Methoden der projektorientierten Risikoanalyse

3. Risikomanagement

Im Streben nach besseren Projektergebnissen bedarf es neben den "klassischen Methoden" des Projektmanagements nach [8] eines "projektorientierten Risikomanagements (risk management), um Aktivitäten so zu bestimmen, dass die Wahrscheinlichkeit einer Störung oder eines Verlusts minimiert wird." Projektorientiertes Risikomanagement lässt sich folgendermaßen definieren:

Bei Risikomanagement handelt es sich also nicht um ein Verfahren zur Risikominimierung, sondern um einen Oberbegriff, der alle Verfahren und Aktivitäten umfasst, die zur Risikominimierung erforderlich sind. Ein wesentlicher Bestandteil des Risikomanagements ist deshalb die projektorientierte Risikoanalyse.

Nach Dobelke (in [9]) bedeutet Risikomanagement "der bewusste Umgang mit Risikopotentialen in der horizontalen Ebene, d.h. über sämtliche Projektphasen, sowie in der vertikalen Ebene, d.h. in allen Hierarchie- und Entscheidungsebenen."

Das Risikomanagement besteht aus folgenden drei Aufgabengebieten:

Diese drei Aufgabenbereiche des Risikomanagements sind nicht voneinander unabhängig und überschneiden sich. Sie werden auch nicht im Wesentlichen nacheinander erledigt, sondern ziehen sich im Normalfall über den gesamten Projektverlauf hin. Ebenso lässt sich die Risikoanalyse nicht in eine der drei "Schubladen" ablegen, denn sie kommt in allen drei Aufgabenbereichen zum Einsatz. Ein Projekt ist ein dynamischer Vorgang, der ständig abläuft, quasi ein Regelkreis, denn jede "Lageänderung" bedingt eine neue Analyse, und jede Analyse führt zu einer Entscheidung und damit wieder zu einer Lageänderung usw.

Entscheidungen sind zu treffen, um das Risiko eines Verfehlens der angestrebten Projektziele so gering wie möglich zu halten. Diese Projektziele sind gewöhnlich:

Wie und in welchem Ausmaß sollten nun in der Praxis die Methoden des Risikomanagements zum Einsatz kommen? Im Allgemeinen hängt dieses von der Größe des Projekts und von den zur Verfügung stehenden Mitteln ab. Eine extensive Risikoanalyse und Bewertung aller Aspekte eines Projekts, die einen beträchtlichen Teil des Budgets verschlingt, hätte ihren Sinn verfehlt.

Eine ungleiche Aufteilung der für das Risikomanagement veranschlagten Zeit und Mittel über einzelne Projektziele und deren Unsicherheiten stellt wohl die vorteilhafteste Verfahrensweise dar. Einzelne Subsysteme oder Phasen des Projekts, die mit einem hohen Maß an Ungewissheit behaftet und für den Erfolg entscheidend sind, rechtfertigen eine detailliertere Analyse (eventuell mit verschiedenen Verfahren), wohingegen Abschnitte des Projekts, deren Ablauf und Kosten mit hoher Wahrscheinlichkeit feststehen, als zweitrangig behandelt werden können. Dieses ist die Aufgabe der Risikoselektion.

Außerdem sollten die einzelnen Subsysteme eines Projekts nicht ausschließlich getrennt voneinander analysiert werden, da die wechselseitigen Abhängigkeiten unter Umständen beträchtlich sind. Darüber hinaus sind die in den einzelnen Phasen angestrebten Ziele oft konträr. So wird eine Kürzung der zur Verfügung stehenden Zeit sich mit Sicherheit negativ auf den Faktor Leistung/Qualität auswirken. Als gemeinsame Basis für integrierte Analyseverfahren könnten die mit den Risiken letztlich verbundenen Kosten dienen.

Zu einem besseren Verständnis für die mit einem Projekt verbundenen Risiken führt der Einsatz von Techniken des Risikomanagements im Allgemeinen immer. Die notwendige Informationssammlung und -auswertung macht die Struktur und die logischen Abhängigkeiten einzelner Aspekte des Projekts transparenter und erleichtert die Entscheidungsfindung und Planerstellung. Die Erfolgswahrscheinlichkeit des Projekts wird damit auch bei komplexen Zusammenhängen sicherlich günstig beeinflusst werden und den Einsatz von Techniken des Risikomanagements rechtfertigen.

