Methoden der projektorientierten Risikoanalyse E-Book

Torsten Stau

Methoden der projektorientierten Risikoanalyse

Klassifikation und kritische Betrachtung ausgewählter Verfahren

Dieses ebook wurde erstellt bei

Inhaltsverzeichnis

Titel

Methoden der projektorientierten Risikoanalyse

Einleitung

Teil I

1. Einleitung

2. Definitionen

2.1. Ungewißheit / Unsicherheit

2.2. Risiko

3. Risikomanagement

3.1. Risikoplanung

3.2. Risikokontrolle

3.3. Risikoüberwachung

3.4. Einige "Grundregeln" des Risikomanagements

3.5. Vergleich von Risikomanagement und "normalem" Management

4. Risikoanalyse

4.1. Risikoidentifikation

4.1.1. RES

4.1.2. Gewinnung von Informationen über die relevanten Risiken

4.1.3. Kategorien der Risiken

4.2. Risikobewertung

4.2.1. Einheitliche Bewertungsbasis

4.2.2. Zuordnung von Informationsquellen und Bewertungsmaßstäben

4.2.3. Bewertung der Einflüsse durch die beteiligten Personen, Techniken und Verfahren

4.2.4. Reduzierung der Ungewißheiten

4.2.5. Methoden zur Expertenbefragung

4.3. Risikoverarbeitung

4.3.1. Simulation

4.3.2. Mathematische Verfahren

5. Bewertung von Risikoanalyse und Risikomanagement

5.1. Kosten von Risikoanalyse und Risikomanagement

5.2. Vorteile von Risikoanalyse und Risikomanagement

5.3. Was Risikoanalyse und Risikomanagement nicht können

6. Modelle und Verfahren zur Risikoanalyse

6.1. Ansätze zur Klassifikation der Modelle und Verfahren

6.1.1. Scaling-Verfahren und Dekompositions-Verfahren

6.1.2. Deterministische und Wahrscheinlichkeits-Verfahren

6.1.3. Optimierungs- und Beschreibungs-Verfahren

6.1.4. Analytische und Simulationsverfahren

6.1.5. Statische und dynamische Verfahren

6.1.6. Strategische und taktische Verfahren

6.1.7. Ablauf- und strukturorientierte Verfahren

6.2. System zur Modellklassifizierung

6.3. Raster zur Modellbewertung

6.3.1. Modell-"Steckbrief"

6.3.2. Anwendungsspektrum

6.3.3. Voraussetzungen, Annahmen, Eingabedaten, Ausgabedaten

6.3.4. Aufwand

6.3.5. Güte des Verfahrens

6.3.6. Das Bewertungsraster

1. Einleitung

2. Strukturplan-orientierte Verfahren

2.1. Das RAND-Verfahren

2.2. Das Stochastic Aggregation Model (SAM)

2.3. Probabilistic Event Analysis (PEA)

2.4. Die Risk Factor Method (RFM)

2.5. Das Successive Principle oder Lichtenberg-Verfahren

2.6. Zusammenfassung

3. Ablaufplan-orientierte Verfahren zur Analyse von Terminrisiken

3.1. Die Program Evaluation and Review Technique (PERT)

3.2. Die Graphical Evaluation and Review Technique (GERT)

3.3. Das Programm PREDICT 2000

3.4. Die Stochastic Time and Resource Constraints Technique (STARC)

3.5. Zusammenfassung

4. Ablaufplan-orientierte Verfahren zur Analyse von Termin- und Kostenrisiken

4.1. Das Verfahren PERT/COST

4.2. ARTEMIS System's Probabilistic Analysis of Networks (PAN)

4.3. Die Risk Information System and Network Evaluation Techniques (RISNET I und II)

4.4. Zusammenfassung

5. Ablaufplan-orientierte Verfahren zur Analyse von Termin-, Kosten- und Leistungsrisiken

5.1. Die Venture Evaluation and Review Technique (VERT)

5.2. Die Verfahren Total Risk Assessing Cost Estimate (TRACE) und TRACE for Production (TRACE-P)

5.3. Das Verfahren PROMAP V*

5.4. Das Risk Assessment and Management Program (RAMP)

5.5. Das Cost Performance Analysis Model (CPA)

5.6. Zusammenfassung

6. Zusammenfassende Bewertung der Bottom-up-Verfahren

6.1. Übersicht über die vorgestellten Bottom-up-Verfahren

6.2. Vergleichende Bewertung der vorgestellten Bottom-up-Verfahren

6.3. Gründe für das Scheitern der Bottom-up-Verfahren

6.3.1. Präsentation der Verfahren

