Czytaj książkę: «Methoden der projektorientierten Risikoanalyse», strona 3

4.1.3. Kategorien der Risiken

Anhand der Ergebnisse aus den ersten Schritten wird nun versucht, die Risiken nach verschiedenen Kriterien zu kategorisieren, z.B. nach Art des Risikos:

 Risiken, die von der Technik abhängen

 Risiken, die vom Zeitplan abhängen

 Risiken, die von Kosten abhängig sind

 Risiken, die vom Einsatz bzw. einer Taktik abhängig sind

 Risiken, die von Unterstützung abhängig sind

Eher zweifelhaft ist dagegen die häufig vorkommende Einteilung in bekannte, vorhersehbare, unidentifizierbare, unbekannte oder unbeobachtbare Risiken, da diese Bezeichnungen nicht eindeutig sind.

Hier kommen die in der Praxis häufig angewandten Risikochecklisten zum Einsatz, die auf empirischer Basis entstehen, d.h. auf der Grundlage einer systematischen Analyse vergleichbarer, abgeschlossener Vorhaben (nach Franke in [2]). Risikochecklisten ermöglichen eine Strukturierung des Problems und erleichtern das Auffinden von Risiken, die mit detaillierteren Aspekten des Projekts verbunden sind. Wenngleich methodisch bislang unbefriedigend, findet die Entwicklung und Anwendung von Risikochecklisten in der Praxis zunehmende Verbreitung. Die folgende Abbildung zeigt an einem vereinfachten Beispiel die Struktur einer Risikocheckliste nach Fürnrohr [1] und Franke (in [2]):

Ein weiteres geeignetes Hilfsmittel sind die sogenannten Stakeholderlisten. Als Stakeholder bezeichnet man Personen, Firmen, Gruppierungen und öffentliche Institutionen, die in irgendeiner Weise direkt oder indirekt einen Einfluss auf die Durchführung des geplanten Projekts haben könnten. Wideman [12] unterscheidet folgende Gruppen von Stakeholdern:

 solche, die in direkter Beziehung zum Projekt stehen, wie Lieferanten, Auftraggeber bzw. Konsument und Projektmanager

 solche, die einen Einfluss haben auf die physikalischen, infrastrukturellen, technologischen, kommerziellen/finanziellen/sozioökonomischen oder politisch/rechtlichen Bedingungen

 solche, die in einer hierarchisch übergeordneten Beziehung zum Projekt stehen, wie staatliche Organe auf lokaler, regionaler und nationaler Ebene

 solche Personen, Gruppen oder Vereinigungen, die ein berechtigtes Interesse haben, wobei mitunter der Bezug zum Projekt fehlt, es aber als Gelegenheit erachten, um eigene Ziele zu verfolgen

Stakeholder lassen sich beispielsweise in folgende Kategorien unterteilen:

 solche, die kontrollierbar sind

 solche, die beeinflussbar sind

 solche, für die man Verständnis aufbringen muss

Unter Umständen stößt man dabei auch auf Stakeholder, die das Projekt zum Scheitern bringen können, ohne dass man etwas dagegen unternehmen kann. Diese Gruppe kann nur identifiziert werden, aber es kann im Rahmen des Risikomanagements keine geeignete Maßnahme getroffen werden, um diese Risiken auszuschalten.

Um ein Beispiel zu bringen, welche Gruppen im Extremfall als Stakeholder zu berücksichtigen sind, kann es beispielsweise bei einem geplanten Staudamm dazu kommen, dass eine gefährdete Tier- oder Pflanzenart, die durch den Bau des Staudamms bedroht würde, zum Stakeholder wird und unter Umständen das Projekt scheitern lassen kann, auch wenn diese Gruppe ihre Rechte nicht selbst vertreten kann.

