Einführung in das Risikomanagement
Philipp Hauer. 22.02.2010. ©Inhalt
- Einleitung
- Nichtdualistische Risikodefinition
- Zirkuläre Definition: Problem und Risiko
- Grundprinzip einer systematischen Risikoanalyse
- Projekt- und produktbezogene Risikoanalyse
Einleitung
Ein gelungenes Risikomanagement hängt also stark von dem Projekt oder Unternehmen ab. Daher sollte zunächst eine grundsätzliche Betrachtungsweise im Vordergrund stehen und man sollte sich folgende Fragen stellen.
Welche Risiken haben Projekte? Was gefährdet unser Projekt?
- Meteoriteneinschlag (der gefährdet wohl so ziemlich jedes Projekt) oder
- Stromausfall oder (und jetzt ernsthaft)
-
Spezifikationskollaps.
Der Spezifikationskollaps ist eines der fünf Kernrisiken eines jeden IT-Projekts nach Tom DeMarco und tritt dann ein, wenn der Verhandlungsprozess zwischen den projektbeteiligten Parteien scheitert. Dies mag zu Beginn des Projektes noch kein Problem sein - alle packen Ihre Sachen und gehen ohne große Verluste nach Hause - wirkt sich aber im späteren Projektverlauf fatal aus. Doch wie kann dies geschehen? Das liegt daran, dass man Projekte wolkig spezifizieren kann, aber eben nicht wolkig entwickeln kann. Irgendwann muss es dann konkret implementiert werden und der potenzielle Zankapfel kommt wieder auf den Tisch, eine Partei ist damit partout nicht einverstanden und eine Einigung ist nicht möglich. Basta! Das Projekt ist glorreich gescheitert. Und warum? Wegen schwammiger Spezifikation.
Das aber nur am Rande. Alle der drei eben genannten Risiken sind sogenannte dualistische Risiken. Dualistische Risiken treten ein - oder eben nicht. An, Aus. 0, 1. Wenn sie allerdings eintreten, dann mit dem vollem Potential an negativen Folgen fürs Projekt. Ganz oder gar nicht. Damit sind natürlich nicht alle möglichen Risiken abgedeckt und wir kommen zur:
Nichtdualistische Risikodefinition
Nichtdualistische Risiken treten teilweise auf und wirken sich dementsprechend mehr oder weniger auf das Projekt aus. Beispiel: Wir wollen ein Open-Air-Konzert veranstalten. Ein Risiko ist schlechtes Wetter, das weniger Besucher zur Folge hat.
Das Risiko "Schlechtes Wetter", kann nicht eintreten: Sonnenschein, super Wetter, maximale Besucherzahl.
Das Risiko kann voll eintreten: Platzregen, Monsun, unser Projekt wird gnadenlos aus der Bahn geworfen.
Das Risiko kann teilweise eintreten: etwas kalt, Nieselregen, es könnten mehr Besucher da sein, aber ist schon OK.
Zirkuläre Definition: Problem und Risiko
- Ein Problem ist ein Risiko, das bereits eingetreten ist.
- Ein Risiko ist ein Problem, das erst noch auftreten muss.
Beispielprojekt: Wir wollen ein Gruppenreferat halten. Ein mögliches Risiko ist das Krankwerden eines Kommilitonen. Dieses Risiko schwebt während des gesamten Projektverlaufs als abstrakte Vorstellung über dem Projekt. Und dann wird der Kommilitone krank und das Risiko wird zum Problem. Der Schadensfall ist eingetreten.
Als Risikomanagement bezeichnet man nur jenen Zeitabschnitt bis zum Risikoeintritt. Es ist die systematische Vorgehensweise über Korrekturmaßnahmen nachzudenken bevor ein Risiko zum Problem wird, solange es also noch eine abstrakte Vorstellung ist.
Das Gegenstück zum Risikomanagement ist das Krisenmanagement, welches versucht, Lösungen für Probleme zu finden, nachdem sie eingetreten sind.
Grundprinzip einer systematischen Risikoanalyse
frei nach [Plönzke]
Visualisieren lässt sich die vorgehensweise anhand eines Kreises aus Plan, Do, Check und Act.
Plan
Die projekteinleitende Planphase umfasst drei Aktivitäten:
- Risikoidentifikation: Im Zuge eines Risikobrainstormings werden alle möglichen Risiken für ein Projekt aufgelistet.
- Risikobewertung: Der nächste Schritt ist die Quantifizierung der zusammengetragenen Risiken. Es wird versucht die Risiken in Zahlen zufassen und damit bewerten zu können. Eine Möglichkeit dafür ist die FMEA (Fehlermöglichkeits- und Einflussanalyse), die Bewertungskriterien Schadenshöhe, Eintrittswahrscheinlichkeit und Entdeckungswahrscheinlichkeit berücksichtigt.
