Um sicherzustellen, dass alle Risiken identifiziert werden, empfehle ich eine Einteilung in Kategorien. Wir nutzen dafür das bewährte PEPT-Framework, das folgende Dimensionen erfasst:

• People: u.a. Kompetenzen, Kapazitäten, Arbeitsbelastung, Skalierbarkeit, Change Management
• Environment: u.a. Parallelprojekte und –initiativen, interne und externe Regulatorik
• Processes: u.a. Prozess-Vollständigkeit, Prozess-Korrektheit, Durchgängigkeit, Prozess-Reife, Dokumentation, Schulung, Testing
• Technologies: u.a. System-Verfügbarkeit und -Performance, Connectivity, Autorisierung, Schnittstellen, User

Ein sinnvolles Risikomanagement lässt sich in der Regel in fünf aufeinanderfolgende Phasen einteilen. Ich empfehle Schritt 1-3 im Rahmen eines Workshops durchzuführen – am besten mit einem außenstehenden Trusted Advisor, der eine neutrale Perspektive einnimmt.

1) Risikoidentifizierung

Die Stakeholder aller involvierten Bereiche sammeln die ihnen bekannten Risiken. Eine Comprehensive Risk Assembly stellt sicher, dass kein Aspekt vergessen wird. Wichtig: Jedes noch so kleine Risiko sollte erfasst werden. Eine Bewertung erfolgt erst im nächsten Schritt.

2) Risikoqualifizierung

Welches Gefahrenpotenzial weisen die identifizierten Risiken auf? Und mit welcher Wahrscheinlichkeit treten sie auf? Darum geht es in dieser Phase. Anhand einer Risikomatrix (z.B. 5×5) erfolgt dann eine Qualifizierung.

3) Definition mitigierender Maßnahmen

Einige Risiken lassen sich vermeiden, andere nicht. In der dritten Phase des Risikomanagements werden jedem erkannten Risiko mitigierende Maßnahmen zugeordnet und Risk Owner bestimmt, die sicherstellen, dass Risiken wirkungsvoll eingedämmt werden oder gar nicht erst entstehen.

4) Aufnahme der Maßnahmen in den regulären Projektplan (!)

In dieser Phase werden die Maßnahmen in den regulären Projektplan integriert, Risiko-mitigierende Maßnahmen sind in aller Regel nicht kostenlos: Sie benötigen Ressourcen und Budget. Nur mit der Aufnahme in die Projektplanung kann sichergestellt werden, dass z.B. zeitliche oder kapazitative Restriktionen und Abhängigkeiten sauber gemanaged werden und alle Teammitglieder informiert sind. Die kontinuierliche Überwachung der Maßnahmen stellt sicher, dass sie effektiv umgesetzt und bei Bedarf angepasst werden.

5) Regelmäßige Reviews

Der letzte Schritt ist meiner Meinung nach der Wichtigste und leider der am meisten Vernachlässigte. Eintrittswahrscheinlichkeit und Schweregrad der Risken ändern sich kontinuierlich! Daher gilt: Nur wer regelmäßig Reviews und Neubewertungen von Risiken und Maßnahmen durchführt betreibt effektives Risikomanagement! Und noch vielmehr: Wir freuen uns, wenn im Verlauf eines Projektes gewisse Risiken gemanagt werden oder wegfallen. Realistischerweise kommen im Projektverlauf aber neue hinzu oder werden neu erkannt. Die gilt es natürlich in den Reviews zu identifizieren.

… sondern ein absolutes Must-have für jedes IT-Projekt. Ich gehe sogar so weit zu sagen: für jedes unternehmensrelevante Projekt. Es stellt sicher, dass alle internen und externen Anforderungen eingehalten werden, wappnet das Projektteam für unvorhergesehene Ereignisse und deren Auswirkungen und ermöglicht fundierte und effektive Entscheidungen.

Und glauben Sie mir: Noch nie hat ein Kunde zu viel Zeit für Risikomanagement aufgewendet. Ganz im Gegenteil.