Ein mangelhaftes Risikomanagement kann fatale Folgen für den Ausgang eines Projektes haben: Im besten Fall verzögert sich der GoLive, im schlimmsten Fall ist die Geschäftskontinuität gefährdet. Obwohl jeder gute Projektmanager um diese Gefahr weiß, läuft das Risikomanagement meist nur nebenher. Wie geht es richtig?
Risikomanagement ist kein Kunststück
Aus der Theorie weiß jeder gute Projektmanager, dass Projekte nur mit adäquatem Risikomanagement erfolgreich abgeschlossen werden. Denn Schieflagen sind in der Regel vorhersehbar und entstehen aus bekannten, beeinflussbaren Parametern – und die identifiziert man nur, wenn man sich mit ihnen auseinandersetzt.
In der Praxis wird das Management von Risiken-mitigierender Maßnahmen vernachlässigt oder schlichtweg gar nicht ausgeführt. Risikomanagement ist keine unlösbare Aufgabe – es erfordert lediglich eine konsequente Umsetzung.
Wie lassen sich Risiken kategorisieren?
Um sicherzustellen, dass alle Risiken identifiziert werden, empfehle ich eine Einteilung in Kategorien. Wir nutzen dafür das bewährte PEPT-Framework, das folgende Dimensionen erfasst:
- People: u.a. Kompetenzen, Kapazitäten, Arbeitsbelastung, Skalierbarkeit, Change Management
- Environment: u.a. Parallelprojekte und –initiativen, interne und externe Regulatorik
- Processes: u.a. Prozess-Vollständigkeit, Prozess-Korrektheit, Durchgängigkeit, Prozess-Reife, Dokumentation, Schulung, Testing
- Technologies: u.a. System-Verfügbarkeit und -Performance, Connectivity, Autorisierung, Schnittstellen, User
Wie sollten Projektmanager vorgehen?
Ein sinnvolles Risikomanagement lässt sich in der Regel in fünf aufeinanderfolgende Phasen einteilen. Ich empfehle Schritt 1-3 im Rahmen eines Workshops durchzuführen – am besten mit einem außenstehenden Trusted Advisor, der eine neutrale Perspektive einnimmt.
1) Risikoidentifizierung
Die Stakeholder aller involvierten Bereiche sammeln die ihnen bekannten Risiken. Eine Comprehensive Risk Assembly stellt sicher, dass kein Aspekt vergessen wird. Wichtig: Jedes noch so kleine Risiko sollte erfasst werden. Eine Bewertung erfolgt erst im nächsten Schritt.
2) Risikoqualifizierung
Welches Gefahrenpotenzial weisen die identifizierten Risiken auf? Und mit welcher Wahrscheinlichkeit treten sie auf? Darum geht es in dieser Phase. Anhand einer Risikomatrix (z.B. 5×5) erfolgt dann eine Qualifizierung.
3) Definition mitigierender Maßnahmen
Einige Risiken lassen sich vermeiden, andere nicht. In der dritten Phase des Risikomanagements werden jedem erkannten Risiko mitigierende Maßnahmen zugeordnet und Risk Owner bestimmt, die sicherstellen, dass Risiken wirkungsvoll eingedämmt werden oder gar nicht erst entstehen.
4) Aufnahme der Maßnahmen in den regulären Projektplan (!)
In dieser Phase werden die Maßnahmen in den regulären Projektplan integriert, Risiko-mitigierende Maßnahmen sind in aller Regel nicht kostenlos: Sie benötigen Ressourcen und Budget. Nur mit der Aufnahme in die Projektplanung kann sichergestellt werden, dass z.B. zeitliche oder kapazitative Restriktionen und Abhängigkeiten sauber gemanaged werden und alle Teammitglieder informiert sind. Die kontinuierliche Überwachung der Maßnahmen stellt sicher, dass sie effektiv umgesetzt und bei Bedarf angepasst werden.
5) Regelmäßige Reviews
Der letzte Schritt ist meiner Meinung nach der Wichtigste und leider der am meisten Vernachlässigte. Eintrittswahrscheinlichkeit und Schweregrad der Risken ändern sich kontinuierlich! Daher gilt: Nur wer regelmäßig Reviews und Neubewertungen von Risiken und Maßnahmen durchführt betreibt effektives Risikomanagement! Und noch vielmehr: Wir freuen uns, wenn im Verlauf eines Projektes gewisse Risiken gemanagt werden oder wegfallen. Realistischerweise kommen im Projektverlauf aber neue hinzu oder werden neu erkannt. Die gilt es natürlich in den Reviews zu identifizieren.
Risikomanagement ist kein Nice to Have…
… sondern ein absolutes Must-have für jedes IT-Projekt. Ich gehe sogar so weit zu sagen: für jedes unternehmensrelevante Projekt. Es stellt sicher, dass alle internen und externen Anforderungen eingehalten werden, wappnet das Projektteam für unvorhergesehene Ereignisse und deren Auswirkungen und ermöglicht fundierte und effektive Entscheidungen.
Und glauben Sie mir: Noch nie hat ein Kunde zu viel Zeit für Risikomanagement aufgewendet. Ganz im Gegenteil.