Nach Charette [4] ist Risikomanagement "die geplante Kontrolle der Risiken und die Überwachung des Erfolgs der Kontrollmechanismen." Das Risikomanagement beinhaltet eine Entscheidung über die Risiken, nachdem diese analysiert worden sind. Um Risikomanagement wirkungsvoll anwenden zu können, sind einige Voraussetzungen notwendig. Es müssen geeignete Maßstäbe zur Leistungsmessung vorhanden sein und Informationen, um ständig die aktuelle Leistung überwachen zu können. Der Projektmanager muss Erfahrung besitzen, um die beste von möglichen Alternativlösungen auszuwählen, und natürlich die Autorität und Kompetenz, um die getroffenen Entscheidungen auch durchsetzen zu können.

Im Folgenden wird kurz auf die drei genannten Aufgabenbereiche eingegangen.

3.1. Risikoplanung

Die Risikoplanung (risk planning) befasst sich unter anderem mit zwei grundlegenden Problemen: Einerseits wird überprüft, ob die zur Durchführung des Risikomanagements gewählte Strategie selbst korrekt und durchführbar ist. Andererseits wird geprüft, ob die zur Anwendung der Strategie zur Verfügung stehenden Taktiken und Mittel mit den Projektzielen in Einklang stehen. Außerdem wird hier die Durchführbarkeit von Risikokontrolle und Risikoüberwachung überprüft.

In der Phase der Risikoplanung werden die Entscheidungen getroffen, die im Wesentlichen auf den Ergebnissen der durchgeführten Risikoanalyse basieren. Hier findet im Prinzip auch eine Risikoselektion statt, denn es wird nicht nur entschieden, wie mit einem identifizierten und bewerteten Risiko umgegangen wird. Einige Risiken werden ausgeschlossen, nachdem festgestellt worden ist, dass sie zu vernachlässigen oder zumindest zu akzeptieren sind. Außerdem werden die Risiken bestimmt, gegen die man sich versichern kann, wobei natürlich zuvor eine Kosten-Nutzen-Analyse durchgeführt werden muss, denn auch eine Versicherung ist natürlich mit Kosten verbunden.

In einem Projekt, in dem eine Risikoanalyse durchgeführt wird, kann man die Projektplanung mit dem Risikomanagement gleichsetzen, da Risikokontrolle und -überwachung praktisch nicht stattfinden. Da ein Projekt ein dynamischer Prozess ist, ist diese Situation jedoch ziemlich unrealistisch und wird im Folgenden nicht weiter berücksichtigt.

3.2. Risikokontrolle

Die Risikokontrolle (risk control) befasst sich mit der Entwicklung und Überprüfung der Durchführbarkeit von Kontrollmechanismen, die eingesetzt sind, um Risiken einzuschränken, oder in unvorhergesehenen Fällen eingesetzt werden könnten. Außerdem werden hier der risk management plan (RMP) und der risk aversion plan (RAP) erstellt sowie ein aktualisiertes RES (risk estimate of the situation), auf die hier nicht näher eingegangen werden soll. Diese Pläne dienen ebenfalls als Grundlage für den Entscheidungsprozess.

3.3. Risikoüberwachung

Der Begriff Risikoüberwachung wurde nicht aus der benutzten Fachliteratur übernommen, sondern wird an dieser Stelle als Übersetzung des Begriffs risk monitoring eingeführt.

Die Risikoüberwachung kommt zum Tragen, nachdem Entscheidungen über Risikostrategien und Taktiken gefallen sind. Es wird überprüft, ob die getroffenen Entscheidungen die geplanten Folgen nach sich ziehen. Außerdem werden Gelegenheiten aufgezeigt, an denen man noch steuernd oder verbessernd eingreifen kann.

Es werden Erfahrungswerte und Daten für zukünftige Entscheidungen gesammelt, um neue Risiken oder solche, die mit der gewählten Strategie nicht erfasst werden, oder solche, deren Natur sich im Laufe der Zeit geändert hat, zu kontrollieren. Hier kommt also erneut die Risikoanalyse zum Tragen, um neue Daten zu sammeln. Ziel der Risikoüberwachung ist also festzustellen, ob eine gewählte Strategie wirkungsvoll genug ist oder ob eine neue Entscheidung zu treffen ist.

3.4. Einige "Grundregeln" des Risikomanagements

Charette [4] nennt einige einfache und plakative "Grundregeln" für erfolgreiches Risikomanagement, die ich für interessant genug halte, um an dieser Stelle angeführt zu werden.

