Projektrisikomanagement

Inhaltsverzeichnis

II. Abbildungsverzeichnis

III. Tabellenverzeichnis

1 Hinführung zum Thema

2 Notwendige Begrifflichkeiten
2.1 Projekt
2.2 Risiko
2.3 Risikomanagement
2.4 Projektcontrolling
2.5 Projektrisikomanagement

3 Notwendigkeit eines Projektrisikomanagement
3.1 KonTraG
3.2 Wettbewerbsvorteil durch bewusstes Eingehen von Risiken

4 Risikokategorien

5 Risikomanagementprozess
5.1 Risikoidentifikation
5.1.1 Techniken zur Risikoidentifikation
5.1.1.1 Post’Mortem Analyse
5.1.1.2 Projektumfeldanalyse
5.1.1.3 Risiko-Workshops
5.1.1.4 Interviews
5.1.1.5 Risikofragebogen
5.1.1.6 Einsatz der Techniken
5.2 Risikoanalyse
5.2.1 Risikoliste
5.2.2 ABC-Analyse
5.2.3 Abhängigkeitsmatrix
5.3 Risikobehandlung
5.3.1 Risikovermeidung
5.3.2 Risikoverminderung
5.3.2.1 Risikoverminderung in inkrementellen Schritten
5.3.2.2 Reaktiver und proaktiver Inkrementalismus
5.3.2.3 Inkrementeller Fertigstellungsplan
5.3.3 Risikobegrenzung
5.3.4 Risikoverlagerung
5.3.5 Risikoakzeptanz
5.4 Risikoüberwachung
5.4.1 Risikoportfolio
5.4.2 Meilenstein- und Kostentrendanalyse (MTA und KTA)
5.4.3 Earned Value Analyse (EVA)
5.4.4 Frühwarnsystem
5.5 Risikokommunikation

6 Wirtschaftlichkeit des Projektrisikomanagements

7 Schlussbetrachtung

IV. Anhang

V. Glossar

VI. Quellenverzeichnis

VII. Eidesstattliche Erklärung

II. Abbildungsverzeichnis

Abb. 1 - Titel: Sachliche und Chronologische Risikokategorisierung Dreger, W.: Erfolgreiches Risiko-Management bei Projekten, Renningen 2000.

Abb. 2 - Titel: Risikomanagementprozess In Anlehnung an Gaulke, M.: Risikomanagement in IT-Projekten; München 2002,

Abb. 3 - Titel: Post’Mortem Analyse DeMarco, T., Lister, T.: Bärentango - Mit Risikomanagement Projekte zum Erfolg führen, Wien München 2003,

Abb. 4 - Titel: Wirkungsnetz In Anlehnung an Gaulke, M.: Risikomanagement in IT-Projekten; München 2002,

Abb. 5 - Titel: Entwurfsplan nach DeMarco DeMarco, T., Lister, T.: Bärentango - Mit Risikomanagement Projekte zum Erfolg führen, Wien München 2003,

Abb. 6 - Titel: Korrelation von Entwurfsplan, WSB & VAT DeMarco, T., Lister, T.: Bärentango - Mit Risikomanagement Projekte zum Erfolg führen, Wien München 2003,

Abb. 7 - Titel: Risikoportfolio Daum, D.: Karlsruhe 28.09.2004, 15:06 Uhr.

Abb. 8 - Titel: Projektumfeldanalyse Daum, D.: Karlsruhe 29.09.2004, 08:24 Uhr.

Abb. 9 - Titel: Ishikawa Diagram Cause and Effect Diagram, Saferpak.com, http://www.saferpak.com/cause_effect.htm, 29.09.2004, 09:29 Uhr.

Abb. 10 - Titel: Meilensteintrendanalyse Wikipedia, http://de.wikipedia.org/wiki/Bild:MTA1.png, 29.09.2004, 08:29 Uhr.

