Risikoanalyse und -management

Abstract

Risikoanalyse und -management ist eine wichtige Projektmanagement-Praxis, um sicherzustellen, dass während des Projekts möglichst wenige Überraschungen auftreten. Während wir die Zukunft nie mit Sicherheit vorhersagen können, können wir einen einfachen und rationalisierten Risikomanagementprozess anwenden, um die Unsicherheiten in den Projekten vorherzusagen und das Auftreten oder die Auswirkungen dieser Unsicherheiten zu minimieren. Dies verbessert die Chance auf einen erfolgreichen Projektabschluss und reduziert die Folgen dieser Risiken.

Dieser Beitrag stellt den strukturierten Risikomanagement-Prozess vor, der bei Nokia Siemens Networks angewandt wird und der hilft, Krisensituationen zu vermeiden und aus vergangenen Fehlern zu lernen. Er zeigt auf, dass eine effektive und frühzeitige Risikoidentifikation und -steuerung das Erreichen der Projektziele sichert und zu reduzierten Nacharbeitskosten führt.

Einführung

Projektteammitglieder auf verschiedenen Ebenen identifizieren und handhaben Risiken in unterschiedlichen Ausprägungen. Ohne ein strukturiertes Rahmenwerk für das Risikomanagement ist dies jedoch ineffektiv, da es zu:

  • unvollständiger Bewertung der Auswirkungen führt, was zu Verlusten führt:
    • Kenntnis der Gesamtauswirkungen auf die Projektziele, wie Umfang, Zeit, Kosten, und Qualität
    • Identifikation von sekundären oder neuen Risiken, die sich aus den bereits identifizierten Risiken ergeben
  • Mangel an Transparenz und eine Kommunikationslücke innerhalb und außerhalb des Teams

Daher ist es für jede Projektorganisation sehr wichtig, ein effektives Risikomanagement einzurichten. Die Einführung einer solchen Praxis als Projektteamkultur gewährleistet:

  • Bewusste und fokussierte Risikoidentifikation und -management
  • Projektfortschritt wie gewünscht, mit dem geringsten Maß an Abweichungen oder Überraschungen, und in Übereinstimmung mit den Projekt- und Organisationszielen
  • Frühzeitige und effektive Kommunikation von Projektproblemen an die Organisation und die Projektbeteiligten
  • Ein effektives Werkzeug zur Teambildung, da die Einbindung und Akzeptanz des Teams sichergestellt wird

Aus Abbildung 1 geht hervor, dass Risikomanagement ein iterativer Prozess ist und jede Facette des Risikomanagements in jeder Phase des Projekts geplant und befolgt werden sollte.

Risikomanagementprozess

Abbildung 1 – Risikomanagementprozess

Das Risikomanagement-Framework, das bei Nokia Siemens Networks befolgt wird, bietet Richtlinien für:

  • Kontinuierliche Risikoidentifikation
  • Risikobewertung
  • Risikominderung und Definition von Notfallmaßnahmen
  • Risikoüberwachung und -steuerung
  • Effizienzmessung der Risikoidentifikation

Das Rahmenwerk für das Risikomanagement bietet auch Vorlagen und Werkzeuge, wie z.B.:

  • Ein Risikoregister für jedes Projekt, um die identifizierten Risiken und Probleme zu verfolgen
  • Eine Risiko-Checkliste, die ein Leitfaden zur Identifizierung von Risiken basierend auf den Phasen des Projektlebenszyklus ist
  • Ein Risiko-Repository, das alle bisher projektübergreifend identifizierten Risiken enthält

Risikomanagement-Rahmenwerk

Risikomanagement-Plan

Das von der Organisation vorgegebene Risikomanagement-Rahmenwerk wird überprüft und angepasst, um den Risikomanagement-Plan für das Projekt zu definieren, wenn das Projekt gestartet wird. Der Risikomanagementplan enthält diese Definitionen und Richtlinien:

  • Liste möglicher Risikoquellen und -kategorien
  • Auswirkungs- und Wahrscheinlichkeitsmatrix
  • Risikominderungs- und Aktionsplan
  • Notfallplan
  • Risikoschwellenwert und Metriken

Risikoidentifikation

Risiken sind so früh wie möglich im Projekt zu identifizieren und zu behandeln. Die Risikoidentifikation erfolgt während des gesamten Projektlebenszyklus, mit besonderem Schwerpunkt während der wichtigsten Meilensteine.

Die Risikoidentifikation ist eines der Hauptthemen in den regelmäßigen Projektstatus- und Berichtsmeetings. Einige Risiken sind für das Projektteam leicht erkennbar – bekannte Risiken; andere erfordern mehr Sorgfalt, um sie aufzudecken, sind aber dennoch vorhersehbar.