6.3.2. Kosten der Verfahren

6.3.3. Eingabedaten der Verfahren

6.3.4. Komplexität der Verfahren

6.3.5. Güte der Verfahren

6.3.6. Aufwand der Verfahren

6.3.7. Ausgabedaten der Verfahren

6.3.8. Psychologische Gründe

6.3.9. Anwendungszeitpunkt der Verfahren

6.4. Fazit

1. Einleitung

2. Entscheidungsbaum-Verfahren

3. Multiobjektive Entscheidungsverfahren

4. Szenario-Verfahren

4.1. Die Projektumgebung

4.2. Die Stakeholder

4.3. Die Strategic Impact and Assumptions-Identification Method (SIAM) for Project, Program and Policy Planning

4.3.1. Ausgangsdaten und Ergebnisse des SIAM-Verfahrens

4.3.2. Die Prozedur des SIAM-Verfahrens

4.3.3. Bewertung des SIAM-Verfahrens

4.4. Der Multi-Attribute Multi-Party (MAMP) Approach

4.4.1. Die Prozedur des MAMP-Verfahrens

4.4.2. Bewertung des MAMP-Verfahrens

5. Das Konzept von Franke

5.1. Risikoidentifikation und -dokumentation

5.2. Risikobewertung

5.3. Risikoverarbeitung und -selektion

5.4. Bewertung des Konzepts von Franke

6. Das Konzept von Dobelke

6.1. Projekt-Vorselektion

6.2. Projektbeurteilung

6.2. Bewertung des Konzepts von Dobelke

7. Das Konzept von Schnorrenberg

7.1. Expertensysteme zur Angebotsentscheidung

7.2. Expertensysteme zur Risikoanalyse

7.3. Bewertung des Konzepts von Schnorrenberg

8. Zusammenfassende Bewertung der Top-down-Verfahren

8.1. Vergleichende Bewertung der vorgestellten Top-down-Verfahren

8.2. Fazit und Ausblick

8.2.1. Verbesserung der Risikoidentifikation

8.2.2. Methodische Verbesserungen

8.2.3. Beseitigung der Akzeptanzprobleme

Impressum neobooks

Methoden der projektorientierten Risikoanalyse

Klassifikation und kritische Betrachtung ausgewählter Verfahren

Diplomarbeit von Torsten Stau

(UniBwM – ID 15 / 90)

Aufgabenstellung: Prof. Dr. H. Schelle

Betreuung: Dipl.-Oec. M. Fürnrohr

Version 1.0 Version 3.0

Datum: 18.09.1990 Datum: 18.09.2010

Version 2.0 Version 4.0

Datum: 18.09.2000 Datum: 18.09.2020

Universität der Bundeswehr München

Fakultät für Informatik

Institut für Angewandte Systemforschung

und Operations Research

Einleitung

Was haben so verschiedene Großprojekte wie aufwendige Kinofilme (z.B. "Titanic"), neue Waffensysteme (z.B. der Jäger 90) oder Großveranstaltungen (z.B. die Olympischen Spiele 2000 in Sydney) gemeinsam? Die Gesamtkosten liegen in der Regel um ein Vielfaches über den geplanten Kosten und auch der geplante Zeitpunkt der Fertigstellung wird häufig deutlich überschritten. Muß das so sein?

Natürlich sind derartige Probleme keine nur für unsere Zeit typischen Erscheinungen. Sicherlich traten sie auch bei Bauvorhaben im Altertum auf, doch wurden sie in der Regel dadurch "gelöst", daß man die tatsächlich oder angeblich Verantwortlichen kurzerhand hinrichtete. Daran ändert auch die Tatsache nichts, daß die Kaiser Roms das Verfahren gelegentlich dahingehend modifiziert hatten, daß sie die betreffenden Personen zum Selbstmord zwangen.

Damals waren genügend Gold und billige Arbeitskräfte bzw. Sklaven vorhanden, oder man fand Mittel und Wege, um sich beides zu beschaffen. Heutzutage ist die Situation grundlegend anders: die Sklaverei ist nicht nur abgeschafft, man kann auch mit Arbeitskräften nicht beliebig umgehen. Inzwischen gibt es zwar bessere Maschinen und sogar Computer, doch das löst nicht nur einige alte Probleme, sondern schafft auch zahlreiche neue. Auch sind Personen und Unternehmen in der Regel nicht mehr so reich und mächtig wie die Herrscher vergangener Zeiten. In dem Moment, in dem öffentliche Einrichtungen und damit Steuergelder ins Spiel kommen, wird die Situation noch weiter verschärft.