Nach Fürnrohr [1] verschafft "das systematische Erfassen von Stakeholdern und deren Beziehungen zum geplanten Projekt dem Management zusätzliche Transparenz über potentielle Risiken. Dieses gilt im Besonderen für Vorhaben mit Auswirkungen auf den sensiblen Bereich Umweltschutz."

Stakeholderlisten sind ein wesentlicher Bestandteil der Methode SIAM, die im dritten Teil der vorliegenden Arbeit vorgestellt wird. Siehe hierzu auch Neumann [13] oder Abonyi [14].

Häufig werden Risiken auch nach ihren Ursachen klassifiziert, z.B.:

 Informationsmangel

 Mangel an Kontrolle

 Zeitmangel

Die Identifizierung und Klassifikation von Risiken ist die Voraussetzung für die Behandlung verschiedener Risikokategorien im Rahmen des Risikomanagements. Nach Franke (in [2]) können so unter anderem folgende Maßnahmen getroffen werden:

 Bestimmte Risiken können durch geeignete Projektverträge ausgeschlossen werden. Um die Projektabwicklung beeinflussende Risiken auszuschließen, bietet sich als einziges Instrument eine vertragliche Lösung an.

 Erfahrungsgemäß lassen sich bestimmte Projektrisiken im Vertrag ausschließen bzw. auf Dritte abwälzen.

 Einige Risiken können vernachlässigt werden, weil sich ihr Auftreten als zu unwahrscheinlich oder die Folgen als akzeptabel herausgestellt haben.

 Gegen einige der verbleibenden, nicht ausschließbaren Risiken kann man sich eventuell versichern, wobei der kostenmäßige Umfang dieser Risiken gegen die Kosten der Versicherungsprämie im Rahmen einer Kosten-Nutzen-Analyse abzuwägen ist.

 Außerdem kann das Risiko in der Regel durch Revision der ursprünglichen Planung reduziert werden.

 Es werden kalkulatorische Risikovorsorgen gebildet. Unter diesem Punkt werden jene Risiken subsummiert, die weder auszuschließen noch versicherbar sind. Es sind die Risiken, die bewusst eingegangen und somit verkraftet werden müssen.

Nachdem alle Risiken identifiziert und in Kategorien zusammengefasst worden sind, werden nun in der Phase der Risikobewertung die Wahrscheinlichkeiten ermittelt, mit denen gewisse Risiken auftreten können, sowie der mit ihnen verbundene zu erwartende Schaden.

4.2. Risikobewertung

Nachdem alle mit einem Projekt verbundenen Risiken identifiziert und kategorisiert und ihre Beziehungen und Abhängigkeiten untereinander analysiert sind, soweit das in dieser Phase möglich ist, kann man darangehen, diese Risiken zu bewerten.

Die Phase der Risikobewertung (risk estimation) beinhaltet zwei wesentliche Aufgabenbereiche: Zum einen sind die Eintrittswahrscheinlichkeiten der in der Risikoidentifikation erfassten potentiellen Risiken zu ermitteln; zum anderen sind deren Auswirkungen auf die Projektziele (Leistung, Termine und Kosten) zu bestimmen. Die Risikobewertung ist nicht klar von der Risikoidentifikation zu trennen, denn die Einteilung der Risiken in einzelne Kategorien ist bereits eine Form der Bewertung.

Der Bereich der Risikobewertung wird in vielen Quellen als risk evaluation bezeichnet, während andere Ansätze damit die Phase der Risikoverdichtung meinen (in der vorliegenden Arbeit werden jedenfalls risk evaluation und Risikoverarbeitung gleichgesetzt). In weiteren Ansätzen wird risk evaluation sogar als Oberbegriff für Risikomanagement und Risikoanalyse benutzt (z.B. Curling in [14])!

Nach Imboden [15] erfüllt "die Quantifizierung der Risikopotentiale eines Vorhabens damit auch die Funktion einer Risikoselektion, indem darüber befunden wird, welche Risikofaktoren weitere Aufmerksamkeit – und gegebenenfalls in welcher Reihenfolge – verdienen."

