Risikomanagement ist eines der wichtigsten Bausteine für erfolgreiches Projektmanagement. Leider gibt es immer noch eine ganze Reihe von Projekten, die wegen fehlerhaftem oder nicht vorhandenem Risikomanagement scheitern oder Schwierigkeiten bekommen. Da der Verlauf von Projekten aber grundsätzlich nicht genau vorhersagbar ist, bedarf es gezielter Maßnahmen, die Risikosituation eines Projekts zu beherrschen. Wie „groß“ ein Risiko ist, ist nicht ausschlagegebend, um die Handlungsbedarf zu identifizieren. Auch vermeintlich kleine Risiken können den Projektfortschritt bei deren Eintreten erheblich stören. Effektives Risikomanagement ist eine Voraussetzung für das Prinzip der fortlaufenden geschäftlichen Rechtfertigung.
Ein Risiko ist definiert als ein Ereignis, dessen Eintreten ungewiss ist, aber Auswirkungen auf die Erreichung der Ziele haben wird. Anders gesagt, handelt es sich um eine Unsicherheit in Bezug auf das Ergebnis.
Gegenteilig zum Sprachgebrauch ist ein Risiko nicht immer mit negativen Konsequenzen verbunden. Da es sich schlicht um eine Unsicherheit handelt, kann ein Risiko eine Chance und/oder eine Bedrohung sein.
Für erfolgreiches Risikomanagement ist die richtige Risikodefinition entscheidend. In den Risikoprotokollen vieler Projekte sind die Risiken selten richtig definiert. Meist beschränkt sich die Risikobeschreibung auf ein Wort, z.B. Ressourcenausfall. Dabei handelt es sich nicht um das vollständige Risiko und ist für eine genaue Risikobetrachtung nicht ausreichend. Eine vollständige Risikodefinition benennt den Auslöser, also die Risikoursache. Dann folgt das Ereignis, welches zu erwarten ist, wenn die Ursache eintritt. Abschließend wird die Auswirkung des Ereignisses auf das Projekt beschrieben.
Diese Definition hilft bei der Bewertung des Risikos und der Auswahl von geeigneten Maßnahmen – siehe Schritt „Planen“ im Risikomanagementprozess.
Nicht immer sind zu Beginn alle Elemente bekannt (so z.B. die Risikoursache), sie sollten aber stets alle berücksichtigt und fehlende Informationen nachträglich dokumentiert werden.
Der Auftraggeber ist der „Eigentümer“ des Risikomanagements, da er für das Ergebnis des Projekts verantwortlich ist. Der Projektmanager ist für die Durchführung verantwortlich.
Risikomanagement sollte auf allen Ebenen, d.h. sowohl auf der operativen sowie der Projekt-, Programm- und strategischen Ebene einer Organisation durchgeführt werden. Die strategische Ebene handelt im Rahmen von Risikomanagement in der Regel chancenorientiert.
Risikomanagementverfahren
PRINCE2 sieht ein zyklisches Verfahren vor, das aus fünf Aktivitäten besteht. Es ist aus dem offiziellen Best Practice M_o_R (Management of Risk) abgeleitet. Dieses Verfahren wird regelmäßig angewendet, soweit dies durch die Prozesse oder Techniken von PRINCE2 vorgesehen ist.
1. Identifizieren
Der Schritt „Identifizieren“ ist in zwei Aktivitäten unterteilt:
- Kontext identifizieren
- Risiken identifizieren
Kontext identifizieren hat das Ziel, Informationen über das Umfeld des Projekts zusammenzustellen:
- Wie sieht das organisatorische Umfeld aus?
- Gibt es eine unternehmensweite Risikomanagement Policy?
- Welche Stakeholder gibt es?
- Welche Bedeutung hat das Projekt für den Kunden?
- Welche Komplexität und welchen Umfang hat das Projekt?
- Welche Erwartungen hat der Kunde?
Diese Informationen werden gesammelt und in der Risikomanagementstrategie dokumentiert. Eine vollständige Analyse des Projektkontextes ist eine wichtige Grundlage für den Erfolg des Risikomanagements. So gehen z.B. viele Risiken für das Projekt von den Stakeholdern aus. Ist die Analyse der Stakeholder fehlerhaft, werden im Resultat auch nicht alle Risiken identifiziert werden können.
In der Risikomanagementstrategie wird die projektbezogene Risikotoleranzgrenze festgeschrieben. Dabei ist es wichtig, die Balance zwischen der Risikosituation des Projekts und dem erwarteten Nutzen zu finden und eine Grenze zu definieren, bei deren Überschreitung eine Eskalation an den Lenkungsausschuss erfolgen muss. In diesem Zusammenhang ist die Bereitschaft des Lenkungsausschusses Unsicherheiten zu akzeptieren eine wichtige Grundlage, um die allgemeine Risikobereitschaft für das Projekt zu definieren. Diese Grenze zeigt auf, ab wann es grundsätzlich notwendig ist, Risikomanagementaktivitäten durchzuführen. Am Ende jeder Phase, beim Managen eines Phasenübergangs, wird die Risikomanagementstrategie auf diese Aspekte hin beurteilt und bei Bedarf angepasst.
