IT-Projektrisiken erfolgreich managen
Instrumente und Handlungsszenarien zur Projektsteuerung
Projekte im IT-Bereich unterliegen – das steht außer Zweifel – immer einem gewissen Risiko. Eine Vielzahl von Einflussfaktoren kann dazu führen, dass das Erreichen der angestrebten Ziele gefährdet oder gar erhebliche negative Folgewirkungen denkbar sind. Für die Handhabung von Projektrisiken wurden gerade für IT-Projekte inzwischen einige brauchbare Instrumente entwickelt, die erhebliche Potenziale zur Sicherung eines hohen Projekterfolges eröffnen können.
Welche Analysen und Instrumente notwendig sind, um IT-Projektrisiken erfolgreich zu managen, wie daraus geeignete Maßnahmen für die Risikobehandlung ableitbar sind, das zeigt Ihnen der nachfolgende Beitrag.
Ausgangssituation und Risikomanagementprozess für IT-Projekte
Projektarbeit und Projektplanung sind aufgrund der Einmaligkeit und der hohen Komplexität der IT-Projekte nicht frei von Risiken und so großen Unsicherheiten unterworfen. Diese machen sich oft im ungünstigsten Zeitpunkt bemerkbar und können den geplanten Projektverlauf empfindlich stören. IT-Projekte bergen vielmehr erhebliche Gefahrenpotenziale in sich:
- Menschliches Versagen, etwa durch unzureichende Qualifizierung oder fehlende Leistungsbereitschaft des an dem IT-Projekt beteiligten Personals (etwa von Projektteammitgliedern oder der Projektleitung).
- Unzureichende Statusinformationen bzw. Steuerung der Projektarbeit können hohen Schaden verursachen. Wichtig ist hier, durch geeignete Verfahren (etwa regelmäßige Statusmeldungen über Projektfortschritte) mit transparenten Aussagen entgegenzuwirken.
- Fehlerhafte Abstimmungen und Fehler verursachende Kommunikationsprozesse können die Qualität der Projektergebnisse – insbesondere die Qualität der entwickelten Applikationen – signifikant verschlechtern.
Konsequenz: Das Wissen um die Existenz von Risiken und die Erfahrungen der Praxis zwingen dazu und ermöglichen es, sie durch geeignetes Management (IT-Projekt-Risikomanagement) abzubauen.
Zur Vermeidung von gravierenden Schäden wird es für IT-Verantwortliche (IT-Projektleiter) und IT-Experten in Kooperation mit weiteren Beteiligten und Betroffenen zu einer unverzichtbaren Aufgabe, zu untersuchen, welche möglichen Risiken bzw. Schwierigkeiten in IT-Projekten auftreten können und welche Folgen damit verbunden sein können. In jedem Fall müssen sich die Projektverantwortlichen und das Projektteam vergegenwärtigen,
- welche Risiken zu beachten sind,
- welche Aktivitäten für ein professionelles Risikomanagement nötig sind und
- wie eine Einordnung dieser Aktivitäten aus operativer und strategischer Sicht erfolgen kann.
Die IT-Projektleitung, das Projektcontrolling sowie die Leitung des Project Management Office (PMO) bzw. des Project Advisory Board (PAB) sind in allen Organisationen zunehmend gefordert, ein vorbeugendes Risikomanagement zu den IT-Projekten zu betreiben. Sie müssen unter Einsatz bestimmter Techniken und Verfahren in Kooperation mit dem Projektteam und den Projekt-Stakeholdern aktiv werden, um Probleme vorherzusehen, ihnen vorzubeugen und damit das Projektrisiko zu mindern. Dabei ist von Vorteil, wenn von einem klaren bzw. agilen Vorgehensmodell (orientiert am Risikomanagementprozess) ausgegangen wird.
