauftragung durch den Risikoeigentümer.
Risikobereitschaft des Auftraggebers oder der Trägerorganisation
Zur Steuerung der Risikosituation eines Projekts ist die wichtigste Eingangsgrösse die Bereitschaft des Auftraggebers bzw. der Trägerorganisation, Unsicherheiten in Kauf zu nehmen.
Die Risikobereitschaft kann dabei nicht durch eine einzige Zahl ausgedrückt werden. Zum einen verändert sich die Risikosituation während des Projektablaufs zum anderen müssen zu ihrer Beurteilung stets mehrere Szenarien betrachtet werden. Hierzu steht die Methode Szenariotechnik zur Verfügung.
Um die Risikobereitschaft zu beschreiben eigenen sich z.B. folgende Angaben:
Geforderte Erfolgswahrscheinlichkeit des Projekts im Projektverlauf (z.B. 50% bei Start, 90% nach der ersten Phase)
Maximal geduldeter Schaden beim Scheitern des Projekts
Maximal geduldetes Produkt aus Schadenshöhe und Eintrittswahrscheinlichkeit für ein einzelnes Risiko
Maximal geduldete Summe aller Risikobewertungen
Um die Risikobereitschaft zu beschreiben, können wesentlich komplexere Grössen erforderlich sein, die sich z.B. aus Simulationen ergeben, die die Abhängigkeiten zwischen den Risikoereignissen berücksichtigen.
Risikobudget
Es empfiehlt sich, bereits zu Beginn des Projekts einen Teil des Budgets ausschliesslich zur Behandlung von Risiken zu definieren. Dies macht zum einen gegenüber dem Auftraggeber am deutlichsten klar, dass das Projekt Unsicherheiten aufweist. Zum anderen versetzt ein Risikobudget den Projektmanager in die Lage, bei eingetretenen Risiken handlungsfähig zu bleiben.
Risikomanagementverfahren
Herzstück des Risikomanagementsystems ist die Prozessdefinition, wie Risiken identifiziert und gesteuert werden. Definieren Sie das für Ihr Projekt angemessene Risikomanagementverfahren auf Basis der Schritte 1 bis 5 dieser Methodenbeschreibung.
Metriken
Risiken müssen mindestens nach Eintrittswahrscheinlichkeit und Auswirkung bewertet werden. Hierfür ist es sinnvoll, geeignete Skalen für die quantitative Bewertung zu definieren. Weit verbreitet sind drei- und fünfstufige Skalen, da es meist nicht möglich ist, diese Grössen präzise zu ermitteln. Je nach Bedarf sind auch andere Metriken zu definieren, z.B. für die Eintrittsnähe oder die Wahrscheinlichkeit, dass es nicht erkannt wird. Weiterführende Hinweise zu den Bewertungsmetriken und ihrer Interpretation finden Sie in der Methode Risikomatrix.
Kategorien
Zur Unterstützung der Risikoanalyse und der Risikobehandlung kann es sinnvoll sein, Kategorien für Risiken und Massnahmen zu definieren. Beispiele für Maßnahmenkategorien sind in "Schritt 3: Planen Sie die Risikomassnahmen" aufgeführt.
Eskalationsmechanismen
Risiken können von allen Projektbeteiligten entdeckt werden. Damit diese Beobachtungen auch zu einer effizienten Risikobearbeitung führen, brauchen die Projektbeteiligten eine Möglichkeit, ihre Beobachtungen an jemanden weiterzugeben, der sie im Zusammenhang analysieren und beurteilen kann. Definieren Sie deshalb geeignete Kommunikationsprozesse, die gewährleisten, dass kein Bedenken unbeachtet bleibt. Das einfachste Verfahren ist das Prinzip der Offenen Punkte bei PRINCE2®, nachdem jeder Projektbeteiligte ein Anliegen an den Projektmanager melden kann.
Speziell PRINCE2®: Schwellenwerte festlegen
PRINCE2® behandelt die Risikobelastung des Projekts als Steuerungsgrösse. Dementsprechend fordert es die Angabe von Schwellenwerten, deren Überschreitung eine Eskalation an den Lenkungsausschuss notwendig macht. Hierfür verwendet PRINCE2® den Begriff "Risikotoleranz".