III. Tabellenverzeichnis

Tab. 1 - Titel: Checkliste für Fragebogen http://www.projekthandbuch.de/templates/checklist_risk_management.htm , 20.07.2004, 10:48 Uhr.

Tab. 2 - Titel: Schadensklassen (Beispiel für ein zeitkritisches Projekt) Versteegen, G.: Risikomanagement von IT-Projekten,

Tab. 3 - Titel: Risikoliste Daum, D.: Karlsruhe 29.09.2004, 08:24 Uhr.

Tab. 4 - Titel: ABC-Analyse Gaulke, M.: Risikomanagement von IT-Projekten,

Tab. 5 - Titel: Wirkungsmatrix Gaulke, M.: Risikomanagement von IT-Projekten,

1 Hinführung zum Thema

Egal ob ein Flughafen gebaut, ein neues EDV-System implementiert oder ein Produkt entwickelt wird: Wirtschaft, Forschung und Politik setzen diese Vorhaben verstärkt in Form von Projekten¹ um. Ein Beleg hierfür ist die hohe Anzahl an initiierten Projekten in den Unternehmen.

Aus der Projektarbeit ergeben sich zwar Chancen für eine mögliche Kostensenkung oder einer verbesserten Marktpositionierung, aber zwangsläufig auch Risiken. Diese gilt es adäquat zu be- handeln, worauf jedoch in der Vergangenheit in den meisten Unternehmen verzichtet wurde. Dementsprechend häufig stellten sich Projektabbrüche oder Termin- bzw. Budgetüberschreitun- gen ein, weshalb eine andere, professionellere Vorgehensweise bezüglich der Projektrisiken notwendig wurde. Die Lösung kann Projektrisikomanagement sein, da unerwünschte Entwick- lungen, die Fehler und Probleme verursachen, frühzeitig identifizier- und steuerbar sind.

Das den Projekten zugrundeliegende Risikopotential hat der Gesetzgeber ebenfalls erkannt und am 1. Mai 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)² verabschiedet. Dieses Gesetz verpflichtet die Unternehmen zum sensibilisierten Umgang mit Projektrisiken.

Sehr erfolgreich wurden bereits beim Militär und in der Luft- und Raumfahrtstechnik Projektrisiken gemanagt. Andere Branchen adaptieren diese Projektmanagementdisziplin dagegen nur sehr schleppend; lediglich in der Informationstechnologiebranche wird diese Projektmanagementdisziplin in jüngster Vergangenheit verstärkt angewendet. Von einer „passablen Umsetzung und Anwendung sind die meisten Unternehmen allerdings weit entfernt“³.

Diese Studienarbeit vermittelt die Notwendigkeit von Projektrisikomanagement, jedoch nicht ohne auch den Aufwand aufzuzeigen. Es wird erläutert, welche Risikokategorien existieren und wie die Projektmanagementdisziplin Risikomanagement als Prozess umgesetzt werden kann. Abschließend wird die Wirtschaftlichkeit von Projektrisikomanagement betrachtet.

2 Notwendige Begrifflichkeiten

Unterschiedliche Definitionen und Auslegungsmöglichkeiten machen es erforderlich, dass einige wichtige Begriffe näher erläutert werden müssen.

2.1 Projekt

Die DIN 69901 definiert ein Projekt als ein „Vorhaben, das durch die Einmaligkeit der Bedin- gungen in zeitlicher, finanzieller sowie personeller Hinsicht eingeschränkt“ ist. Neben einer ein- deutigen Zielvorgabe besteht die Notwendigkeit einer deutlichen Abgrenzung gegenüber anderen Routinetätigkeiten.

In der Praxis wird zusätzlich zu den oben formulierten Bedingungen die hohe Bedeutung des Projektergebnisses für den Auftraggeber, der Umfang und Komplexität des Projektauftrags, die Innovationskraft und Risikobehaftung des Projektes gesehen.