Früher konnte man bei Naturkatastrophen und anderen unvorhergesehenen Ereignissen den Zorn der Götter als Erklärung heranziehen. Heute kann man sich nicht mehr so einfach aus der Affäre ziehen. Zwar sind auch heute noch viele Ereignisse unvorhersehbar und viele Risiken unberechenbar, doch hat man inzwischen zahlreiche Modelle, Methoden und Verfahren entwickelt, um Risiken zu erkennen, zu analysieren, zu begrenzen oder gar zu beseitigen.

Nach Fürnrohr [1] wird "der Erfolg bei der Durchführung von Projekten durch eine zwangsläufig unvollständige Informationslage und eine geringer werdende Transparenz der Umweltsituation immer unsicherer. Die Verwirklichung von Projektvorhaben ist oftmals mit einer Vielzahl von Risiken verbunden. Die Aufgabe des projektorientierten Risikomanagements ist es deshalb, Entscheidungen zu treffen, um das Risiko des Verfehlens der angestrebten Projektziele (typischerweise Leistung, Kosten und Abschlußtermin) so gering wie möglich zu halten."

Nach Franke (in [2]) liegt die schwierigste und für den Erfolg des Risikomanagements wesentliche Aufgabe in der Risikoanalyse und der Bewertung von Risiken. Die Qualität der projektorientierten Risikoanalyse ist also die Voraussetzung für eine optimale Risikobewältigung.

In nun mehr als dreißig Jahren wurden zahlreiche Methoden und Modelle zur Analyse von Projektrisiken entwickelt. Inzwischen existiert eine kaum überschaubare Menge von Publikationen auf diesem Gebiet. Das Ziel der vorliegenden Arbeit ist deshalb die Sichtung des vorhandenen Materials sowie die Klassifikation der entwickelten Verfahren, wobei jeweils charakteristische Modelle vorgestellt und kritisch betrachtet werden sollen.

Prinzipiell lassen sich zwei Typen von Risikoanalyse-Verfahren unterscheiden: solche, die zur Unterstützung strategischer Unternehmensentscheidungen dienen, und solche, die taktische Entscheidungen unterstützen. In der vorliegenden Arbeit werden die Risikoanalyse-Verfahren nach ihrem Konzept in Top-down- und Bottom-up-Verfahren unterschieden. Die Bottom-up-Verfahren lassen sich noch dahingehend unterscheiden, ob sie sich nach dem Ablaufplan oder dem Strukturplan des Projekts orientieren. Diese Grobklassifikation wird durch die folgende Abbildung veranschaulicht:

Die vorliegende Arbeit gliedert sich in drei größere Teile. Im ersten Abschnitt wird das Thema projektorientierte Risikoanalyse eingegrenzt und die Grundlagen sowie das notwendige Begriffsgerüst vorgestellt. Außerdem wird eine Übersicht über die bisher entwickelten Methoden und Verfahren zur Risikoanalyse erstellt und versucht, erkennbare Tendenzen aufzuzeigen.

Im zweiten Abschnitt werden die Bottom-up-Verfahren behandelt. In diese Kategorie fallen die meisten der bisher entwickelten Modelle zur Analyse von Projektrisiken. Sie kommen gewöhnlich erst nach der Auftragserteilung zum Einsatz, da sie einen mehr oder weniger tief gegliederten Projektstrukturplan voraussetzen und einen enormen Bedarf an Eingabedaten haben.

Ohne allzusehr vorzugreifen läßt sich sagen, daß diese Verfahren in der Praxis so gut wie nicht angewendet werden. Ein Hauptgrund für die mangelnde Akzeptanz ist, daß die Modelle sehr komplex und schwierig sind und die Ergebnisse für den Projektmanager meist schwer nachvollziehbar sind. Diesen Sachverhalt hat Little [3] in folgendem vielzitierten Satz treffend formuliert: "Ein Manager lebt lieber mit ungelösten Problemen als mit Modellen, die er nicht versteht."

Die Menge der vorhandenen Literatur auf diesem Gebiet ist dementsprechend sehr hoch, wobei allerdings einige Einschränkungen zu machen sind:

Viele Verfahren bauen auf denselben Grundlagen auf, beispielsweise auf älteren Verfahren wie PERT.

In den letzten Jahren hat sich auf diesem Gebiet nicht mehr viel getan.