Implementieren Sie das Risikomanagementverfahren im Projekt!
Damit das Risikomanagementverfahren seine beabsichtigte Wirkung erzielt, muss es nahtlos im Projektablauf integriert sein. Überprüfen Sie die anderen Projektmanagementprozesse hinsichtlich ihrer Relevanz für Risikoidentifikation, Risikoüberwachung und Risikovorsorge. Stellen Sie dann sicher, dass bei den entsprechenden Prozessschritten die jeweiligen Elemente des Risikomanagementverfahrens integriert sind. Besonders wichtig sind dabei die drei Aufgaben Planen, Entscheiden und Prüfen.
Planen
Bei allen Planungstätigkeiten ist die Risikoidentifikation zu integrieren. Zu jedem erstellten Plan sind mindestens zwei Fragen zu stellen:
Unter welchen Voraussetzungen kann der Plan durchgeführt werden? (z.B. rechtzeitige Lieferung eines benötigten Produkts)
Auf welchen Annahmen beruht der Plan? (z.B. Frostfreiheit für Aussenarbeiten)
Sowohl Voraussetzungen als auch Annahmen müssen als Risiken analysiert werden: Mit welcher Wahrscheinlichkeit werden sie besser oder schlechter als prognostiziert eintreten?
Entscheiden
Jede Entscheidung birgt natürlich per se die Unsicherheit, dass die jeweils andere Option besser gewesen wäre. Weit wichtiger aber ist die Analyse, welche Unsicherheiten mit den in Frage kommenden Optionen verbunden sind. Es ist durchaus möglich, dass eine zunächst sehr attraktiv aussehende Option (Erweiterung des Produkts um eine innovative Funktion) eine Reihe grosser Bedrohungen (Fehlfunktion mit Schaden beim Benutzer) nach sich zieht, die mit einer anderen Option vermieden werden können. Umgekehrt kann eine zunächst weniger interessante Option (Produkt wie geplant auf den Markt bringen) grosse Chancen (Erhöhung des Marktanteils durch frühen Markteintritt) bieten.
Bei Entscheidungen aller Art, insbesondere bei Änderungsanträgen, sind daher die Risiken der betrachteten Optionen zu identifizieren und zu bewerten. Beim Änderungssteuerungsverfahren nach PRINCE2® ist dies bereits integriert.
Die Methode Entscheidungsrisikoanalyse liefert speziell für Entscheidungssituationen ein Vorgehen, um die mit den bestehenden Optionen verbundenen Bedrohungen zu identifizieren und zu bearbeiten.
Prüfen
Jegliches Prüfen in Projekten bedeutet einen Vergleich zwischen Plan und Ist. Dabei festgestellte Abweichungen außerhalb der Toleranzen sind grundsätzlich eingetretene Risiken – auch dann, wenn sie in dieser Form nicht in der Risikoliste stehen. Prüfungsprotokolle sollten deshalb den jeweils zuständigen Risikoverantwortlichen (z.B. dem Eigentümer der mit dem geprüften Produkt verbundenen Risiken) gegeben werden, damit diese die entsprechenden Risiken neu bewerten bzw. die für den Risikoeintritt vorbereiteten Massnahmen anordnen können.
Schritt 1: Identifizieren Sie Risiken!
Auch wenn das Identifizieren der Risiken als erster Schritt des Risikomanagementverfahrens dargestellt wird, muss es als kontinuierliche Aufgabe aufgefasst werden. Beim Initiieren und Planen eines Projekts ist es natürlich notwendig, die Risikoidentifikation als eigene Aufgabe durchzuführen, z.B. mit einem Workshop. Hierfür steht Ihnen die Methode Risikoidentifikation als Anleitung zur Verfügung. Bei Bedarf kann eine Wiederholung eines solchen Workshops sinnvoll sein, z.B. bei Phasenübergängen oder wenn sich das Projektumfeld stark ändert.
Eine Unterstützung für die kontinuierliche Risikoidentifikation bietet die Methode Risikokatalog. Die Risikomanagementstrategie (s.o.) beschreibt, wie die Risikoidentifikation im Projektablauf integriert ist.
Schritt 2: Analysieren und bewerten Sie die Risiken!
