Risiko-Management

Wie verwaltet man Risiken in Projekten?

23.01.2014
Von  , und
Gilbert Riegel ist IT-Leiter der Gigaset Communications GmbH.


In seiner 20-jährigen Karriere hat Frédéric Cuny Unternehmen international beraten und digitale Transformationen europaweit mitgestaltet. Seine Schwerpunkte liegen bei den Themen IT Service Excellence, IT Post Merger und Carve out, IT Sourcing und Applikationsauswahl. Bevor Frédéric Cuny als Partner kobaltblau Management Consultants mitbegründete, war er Mitglied der Geschäftsleitung bei Kienbaum und verantwortete IT-Beratung in den Branchen Industrie, High-Tech, Healthcare- und Konsumgüter.
Jan-Peter Schütt ist MBA-Kandidat an der ESB Reutlingen/Universität der Bundeswehr München und arbeitet bei der Kienbaum Management Consultants GmbH.
Ein Projekt ist an sich schon ein Risiko. Wenn sich also Projektrisiken nicht komplett vermeiden lassen, wie lassen sie sich dann wenigstens in Griff bekommen?

Große Lieferverzögerungen, verursacht durch Komplexität und fehlende Kompatibilität von Software im Kabelsalat von Großflugzeugen. Oder der plötzliche Profitabilitätssturz bei Levis wegen Problemen bei dem ERP-Rollout. Vorfälle wie diese haben Vielen vor Augen geführt, wie Projektrisiken viel Schaden anrichten können.

Zeit, Qualität und Geld spielen gleichermaßen eine Rolle, wenn es ums Risiko-Management innerhalb von Projekten geht.
Zeit, Qualität und Geld spielen gleichermaßen eine Rolle, wenn es ums Risiko-Management innerhalb von Projekten geht.
Foto: Rudie - Fotolia.com

Aber Projekte scheitern auch, ohne dass solche außergewöhnlichen Ereignisse ("Black Swans") auftreten müssen. Eine sichere Sache in einem Projekt ist die, dass ein Projektumfeld Unsicherheit mit sich bringt. Und dass sich ungesteuertes Risiko in Form von verfehltem Leistungsumfang, erhöhten Kosten, Zeitverzögerungen und geringer Qualität auswirken kann. Projekte scheitern nicht etwa deshalb, weil sich das Risiko nicht vollständig beseitigen lässt, sondern weil dieses Risiko nicht richtig gemanagt wird. In der IT-Planning-Studie des Softwareherstellers Alfabet räumen drei Viertel der gefragten CIOs ein, mindestens einmal das Scheitern eines geschäftskritischen Projekts erlebt zu haben. Wenn Risiken sowieso nicht komplett vermeidbar sind, welche Ansätze gibt es dann, um mit dem Risiko richtig umzugehen?

Welches Vorgehen empfiehlt sich zu Projektbeginn?

Zum einen heißt "Risiken managen" auch: "Erwartungen managen". Also sollte das Projekt-Management für das gesamte Projekt ein klares Erwartungsbild schaffen. Auf dieser Basis lassen sich dann die möglichen Risiken analysieren. Genau definiert werden muss die Frage: "Was will das Geschäft mit dem Projekt erreichen?" Dann sollte der Nutzen des Projekts in Form einer wirtschaftlichen Analyse herausgestellt werden. Zuletzt sind die Rahmenbedingungen zu detaillieren, die das Projekt zu einer Notwendigkeit machen und die für den erfolgreichen Ablauf notwendig sind.

Wesentliche Veränderungen in einer dieser drei Perspektiven wirken sich in dem Spannungsfeld Leistungsumfang, Termin, Kosten und Qualität aus und können im Extremfall zu einem Abbruch des Projekts führen. Die Aufgaben des Risiko-Managements bestehen darin, die assoziierten Risiken von Anfang an aufzuzeigen und mögliche Konsequenzen zu bewerten, um unrealistischen Erwartungen vorzubeugen.

Im Projekt sollte das Risiko-Management laufend dessen wirtschaftlichen Nutzen prüfen, um sicherzustellen, dass das Ziel auch erreicht werden kann. Damit stellt sich auch heraus, ob es zum gegenwärtigen Zeitpunkt überhaupt noch sinnvoll ist, das Vorhaben weiterzuführen. Letzteres ist vor allem dann wichtig, wenn sich Rahmenbedingungen geändert haben.