Der Schwerpunkt der Forschung und Entwicklung und damit auch der Veröffentlichung liegt eindeutig in den USA, wobei meistens das Verteidigungsministerium (DoD) der Auftraggeber ist, was sich behindernd auf die Beschaffung von Literatur auswirkt.

Die meisten Veröffentlichungen stammen von den Firmen, von denen die Verfahren entwickelt wurden, so dass keine allzu kritische Betrachtung erwartet werden darf, da die Unternehmen ihre Verfahren schließlich verkaufen wollen.

Vergleichende Übersichten über verschiedene vorhandene Verfahren gibt es praktisch überhaupt nicht.

Die vorliegende Arbeit soll versuchen, eine solche Übersicht zu geben und die bisher entwickelten Verfahren mit ihren charakteristischen Merkmalen, Voraussetzungen, ihren Vorteilen und Nachteilen vorstellen. Dabei sollen die für den Projektmanager wichtigen Fragen beantwortet werden, z.B. wann und für welche Projekte kann ein Verfahren eingesetzt werden, oder welche Projektziele werden modelliert?

Im dritten Abschnitt werden die Top-down-Verfahren behandelt. Diese Verfahren werden hauptsächlich bereits in der Vorauftragsphase angewendet, d. h. die Projektstruktur muss nicht bis in alle Einzelheiten bekannt sein. Die Verfahren kommen also unter Umständen schon zur Anwendung, bevor eine Entscheidung über die Durchführung eines Projekts gefallen ist. Da diese Verfahren immer größere Bedeutung erlangen, bildet dieser Teil den Schwerpunkt der vorliegenden Arbeit.

Leider gibt es zur Zeit noch sehr wenige fertige Top-down-Verfahren und entsprechend wenig brauchbare Literatur, weshalb hauptsächlich Ideen, Konzepte und Hilfsmittel vorgestellt werden. Es ist jedoch damit zu rechnen, dass sich in naher Zukunft auf diesem Gebiet einiges bewegen wird.

Bei der Überarbeitung der ersten Auflage aus dem Jahr 1990 habe ich aus Gründen der Authentizität die alte Rechtschreibregelung teilweise beibehalten.

Hamburg, im September 2000

Torsten Stau

Bei den erneuten Überarbeitungen wurde die Rechtschreibung weitgehend angepasst. Das Thema Genderpolitik gab es damals noch nicht bzw. stand damals noch nicht so im Fokus wie heute. Deswegen kann es sein, dass einige Textstellen damit nicht konformgehen.

Koblenz, im Juli 2021

Torsten Stau

aktuelle Adresse:

Torsten Stau

Im Eulenhorst 15

56072 Koblenz

[email protected]

Teil I

Projektorientierte Risikoanalyse

1. Einleitung

In der heutigen Zeit nimmt die Größe und Komplexität menschlicher Organisationen immer mehr zu. Eine solche Entwicklung ist in gleicher Weise bei Unternehmungen, öffentlichen Betrieben, Behörden und im Verteidigungsapparat festzustellen. Im Zuge wachsender Komplexität wird es für die Leitungen solcher Organisationen zunehmend schwieriger, Ziele zu erkennen, festzulegen und kontrolliert zu erreichen.

Zur Realisierung der Projektziele stehen zahlreiche verschiedene Techniken des Projektmanagements zur Verfügung. Dazu gehört das Management der Risiken, die mit jedem Projekt verbunden sind. Den Methoden und Verfahren zur Analyse dieser Risiken sowie den darauf aufbauenden Projektentscheidungen kommt also immer größere Bedeutung für die erfolgreiche Durchführung von Projekten zu.

An dieser Stelle möchte ich ausdrücklich davor warnen, den im folgenden verwendeten Begriff Risikomanagement von Projekten mit dem Oberbegriff Projektmanagement zu verwechseln! Die vorliegende Arbeit beschäftigt sich ausschließlich mit dem Risikomanagement, insbesondere der Risikoanalyse, die ein wichtiger Bestandteil des Risikomanagements ist und dazu dient, Risiken zu identifizieren und zu bewerten. Die Ergebnisse der Risikoanalyse sind eine Grundlage für Entscheidungen im Rahmen des Risikomanagements.