IT-Projektrisiken erkennen und dokumentieren
Eine nicht unwichtige Aufgabe besteht im Rahmen der Projektinitiative (Projektauswahl) bzw. der Projektplanung darin, zu untersuchen, welche möglichen Risiken und Schwierigkeiten bei der Durchführung von IT-Projekten auftreten können. Mit Risiko wird in diesem Fall die Möglichkeit bezeichnet, dass es im Projektverlauf zu negativen Auswirkungen kommt. Ein solches Risiko setzt sich zusammen aus
- den möglichen Problemen,
- der Wahrscheinlichkeit ihres Auftretens,
- der Tragweite (Auswirkungen) beim Auftreten der Probleme sowie
- den Aufwänden, die betrieben werden müssen, um die Projektrisiken zu mindern.
Ausgangspunkt für ein erfolgreiches Risikomanagement für IT-Projekte ist die systematische Bestandsaufnahme der Risiken, die in den vorgesehenen bzw. geplanten IT-Projekten vorliegen. Projektrisiken entstehen durch Probleme und Gefahren bei der Durchführung von Projekten. Die Aufgabe eines Risikomanagements ist es nun, die Berücksichtigung der Zielgrößen Funktionalität bzw. Qualität der Produkte, Kosten sowie Termine sicherzustellen, um eine langfristige Wirtschaftlichkeit nicht zu gefährden bzw. einen nachhaltigen Projekterfolg sicher zu stellen.
Erste Schritte im Risikomanagementprozess für IT-Projekte stellen systematische Bestandsaufnahmen zu den Risiken dar, die in IT-Projekten einschließlich ihrer Wirkungszusammenhänge gegeben sind. Insbesondere sollen die Risiken identifiziert werden, die Ergebnisse eines Projektes in besonderer Weise gefährden können. Bereits bestehende Maßnahmen der Risikoeindämmung sollen in dieser Phase bewusst außer Acht gelassen werden.
Notwendig für ein erfolgreiches Risikomanagement ist in jedem Fall die Differenzierung der Risiko-Arten. Durch eine geeignete Kategorienbildung – wie nachfolgend vorgeschlagen – ist eine differenzierte Risikoanalyse möglich und lassen sich geeignete Maßnahmenbündel ableiten. Typische Risikokategorien sind: Termine (Meilensteintermine, Terminüberschreitungen), Personen/Ressourcen (Verfügbarkeit, Qualifikation etc.), Projektorganisation, Projektpartner (Stakeholder, Auftraggeber) sowie Qualität und Finanzen.
Zur Identifikation von Projektrisiken können verschiedene Methoden und Instrumente verwendet werden; beispielsweise kann der Einsatz der folgenden Checkliste helfen:
Projektrisiken identifizieren und Risikoanalyse
Risikotyp | Prüffragen (exemplarisch) |
---|---|
Risiken bei der Realisierung des Projektproduktes | Sind die formulierten Projektziele klar und operational formuliert?Besteht Einigkeit zwischen Auftraggeber und Projektleitung hinsichtlich der wesentlichen Zielsetzungen?Ist das gewünschte Produkt mit allen benötigten Funktionen ausgestattet?Verfügt das Produkt über überflüssige Funktionen? |
Terminliche Risiken | Existieren realistische Terminpläne?Sind klare Meilensteine zur Prüfung von Zwischenergebnissen fixiert?Gibt es kritische Aufgaben, die noch niemand vorgesehen hat? |
Kostenmäßige und finanzielle Risiken | Existiert eine realistische Kostenplanung?Ist die Kostenplanung mit der Zeit- und Ressourcenplanung abgestimmt?Ergeben sich finanzielle Risiken durch die Zusammenarbeit mit Subauftragsnehmern?Stehen zum jeweiligen Zeitpunkt auch die notwendigen finanziellen Mittel zur Verfügung? |
Personelle Risiken(Risiken bei den Projektressourcen) | Ist die Projektleitung in der Lage, ihren Aufgaben gerecht zu werden?Harmonieren die Mitglieder des Projektteams?Sind die Mitglieder des Projektteams für die ihnen übertragenen Aufgaben geeignet? (ausreichende Qualifikation der Teammitglieder)Sind die wichtigsten Mitglieder des Projektteams mit ausreichendem Zeitbudget für das Projektteam abgestellt? |