Das Medium für die Aufzeichnung aller identifizierten Risiken während des gesamten Projekts ist das Risikoregister, das auf dem zentralen Projektserver gespeichert wird.

Die folgenden Werkzeuge und Richtlinien werden verwendet, um Risiken auf strukturierte und disziplinierte Weise zu identifizieren, wodurch sichergestellt wird, dass kein wesentliches potenzielles Risiko übersehen wird.

1. Risikoquellen

Risikoquellen

Abbildung 2 – Risikoquellen

2. Risikokategorie

Die Risikokategorie liefert eine Liste von Bereichen, die anfällig für Risikoereignisse sind. Die Organisation empfiehlt übergeordnete Standardkategorien, die je nach Projekttyp erweitert werden müssen.

Von der Organisation vorgegebene Standard-Risikokategorien

Abbildung 3 – Von der Organisation vorgegebene Standard-Risikokategorien

Risikoanalyse

Bei der Risikoanalyse wird untersucht, wie sich die Projektergebnisse und -ziele aufgrund der Auswirkungen des Risikoereignisses ändern könnten.

Nachdem die Risiken identifiziert wurden, werden sie analysiert, um die qualitativen und quantitativen Auswirkungen des Risikos auf das Projekt zu ermitteln, damit geeignete Schritte zur Risikominderung unternommen werden können. Die folgenden Richtlinien werden zur Analyse von Risiken verwendet.

3. Wahrscheinlichkeit des Risikoeintritts

  1. Hohe Wahrscheinlichkeit – (80 % ≤ x ≤ 100 %)
  2. Mittel-.hohe Wahrscheinlichkeit – (60 % ≤ x < 80%)
  3. Mittel-Geringe Wahrscheinlichkeit – (30 % ≤ x < 60 %)
  4. Geringe Wahrscheinlichkeit (0 % < x < 30 %)

4. Risikoauswirkung

  1. Hoch – katastrophal (Rating A – 100)
  2. Mittel – kritisch (Rating B – 50)
  3. Niedrig – Geringfügig (Rating C – 10)

Als Richtlinie für die Klassifizierung der Auswirkungen wird die folgende Matrix verwendet:

Leitfaden zur Auswirkungsklassifizierung

Abbildung 4 – Leitfaden zur Auswirkungsklassifizierung

Die Punktzahl stellt untere Schwellenwerte für die Klassifizierung von Risiken unter der Annahme „normaler“ Bedingungen dar. Eine Heraufstufung des Scores auf die nächste oder sogar die nächste + 1 Stufe ist notwendig, wenn das Risiko durch kritische Faktoren wie z. B.:

  • Wie wichtig der spezifische Kunde ist
  • Ob das Projekt kritisch für die weitere Entwicklung der Beziehung zum Kunden ist
  • Das Risiko ist bereits im Fokus des Kunden
  • Spezifische Pönalen für Abweichungen von den Projektzielen sind im Vertrag mit dem Kunden vereinbart

5. Risikoexposition

Die Risikoexposition oder der Risikoscore ist der Wert, der sich aus der Multiplikation des Impact Ratings mit der Risikowahrscheinlichkeit ergibt, wie in Abbildung 5 dargestellt.

Auswirkungs-Wahrscheinlichkeits-Matrix

Abbildung 5 – Auswirkungs-Wahrscheinlichkeits-Matrix

Die Farben stellen die Dringlichkeit der Risikoreaktionsplanung dar und bestimmen die Berichtsstufen.

6. Zeitrahmen für das Eintreten des Risikos

Der Zeitrahmen, in dem sich dieses Risiko auswirken wird, wird identifiziert. Dieser wird in eine der folgenden Kategorien eingeordnet:

Zeitrahmen für das Auftreten des Risikos

Abbildung 6 – Zeitrahmen für das Auftreten des Risikos

Zusätzlich zur Klassifizierung der Risiken nach den obigen Richtlinien ist es auch notwendig, die Auswirkungen auf Kosten, Zeitplan, Umfang und Qualität so detailliert wie möglich zu beschreiben, basierend auf der Art des Risikos.

7. Beispiele für die Risikoklassifizierung:

Beispiele für die Risikoklassifizierung

Abbildung 7 – Beispiele für die Risikoklassifizierung

Risikobewältigungsplanung

Es gibt möglicherweise keine schnellen Lösungen, um alle Risiken eines Projekts zu reduzieren oder zu beseitigen. Einige Risiken müssen möglicherweise über einen längeren Zeitraum strategisch gesteuert und reduziert werden. Daher sollten Aktionspläne ausgearbeitet werden, um diese Risiken zu reduzieren. Diese Aktionspläne sollten beinhalten:

  • Risikobeschreibung mit Risikobewertung
  • Beschreibung der Maßnahme zur Reduzierung des Risikos
  • Verantwortlicher der Risikomaßnahme
  • Verpflichtetes Fertigstellungsdatum der Risikomaßnahme

Alle Risikomaßnahmepläne sollten der Person zugewiesen werden, die für die Durchführung des Aktionsplans bestimmt ist.