Bevor ein Überblick über das Problem des Risikomanagements von Projekten gegeben werden kann, sollten die am häufigsten verwendeten Begriffe definiert werden. Das ist besonders deshalb notwendig, weil die Terminologie in der Fachliteratur in diesem Bereich nicht immer eindeutig ist. Begriffe wie Risiko, Ungewissheit und die damit verbundenen Aspekte bei der Durchführung eines Projekts werden in unterschiedlichen Zusammenhängen erwähnt und mit voneinander abweichenden Bedeutungen belegt.

Die Bereiche Risikomanagement und Risikoanalyse werden anschließend ausführlich behandelt. In einem weiteren Kapitel wird versucht, ein Raster zu entwerfen, nach dem vorhandene Modelle und Verfahren zur Risikoanalyse klassifiziert und bewertet werden können.

2. Definitionen

Da wie bereits erwähnt die Terminologie in der Fachliteratur nicht immer eindeutig ist, werden zunächst die im Folgenden ständig verwendeten Begriffe definiert, bevor auf Risikomanagement und Risikoanalyse näher eingegangen wird, wobei ich mich weitgehend an die von Charette [4] verwendete Terminologie halte. Da die Fachliteratur überwiegend in den USA erschienen ist, halte ich es für ratsam, jeweils auch die englischen Fachbegriffe zu nennen.

2.1. Ungewißheit / Unsicherheit

Ganz allgemein lässt sich Ungewissheit oder Unsicherheit (uncertainty) folgendermaßen definieren:

Die Ungewissheit kann sich dabei auf vergangene, gegenwärtige oder zukünftige Ereignisse und Bedingungen erstrecken. Besondere Bedeutung kommt dabei den Aussagen über zukünftige Ereignisse oder Zustände zu, d.h. den Prognosen. Nach Brockhoff [5] ist eine Prognose (forecast) eine "Aussage über ein oder mehrere zukünftige Ereignisse, die auf Beobachtungen und einer – wenn auch rudimentären – Theorie beruht. Eine unsichere Prognose ist eine Vorhersage, bei der das Eintreffen eines zukünftigen Ereignisses nur mit einer bestimmten Wahrscheinlichkeit angegeben werden kann."

Unter Sicherheit (safety) versteht man ein Risiko, das so gering ist, dass es akzeptiert werden kann. Eine Entscheidung hierüber zu fällen, ist Aufgabe des Risikomanagements.

Je höher der Informationsstand, desto präziser wird im Allgemeinen eine Prognose zutreffen. Ein vollkommener Informationstand bedeutet dabei allerdings nicht, dass der Faktor Ungewissheit völlig eliminiert wird. Da in der (ökonomischen) Umwelt subjektiv nondeterministische Zusammenhänge gelten, ist auch bei Kenntnis aller relevanten Informationen, die für eine Aussage über die Zukunft notwendig sind, eine vollkommene Voraussicht niemals gegeben (vgl. Brockhoff [5]).

2.2. Risiko

Der Begriff des Risikos (risk) wird in der Fachliteratur (vgl. z.B. Charette [4], Fürnrohr [1], Rowe [6] oder Whatley [7]) einheitlich wie folgt definiert:

Nach Fürnrohr [1] stellt sich die Frage, "welche Aktion das geringste Risiko einer Divergenz zwischen Plandaten und faktischen Daten beinhaltet, oder anders formuliert: Welche Entscheidungen sind zu treffen, um das Risiko eines Verfehlens der angestrebten Projektziele so gering wie möglich zu halten."

Es versteht sich eigentlich von selbst, dass ein Risiko immer aus einer Unsicherheit entsteht. Diese Unsicherheit und die damit verbundenen Risiken sind im Rahmen der Risikoanalyse zu identifizieren.

Ein identifiziertes Risiko tritt (wenn überhaupt) mit einer bestimmten Wahrscheinlichkeit auf. Die Eintrittswahrscheinlichkeiten der identifizierten Risiken sind im Rahmen der Risikoanalyse zu berechnen.

Ein auftretendes Risiko ist mit negativen Folgen oder Konsequenzen verbunden. Die negativen Folgen der aufgetretenen Risiken und die Höhe des damit verbundenen Schadens für das Projekt sind im Rahmen der Risikoanalyse zu berechnen.

Bezeichnet man die möglichen auftretenden negativen Folgen mit si (für scenario), die Wahrscheinlichkeit ihres Eintretens mit li (für likelihood) und den zu erwartenden Schaden mit di (für damage), so lässt sich das Risiko durch folgendes Tripel beschreiben:

Die identifizierten und bewerteten Risiken eines Projekts lassen sich in dieser Form als Tabelle auflisten und für die weitere Bearbeitung im Rahmen des Risikomanagements benutzen, denn jedes Risiko muss zu einer Entscheidung in irgendeiner Form führen.