2.2 Risiko

Ein Risiko bezeichnet im unternehmensspezifischen Kontext die „Gefahr, durch Ereignisse und Handlungen die gesetzten Ziele oder Geschäftsstrategien nicht zu erreichen“⁴. Schnorrenberg definiert ein Risiko als „Ereignis, von dem nicht sicher bekannt ist, ob es eintreten und/oder in welcher Höhe ein Schaden verursacht wird“⁵. Probleme und Konflikte in Projekten sind von Ri- siken abzugrenzen, denn sie stellen Ereignisse dar, die mit Sicherheit eintreten oder bereits ein- getreten sind.

Schnorrenberg stellt fest, dass „ein Risiko nicht direkt messbar und deshalb keine Grundlage zur weiteren Behandlungsweise bietet“⁶. Wie jedoch in seiner Definition beschrieben, können die Größen Eintrittswahrscheinlichkeit und Schadenshöhe ermittelt werden, wodurch eine Bewertung des Risikos und die Planung weiterer Maßnahmen möglich ist.

2.3 Risikomanagement

Risikomanagement bezeichnet den planvollen Umgang mit Risiken. Neben systematischer Akti- vitäten zur Identifikation, Analyse und Behandlung von Projektrisiken werden in diesem Kontext Überwachungs-, Steuerungs- und Kommunikationsprozesse definiert und ausgeführt. Unterneh- mensweites Risikomanagement behandelt sowohl allgemeine unternehmerische Risiken als auch spezielle Risiken.

2.4 Projektcontrolling

Projektcontrolling analysiert anhand der Fortschritte und des Ressourcenverbrauchs den aktuellen Zustand eines Projektes. Diese sogenannten Ist-Werte ermöglichen eine Bewertung, auf deren Grundlage bei planabweichenden Werten ein steuernder Eingriff möglich ist.

2.5 Projektrisikomanagement

Im Gegensatz zum unternehmensweiten Risikomanagement ist Projektrisikomanagement auf das Managen von Risiken, die innerhalb eines Projektes entstehen, ausgerichtet. Wie auch beim unternehmensweiten Risikomanagement stehen die Aktivitäten der frühzeitigen Identifikation, A- nalyse, Behandlung, Überwachung, Steuerung und Kommunikation von Risiken im Vorder- grund. Allerdings befasst sich Projektrisikomanagement lediglich mit Projektrisiken und den damit verbundenen Interaktionen.

Trotz der durchaus vorhandenen Ähnlichkeit darf Projektrisikomanagement nicht mit Projektcontrolling verwechselt werden. Projektrisikomanagement ist proaktiv, d.h. die inhärenten⁷ Risiken werden vor deren Eintritt untersucht und behandelt. Projektcontrolling ist dagegen eine nachgelagerte Aktivität, die die vorliegenden Ist-Werte mit den Planwerten vergleicht. Somit werden durch Projektcontrolling „mögliche Risiken und Probleme später als beim proaktiven Projektrisikomanagement erkannt“⁸.

3 Notwendigkeit eines Projektrisikomanagement

Die jüngsten Entwicklungen haben die Unternehmen für die Installation von Projektrisikomanagement sensibilisiert. Im Folgenden wird erläutert, welche relevanten Ereignisse im Besonderen darauf Einfluss nahmen.

3.1 KonTraG

Seit dem 1. Mai 1998 verpflichtet das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) die Unternehmen, „einen Prozess zur Früherkennung und Überwachung von risikobehafteten Entwicklungen einzurichten, um den Fortbestand der Gesellschaft zu sichern“ (§ 91 Abs. 2 AktG)⁹.