Die Bezeichnung Risikobewertung ist nicht eindeutig, denn sie kann einerseits meinen, dass etwas, dessen Größe nicht exakt bekannt ist, sorgfältig berechnet wird, andererseits kann damit eine grobe Approximation gemeint sein, die unter Umständen nicht mehr ist als eine Schätzung. Natürlich wäre in jedem Fall eine exakte Berechnung wünschenswert, doch meist sind die dazu notwendigen Daten nicht zu bekommen – es sei denn, man hat Aladins Wunderlampe zur Hand.

In Ermangelung statistischer Daten erfolgt die Risikobewertung normalerweise durch Expertenbefragung. Die Quantifizierung von Projektrisiken ist folglich ein höchst subjektiver Vorgang, der auf Intuition, dem Fachwissen und den Erfahrungen der Befragten aufbaut. Zur Vermeidung von Verzerrungen wurden verschiedene Befragungstechniken entwickelt wie beispielsweise die Delphi-Methode.

Nach Charette [4] müssen während der Risikobewertung folgende vier Aufgaben erfüllt werden: Zuerst müssen die Variablen bestimmt werden, die das System beschreiben. Dieses verlangt natürlich eine einheitliche Bewertungsbasis. Die Konsequenzen, die ein auftretendes Ereignis nach sich ziehen kann, müssen bestimmt werden. Aktionen verursachen Reaktionen, die erkannt werden müssen. Die Größe der einzelnen Risiken muss bestimmt werden, wozu die zuvor erstellte einheitliche Bewertungsbasis benutzt wird. Es sind also alle Faktoren, die die Eintrittswahrscheinlichkeit eines Risikos verringern oder erhöhen, sowie die Härte einer negativen Folge bei Eintreten eines Risikos berücksichtigt. Der vierte Punkt ist die Beseitigung von Überraschungen (surprise elimination). Indem alle Risiken mit ihren Eintrittswahrscheinlichkeiten und negativen Folgen erkannt werden, werden zukünftige böse Überraschungen vermieden.

In Anlehnung an Charette [4] lässt sich die Risikobewertung in folgende vier Abschnitte gliedern:

4.2.1. Einheitliche Bewertungsbasis

Nach Franke (in [2]) müssen die Risiken eines Projekts "eine einheitliche Bewertungsbasis haben, die zwangsläufig auf einem Kostenansatz basiert, d.h. die Bewertung erfolgt in Geldeinheiten. Denn alle Risiken aus den Bereichen Termine, Arbeitsfortschritt, Technik, Qualität und dem kaufmännischen Bereich werden letztendlich kostenmäßige Auswirkungen auf die definierten Projektziele haben. Basierend auf einer einheitlichen Bewertungsbasis wird die kostenmäßige Bewertung von Risiken durch eine Expertenbefragung und deren EDV-gestützte Auswertung erreicht."

Diese Behauptung von Franke ist mit Vorsicht zu genießen, denn die Bewertungsbasis ist mit Sicherheit von den Projektzielen abhängig. Bei Projekten, deren Priorität eindeutig auf dem Fertigstellungstermin liegt, ist ein Kostenansatz ziemlich verfehlt. Als Beispiel denke man an die Stadien in Italien, die bis zum Beginn der Fußballweltmeisterschaft fertiggestellt werden mussten, koste es, was es wolle.

Rein formal gesehen heißt Bewertung die Zuordnung von Zahlenwerten zu Objekten nach irgendeiner Regel. Da die identifizierten Risiken gewöhnlich von verschiedenen Typen sind, ist es nicht einfach, eine einheitliche Bewertungsbasis zu finden, deren Genauigkeit mit den Anforderungen von Risikobewertung und anschließender Risikoverdichtung übereinstimmt. Charette [4] führt einige unterschiedliche Bewertungsmöglichkeiten an:

Der einfachste Maßstab, den man benutzen kann, ist der nominelle Maßstab (nominal scale / identity-taxonomy scale). Die Ereignisse werden nur aufgezählt. Die Risiken werden anhand einer oder mehrere Eigenschaften unterschieden. Solche Maßstäbe wurden bereits beim Kategorisieren der Risiken während der Risikoidentifikation benutzt. Man benutzt diese Maßstäbe, wenn man die Verflechtungen eines Risikos nicht vollständig kennt, d.h. wenn man seine Zusammenhänge mit anderen, besser bekannten Risiken nicht kennt.