„Risiken identifizieren“ hat zum Ziel, Bedrohungen und Chancen zu erkennen und vollständig zu definieren. Jedes Risiko wird im Risikoregister mit Risikoursache, Risikoereignis und Risikoeffekt dokumentiert. Mit den Stakeholdern können die identifizierten Risiken betrachtet und ggf. Frühwarnzeichen für das Risiko identifiziert werden.
2. Bewerten
Der Schritt „Bewerten“ ist ebenfalls in zwei Aktivitäten unterteilt:
- Einschätzen
- Beurteilen
„Einschätzen“ hat die individuelle Beurteilung von Bedrohungen und Chancen zum Ziel. Hier werden die Eintrittswahrscheinlichkeit, die Auswirkung und die Eintrittsnähe unter Anwendung verschiedener Techniken (z.B. Wahrscheinlichkeitsbäume, Expected Value oder Probability Impact Grid) ermittelt.
Die Eintrittswahrscheinlichkeit zeigt anhand einer Skala, wie wahrscheinlich es ist, dass eine Bedrohung oder Chance eintritt. Diese wird in Prozent angegeben. Die Auswirkung beziffert den Schadens- oder Gewinnwert, der durch das Risiko entsteht. Die hier verwendeten Skalenwerte sind meist Euro oder Dollar.
Die Eintrittsnähe bestimmt den zeitlichen Horizont, wie bald Bedrohungen oder Chancen eintreten können. Der Status könnte z.B. lauten: „Bevorstehend“, „noch in der Phase“ oder „noch im Projekt“.
Eine gängige Technik die Ergebnisse der Risikoeinschätzung zu präsentieren, und zu dokumentieren, ist das Probability Impact Grid (Wahrscheinlichkeits- und Auswirkungsmatrix). Hier werden Eintrittswahrscheinlichkeit und Auswirkung in einer Matrix gegenübergestellt und miteinander multipliziert. Die Risikotoleranzgrenze wird überschritten, sobald ein bestimmter Wert oberhalb dieser Grenze in der Matrix liegt.
„Beurteilen“ hat zum Ziel, die Auswirkungen aller Bedrohungen und Chancen eines Projekts in ihrer Gesamtheit zu bewerten. Dadurch kann ein genereller Schweregrad der Risikosituation des Projekts erstellt werden. Dieser zeigt auf, ob die Gesamtrisikobelastung immer noch innerhalb der festgelegten Toleranzen ist oder der Lenkungsausschuss Maßnahmen ergreifen muss.
Bekannte Techniken, die hier verwendet werden können, ist die Analyse des erwarteten Geldwertes oder verschiedene Simulationen, wie die Monte-Carlo-Analyse.
3. Planen
Auf Basis der Ergebnisse aus dem Schritt „Bewerten“, werden verschiedene Behandlungsoptionen und Maßnahmen für das identifizierte Risiko untersucht. Dabei sollte beachtet werden, dass der Nutzen und die Kosten der gewählten Maßnahme in einem angemessenen Verhältnis zum Risiko selbst stehen. Es ist – abhängig von der Risikobehandlung – möglich, dass nach der Implementierung einer Maßnahme ein Restrisiko bestehen bleibt oder bestimmte Aspekte des Projekts verändert werden, was wiederum sogenannte Sekundärrisiken hervorrufen kann. Das Restrisiko und die Sekundärrisiken müssen in diesem Fall neu bewertet und über die Folgemaßnahmen entschieden werden.
Chancen | Bedrohungen |
---|---|
Ergreifen | Vermeiden |
Steigern | Reduzieren |
Eventualplan | |
Übertragen | |
Teilen | |
Ablehnen | Akzeptieren |
Die Maßnahmen werden gemäß der Differenzierung eines Risikos in Bedrohung und Chance auch in zwei Kategorien unterteilt. Für die Kategorie Bedrohung können folgende Arten der Risikobehandlung gewählt werden:
- Vermeiden: Die hier gewählte Präventivmaßnahme führt dazu, dass das Risiko keinerlei Rolle mehr für das Projekt spielt. Üblicherweise sind dazu Änderungen im Projekt notwendig.
- Reduzieren: Hier werden proaktive Maßnahmen ergriffen, durch die die Eintrittswahrscheinlichkeit und/oder die Auswirkung der Bedrohung verringert wird.