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdete Entwicklungen früh erkannt werden.“

(§91 Abs. 2 AktG)

KonTrag schreibt somit die Installation eines systematisches Risikofrüherkennungssystem in die Infrastruktur der Unternehmen vor. Auf eine genaue Ausgestaltung dieser Vorschrift hat der Ge- setzgeber verzichtet, weshalb in der Praxis häufig ein integriertes Risikomanagementsystem zum Einsatz kommt. Unternehmensrisiken sowie alle Prozesse und Funktionsbereiche werden nach Art und Umfang - ggf. im Zusammenhang mit anderen Risiken - von diesem System un- tersucht. Durch die Früherkennung möglicher Konfliktherde sollen Auswirkungen auf den Fort- bestand der Gesellschaft durch rechtzeitig durchgeführte Maßnahmen verhindert werden.

Aufgrund der finanziellen Bedeutung, die „projektspezifische Risiken bezüglich gescheiterter Projekte beinhaltet, und die Bedeutung des Projektergebnisses für die Marktpositionierung“¹⁰ kommt in vielen Unternehmen ein auf Projekte ausgerichtetes Risikomanagement zum Einsatz.

3.2 Wettbewerbsvorteil durch bewusstes Eingehen von Risiken

Im gegenwärtigen wirtschaftlichen Umfeld ist das Erwirtschaften risikoloser Gewinne über einen langfristigen Zeitraum undenkbar. Unternehmen, die langfristig gewinnorientierte Motivation besitzen, müssen zwangsläufig Risiken eingehen.

Die Wettbewerbsvorteile, die durch das bewusste Eingehen von Risiken entstehen, können effektiv genutzt werden, sofern ein bewusster und kontrollierter Umgang mit Risiken erfolgt. Gerade IT-Projekte bieten die Chance, eine vorteilhaftere Position gegenüber Konkurrenten einzunehmen. Bevor eine bessere Marktposition durch informationstechnische Fortschritte und Innovationen eingenommen werden kann, sind systematische Prozesse zur Risikoerkennung, - behandlung und -überwachung notwendig.

4 Risikokategorien

Aufgrund der unübersichtlichen Risikovielfalt bedarf es einer sinnvollen Differenzierung bzw. Kategorisierung. Die sachliche bzw. chronologische Kategorisierung stellt eine der wichtigsten Differenzierungsarten dar.

Bei der sachliche Kategorisierung werden die Projektrisiken ihren übergeordneten Gruppen zu- geordnet. Die Gruppen sind je nach Projektart, -auftrag und -auftraggeber unterschiedlicher Na- tur. Die wichtigsten Risikogruppen sind finanzielle, technische, terminliche, personelle oder politische Risiken.

Budgetreduzierungen, Projektstopps aufgrund von Liquiditätsproblemen oder die notwendige Investition in neue Technologien sind finanzielle Risiken, die Einschränkungen des Projektumfangs bzw. Projektabbrüche zur Folge haben können. Risiken dieser Kategorie müssen zwingend registriert, überwacht und gesteuert werden.

Mögliche technische Risiken wäre der Einsatz veralteter Technologien oder die Entwicklung von Forschungstechnologien. Meist ziehen Risiken aus dem technischen Bereich finanzielle Folgen nach sich, wie beispielsweise durch die Anschaffung einer neuen Technologie.

Unter terminlichen Risiken versteht Versteegen eine „signifikante Überschreitung von Meilen- steinen innerhalb eines Projektes“¹¹. Besonders kritisch sind diese Risiken, weil ein verschobener End- oder Liefertermin mit erheblich negativen Folgen verbunden sein kann. Vertragsstrafen für verspätete Lieferung oder eine reduzierte Auslieferungsversion wäre als negative Folge denkbar, die aus dem eingetretenen, terminlichen Risiko resultieren. Die Interaktion mit finanziellen Risi- ken wird bezüglich möglicher Konventionalstrafen oder den Kosten für neue Ressourcen deut- lich.