Ein etwas komplizierterer Maßstab ist der Ordnungsmaßstab (ordinal scale / order-risk scale). Die Risiken werden nach irgendeinem Kriterium geordnet. Bezüglich dieses Kriteriums wird nur unterschieden, ob ein Risiko größer als, kleiner als oder gleich einem anderen Risiko ist, aber nicht, um wieviel größer oder kleiner es ist. Das Kriterium kann subjektiv oder objektiv sein, solange es durchgehend benutzt wird. Beispielsweise lassen sich politische Risiken auf diese Weise ordnen (politisch selbstmörderisch, gleichgültig oder vorteilhaft).

Eine weitere Möglichkeit ist ein Kardinalmaßstab (cardinal scale / interval scale). Jetzt werden die Risiken nicht nur nach Kriterien geordnet, sondern auch die Differenzen explizit berechnet. Eine solche Skala bewegt sich gewöhnlich zwischen einem Anfangs- und einem Endpunkt. Ein einfaches Beispiel wäre ein Thermometer.

Die letzte Möglichkeit ist ein Verhältnismaßstab (ratio scale / zero reference scale). Auch hier werden die Risiken geordnet und die Differenzen berechnet, aber der Maßstab beginnt an einem einheitlichen Beziehungspunkt. Ein Verhältnismaßstab ist also nichts anderes als ein Kardinalmaßstab, dessen Anfangs- oder Endpunkt sich an einer geeigneten physikalischen Grenze orientiert. Da diese Maßstäbe für kosten-, zeit- und leistungsbedingte Risiken am besten geeignet sind, werden sie im Folgenden ausschließlich verwendet.

Ein weiterer Bewertungsmaßstab ist die Zuordnung von Wahrscheinlichkeiten. Im Rahmen der Risikoanalyse kommt dieser Methode die größte Bedeutung zu, wie man später noch sehen wird.

4.2.2. Zuordnung von Informationsquellen und Bewertungsmaßstäben

Je komplexer ein gewählter Bewertungsmaßstab ist, desto genauer und verständlicher kann ein Risiko bewertet werden. Da die Informationen über die einzelnen Risiken auf unterschiedliche Weise gewonnen wurden, müssen unter Umständen auch verschiedene Maßstäbe benutzt werden. Informationen können auf drei verschiedene Arten vorliegen (vgl. u.a. Charette [4]):

Informationen können einfach in "erzählerischer" Form (narrative information) vorliegen, d.h. sie enthalten keinerlei qualitative oder quantitative Aussagen über die betreffenden Risiken. Daraus ergibt sich automatisch, dass entweder nominelle oder Ordnungsmaßstäbe benötigt werden.

Qualitative Informationen (qualitative information) werden gewöhnlich durch geordnete Bewertungssysteme dargestellt, beispielsweise eine Skala, in der Risiken als hoch oder niedrig oder zwischen irgendwelchen Grenzen liegend angegeben werden. Die Darstellung kann auch anschaulich mittels Farben dargestellt werden. Ein Problem, dass auch die Benutzung von Kardinal- oder Verhältnismaßstäben verhindert, ist die Tatsache, dass die zur Beschreibung benutzten Worte unpräzise sind, wie z.B.:

Unter solchen Begriffen und Formulierungen verstehen verschiedene Personen möglicherweise nicht genau dasselbe. Es ist einsichtig, dass dieses Problem zu Fehlentscheidungen wegen falscher Annahmen führen kann bzw. schon oft geführt hat.