In diesem Zusammenhang sind einige Anmerkungen wichtig: Die Eintrittswahrscheinlichkeit und die erwartete Höhe eines Verlusts müssen nicht notwendigerweise voneinander unabhängig sein. Außerdem muss man zwischen einzelnen und verschiedenartigen Ereignissen und negativen Folgen unterscheiden, denn das Risiko ist sicherlich höher, wenn in verschiedenen Bereichen (z.B. politisch, wirtschaftlich und sozial) eine negative Folge droht als nur in einem Bereich.

3. Risikomanagement

Im Streben nach besseren Projektergebnissen bedarf es neben den "klassischen Methoden" des Projektmanagements nach [8] eines "projektorientierten Risikomanagements (risk management), um Aktivitäten so zu bestimmen, dass die Wahrscheinlichkeit einer Störung oder eines Verlusts minimiert wird." Projektorientiertes Risikomanagement lässt sich folgendermaßen definieren:

Bei Risikomanagement handelt es sich also nicht um ein Verfahren zur Risikominimierung, sondern um einen Oberbegriff, der alle Verfahren und Aktivitäten umfasst, die zur Risikominimierung erforderlich sind. Ein wesentlicher Bestandteil des Risikomanagements ist deshalb die projektorientierte Risikoanalyse.

Nach Dobelke (in [9]) bedeutet Risikomanagement "der bewusste Umgang mit Risikopotentialen in der horizontalen Ebene, d.h. über sämtliche Projektphasen, sowie in der vertikalen Ebene, d.h. in allen Hierarchie- und Entscheidungsebenen."

Das Risikomanagement besteht aus folgenden drei Aufgabengebieten:

Diese drei Aufgabenbereiche des Risikomanagements sind nicht voneinander unabhängig und überschneiden sich. Sie werden auch nicht im Wesentlichen nacheinander erledigt, sondern ziehen sich im Normalfall über den gesamten Projektverlauf hin. Ebenso lässt sich die Risikoanalyse nicht in eine der drei "Schubladen" ablegen, denn sie kommt in allen drei Aufgabenbereichen zum Einsatz. Ein Projekt ist ein dynamischer Vorgang, der ständig abläuft, quasi ein Regelkreis, denn jede "Lageänderung" bedingt eine neue Analyse, und jede Analyse führt zu einer Entscheidung und damit wieder zu einer Lageänderung usw.

Entscheidungen sind zu treffen, um das Risiko eines Verfehlens der angestrebten Projektziele so gering wie möglich zu halten. Diese Projektziele sind gewöhnlich:

Wie und in welchem Ausmaß sollten nun in der Praxis die Methoden des Risikomanagements zum Einsatz kommen? Im Allgemeinen hängt dieses von der Größe des Projekts und von den zur Verfügung stehenden Mitteln ab. Eine extensive Risikoanalyse und Bewertung aller Aspekte eines Projekts, die einen beträchtlichen Teil des Budgets verschlingt, hätte ihren Sinn verfehlt.

Eine ungleiche Aufteilung der für das Risikomanagement veranschlagten Zeit und Mittel über einzelne Projektziele und deren Unsicherheiten stellt wohl die vorteilhafteste Verfahrensweise dar. Einzelne Subsysteme oder Phasen des Projekts, die mit einem hohen Maß an Ungewissheit behaftet und für den Erfolg entscheidend sind, rechtfertigen eine detailliertere Analyse (eventuell mit verschiedenen Verfahren), wohingegen Abschnitte des Projekts, deren Ablauf und Kosten mit hoher Wahrscheinlichkeit feststehen, als zweitrangig behandelt werden können. Dieses ist die Aufgabe der Risikoselektion.

Außerdem sollten die einzelnen Subsysteme eines Projekts nicht ausschließlich getrennt voneinander analysiert werden, da die wechselseitigen Abhängigkeiten unter Umständen beträchtlich sind. Darüber hinaus sind die in den einzelnen Phasen angestrebten Ziele oft konträr. So wird eine Kürzung der zur Verfügung stehenden Zeit sich mit Sicherheit negativ auf den Faktor Leistung/Qualität auswirken. Als gemeinsame Basis für integrierte Analyseverfahren könnten die mit den Risiken letztlich verbundenen Kosten dienen.