Akzeptanzrisiken bei Kunden/Stakeholdern | Werden die formulierten Projektziele von den maßgeblichen Stellen (Stakeholdern) unterstützt?Wie ist die Kundenakzeptanz einzuschätzen?Sind Ängste bei den von den Projektergebnissen betroffenen Personen vorhanden?Ist sichergestellt, dass sich im Projektablauf ergebende Veränderungen im Umfeld oder neue Anforderungen der Kunden entsprechend berücksichtigt werden können?Gibt es ausreichende Überlegungen für ein systematisches Projektmarketing? |
Risiken in der Projektorganisation | Gibt es klare Regelungen bezüglich der Rollen mit den jeweiligen Befugnissen?Hat die Projektleitung ausreichende Freiräume und Entscheidungsbefugnisse?Gibt es einen funktionierenden Projektlenkungsausschuss?Ist die Kooperation mit externen Fachkräften und Beratern ausreichend abgesichert? |
Risiken im Vorgehen und in der Methodik | Ist das Vorgehenskonzept schlüssig und klar erkennbar?Ist das Vorgehensmodell zu starr und bürokratisch oder eine ausreichende Flexibilität gegeben?Werden geeignete Werkzeuge (Tools) für das Projektmanagement verwendet?Ist die Kommunikation zwischen den Projektteammitgliedern geregelt?Werden geeignete Instrumente zur Projektverfolgung eingesetzt? |
Ergebnis dieser Phase der Identifizierung und Systematisierung der Risiken kann ein Risikoregister (risk register) sein, das folgende Bestandteile enthält:
- eine Liste der identifizierten Risiken (List of identified risks),
- eine Übersicht über die Grundursachen von identifizierten Risiken (Root causes) und
- eine Festlegung zu den Auslösern (Trigger) der identifizierten Risiken (=Risikosymptome oder Warnsignale)
IT-Projektrisiken analysieren und bewerten
Sofern eine Risikoidentifikation vorgenommen wurde, kann in einem nächsten Schritt die Analyse und Bewertung der IT-Projektrisiken erfolgen. Dabei ist sowohl die Eintrittswahrscheinlichkeit als auch die Schadenshöhe eines Gefährdungspotentials einzuschätzen. Ergänzend müssen die Wirkungszusammenhänge der Risiken in Betracht gezogen werden.
Die Risikoanalyse erfolgt auf Basis der identifizierten IT-Projektrisiken, denen einzelne Risikokategorien zugeordnet sind. Dabei sind folgende Teilschritte wesentlich:
- Bestimmung der Wahrscheinlichkeit, mit der die Projektziele erreicht werden können, bzw. Festlegung realistischer Ziele
- Einschätzung von Auswirkungen zu den identifizierten IT-Projektrisiken
Hinweis: Die Einschätzung von Eintrittswahrscheinlichkeit bzw. Schaden (Auswirkungen) erfolgt zweckmäßigerweise gemäß einer standardisierten Methode jeweils nach Stufe 1- 5.
Dazu ein mögliches Beispiel für die Eintrittswahrscheinlichkeit des Risikofalls:
Stufe | Wert | Kriterien |
---|---|---|
5 | so gut wie sicher | alles deutet darauf hin, dass dies zum Problem wird |
4 | sehr sicher | große Wahrscheinlichkeit, dass dies zum Problem wird |
3 | wahrscheinlich (50/50) | gleichverteilte Chance, dass dies eintritt |
2 | unwahrscheinlich | manchmal wird dies zum Problem |
1 | fast unmöglich | sehr unwahrscheinlich, dass dies jemals eintritt |
Zur Einschätzung der Auswirkungen bei Eintreten von identifizierten Risiken können folgende Auswirkungen bezüglich der Schadenshöhe möglich sein bzw. zur Einschätzung herangezogen werden:
Stufe | Wert | Technische Kriterien | Kostenkriterien* | Zeitrahmenkriterien* |
---|---|---|---|---|
5 | katastrophal | Projektergebnis ist nicht beherrschbar | mehr als 50 M€ | Abbruch |
4 | kritisch | Projektergebnis weist gravierende Q-Mängel auf, Schäden | 10-50 M€ | Einfluss auf Folgeprojekt |
3 | mittelmäßig | beträchtliche Abweichungen vom geplanten Ergebnis | 1-10 M€ | Beträchtlich; Umplanung |
2 | gering | Einzelne Projektergebnisse sind unzureichend | 0,1-1 M€ | mehr als 1 Monat Verzögerung |
1 | vernachlässigbar | Unbedeutende Mängel | unbedeutend | unbedeutend |
Im Rahmen der Bewertung erfolgt eine Priorisierung der Risiken und die Darstellung dieser Rangordnung durch Adjektive oder Farben (hoch, mittel, gering; rot, gelb, grün... ). Es lässt sich so herauszufinden, welche Risiken die größte Aufmerksamkeit brauchen, indem ihr Beitrag zum Gesamtrisiko im Projekt erhoben wird.
