Softwareentwicklungs-Projekte waren immer schon ein Unterfangen mit einem größeren Unsicherheitsfaktor. Er findet seinen Ausdruck in überschrittenen Zeitplänen, explodierenden Budgets oder unterirdischer Qualität. Folglich hat sich die gesamte Softwarebranche in den vergangenen Jahren einiges einfallen lassen, um den Projektverlauf erfolgversprechender zu gestalten.

Eines der Instrumente, die hier zur Verfügung stehen, ist das Risiko-Management. Dahinter steht der Wunsch, projektgefährdende Probleme bereits zu erkennen und zu behandeln, bevor sie eintreten und Schaden anrichten können. Diese potenziellen Probleme werden Risiken genannt. Ein Risiko ist also, einfach gesagt, die Möglichkeit, dass ein bestimmter Schaden eintritt.

Das Ziel des Risiko-Managements besteht dementsprechend darin, Probleme und ihre negativen Konsequenzen gar nicht erst entstehen zu lassen. Dazu werden die Risiken behandelt und, wenn möglich, entschärft - getreu dem Motto: "Wehret den Anfängen!" Oder anders ausgedrückt: "Lieber durch Risiken angespornt als durch Probleme getrieben."

In der Softwareentwicklung stellen wir uns oft die Frage, ob der zusätzliche Aufwand, den das Risiko-Management uns abverlangt, gut angelegte Zeit ist. Eines vorweg: Es lohnt sich! Allerdings nur, wenn wir unsere Projektzeit mit "wirkungsvollem" Risiko-Management verbringen. Es unterscheidet sich in einigen Punkten von einem "herkömmlichen" Risiko-Management. Diese Unterschiede sollte kennen, wer seine Risiken nachhaltig bekämpfen will. Die folgenden fünf Tipps können dabei helfen.

Tipp 1: Verteilen Sie Risikobewusstsein und -verantwortung

Die Software und ihre Entwicklung werden immer komplexer. Dieser Trend wird sich künftig noch verstärken. Eine hohe Komplexität bedingt eine steigende Anzahl an Risiken. Deshalb ist ein Fundament notwendig, welches das Risiko-Management tragen kann.

Zunächst ist das Risikobewusstsein jedes Projektmitarbeiters zu wecken. Um Risiken wirkungsvoll entgegentreten zu können, muss man sie erst einmal finden. Das ist in einer immer komplexer werdenden Softwarewelt nicht so einfach, wie es sich liest. Am besten funktioniert es, wenn jeder einzelne Projektmitarbeiter daran teilnimmt. Denn jeder ist eben der Experte in seinem speziellen Aufgabengebiet und damit auch der erste Ansprechpartner für das Risiko-Management in diesem Sektor.

Allerdings müssen die Mitarbeiter über ein Grundwissen im Risiko-Management verfügen. Sonst können sie Begriffe, Konsequenzen und Handlungsweisen nicht richtig einschätzen. Aufbauend auf diesem Grundwissen und im Bewusstsein möglicher Konsequenzen der Risiken kann jeder Mitarbeiter zu einem erfolgreichen Risiko-Management beitragen. Auf diese Wiese werden auch in allen Bereichen des Projekts die Risiken identifizierbar.

Darüber hinaus sollten Sie die Verantwortung für Risiken delegieren. Sobald ein Risiko identifiziert ist, wird dessen Analyse, Steuerung und Beobachtung einem Projektmitarbeiter übertragen. Das stärkt nachhaltig das Risikobewusstsein des Einzelnen. Zudem werden die Mitarbeiter in die Lage versetzt, viele Risken parallel zu behandeln.

Tipp 2: Fördern Sie eine Risiko-offene Projektkultur

Jedes Projekt weist Risiken auf, die einem Erfolg im Weg stehen könnten. Es ist schwierig, diesen Umstand anzuerkennen und Risiken offen zu begegnen. Gemeinhin haftet dem Risiko das Image des Negativen an. Deshalb besteht die Herausforderung darin, eine Projektkultur zu etablieren, in welcher der Begriff Risiko nicht negativ, sondern positiv besetzt ist. Nur so lässt sich die notwendige Risikokommunikation im Projekt betreiben. Diese Risikokommunikation sollte auf drei Säulen ruhen:

• Zunächst einmal ist eine Risikokultur von unten gefragt: Die Projektmitarbeiter arbeiten aktiv am Risiko-Management mit. Dies tun sie, dem Tipp 1 folgend, aus einem ausgeprägten Risikobewusstsein heraus und mit der ihnen übertragenen Risikoverantwortung. In einem eingespielten Risiko-Management wirken sich die Tätigkeiten der Mitarbeiter direkt auf den Projekterfolg aus.

• Zudem ist die Risikokultur von oben entscheidend: Die Projektleitung muss eine vertrauensvolle und offene Kultur vorleben, und die Mitarbeiter sollten ermutigt werden, Risiken offen anzusprechen. Allerdings müssen diese auch offen angenommen und verfolgt werden, um das Projekt fortwährend positiv auf Risiken zu konditionieren.

• Die dritte Säule ist die Risikokultur von ganz oben: Die Geschäftsleitung und der Projektsteuerkreis müssen an einem erfolgreichen Risiko-Management interessiert sein. Ein stabiles und sicheres Projekt zeichnet sich eben nicht dadurch aus, dass es nur wenige Risiken identifiziert. Ganz im Gegenteil! Ein Projekt mit vielen identifizierten Risiken ist besonders sicher, denn an diesen Risiken kann das Team arbeiten. Viele Risiken entdecken und aktiv mit diesen umgehen - genau das sollte von ganz oben eingefordert werden.

Tipp 3: Passen Sie den Risiko-Management-Prozess Ihrem Projekt an

Risiken werden grundsätzlich in vier Schritten behandelt:

• Identifikation,

• Analyse,

• Maßnahmenumsetzung und

• Überwachung.

Dieser Prozess stellt sicher, dass sich die Risiken finden, verfolgen und vermindern lassen. Im Hinblick auf konkrete Projekte ist es entscheidend, diesen "rohen" Prozess an die jeweiligen Gegebenheiten anzupassen. Definieren Sie zunächst Verantwortlichkeiten: Wer ist für das Risiko-Management verantwortlich? Wer sorgt für die Risikoidentifikation? Wie wird das Reporting ablaufen? Wenn die Verantwortung geklärt ist, geht es an die Definition der Methoden. Hier wird dem individuellen Risikoprozess Leben eingehaucht: Wie soll die Risikoidentifikation ablaufen? Wie werden Risiken analysiert und bewertet? Wie die Gegenmaßnahmen gesteuert?

Tipp 4: Integrieren Sie Risiko-Management und Projektabläufe

Ihr projektindividueller Risikoprozess läuft dann am wirkungsvollsten ab, wenn er mit anderen - einmalig oder regelmäßig anstehenden - Projekttätigkeiten in Einklang gebracht wird. Verknüpfen Sie daher die Tätigkeiten im Risiko-Management mit Ihren Projektabläufen.

• Nehmen Sie beispielsweise im Rahmen der Anforderungsanalyse eine Risikoidentifikation vor.

• Verknüpfen Sie regelmäßige Meetings mit der fortwährenden Überwachung von Risiken.

• Nehmen Sie ein Kapitel zur Risikobetrachtung in Ihre Spezifikationsdokumente auf.

Solche Verknüpfungen halten das Risiko-Management en passant am Leben und schärfen das gemeinsame Risikobewusstsein.

Tipp 5: Überblicken Sie die Wirtschaftlichkeit Ihres Tuns

Der Aufwand, den Sie in das Risiko-Management investieren, sollte im Verhältnis zum Nutzen stehen (sioehe auch: "Wieviel Security ist genug?"). Ein Aufblähen von Projekten mit zusätzlichen Tätigkeiten ist kontraproduktiv und hinterlässt im schlimmsten Fall demotivierte Mitarbeiter. Das Geheimnis besteht darin, das Risiko-Management auf der einen Seite zu einer selbstverständlichen Gewohnheit der Beteiligten zu machen, auf der anderen Seite aber auch ein Kostenbewusstsein für Tätigkeiten im Risiko-Management zu entwickeln.

Zwar ist die Sicherung des Projekterfolgs durch wirkungsvolles Risiko-Management enorm, allerdings erweist sich "zu viel des Guten" meist ganz einfach als "zu viel". Erarbeiten Sie für sich selbst und Ihr Team fortwährend das Gespür für ein ausgewogenes Verhältnis von Aufwand und Nutzen. Der Aufwand lässt sich übrigens leicht steuern, indem sie mehr oder weniger Risiken akzeptieren beziehungsweise behandeln. Nicht sparen sollten Sie an der Identifikation der Risiken, denn kein Risiko ist zu viel identifiziert. (qua)