Eigentlich ein Grundsatz aus der Physik. Wenn bei der Bearbeitung von Risiken mehr neue Risiken entstehen als bearbeitet werden können, dann soll man es sein lassen und diese Risiken nicht akzeptieren. Man hat meistens die Möglichkeit zu warten, bis durch die Risikobewertung und Risikoverdichtung größere Sicherheit entstanden ist. Sind die Risiken kleiner oder gleich den abgeschätzten, so braucht man sich nur noch auf unbekannte oder nicht vorhersehbare Risiken zu konzentrieren, worunter nicht nur neue Risiken zu verstehen sind, sondern auch solche, die durch Verbindung oder Vermischung bekannter Risiken entstanden sind. Die Suche nach diesen Fehlerquellen sollte eine hohe Priorität haben.

"Es ergibt einen großen Haufen, wenn man zu einem bisschen ein wenig hinzufügt." (zitiert frei nach Ovid). Diese Weisheit entspricht etwa dem deutschen Sprichwort "Kleinvieh macht auch Mist" und gilt natürlich auch für das Risikomanagement.

Die Risikoanalyse kann die Wahrscheinlichkeit des Eintretens irgendeines ungünstigen Ereignisses bestimmen, aber nichts über einzelne Ereignisse aussagen. Das Ziel des Risikomanagements ist die Verbesserung der Erfolgswahrscheinlichkeit. Alle Projektaktivitäten sind Nebenerscheinungen dieser Zielsetzung. Risikomanagement existiert ja nicht um seiner selbst willen. Alle Mittel, um die Erfolgswahrscheinlichkeit zu steigern, sollten berücksichtigt werden.

Risikomanagement basiert auf dem, was durchgeführt werden kann, nicht auf dem, was man hofft durchführen zu können. Realismus ist eine Voraussetzung für ein erfolgreiches Risikomanagement. Der Weg zum Versagen eines Projekts ist voll von guten Absichten.

Wenn das Risikomanagement durch das Projektmanagement weder aktiv unterstützt noch die Notwendigkeit dafür eingesehen wird, hat es wenig Sinn, so zu tun, als ob man es durchführen würde. Das Risikomanagement verlangt Manager, die beharrlich und vorurteilsfrei Problemen direkt ins Auge sehen, anstatt ihnen auszuweichen oder vor ihnen wegzulaufen. Niemand mag Probleme, aber sie existieren und man muss professionell mit ihnen umgehen.

3.5. Vergleich von Risikomanagement und "normalem" Management

Oft stellt sich die Frage nach dem Unterschied zwischen dem, was bei "normalem" Projektmanagement, und dem, was bei Risikoanalyse und Risikomanagement passiert. In den meisten Fällen gibt es theoretisch keinen Unterschied. Risikoanalyse und Risikomanagement sind lediglich Mittel zum Zweck und müssen als solche mit anderen Instrumenten konkurrieren, die ebenfalls dazu dienen, die Projektziele zu erreichen. Charette [4] sieht jedoch zwei Bereiche, in denen sich Risikoanalyse und Risikomanagement vom "normalen" Management unterscheiden.

Der erste Unterschied liegt in ihrer Philosophie. Management wird gesteuert durch Möglichkeiten und Gelegenheiten, während Risiken die Handlungsfreiheit einschränken. Als Beispiel führt Charette [4] hier die Softwareentwicklungsstrategie der Japaner an, die lieber bestehende Systeme verfeinern und verbessern als das ganze System zu verändern oder etwas Neues herzustellen. Sie legen mehr Wert auf Zuverlässigkeit als auf Funktionalität. Gegenübergestellt wird das Verhalten der USA, wo mehr Wert auf Funktionalität gelegt wird, auch auf Kosten der Zuverlässigkeit und mit Inkaufnahme höherer Kosten. Man orientiert sich an den Anforderungen der Verbraucher und baut Komponenten neu, wenn diese benötigt werden. Das Risikomanagement wird also gesteuert durch die Risiken und durch die Möglichkeiten eingeschränkt.