Management von IT-Projektrisiken – Risikobehandlung (Strategien) und Risikoplanung
Sinn und Zweck eines effektiven Risikomanagements ist nicht nur die Identifizierung von Risiken, sondern vielmehr die Ermittlung von Maßnahmen, um die IT-Projektrisiken von vornherein zu vermeiden bzw. um die zu erwartenden Schäden für die Unternehmung und ihre Kunden möglichst gering zu halten. Dies beinhaltet neben der Identifizierung und Bewertung der Risiken auch die Planung und konsequente Umsetzung von Risikomaßnahmen mit dem Ziel, das IT-Projekt in optimierter Form erfolgreich zu hoher Ergebnisqualität zu führen.
Ein wichtiges Instrument ist das Erstellen eines Risikomanagementplans, der beschreibt, wie die Risikomanagementprozesse im IT-Projektmanagement für eine Organisation gestaltet sein sollen. Der Plan umfasst beispielsweise folgende Festlegungen:
- Angabe der Risikokategorien: Damit soll für das Finden der einzelnen Risiken eine Struktur geschaffen werden und projektübergreifend ein Vergleich für organisationales Lernen erfolgen.
- Auswertung und Interpretation der Risikoanalysen (Scoring and Interpretation): Festzulegen ist das Vorgehen bei der qualitativen und quantitativen Risikoanalyse, z. B. durch die Angabe von Risikowahrscheinlichkeiten und Risikoauswirkungen.
- Methodik (mögliche Techniken und Instrumente des Risikomanagement), Rollen und Verantwortlichkeiten im Risikomanagement.
- Zeitliche Planung: Bestimmt, wie oft der Risikomanagementprozess für IT-Projekte während eines definierten Zeitraumes durchgeführt werden soll.
- Dokumentation des Risikomanagement: Kennzahlen und Berichtsformate.
"Ich kann mir nichts vorstellen, was dieses Schiff zum Sinken bringt. Ich kann mir keine Katastrophe vorstellen, die diesem Schiff zustoßen könnte." (Kapitän der Titanic, 1912)
Strategien für negative Risiken und Bedrohungen
Im Rahmen der Risikosteuerung müssen die Projektakteure einzelne Projektrisiken durch gezielte Maßnahmen dahingehend beeinflussen, dass eine Verringerung der Eintrittswahrscheinlichkeit und/oder Begrenzung der Auswirkungen erreicht wird. Die Gegenstrategien verfolgen dabei in der Regel eines der folgenden fünf Ziele:
- Risikoakzeptanz: Risiken, deren Schadensausmaß und Eintrittswahrscheinlichkeit gering sind, können akzeptiert werden.
- Vermeidung (Avoidance): Mit dieser Strategie versucht man, durch die Änderung der Projektressourcen das Risiko überhaupt auszuschließen, z. B. die mit dem Risiko behafteten Aktivitäten/Personen durch andere Aktivitäten/Personen ohne Risiko zu ersetzen. Ein weiteres Beispiel ist die Verwendung bekannter IT-Technologien statt neuartiger Verfahren ("Never change a running system"). So kann die Eintrittswahrscheinlichkeit eines Risikos gegen bzw. auf Null gebracht werden.