Zu einem besseren Verständnis für die mit einem Projekt verbundenen Risiken führt der Einsatz von Techniken des Risikomanagements im Allgemeinen immer. Die notwendige Informationssammlung und -auswertung macht die Struktur und die logischen Abhängigkeiten einzelner Aspekte des Projekts transparenter und erleichtert die Entscheidungsfindung und Planerstellung. Die Erfolgswahrscheinlichkeit des Projekts wird damit auch bei komplexen Zusammenhängen sicherlich günstig beeinflusst werden und den Einsatz von Techniken des Risikomanagements rechtfertigen.

Nach Charette [4] ist Risikomanagement "die geplante Kontrolle der Risiken und die Überwachung des Erfolgs der Kontrollmechanismen." Das Risikomanagement beinhaltet eine Entscheidung über die Risiken, nachdem diese analysiert worden sind. Um Risikomanagement wirkungsvoll anwenden zu können, sind einige Voraussetzungen notwendig. Es müssen geeignete Maßstäbe zur Leistungsmessung vorhanden sein und Informationen, um ständig die aktuelle Leistung überwachen zu können. Der Projektmanager muss Erfahrung besitzen, um die beste von möglichen Alternativlösungen auszuwählen, und natürlich die Autorität und Kompetenz, um die getroffenen Entscheidungen auch durchsetzen zu können.

Im Folgenden wird kurz auf die drei genannten Aufgabenbereiche eingegangen.

3.1. Risikoplanung

Die Risikoplanung (risk planning) befasst sich unter anderem mit zwei grundlegenden Problemen: Einerseits wird überprüft, ob die zur Durchführung des Risikomanagements gewählte Strategie selbst korrekt und durchführbar ist. Andererseits wird geprüft, ob die zur Anwendung der Strategie zur Verfügung stehenden Taktiken und Mittel mit den Projektzielen in Einklang stehen. Außerdem wird hier die Durchführbarkeit von Risikokontrolle und Risikoüberwachung überprüft.

In der Phase der Risikoplanung werden die Entscheidungen getroffen, die im Wesentlichen auf den Ergebnissen der durchgeführten Risikoanalyse basieren. Hier findet im Prinzip auch eine Risikoselektion statt, denn es wird nicht nur entschieden, wie mit einem identifizierten und bewerteten Risiko umgegangen wird. Einige Risiken werden ausgeschlossen, nachdem festgestellt worden ist, dass sie zu vernachlässigen oder zumindest zu akzeptieren sind. Außerdem werden die Risiken bestimmt, gegen die man sich versichern kann, wobei natürlich zuvor eine Kosten-Nutzen-Analyse durchgeführt werden muss, denn auch eine Versicherung ist natürlich mit Kosten verbunden.

In einem Projekt, in dem eine Risikoanalyse durchgeführt wird, kann man die Projektplanung mit dem Risikomanagement gleichsetzen, da Risikokontrolle und -überwachung praktisch nicht stattfinden. Da ein Projekt ein dynamischer Prozess ist, ist diese Situation jedoch ziemlich unrealistisch und wird im Folgenden nicht weiter berücksichtigt.

3.2. Risikokontrolle

Die Risikokontrolle (risk control) befasst sich mit der Entwicklung und Überprüfung der Durchführbarkeit von Kontrollmechanismen, die eingesetzt sind, um Risiken einzuschränken, oder in unvorhergesehenen Fällen eingesetzt werden könnten. Außerdem werden hier der risk management plan (RMP) und der risk aversion plan (RAP) erstellt sowie ein aktualisiertes RES (risk estimate of the situation), auf die hier nicht näher eingegangen werden soll. Diese Pläne dienen ebenfalls als Grundlage für den Entscheidungsprozess.

3.3. Risikoüberwachung

Der Begriff Risikoüberwachung wurde nicht aus der benutzten Fachliteratur übernommen, sondern wird an dieser Stelle als Übersetzung des Begriffs risk monitoring eingeführt.

Die Risikoüberwachung kommt zum Tragen, nachdem Entscheidungen über Risikostrategien und Taktiken gefallen sind. Es wird überprüft, ob die getroffenen Entscheidungen die geplanten Folgen nach sich ziehen. Außerdem werden Gelegenheiten aufgezeigt, an denen man noch steuernd oder verbessernd eingreifen kann.

Es werden Erfahrungswerte und Daten für zukünftige Entscheidungen gesammelt, um neue Risiken oder solche, die mit der gewählten Strategie nicht erfasst werden, oder solche, deren Natur sich im Laufe der Zeit geändert hat, zu kontrollieren. Hier kommt also erneut die Risikoanalyse zum Tragen, um neue Daten zu sammeln. Ziel der Risikoüberwachung ist also festzustellen, ob eine gewählte Strategie wirkungsvoll genug ist oder ob eine neue Entscheidung zu treffen ist.