Zum anderen gehört zum Risiko-Management auch, die Risikokultur zu fördern. Wir alle kennen Projekte, an denen man festgehalten hat, weil irgendwann das Projektgeschehen wichtiger wurde als die Ziele. Wir kennen auch Projekte, die rechtzeitig, im Budget und auch in guter Qualität geliefert wurden, aber den Leistungsumfang verfehlten. Die Projektmitarbeiter, insbesondere in IT-Projekten, tendieren dazu, sich Scheuklappen aufzusetzen und nur noch das Projekt und dessen Erreichung zu sehen.

Ein Teil des Problems bilden sicher fehlendes Wissen, Kommunikationsfehler und falsches Verständnis vom Reporting. Außerdem sollte man sich immer des Faktors Mensch bewusst sein: Das Projektteam und das Management können einer selektiven Wahrnehmung anheimfallen - möglicherweise, um kognitive Dissonanzen zu vermeiden. Damit besteht das Risiko, dass widersprüchliche Informationen zu einer bereits gefällten Entscheidung oder einer Situationseinschätzung so lange ignoriert werden, bis die Handlungsoptionen hinsichtlich einer Korrektur extrem eingeschränkt oder aber kostenintensiv sind.

Ein Projekteiter muss sich bewusst sein, dass trotz aller Standards die jeweilige Kultur eine bedeutsame Rolle spielt: Um ein Projekt abzubrechen, muss die Unternehmenskultur dafür bereit sein. Der Abbruch eines Projekts oder eine grundlegende Veränderung des Scope dürfen kein Tabu sein.

Wie erkennt man Risiken und wie selektiert man sie?

Zur Identifikation von Risiken haben sich Workshops bewährt, in denen mit Hilfe einer Checkliste die Risiken und Ursachen beschrieben werden. Die Teilnehmer des Workshops sollten aus den betroffenen Fachbereichen und aus der IT kommen. Sie müssen ihre Sichtweisen offen schildern können. Anschließend lassen sich die Risiken dann, soweit möglich, nach Eintrittswahrscheinlichkeit, Eintrittszeitpunkt und Schadensausmaß quantitativ, also monetär und zeitlich, bewerten.

Die Checkliste für den Workshop.
Die Checkliste für den Workshop.
Foto: Kienbaum Business Consultants

Das Ergebnis des Workshops lässt sich in einem "Risikoradar" veranschaulichen:

Die Wahrscheinlichkeit der Risiken wächst von der Peripherie zum Zentrum. Die Symbole bezeichnen das Ausmaß des Schadens im Risikofall.
Die Wahrscheinlichkeit der Risiken wächst von der Peripherie zum Zentrum. Die Symbole bezeichnen das Ausmaß des Schadens im Risikofall.
Foto: Kienbaum Business Consultants

Nach der Identifikation und Bewertung der Risiken sind Maßnahmen zum Umgang damit abzuleiten. Vier Risikostrategien stehen dabei zur Verfügung:

  • Akzeptieren,

  • Vermindern,

  • Übertragen (zum Beispiel an den Auftraggeber, durch den Abschluss einer geeigneten Versicherung oder an einen besser aufgestellten Lieferanten) und

  • Vermeiden.

Letztendlich sollten die Auswirkung nach Einsatz der Maßnahmen bewertet werden, um gegebenenfalls die Bedingungen eines Projektabbruchs oder einer Veränderung des Scope festzulegen.

Im letzten Schritt gilt es, Stresstest-Szenarien durchzugehen. Im Anschluss an die Ableitung einer geeigneten Risikostrategie sollten im Anschluss auch extreme Stresstests durchgegangen werden. So lassen sich sogar für die Black Swans wirksame Handlungsoptionen finden. Wie bereits angedeutet, bezeichnet dieser Begriff Katastrophen erheblichen Ausmaßes mit nicht planbarem Charakter. Klassische Fragen für diese Stresstests sind die folgenden:

  • Was, wenn das Projektbudget um 200 Prozent überschritten wird?

  • Was, wenn unser Projekt-Sponsor das Unternehmen verlässt?

  • Was, wenn das Projekt zwei Jahre länger dauert als geplant?

  • Was, wenn ein kritischer Lieferant vom Markt verschwindet?

Diese kreative Übung sollte regelmäßig durchlaufen werden. Sie ist quasi eine der Kernaufgaben des Projekt-Managers - auf jeden Fall immer beim Erreichen wichtiger Meilensteine.