- Risko-Übertragung (Transference): Das Risiko wird durch Abschluss einer entsprechenden Versicherung oder durch ein Kompensationsgeschäft abgewälzt oder ausgeglichen. Damit wird allerdings das Risiko selbst nicht beseitigt. Vielmehr werden die Folgen des Risikos und somit die Verantwortung für die Risikobewältigung an einen Dritten übertragen.
- Minderung (Mitigation): In erster Linie wird hier durch geeignete Gegenmaßnahmen versucht, die Eintrittswahrscheinlichkeit des Risikos auf ein akzeptables Maß zu reduzieren, z. B. durch Prozessanpassungen, mehr Ressourcen und ähnliche Optionen. Als Prinzip gilt: Wenn die Eintrittswahrscheinlichkeit nicht gemindert werden kann, muss man versuchen, die Auswirkungen zu reduzieren.
- Risiken ignorieren: "Was ich nicht weiß, macht mich nicht heiß". Projektverantwortliche werden immer wieder durch Risiken überrascht. Dies geschieht auch dadurch, dass Risiken nur beim Auftreten bekämpft werden, ohne jedoch die weiteren Auswirkungen auf andere Bereiche und andere Prozesse zu analysieren und zu bedenken. Sie sollten deshalb die Ad-hoc-Bekämpfung von Risiken auf ein Minimum beschränken.
Im Ergebnis sind – ausgehend von den identifizierten Risikofaktoren – Maßnahmen zur Risikovorsorge (= Risikobehandlung) zu formulieren. Beispiel (exemplarisch):
Bei den eingetragenen Maßnahmen kann noch eine Differenzierung dahingehend vorgenommen werden, ob es sich um vorbeugende Maßnahmen oder Eventualmaßnahmen handelt. Vorbeugende Maßnahmen werden im Vorfeld ergriffen, um das Risiko zu mindern. Dies geschieht in der Regel in der Form, dass Maßnahmen geplant und anschließend auch realisiert werden, die das Eintreten der auslösenden Ursachen und damit das Auftreten des möglichen Problems verhindern oder zumindest die Wahrscheinlichkeit des Eintretens senken. Außerdem kann für alle Maßnahmen, die durchgeführt werden sollen, noch festgelegt werden,
- wer für die Durchführung der Maßnahme verantwortlich ist,
- welche Stelle mit der Durchführung der Maßnahme beauftragt werden soll und
- bis zu welchem Termin die Maßnahme realisiert bzw. vorbereitet sein muss.
IT-Projektrisiken überwachen und controllen
Moderne Management- und Steuerungsansätze fußen letztlich auf Kennzahlen. Auch das Risikomanagement benötigt heute ein individuell auf die Projektanforderungen zugeschnittenes Kennzahlensystem. Mit Risikokennzahlen sollen möglichst aktuelle und verdichtete Maßgrößen zu den wesentlichen Controlling-Dimensionen (Risikoarten, Risikoobjekten) bereitgestellt werden, um damit eine adäquate Grundlage für Entscheidungen zu haben.
Die Risikoüberwachung selbst besteht in der kontinuierlichen operativen Kontrolle der Durchführung und der Wirksamkeit der Risikosteuerungsmaßnahmen. Durch stetige Soll-Ist-Vergleiche wird die Einhaltung von Zielvorgaben kontrolliert und so die Funktionstüchtigkeit des Projekt-Risikomanagements sichergestellt.
- Ebert, C.: Risikomanagement kompakt: Risiken und Unsicherheiten bei IT- und Software-Projekten identifizieren, bewerten und beherrschen (IT kompakt). Spektrum Akademischer Verlag; Auflage: 2nd Printing. Heidelberg 2006.
- Gaulke, M.: Risikomanagement in IT-Projekten. Oldenbourg-Verlag München 2004.
- Tiemeyer, E. (Hrsg.): Handbuch IT-Projektmanagement - Vorgehensmodelle, Managementinstrumente, Good Practices. 2. Auflage, Hanser-Verlag. München 2014.
- Tiemeyer, E. (Hrsg.): Handbuch IT-Management. Konzepte, Methoden, Lösungen und Arbeitshilfen für die Praxis. Hanser-Verlag. 6. Auflage, München 2017.