3.4. Einige "Grundregeln" des Risikomanagements

Charette [4] nennt einige einfache und plakative "Grundregeln" für erfolgreiches Risikomanagement, die ich für interessant genug halte, um an dieser Stelle angeführt zu werden.

Eigentlich ein Grundsatz aus der Physik. Wenn bei der Bearbeitung von Risiken mehr neue Risiken entstehen als bearbeitet werden können, dann soll man es sein lassen und diese Risiken nicht akzeptieren. Man hat meistens die Möglichkeit zu warten, bis durch die Risikobewertung und Risikoverdichtung größere Sicherheit entstanden ist. Sind die Risiken kleiner oder gleich den abgeschätzten, so braucht man sich nur noch auf unbekannte oder nicht vorhersehbare Risiken zu konzentrieren, worunter nicht nur neue Risiken zu verstehen sind, sondern auch solche, die durch Verbindung oder Vermischung bekannter Risiken entstanden sind. Die Suche nach diesen Fehlerquellen sollte eine hohe Priorität haben.

"Es ergibt einen großen Haufen, wenn man zu einem bisschen ein wenig hinzufügt." (zitiert frei nach Ovid). Diese Weisheit entspricht etwa dem deutschen Sprichwort "Kleinvieh macht auch Mist" und gilt natürlich auch für das Risikomanagement.

Die Risikoanalyse kann die Wahrscheinlichkeit des Eintretens irgendeines ungünstigen Ereignisses bestimmen, aber nichts über einzelne Ereignisse aussagen. Das Ziel des Risikomanagements ist die Verbesserung der Erfolgswahrscheinlichkeit. Alle Projektaktivitäten sind Nebenerscheinungen dieser Zielsetzung. Risikomanagement existiert ja nicht um seiner selbst willen. Alle Mittel, um die Erfolgswahrscheinlichkeit zu steigern, sollten berücksichtigt werden.

Risikomanagement basiert auf dem, was durchgeführt werden kann, nicht auf dem, was man hofft durchführen zu können. Realismus ist eine Voraussetzung für ein erfolgreiches Risikomanagement. Der Weg zum Versagen eines Projekts ist voll von guten Absichten.

Wenn das Risikomanagement durch das Projektmanagement weder aktiv unterstützt noch die Notwendigkeit dafür eingesehen wird, hat es wenig Sinn, so zu tun, als ob man es durchführen würde. Das Risikomanagement verlangt Manager, die beharrlich und vorurteilsfrei Problemen direkt ins Auge sehen, anstatt ihnen auszuweichen oder vor ihnen wegzulaufen. Niemand mag Probleme, aber sie existieren und man muss professionell mit ihnen umgehen.

3.5. Vergleich von Risikomanagement und "normalem" Management

Oft stellt sich die Frage nach dem Unterschied zwischen dem, was bei "normalem" Projektmanagement, und dem, was bei Risikoanalyse und Risikomanagement passiert. In den meisten Fällen gibt es theoretisch keinen Unterschied. Risikoanalyse und Risikomanagement sind lediglich Mittel zum Zweck und müssen als solche mit anderen Instrumenten konkurrieren, die ebenfalls dazu dienen, die Projektziele zu erreichen. Charette [4] sieht jedoch zwei Bereiche, in denen sich Risikoanalyse und Risikomanagement vom "normalen" Management unterscheiden.

Der erste Unterschied liegt in ihrer Philosophie. Management wird gesteuert durch Möglichkeiten und Gelegenheiten, während Risiken die Handlungsfreiheit einschränken. Als Beispiel führt Charette [4] hier die Softwareentwicklungsstrategie der Japaner an, die lieber bestehende Systeme verfeinern und verbessern als das ganze System zu verändern oder etwas Neues herzustellen. Sie legen mehr Wert auf Zuverlässigkeit als auf Funktionalität. Gegenübergestellt wird das Verhalten der USA, wo mehr Wert auf Funktionalität gelegt wird, auch auf Kosten der Zuverlässigkeit und mit Inkaufnahme höherer Kosten. Man orientiert sich an den Anforderungen der Verbraucher und baut Komponenten neu, wenn diese benötigt werden. Das Risikomanagement wird also gesteuert durch die Risiken und durch die Möglichkeiten eingeschränkt.