Ein weiterer Unterschied liegt in der individuellen Praxis beider Ansätze. Das typische Management kann man als erfolgsorientiert bezeichnen. Es herrschen Einstellungen vor wie "es wird schon gutgehen", "mir kann nichts passieren" oder "bloß aufpassen, dass nichts durch meine Schuld schiefgeht". Niemand möchte zugeben, dass etwas schiefgehen könnte, oder gar dafür geradestehen müssen. Umso größer ist dann die Krise, wenn tatsächlich etwas schiefgeht. "Normales" Management könnte man daher als optimistisch oder gar als blauäugig bezeichnen.

Risikomanagement ist dagegen wesentlich realistischer orientiert. Der Erfolg beruht auf dem Vorhersehen von und dem Umgang mit Fehlern. Es wird vorgebeugt; Charette [4] spricht sogar von defensivem Management. Es werden Fragen gestellt wie

 was kann schiefgehen?

 wie verhindere ich, dass etwas schiefgeht?

 wie hoch ist die Wahrscheinlichkeit, dass etwas schiefgeht?

 welche Folgen hat es, wenn etwas schiefgeht?

 wann und wie weiß ich, dass etwas schiefgegangen ist?

 was tue ich, wenn etwas schiefgegangen ist?

Diese ein wenig pessimistische Einstellung mag paranoid erscheinen, aber man bedenke folgenden Merksatz:

Charette [4] macht die Unterschiede an einem weiteren anschaulichen Beispiel deutlich: Wenn man eine Yacht von einem Hafen zum anderen segeln möchte, so gibt es dazu mehrere Möglichkeiten: Einerseits kann man weit ins Meer hinaus segeln, wobei man zwar viel Zeit braucht, aber die Riffe, Felsen und Sandbänke an der Küste umgeht. Andererseits kann man aber auch nahe an der Küste segeln und dabei ständig Karten zu Rate ziehen, auf denen die Riffe, Felsen und Sandbänke eingezeichnet sind. Ebenso wie man nicht sagen kann, welcher Kurs in jeder Situation der Beste ist, gibt es auch immer mehrere Wege, um zu einer Entscheidung zu kommen, wobei jedoch entscheidend ist:

Nur weil ein Risiko identifiziert worden ist, muss es noch lange nicht zum Tragen kommen. Die Risikoanalyse versucht, Erkenntnisse zu gewinnen, die dem Risikomanagement helfen, den Schaden gering zu halten, wenn ein Risiko eintritt. Dazu ist man bemüht, Größe, Eintrittswahrscheinlichkeit und Folgen der identifizierten Risiken zu reduzieren.

4. Risikoanalyse

Die Risikoanalyse ist die wichtigste Grundlage für das Risikomanagement. Ihr Ziel muss es sein, die Ungewißheiten, die ihm Rahmen der Projektplanung auftreten können, zu erkennen, zu quantifizieren und schließlich ihren Einfluß auf das Erreichen der Projektziele darzustellen. Auf der Basis der in der Risikoanalyse gewonnenen und verdichteten Informationen müssen die Entscheidungen über die zur Risikominimierung nötigen Vorgehensweisen getroffen werden. Die Qualität der Risikoanalyse ist Voraussetzung für eine optimale Risikobewältigung.

In Anlehnung an Whatley [7] kann man die projektorientierte Risikoanalyse folgendermaßen definieren:

Der Begriff Risikoanalyse wird in der Literatur sehr unterschiedlich verwendet. Grundsätzlich lässt sich Risikoanalyse charakterisieren als eine Maßnahme der Informationsbeschaffung und -verarbeitung zur Vorbereitung von Managemententscheidungen. Nach Fürnrohr [1] ist es das Ziel, "die Ungewissheiten in der Planung von Vorhaben aufzudecken, mit Wahrscheinlichkeiten zu bewerten und deren Konsequenzen (Risiken) in Bezug auf die angestrebten Projektziele darzustellen. Risikoanalysen sind keine Entscheidungsmodelle, die klare Handlungsweisen vermitteln. Vielmehr handelt es sich um Entscheidungshilfen, die dem Management die Konsequenzen von Entscheidungen verdeutlichen und alternative Handlungsoptionen aufzeigen sollen."