Eine Kombination mit den oben genannten Risikogruppen tritt häufig bei Ressourcenrisiken auf. Die latente Gefahr des Verlustes von Schlüsselmitarbeitern, birgt nicht nur ein personelles Risiko, sondern auch Risiken in terminlicher und finanzieller Hinsicht. Kranke Mitarbeiter oder Fluktuation sind weitere personelle Risiken, die beobachtet werden müssen.

Von den oben genannten Risiken sind politische Risiken abzugrenzen, da das Managen dieser Kategorie unmöglich ist. Der Umgang mit diesen Risiken ist äußerst komplex und kritisch, da deren Ursache auf nicht zu beeinflussenden Faktoren beruht.

Da Projekte zeitlich komplexe Vorgänge darstellen, d.h. bestimmte Risiken können während des Projektverlaufs mehrmalig auftreten, ist eine Gliederung nach chronologisch abfolgenden Projektphasen sinnvoll. Dieser Klassi- fizierungsansatz ist besonders sinnvoll, da es neben Risiken, die lediglich bei Projektinitiierung auftreten, auch solche gibt, die durchaus häufiger während ver- schiedener Projektphasen auftreten können. Sinnvoll ist in diesem Falle eine Kombination der sachli- chen und chronologischen Diffe- renzierung (siehe Abb. 1).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1 - Sachliche und Chronologische Risikokategorisierung

5 Risikomanagementprozess

Um Projektrisiken kontrollieren und steuern zu können, genügen keine unzusammenhängende, einmalige Aktivitäten. Ein ganzheitlicher Prozess ist notwendig, der ein adäquates Verfahren zur Behandlung der Projektrisiken ermöglicht. Nach Versteegen ist „Risikomanagement keine ein- malige Aktivität, sondern ein sich zyklisch mehrmals während eines Projektes wiederholender Prozess“¹². Besonders durch die Evolution der Risiken, die eine laufende Veränderung der Risikorangfolge nach sich zieht, ist ein wiederkehrender Prozess notwendig.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2 - Risikomanagementprozess

mentprozesses erfolgt die Identifi- kation der Projektrisiken. Nach deren Analyse können im Rahmen der Risikobehandlung geeignete Maßnahmen definiert werden, um die Eintrittswahrscheinlich oder die Schadenshöhe zu minimieren.

Da Projektrisikomanagement keine einmalig vorgenommene Aktivität darstellt, bedarf es eines laufenden Überwachungsprozesses, durch den die Risiken während des Pro- jektverlaufs beobachtet bzw. ge- steuert werden können. Durch die Risikokommunikation soll das „Risikobewusstsein der Stakeholder und Mitarbeiter für die vorhandene Risikosituation geschärft werden“¹³.

5.1 Risikoidentifikation

„Die Identifikation der Projektrisiken ist als Bestandsaufnahme zu verstehen, in der alle Risiken, die das Projekt tangieren, gesammelt werden“¹⁴. Die Identifikation der Risiken hat eine besondere Bedeutung, da die nachfolgenden Teilprozesse auf den Ergebnissen der Identifikation aufbaut. Eine mangelhafte Identifikation setzt die Effektivität und Effizienz des gesamten Projektrisikomanagements herab, weshalb die frühzeitige Risikoerkennung unbedingt notwendig ist, um rechtzeitig die notwendigen Gegenmaßnahmen einzuleiten.

5.1.1 Techniken zur Risikoidentifikation

Für eine adäquate Projektbeurteilung bedarf es der vollständigen Identifikation aller Projektrisiken. Im folgenden wird auf einige verschiedene Techniken eingegangen, die zur Risikoerkennung angewandt werden können.

5.1.1.1 Post ’ Mortem Analyse

Bei der Post’Mortem Analyse werden Dokumente abgeschlossener Projekte auf Probleme untersucht. Meist ergibt schon die „Problemursache ein mögli- ches Risiko, das in die Risikoliste zukünftiger Pro- jekte Eingang findet“¹⁵.