Insbesondere für die Analyse von Risiken gibt es zahlreiche, z.T. branchenspezifische Methoden. Eine allgemeine Beschreibung des Vorgehens liefert Ihnen die Methode Risikoanalyse.
Zur detaillierten Analyse einzelner Risiken, die Sie für besonders relevant halten, stehen Ihnen das Ishikawa-Diagramm und die Methode Negativer / Positiver Zweig zur Verfügung. Die aufwendigste Methode zur Risikoanalyse ist die Fehlermöglichkeits- und Einflussanalyse (FMEA). Diese stammt aus dem Maschinenbau, kann aber auch z.B. in der Software-Entwicklung eingesetzt werden. Sie kommt immer dann zum Einsatz, wenn Produkte in Versionen und Varianten entwickelt werden und die vollständige Vermeidung von Fehlern das Ziel ist.
Die Fehlerbaumanalyse stellt eine weitere Alternative zur Analyse von Fehlerketten dar und kann insbesondere mit der FMEA kombiniert werden. Das einfachste Vorgehen bei der Risikoanalyse ist es, für jedes identifizierte Risiko drei weitere Angaben zu machen:
Risikoauswirkung: Worin besteht der Schaden bzw. der Nutzen?
Risikoereignis: Was ist der unmittelbare Auslöser, der zur Risikoauswirkung führt?
Risikoursache: Was ist der Grund dafür, dass das Risikoereignis eintreten kann?
Beispiel: Für das Risiko "die Open-Air-Veranstaltung fällt witterungsbedingt aus" ist die Risikoursache, dass die Veranstaltung im Freien stattfindet und damit dem Wetter ausgesetzt ist. Das Risikoereignis kann z.B. ein Sturm sein (Regen wäre ein anderes Risikoereignis, das auch anders zu bewerten ist). Die Risikoauswirkungen bei Sturm sind zum einen Schäden oder sogar Zerstörung der Aufbauten bis hin zu Verletzungen oder sogar Todesfällen bei den Teilnehmern. Bei Regen wären die Auswirkungen wesentlich weniger dramatisch.
Schritt 3: Planen Sie die Risikomassnahmen!
Planen Sie zu jedem erkannten Risiko geeignete Maßnahmen, um es seiner Bedeutung gemäss steuern zu können. Aus der Risikoanalyse erhalten Sie mögliche Ansatzpunkte, um die Risiken zu beeinflussen, z.B. indem Sie Ursachen für Bedrohungen beseitigen.
Maßnahmenkategorien für Bedrohungen
Bei der Suche nach Maßnahmen zur Behandlung von Risiken hat es sich bewährt, sich von Kategorien anregen zu lassen. Es gibt unterschiedliche Listen solcher Massnahmenkategorien, die zum Teil unterschiedliche Interpretationen haben. Betrachten Sie die folgenden Kategorien deshalb als Anregung, eine eigene Liste zu erstellen und seien Sie nicht überrascht, wenn Sie in PM-Richtlinien andere Kategorien und andere Interpretationen derselben Kategorie lesen.
Akzeptieren
Vor allem für Risiken mit sehr geringer Auswirkung oder extrem niedriger Wahrscheinlichkeit wäre der Aufwand für eine aktive Behandlung oft zu hoch. Das Akzeptieren einer Bedrohung bedeutet jedoch nicht, sie außer Acht zu lassen. Die Bedrohung wird selbstverständlich in der Risikoliste erfasst und einem Risikoverantwortlichen zugewiesen, da es genau wie jedes andere Risiko überwacht und ggf. neu bewertet werden muss.
Verhindern
Die erfolgreichste Massnahme gegen eine Bedrohung ist, wenn man sie vollständig verhindern kann. Dies kann dadurch geschehen, dass ihre Ursachen vollständig beseitigt werden oder dass ein anderer Lösungsweg beschritten wird, für den die betrachtete Bedrohung irrelevant ist.
Verringern der Eintrittswahrscheinlichkeit
Wenn eine Bedrohung nicht vollständig verhindert werden kann, so kann doch oft die Wahrscheinlichkeit ihres Eintretens verringert werden. Dementsprechend gehören die meisten Risikomassnahmen zu dieser Kategorie. Ein einfaches, anschauliches Beispiel dafür ist die erneute Eingabebestätigung beim endgültigen Löschen einer Datei, um die Wahrscheinlichkeit für Datenverlust aufgrund Bedienungsfehlern zu verringern.