- Eventualplan: In diesem Falle wird ein Eventualplan erstellt, indem alle Maßnahmen definiert und geplant werden für den Fall, dass das Risiko eintritt. Dies ist somit keine proaktive Maßnahme wie „Reduzieren“, sondern eine reaktive, die keinen Einfluss auf die Wahrscheinlichkeit hat. Für die Durchführung dieser Planung kann ein gesondertes Budget bereitgestellt werden.
- Übertragen: Die finanzielle Auswirkung, sollte das Risiko eintreten, wird zum Teil oder vollständig von einer dritten Partei übernommen, und zwar typischerweise von einer Versicherung.
- Akzeptieren: Aus z.B. ökonomischen Gründen oder da sich Auswirkung und Wahrscheinlichkeit in einem für das Projekt annehmbaren Rahmen bewegen, wird die Bedrohung bewusst hingenommen. Dies ist jedoch nicht mit einem Ignorieren des Risikos gleichzusetzen. Vielmehr wird das Risiko weiter überwacht.
- Teilen: Das Risiko wird zwischen den an dem Projekt beteiligten Parteien gleichermaßen aufgeteilt (Gain-Pain-Sharing-Modell). Im Fall von Bedrohungen werden bei Eintritt die Verluste geteilt.
Für Chancen können folgende Risikobehandlungen gewählt werden:
- Ergreifen: Die positiven Auswirkungen werden realisiert.
- Steigern: Hier werden Maßnahmen ergriffen, die die Eintrittswahrscheinlichkeit oder die Auswirkung der Chance erhöhen.
- Ablehnen: Die Chance wird z.B. aus ökonomischen Gründen nicht wahrgenommen.
- Teilen: Das Risiko wird zwischen den beteiligten Parteien gleichermaßen aufgeteilt (Gain-Pain-Sharing-Modell). Im Fall von Chancen wird der Gewinn bei Eintritt geteilt.
Es ist zwingend zu prüfen, welche Auswirkung die gewählte Maßnahme auf den Projektplan, den Phasenplan, das Arbeitspaket, den Business Case und das Unternehmens- und/oder Programmmanagement hat.
4. Implementieren
Dieser Schritt setzt die gewählte Maßnahme um und prüft ihre Effektivität. Gegebenenfalls müssen korrigierende Maßnahmen ergriffen oder eine neue Maßnahme durchgeführt werden.
Der Projektmanager, der generell für die Durchführung des Risikomanagements verantwortlich ist, wird nicht in der Lage sein, alle identifizierten Risiken eigenständig zu überwachen und die entsprechenden Maßnahmen umzusetzen. Hier ist es sinnvoll, Personen mit entsprechenden Fachkenntnissen einzusetzen. Daher werden im Schritt „Implementieren“ zwei Rollen zugewiesen, die das Risikomanagement unterstützen.
- Risikoeigentümer: Er ist für die Überwachung und Beurteilung eines bestimmten Risikos verantwortlich. Ihn kennzeichnet besonderes Wissen über das Risiko oder besondere Nähe zum Risiko aus.
- Risikobearbeiter: Unterstützt den Risikoeigentümer und führt die identifizierte(n) und gewählte(n) Maßnahme(n) durch.
Beide Rollen können von der gleichen Person übernommen werden. Soweit inhaltlich sinnvoll, können auch Mitglieder des Projektmanagementteams Rollen aus dem Risikomanagement zugewiesen bekommen.
5. Kommunizieren
Dieser Schritt sorgt für den ausreichenden Informationsfluss über die Risikosituation bei internen und externen Stakeholdern. Unterstützt durch die Kommunikationsmanagementstrategie, wird eine geregelte interne und externe Kommunikation in Bezug auf die Risikosituation des Projektes festgelegt.
Das Risikoregister dokumentiert die Ergebnisse aller Schritte des Risikomanagements. Es ist das zentrale Dokument für das Risikomanagement, ein Abbild der aktuellen Risikobelastung des Projekts und wird ständig aktualisiert. Das Risikoregister wird im Prozess Initiieren eines Projekts angelegt und in dem Prozess Abschließen des Projekt geschlossen.
Risikobudget
Ein Risikobudget ist optional – allerdings sehr wichtig und sinnvoll. Das Risikobudget, wenn vorhanden, ist eine im Projektbudget bereitgestellte Summe, die speziell für die Durchführung der beschlossenen Maßnahmen für Chancen und Bedrohungen reserviert ist.
Das für den Eventualplan zu berücksichtigende Budget ist ebenfalls dem Risikobudget zuzuordnen, bleibt aber bis zur Umsetzung des Eventualplans gesperrt (da reaktiv). Sollte kein Risikobudget von der Kundenseite bereitgestellt werden, muss jede Risikomaßnahme vom Kunden bzw. Unternehmen gesondert finanziert werden.