Werden beispielsweise bei einem abgeschlossen Projekt Komplikationen beschrieben, die durch den Abgang eines Schlüsselmitarbeiters entstanden sind, könnte dies automatisch auf die Risikoliste transferiert werden. „Automatisch“ bedeutet, dass das Risiko bei der Entdeckung in die Risikoliste einfließt. Eine effiziente Post’Mortem Analyse künftiger Projekte benötigt eine Dokumentation aller Risiken, die im Verlauf vergangener Projekte eingetreten sind.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3 - Post’Mortem Analyse

„Projektprobleme wiederholen sich in der Regel sehr oft“¹⁶, so dass eine brauchbare Datenmenge aus der Post’Mortem Analyse resultiert. Allerdings ist zu beachten, dass lediglich bereits aufgetretene Risiken ermittelbar sind.

5.1.1.2 Projektumfeldanalyse

Neben der Post’Mortem Analyse können weitere Techniken zur Risikoidentifikation eingesetzt werden. Diese fokussieren sich allerdings auf die aktuellen Projektrisiken. In diesem Zusammenhang wäre die Projektumfeldanalyse geeignet (s. Abb. 8 i. Anh.).

Die Projektumfeldanalyse kategorisiert das Projektumfeld¹⁷ in organisatorisch-soziale Gruppen sowie in sachlich-inhaltliche Einflussgrößen. Mitarbeiter, Gruppen oder Organisationen können unter dem Begriff organisatorisch-soziale Gruppen zusammengefasst werden, die nicht mit den sachlich-inhaltlichen Einflüssen in direktem Kontakt stehen. Neue Marktbedingungen oder neue Gesetze können als sachlich-inhaltliche Einflüsse bezeichnet werden.

Die Bewertung und eine detaillierte Analyse dieser Gruppen und Einflussgrößen ist der nächste auszuführende Arbeitsschritt. Hierbei wird der Einfluss des Projektumfeldes, deren Erwartungen sowie das Klima im Projektteam untersucht. Unsicherheiten und mögliche Probleme, die im Pro- jektumfeld auftreten können, werden bei der Projektumfeldanalyse als Risiken identifiziert und der Risikoliste zugefügt.

[...]

---

¹ Siehe Kapitel 2: Notwendige Begrifflichkeiten

² Siehe S. 7.

³ Siehe Thaller, Georg E.: Drachentöter - Risikomanagement für IT-Projekte, S. 81-82

⁴ Siehe KPMG Risk Management Services: Erkennen und Beherrschen von Unternehmensrisiken, S. 29.

⁵ Schnorrenberg, U.: Risikomanagement in Projekten: Methoden und ihre praktische Anwendung, S. 18.

⁶ Schnorrenberg, U.: Risikomanagement in Projekten: Methoden und ihre praktische Anwendung, S. 18.

⁷ Siehe Glossar.

⁸ Siehe Gaulke, M.: Risikomanagement in IT-Projekten, S.13.

⁹ Siehe Gaulke, M.: Risikomanagement in IT-Projekten, S.16.

¹⁰ Siehe Gaulke, M.: Risikomanagement in IT-Projekten, S.17.

¹¹ Siehe Versteegen, G. (HRSG.): Risikomanagement in IT-Projekten, S. 27.

¹² Vgl. Versteegen, G.: Risikomanagement in IT-Projekten, S. 116.

¹³ Vgl. Thaller, Georg E.: Drachentöter - Risikomanagement für IT-Projekte, S. 81-82.

¹⁴ Versteegen, Gerhard (HRSG.): Risikomanagement in IT-Projekten, S. 67.

¹⁵ Siehe: DeMarco, Tom; Lister, Timothy: Bärentango - Mit Risikomanagement Projekte zum Erfolg führen, S. 60.

¹⁶ DeMarco, Tom; Lister, Timothy: Bärentango - Mit Risikomanagement Projekte zum Erfolg führen, S.62.

¹⁷ Siehe Glossar.