Verringern der Auswirkung
Neben der Eintrittswahrscheinlichkeit bestimmt die Auswirkung die Größe des Risikos. Allerdings erfordert es oft andere Maßnahmen, um die Auswirkung zu reduzieren. Deshalb ist es sinnvoll, die Reduzierung eines Risikos mit zwei Kategorien abzubilden. So reduziert z.B. das Tragen von Sicherheitsschuhen und Schutzhelmen in einer Lagerhalle die Auswirkungen herunterfallender Gegenstände, während die sichere Verwahrung des Lagergutes die Wahrscheinlichkeit reduziert.
Übertragen auf andere Stakeholder
Dies ist nur dann sinnvoll, wenn die Stakeholder, auf die man das Risiko abwälzen will, besser dafür geeignet sind, das Risiko zu managen. Der Eintritt des Risikos gefährdet ja nach wie vor den Projekterfolg. Typische Massnahmen, die zu dieser Kategorie gehören, sind das Abschließen von Versicherungen oder die Vereinbarung von Konventionalstrafen mit Lieferanten.
Teilen mit anderen Stakeholdern
Wenn die Bedrohungen die eigene Risikobereitschaft übersteigen, das Projekt aber dennoch sehr attraktiv ist, dann bietet es sich an, die Gefahren auf mehrere Schultern zu verteilen. Die typische Massnahme dabei ist die Gründung eines Joint Ventures. Normalerweise geht das Teilen der Bedrohung einher mit dem Teilen der Chancen.
Plan B / Notfallplan / Eventualplan
Die Vorbereitung eines "Plan B" ergänzt alle anderen Maßnahmen, welche die betrachtete Bedrohung nicht vollständig beseitigen können. Typische Anwendung findet der Plan B bei technischen Unsicherheiten. Wenn z.B. ein innovatives Material sich als nicht geeignet erweist, dann greift man auf ein bekanntes Material zurück, dessen Eignung bereits nachgewiesen ist.
Hot-Stand-By
Der Ausfall eines wichtigen Elements kann durch seine Verdoppelung abgesichert werden. D.h. dasselbe Element – z.B. eine zweite Kamera bei Filmaufnahmen – steht betriebsbereit zur Verfügung, um bei Ausfall des ersten Elements sofort an seine Stelle zu treten. Oftmals wird die Kategorie "Hot-Stand-By" entweder unter eine der Kategorien "Plan B" oder "Verringerung der Auswirkungen" einsortiert. Damit die Kategorienliste ihren Zweck als Checkliste für die Risikoverantwortlichen erfüllt, empfehle ich, den Hot-Stand-By eigens als Möglichkeit aufzuführen.
Maßnahmenkategorien für Chancen
Schaffen
So wie man Bedrohungen vermeiden kann, indem man einen anderen Lösungsweg wählt, so kann man auch bewusst Chancen schaffen, indem man die Voraussetzungen für ihr Eintreten herbeiführt.
Ergreifen
Wenn ein Ereignis eintritt, dass positive Auswirkung auf das Projektziel hat, liegt es natürlich nahe, diese Chance zu ergreifen. Dies ist jedoch nicht selbstverständlich. Zunächst ist abzuwägen, welche weiteren Konsequenzen sich daraus ergeben. Möglicherweise sind mit dem Ergreifen der Chance auch Bedrohungen oder sogar direkt negative Effekte verbunden. Deshalb sind auch Maßnahmen der Kategorie "Ablehnen" zu analysieren.
Ablehnen
Eine Chance abzulehnen bedeutet, nicht vom Plan abzuweichen und damit auch nicht die positiven Auswirkungen zu realisieren. Gründe dafür können sein, dass das Ergreifen der Chance auch negative Auswirkungen hat, wie z.B. eine Verzögerung des Liefertermins. Ein weiterer typischer Ablehnungsgrund ist, dass das Realisieren der Chance nicht in die Strategie des Unternehmens passt.