Die Risikoanalyse kann viele verschiedene Ziele haben, z.B. nach [8]:

 Systematische Beschreibung der Projektrisiken

 Ordnung der Risiken nach Prioritäten

 Identifizierung von Problembereichen

 Beseitigung von Defekten, Fehlern und Fallen des Projekts

 Vergleich von erwarteten und tatsächlichen Werten

 Vergleich zwischen alternativen Projektplänen

 Vergleich mit ähnlichen abgeschlossenen Projekten

 Detaillierte Optimierung der Projektparameter

 Bewertung der Akzeptanz des Projekts

 Basis für eine Kosten-Nutzen-Analyse

 Basis für die Entscheidungsfindung

Die Risikoanalyse sollte immer zu einer Entscheidung führen, ist aber so gut wie nie der einzige Faktor, der zu einer Entscheidungsfindung herangezogen wird. Es kommen eine ganze Menge subjektive Faktoren hinzu und andere Faktoren wie finanzielle Gelegenheiten, erhoffter Lebensstil, Sicherheitskriterien etc. Außerdem sind die Möglichkeiten der Entscheidung normalerweise stark begrenzt durch eine Reihe von Einschränkungen wie z.B.:

 Gesetze aller Art

 Sicherheitsvorschriften

 Normen

 Vertragsvereinbarungen

 finanzielle Beschränkungen

 technische Beschränkungen

 personelle Beschränkungen

 Zeitbeschränkungen

Cooper und Chapman [11] sehen fünf verschiedene Situationen, in denen Unsicherheiten eine bedeutende Rolle spielen und in denen geeignete Formen der Risikoanalyse zur Anwendung kommen könnten:

 Bei der Bewertung eines geplanten Projekts oder einer beabsichtigten Investition vor der Durchführung muss, oft auf der Basis minimaler Informationen, eine Entscheidung getroffen werden, um ggf. das Projekt aufzugeben, es hinauszuschieben oder um mit detaillierteren Durchführbarkeitsstudien fortzufahren.

 Eine Entscheidung kann notwendig sein, bevor man ein kleineres Nebenprojekt übernimmt oder darin verwickelt wird. Dieses ist besonders der Fall, wenn man ohnehin knapp kalkuliert hat und der vorher berechnete Nutzen die Kosten kaum aufwiegt.

 Risikoanalyse ist ratsam, wenn ein Projekt oder eine Investition mit ungewöhnlichen Risiken oder Unsicherheiten verbunden ist, so dass der Bereich für die zu erwartenden Ergebnisse nicht ohne weiteres absehbar oder zu weit gesteckt ist.

 Strategische Entscheidungen sind notwendig, wenn zwischen Projektalternativen gewählt werden muss, die für einen Projektplan in Frage kommen, der bereits zu einem früheren Stadium festgelegt worden ist.

 Risikoanalyse ist ratsam für taktische Entscheidungen, um einen detaillierten Plan zu entwickeln oder Projektspezifikationen zu optimieren für ein Projektkonzept, das bereits genehmigt worden ist.

Entscheidungen sind zu treffen, um das Risiko eines Verfehlens der angestrebten Projektziele so gering wie möglich zu halten.

Die Risikoanalyse besteht aus folgenden drei Aufgabengebieten:

Diese drei Aufgabenbereiche der Risikoanalyse sind nicht voneinander unabhängig und deshalb nicht klar voneinander zu trennen. Die oben genannte Einteilung wird jedoch in praktisch allen verwendeten Quellen eingehalten.

Den Schwerpunkt jeder Risikoanalyse bilden dabei die beiden ersten Phasen. Sie stellen die eigentliche Risikoanalyse im Sinne einer Maßnahme zur Informationsbeschaffung dar und werden in den folgenden Abschnitten näher erläutert. Die Phase der Risikoverarbeitung ist dagegen nach Fürnrohr [1] weitgehend "handwerklicher Natur".

4.1. Risikoidentifikation

Vor der Bewertung und Analyse eines Risikos muss dieses zuerst erkannt werden. Die Aufgabe der Risikoidentifikation (risk identification) ist also das schrittweise Aufdecken und Erkennen projektspezifischer Unsicherheiten, d.h. es wird die Frage beantwortet: "Was kann schiefgehen?" Parallel zur Identifikation der Risiken sind diese als Basis der nachfolgenden Bewertung durch die Experten zu beschreiben. Die identifizierten und dokumentierten Risiken sollten in einer Gruppe zusammengefasst werden, um Mehrfachbewertungen auszuschließen. Laut Franke (in [2]) ist das Ziel der Risikoidentifikation, "die Risiken in einem projektspezifischen Risikokatalog zusammenzustellen. Dieser Risikokatalog stellt die Grundlage für die folgende Risikobewertung dar."

In Anlehnung an Charette [4] lässt sich die Risikoidentifikation in folgende drei Abschnitte gliedern: