Als Faustregel gilt: Risiko-Management muss immer vom "Worst Case Scenario", also den schlimmsten anzunehmenden Folgen, ausgehen. Nach der Quantifizierung der Wahrscheinlichkeit der einzelnen Risiken empfehlen Experten eine sorgsame Abwägung anhand von vier grundlegenden Strategien:
-
Risiko vermeiden: Auf das Produkt, die betroffenen Produkteigenschaften oder Produkteile kann ganz verzichtet werden. So lassen sich die damit verbundenen Risiken vermeiden, allerdings entfällt dadurch auch deren Nutzen. Sinnvoll ist diese Strategie dann, wenn andere Risikostrategien nicht verfügbar oder zu teuer beziehungsweise die Auswirkungen der Risiken erheblich sind. Angesichts des entgangenen Nutzens sollte sich die Organisation jedoch immer wieder fragen, ob veränderte Gegebenheiten nicht doch eine der im Weiteren aufgeführten Strategien ermöglichen.
-
Risiko minimieren: Wer sich für diesen Ansatz entscheidet, wird Maßnahmen ergreifen, die sowohl die Wahrscheinlichkeit des Auftretens reduzieren als auch die Auswirkungen der Risiken abschwächen. Zudem empfiehlt es sich, in der Betriebsphase zusätzliche Anforderungen zur Vermeidung von Risiken in die Anforderungsliste aufzunehmen. Diese Strategie ist sinnvoll, solange die Kosten für die Risikominimierung den Nutzen nicht überwiegen. Bei dahin gehend optimierter Softwareentwicklung ist mit einem Aufwand in Höhe von fünf Prozent der Entwicklungskosten zu rechnen.
-
Risiko weitergeben: Kann die eigene Entwicklungsorganisation die Maßnahmen zur Minimierung der Risiken nicht oder nur unzureichend vornehmen, lassen sich Letztere auch weitergeben. So können etwa Teile der Software gekauft statt in Eigenregie entwickelt oder Aufgaben an Dritte mit mehr Know-how vergeben werden. Dabei ist entscheidend, dass das Risiko tatsächlich weitergegeben und die Leistung in jedem Fall erbracht wird - egal, welche Probleme beim Auftragnehmer intern auftreten.
-
Risiko hinnehmen: Schließlich kann das Risiko auch schlicht akzeptiert werden. Diese Strategie kann bei Risiken mit weniger gravierenden Auswirkungen sinnvoll sein. Im Rahmen eines Risiko-Managements werden nur geringfügige Risiken hingenommen, bei denen sich andere Maßnahmen nicht lohnen. Doch selbst wenn das Risiko in keiner Weise adressiert wird, sollten in der Projektarbeit mögliche Puffer für Verzögerungen und Zusatzaufwand eingeplant werden. Damit lassen sich dann die wenigen tatsächlich eintretenden Vorfälle abfedern.