- Eventualfallplanung: Anschließend wird zu jedem Risiko ein "Plan B" erarbeitet: Wie kann das Projekt bei Risikoeintritt gerettet werden bzw. der Schaden minimiert werden?
Do
In der anschließenden Do-Phase gilt es in erster Linie um die Risikoverminderung: Man ergreift vor dem potenziellen Risikoeintritt Maßnahmen, um den erdachten "Plan B" möglich (und/oder effizient) zu machen.
In anderen Worten: Was müssen wir in die Wege leiten, damit beim Risikoeintritt Maßnahmen ergriffen werden können, die das Problem möglichst minimieren.
Zurück zu unserem Open-Air-Konzertbeispiel: Für das Risiko Platzregen wäre ein Eventualfallplan (Plan B) das Umziehen der Veranstaltung in eine Halle. Eine Risikoverminderungsmaßnahme wäre das Organisieren einer solchen Halle, um in Schadenfall dort die Veranstaltung abzuhalten und damit das Problem zu minimieren. Nun ist dies natürlich eine sehr spekulative Sache: Wie viel Ressourcen (Zeit, Geld) steckt man in eine solche Risikoverminderungsmaßnahme? Was ist wenn das Wetter super wird? Dann haben wir umsonst Geld und Zeit in die Hallenorganisation gesteckt. Doch was wenn es regnet, und wir solche Maßnahmen nicht ergriffen haben? Schwierig.
Check
Die Checkphase umfasst auf der einen Seite die Bewertung der Wirksamkeit der eingeleiteten Maßnahmen. Auf der anderen Seite die fortlaufende Beobachtung der Eintrittsindikatoren unser gemanagten Risiken.
Unser Open-Air-Beispiel: Eintrittsindikator für schlechtes Wetter ist der Wetterbericht. Es gilt also regelmäßig die Entwicklung des Wetters zu beobachten, um somit frühzeitig über den Risikoeintritt informiert zu sein und ggf. den Eventualfallplan einzuleiten (Umlegen der Veranstaltung in eine Halle).
Act
Im Zug der Actphase gilt es, die wirksamen Maßnahmen für zukünftige Projekte dauerhaft einzuführen.
frei nach [DeMarco], Seite 61
Dabei wird im Rahmen einer Post-mortem-Analyse vergangene Projekte analysiert, und die in diesen Projekten vorgefallenen Probleme in eine Risikodatenbank eingepflegt. Die Probleme von gestern fließen in die Risikodatenbank. Aus diesen Problemen vergangener Projekte kann dann für neue Projekte eine Anfangsrisikoliste erstellt werden, die nicht nur die Risiken enthält, sondern auch die ergriffenen Maßnahmen und deren Wirksamkeit. Die Quintessenz dieser Phase lässt sich in einem Satz zusammenfassen:
"Das Problem von gestern ist das Risiko von heute!"
([DeMarco], Seite 60)
Damit haben wir auch unseren Kreisschluss zur Planphase eines neuen Projekts.
Projekt- und produktbezogene Risikoanalyse
Man unterscheidet zwischen projekt- und produktbezogener Risikoanalyse bzw. Risiken.
Projektbezogene Risikoanalyse
Was gefährdet unseren Entwicklungsprozess hinsichtlich der Menschen (Mitarbeiter-, Teamaspekte; soziologisch) oder hinsichtlich des Produktionsprozesses?
Ein klassisches Beispiel ist hier die Mitarbeiterfluktuation: Wichtige Mitarbeiter kündigen während des Projekts. Dies kann ein sehr schwerer Schlag für das Projekt sein, besonders wenn es sich um kompetente Schlüsselmitarbeiter handelt.
Produktbezogene Risikoanalyse
Was gefährdet unser Endprodukt (beispielsweise hinsichtlich Erfolg oder Qualität; technologisch)?
Zum Beispiel kann die Konkurrenz schneller ein äquivalentes Produkt herausbringen und damit den Markt vor uns abschöpfen. Oder die Technologie oder das Framework auf das unser Programm aufsetzt, wird nicht mehr weiterentwickelt, womit wir in einer technologischen Sackgasse stecken.
Literaturverweis
- [DeMarco] Tom DeMarco, Timothy Lister: "Bärentango. Mit Risikomanagement Projekte zum Erfolg führen". Hanser Fachbuch Verlag. 13. März 2003.
- [Plönzke] Andreas Plönzke: "Risikomanagement". Vorlesungsunterlagen an der Hochschule für Wirtschaft und Recht Berlin. Stand 2010.