Wahrscheinlichkeit erhöhen
Es ist natürlich im Interesse der Projektbeteiligten, Ereignisse zu fördern, die positive Einflüsse haben. Allerdings sind damit meist auch zusätzliche Aufwände verbunden. So kann z.B. die Wahrscheinlichkeit, dass die Benutzer das Projektergebnis akzeptieren, mit Projektmarketing erhöht werden.
Auswirkung erhöhen
Eine Chance kann nur so viel Nutzen bewirken, wie es die Bedingungen zulassen. Z.B. kann die schnellere Erledigung einer Aufgabe nur dann zu einer Verkürzung der Projektdauer führen, wenn die anderen Arbeiten vorverlegt werden können.
Übertragen auf andere Stakeholder
In Kombination mit dem Ablehnen einer Chance ist stets die Überlegung sinnvoll, ob nicht ein anderer Stakeholder von dieser Chance profitieren könnte. Zwar wird damit kein direkter Nutzen für das aktuelle Projekt erzielt, aber der betroffene Stakeholder wird dadurch dem Projekt ggf. mehr unterstützen.
Teilen mit anderen Stakeholdern
Genügen z.B. die eigenen Mittel nicht, um eine Chance zu realisieren, dann kann man sich mit anderen Stakeholdern zusammenschließen. Im einfachsten Fall ist dies die Aufnahme eines Kredits, dessen Zinsen der Anteil des Kreditgebers am Nutzen der Chance sind.
Schritt 4: Benennen Sie die Risikoverantwortlichen!
Je nachdem, welche Rollen Sie im Risikomanagementsystem definiert haben (siehe Schritt 2), ordnen Sie nun für jedes Risiko den dort benötigten Rollen geeignete Ressourcen zu. Tabelle X führt einige Beispiele dafür auf.
Schritt 5: Setzen Sie die Massnahmen um oder planen Sie ihre Umsetzung!
Je nachdem, welche Art von Maßnahmen Sie beschlossen haben, welche Ressourcen Sie dafür benötigen und wie umfangreich diese Maßnahmen sind, können Sie diese sofort wirksam werden lassen oder ihre Umsetzung in den Projektplan aufnehmen. Das Akzeptieren von Bedrohungen oder das Ablehnen von Chancen sind z.B. Maßnahmenkategorien, die sofort umsetzbar sind. Eintrittswahrscheinlichkeiten oder Auswirkungen zu beeinflussen, erzeugt hingegen meist einen höheren Aufwand. Es ist deshalb sinnvoll, diesen Schritt nach Möglichkeit in die regulären Planungszyklen zu integrieren, z.B. bei Phasenübergängen oder dem Planen einer neuen Iteration.
Starten Sie wieder bei Schritt 1!
Die Schritte 1 bis 5 des Risikomanagementverfahrens sind als beständig zu durchlaufender Zyklus zu verstehen. Massnahmen zur Behandlung von Risiken werden – dazu werden sie ja ergriffen – zu einer neuen Risikobewertung führen. Zugleich können sie aber auch selbst neue Risiken bewirken.
Kommunizieren Sie beständig Risiken und Massnahmen an die Stakeholder!
Alle Stakeholder müssen in das Risikomanagement des Projekts einbezogen werden, da alle Beteiligten spezifische Risiken erkennen können.
Integrieren Sie deshalb die Kommunikation über Risiken und die Massnahmen zur Risikobehandlung in die Berichterstattung des Projekts, z.B. in Statusberichte. Sorgen Sie darüber hinaus dafür, dass alle Stakeholder Einblick in die für sie relevanten Abschnitte der Risikoliste haben. Wenn Sie mit einem Project Canvas arbeiten, dann können Sie dort die Risikomatrix integrieren.
Überprüfen Sie, ob die Risikoliste, die ergriffenen und die geplanten Massnahmen Ergänzungen oder Änderungen im Kommunikationsplan erforderlich machen. Z.B. wenn dadurch weitere Stakeholder hinzugekommen sind, die über bestimmte Entwicklungen informiert werden müssen. Quelle: projektmagazin.de
Risikomanagement
Was ist ein Risiko?
Ein Risiko ist … a) … ein mögliches, künftiges Ereignis, das zu unerwünschten Folgen führt. b) … die unerwünschte Folge selbst