Quantitative Informationen (quantitative information) werden gewöhnlich nach Kardinal- oder Verhältnismaßstäben bewertet, wobei im wesentlichen Eintrittswahrscheinlichkeiten zum Tragen kommen. Mit anderen Worten, es werden explizit Zahlen benutzt. Hier ist jedoch Vorsicht geboten, denn Wahrscheinlichkeiten sind keine genauen Berechnungen, sondern nur Annahmen. Zahlen können irreführend und Statistiken voller Fallen sein. Trotzdem sind quantitative Informationen wesentlich genauer und eindeutiger als qualitative Informationen.

Die Zuordnung der Informationen zu den Bewertungsmaßstäben ist normalerweise nicht einfach, da zwischen den einzelnen Risiken in der Regel sehr komplizierte Abhängigkeiten bestehen. Außerdem treten qualitative und quantitative Informationen in der Regel nie getrennt voneinander auf.

4.2.3. Bewertung der Einflüsse durch die beteiligten Personen, Techniken und Verfahren

Nicht nur die in der Phase der Risikoidentifikation erkannten und klassifizierten Risiken des Projekts müssen bewertet werden. Auch durch die an der Risikoanalyse beteiligten Experten und sonstigen Personen, durch die benutzten Mittel, Techniken und Verfahren entstehen neue Unsicherheiten und Risiken, für die dieselben Aussagen gelten, die bisher über die Projektrisiken getroffen worden sind. Unter mangelnden Informationen getroffene Entscheidungen führen zu neuen Risiken, ebenso die Verbreitung von Informationen, da diese fehlinterpretiert oder falsch verstanden werden können. Diesen Zusammenhang bezeichnet Charette [4] als information availability bias.

Menschen denken und beurteilen völlig unterschiedlich. Das gilt natürlich auch für die Experten, die an der Risikoanalyse beteiligt sind. Alternativen werden unterschiedlich wahrgenommen und eingeschätzt (selective perception) und tatsächliche Ergebnisse können durch Festhalten an früheren Überlegungen und Bewertungen verzerrt werden (anchoring).

Alle von Experten geschätzten Wahrscheinlichkeiten sind subjektive Wahrscheinlichkeiten. So werden eventuell zu schätzende Ereignisse mit höheren Wahrscheinlichkeiten belegt, je einfacher sie in die Vorstellungswelt eines Experten passen (availability). Liegen über bestimmte Ereignisklassen bereits Belege vor, so lässt sich ein Experte leicht dahingehend beeinflussen, die Wahrscheinlichkeit eines zu dieser Klasse gehörenden Ereignisses anhand der Klassenzugehörigkeit zu bewerten, wobei vorherige Informationen völlig missachtet werden (representativeness).

Die Einflussgrößen auf das subjektive Schätzen von Wahrscheinlichkeiten werden als kognitive Einflussgrößen bezeichnet. Diesen Einflüssen unterliegen nicht nur Laien, sondern auch erfahrene Experten, sobald sie intuitiv denken. Es handelt sich oftmals um unbewusste und unkontrollierbare Einflüsse, die bei der Bewertung subjektiver Wahrscheinlichkeiten zu entsprechender Voreingenommenheit führen können (siehe hierzu auch Buße [16]).

Sicherlich spielen eine ganze Reihe weiterer psychologischer Gründe eine Rolle. Leider ist mir bis jetzt keine Untersuchung bekannt, die sich explizit mit diesem Thema befasst. Man denke auch an die in vielen Lebensbereichen vorherrschende Ansicht "das wurde immer so gemacht und bleibt auch so."

Weitere neue Risiken entstehen beispielsweise bei der Benutzung von Testergebnissen und bei der Durchführung von Kontrollen. Diese neu auftretenden Risiken sind natürlich besonders im Hinblick auf konjunktive und disjunktive Ereignisse zu betrachten.