1. Risikoreaktionspläne

Für jedes Risiko muss in Abstimmung mit den Beteiligten eine Risikoreaktion im Risikoregister dokumentiert werden. Dies sollte durch den Projektleiter sichergestellt werden.

Risiko-Reaktionspläne sind auf folgende Ziele ausgerichtet:

  1. Eliminierung des Risikos
  2. Senkung der Wahrscheinlichkeit des Risikoeintritts
  3. Minderung der Auswirkung des Risikos auf die Projektziele

Risikoreaktionspläne haben in der Regel Auswirkungen auf Zeit und Kosten. Daher ist es zwingend erforderlich, dass der Zeit- und Kostenaufwand für den definierten Reaktionsplan möglichst genau ermittelt wird. Dies hilft auch bei der Auswahl eines Reaktionsplans aus den Alternativen und bei der Überprüfung, ob der Reaktionsplan kostspieliger ist oder mehr Auswirkungen auf eines der Projektziele hat als das Risiko selbst.

Nach erfolgreicher Umsetzung einer Reihe von Reaktionsplänen kann die Bewertung eines Risikos in Absprache mit den Stakeholdern gesenkt werden.

Beispiele:

Risikoreaktion - Beispiele

Abbildung 8 – Risikoreaktion – Beispiele

2. Risikoauslöser

Für jedes Risiko muss ein Auslöser im Risikoregister dokumentiert werden. Der Auslöser identifiziert die Risikosymptome oder Warnzeichen. Er weist darauf hin, dass ein Risiko eingetreten ist oder kurz davor steht, einzutreten. Der Risikoauslöser gibt auch einen Hinweis darauf, wann der Eintritt eines bestimmten Risikos zu erwarten ist.

Beispiele:

Risikoauslöser Beispiele

Abbildung 9 – Risikoauslöser Beispiele

3. Risk Ownership

Grundregel ist, dass die Verantwortung für das Management aller Risiken im Projekt beim Projektleiter liegt.

Basierend auf dieser Grundregel muss ein Risk Owner (der nicht unbedingt der Projektleiter ist) bestimmt und im Risk Register benannt werden. Der Risk Owner ist in der Regel derjenige, der den Risikoauslöser am besten überwachen kann, aber auch derjenige, der die definierten Gegenmaßnahmen am besten vorantreiben kann. Der Risk Owner ist dafür verantwortlich, jede Änderung des Status des Risikoauslösers sofort zu melden und die definierten Gegenmaßnahmen voranzutreiben.

Beispiele:

Risikoeigentümer-Beispiele

Abbildung 10 – Risikoeigentümer-Beispiele

Risikoüberwachung und -steuerung

Die Risikoüberwachung und -steuerung umfasst:

  • Identifizierung neuer Risiken und Planung für diese
  • Überwachung bestehender Risiken, um zu prüfen, ob:
    • Neubewertung der Risiken notwendig ist
    • Einige der Risikobedingungen ausgelöst wurden
    • Überwachung aller Risiken, die im Laufe der Zeit kritischer werden könnten
    • Bearbeitung der verbleibenden Risiken, die eine längerfristigelangfristigen, geplanten und gesteuerten Ansatz mit Risiko-Aktionsplänen
  • Risiko-Neueinstufung

    Für die Risiken, die nicht geschlossen werden können, muss die Kritikalität durch die Umsetzung des Aktionsplans über einen bestimmten Zeitraum hinweg sinken. Ist dies nicht der Fall, ist der Aktionsplan möglicherweise nicht effektiv und sollte erneut überprüft werden.

  • Risikoberichterstattung

    Das Risikoregister wird kontinuierlich aktualisiert, von der Risikoidentifikation über die Planung der Risikobewältigung bis hin zur Statusaktualisierung während der Risikoüberwachung und -steuerung. Dieses Projektrisikoregister ist das primäre Werkzeug für die Risikoberichterstattung und steht auf dem zentralen Projektserver zur Verfügung, auf den alle Beteiligten zugreifen können.

Risikoüberwachung und -steuerung oder Risikoreview ist ein iterativer Prozess, der Fortschrittsstatusberichte und den Status von Deliverables zur Überwachung und Steuerung von Risiken nutzt. Dies wird durch verschiedene Statusberichte wie Qualitätsberichte, Fortschrittsberichte, Nachverfolgungsberichte usw. ermöglicht.

Risiko-Reviews sind ein obligatorischer Bestandteil von Meilensteinbesprechungen und/oder regelmäßigen Projektbesprechungen, können aber auch im Rahmen separat geplanter Risiko-Review-Meetings durchgeführt werden. Diese Risiko-Reviews müssen regelmäßig durchgeführt werden. Die Häufigkeit kann auch auf Basis des Gesamtrisikos eines Projekts festgelegt werden.

Risikoschwelle

Die Risikoprioritäten müssen so gesetzt werden, dass der Fokus dorthin gelenkt wird, wo es am kritischsten ist. Die Risiken mit der höchsten Risikobewertung haben die höchste Priorität.

Risiken mit einer niedrigen Risikobewertung können aus den Plänen zur Risikominderung gestrichen werden, müssen aber möglicherweise später im Projekt noch einmal überprüft werden.

Wenn ein Projekt mindestens ein „sehr hohes“ Risiko oder mehr als drei „hohe“ Risiken aufweist, sollte das Management und die Stakeholder um Rat gefragt werden, da das Projekt möglicherweise ein hohes Risiko des Scheiterns aufweist. Dies ist der empfohlene Risikogrenzwert. Projekte können den Schwellenwert je nach Projektbedarf anpassen.

Messung der Risikoeffizienz

Risiko-Metriken

Die Effizienz der Risikoanalyse und des Risikomanagements wird gemessen, indem die folgenden Metriken während des Projektabschlusses erfasst werden. Die Ergebnisse der Analyse werden verwendet, um die Lessons Learned zu entschlüsseln, die in der Lessons Learned-Datenbank der Organisation aktualisiert werden.

  • Anzahl der aufgetretenen Risiken / Anzahl der identifizierten Risiken
  • War die Auswirkung der Risiken so schwerwiegend wie ursprünglich angenommen?
  • Wie viele Risiken traten erneut auf?
  • Wie unterscheiden sich die tatsächlichen Probleme und Fragestellungen in einem Projekt von den erwarteten Risiken?

Risiko-Audit

Dies ist eine unabhängige Expertenanalyse von Risiken mit Empfehlungen zur Verbesserung der Reife oder Effektivität des Risikomanagements in der Organisation. Dabei wird bewertet:

  • Wie gut sind wir bei der Identifizierung von Risiken?
  • Ausführlichkeit und Granularität der identifizierten Risiken
  • Effektivität der Risikominderung oder des Notfallplans
  • Verknüpfung der Projektrisiken mit den organisatorischen Risiken

Dies ist kein Audit zur „Einhaltung der Prozesse“, sondern ein Hilfsmittel, um die Qualität der Risikoidentifikation und der Risikoanalyse zu verbessern. Es dient auch als Forum zum Benchmarking und zur Identifizierung guter Praktiken des Risikomanagements bei verschiedenen Projekten in der Organisation.

Das Risiko-Audit wird von einer Gruppe unabhängiger Fachleute aus dem Bereich oder der Technik durch Überprüfung der Dokumentation und Interviews durchgeführt. Die wichtigsten Ergebnisse des Risiko-Audits sind:

  • Angepasste Checkliste zur Bewertung der Risiken eines Projekts
  • Bereiche identifizieren, die für die Risikoanalyse eines Projekts wichtig sind (Risikotaxonomie)
  • Risiko-Radar – risiko-anfällige Bereiche der Produktgruppe
  • Potenzielle zusätzliche Risiken, die aufgrund der Überprüfung identifiziert wurden
  • Top 10 Risiken in der Organisation aus Schlüsselprojekten, die die Aufmerksamkeit des Managements erfordern

Fazit

Risikomanagement wird zum anspruchsvollsten Aspekt des Managements von Softwareprojekten. Während wir die Zukunft nie mit Sicherheit vorhersagen können, können wir einen einfachen und rationalisierten Risikomanagement-Prozess anwenden, um die Unsicherheiten in den Projekten vorherzusagen und das Auftreten oder die Auswirkungen dieser Unsicherheiten zu minimieren.

Risikomanagement hilft nicht nur dabei, Krisensituationen zu vermeiden, sondern auch dabei, sich an vergangene Fehler zu erinnern und daraus zu lernen. Dadurch wird die Chance auf einen erfolgreichen Projektabschluss erhöht und die Folgen dieser Risiken reduziert.

Damit ist die Reise zum effektiven Risikomanagement noch lange nicht zu Ende. Es ist ein ständiger Lernprozess, um unsere Praktiken ständig zu verbessern und unsere Prozesseffizienz zu steigern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.