Klassisches Risikomanagement – ein Auslaufmodell?

21. September 2020

«Wir managen Chancen, nicht Risiken», berichtete die Leiterin eines mehrere hundert Millionen schweren Programms den Teilnehmenden einer Projektmanagement-Tagung. «Wir erfassen nur Risiken, die wir auch beeinflussen können», antwortete der Leiter eines 20-Millionen-Projekts auf die Feststellung in einem Qualitätssicherungs- und Risikomanagementbericht, dass das einzelne, im Risikokatalog aufgeführte Risiko doch sicher nicht das einzige Risiko des Projekts sei. «Wenn man agil arbeite, brauche man kein weiteres Risikomanagement» wehrte sich ein anderer, und die wirkliche Gefahr gehe ja eigentlich von den unbekannten Risiken aus.

Hat das klassische Risikomanagement ausgedient?

Klassisches Risikomanagement

Der erste Schritt des klassischen Risikomanagements – nach der Definition und Dokumentation der Risikomanagementprozesse – ist die Identifikation möglicherweise eintretender Ereignisse, die den Projekterfolg in fachlicher (Leistungsumfang und -qualität), zeitlicher oder finanzieller Hinsicht gefährden könnten. Die Analyse und Bewertung der Risiken, in welcher sich etwa herausstellen könnte, dass das Risiko nicht beeinflussbar ist, folgt erst im zweiten Schritt. Die zentralen Bewertungsdimensionen sind die Eintretenswahrscheinlichkeit und das Schadensausmass des potenziellen Ereignisses. Danach wird für jedes Risiko die Strategie festgelegt: Soll zum Beispiel versucht werden, die Eintretenswahrscheinlichkeit des Risikos zu reduzieren (Verminderung) oder es sogar gänzlich zu umgehen (Vermeidung)? Kann die Verantwortung für die mit dem Risiko einhergehende Gefahr an jemand ausserhalb des Projekts delegiert werden (Abwälzung)?

Oder soll das Risiko schlicht in Kauf genommen werden (Akzeptanz)? Je nach gewählter Strategie werden im vierten Schritt spezifische Massnahmen für den Umgang mit den Risiken erarbeitet, geplant und umgesetzt. Die Umsetzung und Wirksamkeit der Massnahmen wird eng verfolgt und fliesst gemeinsam mit allenfalls neu identifizierten Risiken in die regelmässige Neubewertung der Risikosituation des Projekts ein.

Dieses Bild zeigt eine Projektmanagment-Grafik

Die Risiken mit ihrer Bewertung, Strategie und allfälligen Massnahmen werden im klassischen Risikomanagement üblicherweise in einem Risikokatalog geführt. Im Rahmen der Projektstatusberichte werden Auftraggeberschaft und Stammorganisation regelmässig über die wichtigsten Risiken und Massnahmen informiert, und die für die jeweiligen Entscheide relevanten Risiken fliessen in Änderungsanträge und Anträge zur Phasenfreigabe in Phasenberichten ein.

Chancen- statt Risikomanagement?

Folgendes Wochenendprojekt steht an: eine Bergwanderung von der Lauchernalp über den Lötschenpass nach Selden. Schwierigkeit gemäss Bergtour-Führer: schwer. Projektziel: Die Bergtour erfolgreich meistern und Sonntag abends gesund in Selden ankommen. Das Projekt bringt verschiedenen Chancen mit sich; ganz besonders würde ich mich über die Sichtung eines Steinbocks freuen. Im Rahmen meines Chancenmanagements nehme ich einen guten Feldstecher mit auf die Tour und informiere mich vorab über topografische Merkmale der von Steinböcken bevorzugten Gebiete. Zudem werde ich aber sicher gute Schuhe anziehen, um die Eintretenswahrscheinlichkeit des Risikos auszurutschen und abzustürzen zu reduzieren. Warme und regenfeste Kleider werde ich ebenfalls mitnehmen, um mich auf das allfällige Eintreten des Risikos plötzlicher Wetterumbrüche vorzubereiten. Mit Chancenmanagement allein ist es also nicht getan. Ferner hindert mich eine allenfalls verpasste Chance, einen Steinbock zu sehen, nicht am Erreichen meines Projektziels. Das Projekt könnte jedoch verheerend ausgehen, wenn ich mangels Risikomanagement nur mit kurzen Hosen, T-Shirt und Flipflops losziehe.

Nur beeinflussbare Risiken erfassen?

Mit einem «nicht beeinflussbaren Risiko» kann gemeint sein, dass die Eintretenswahrscheinlichkeit des Risikos nicht beeinflussbar ist, oder dass darüber hinaus auch keine Massnahmen denkbar sind, welche das Schadensausmass bei Eintreten des Risikos begrenzen würden. Das Risiko eines massiven Felssturzes etwa, kann ich weder hinsichtlich seiner Eintretenswahrscheinlichkeit beeinflussen, noch würde das Tragen eines Helms das Schadensausmass wesentlich reduzieren. Gerade wenn ich nicht der einzige Stakeholder meines Projekts bin, sondern etwa noch meine Geschwister auf die Bergtour mitnehmen will, sollte ich als Projektleiter auch nicht beeinflussbare Risiken kommunizieren, damit die Stakeholder bewusst entscheiden können, ob sie diese Risiken in Kauf nehmen wollen oder nicht. Das bewusste Entscheiden für bestimmte Risikostrategien fehlt in vielen Projekten, die ich als Qualitäts- und Risikomanager prüfe. Gerade Risiken, die nicht beeinflusst werden können, werden in Änderungs- oder Phasenfreigabeanträgen oft nicht erwähnt, obwohl die Berücksichtigung nicht beeinflussbarer Risiken zu qualitativ besseren Entscheidungen führen würde. 

Das Risiko unbekannter Risiken

Wem unbekannt? Viele Projektleiter machen das Risikomanagement alleine im stillen Kämmerlein, kurz bevor sie den nächsten Projektstatusbericht einreichen müssen. Dass auf diese Art und Weise viele Risiken unbekannt bleiben, ist naheliegend. Für eine schwierige Bergtour kann ich die Risiken besser abschätzen, wenn ich einen einheimischen Bergführer um entsprechende Informationen bitte. Wenn der Leiter eines IT-Projekts regelmässig sowohl Anwender als auch Ersteller und Betreiber in das Risikomanagement einbezieht, hat er gute Chancen, die Anzahl unbekannter Risiken zu reduzieren. Und die im Zusammenhang mit der Bergtour bereits erwähnten, nachfolgend zusammengefassten Punkte zeigen auf, warum das Verbleiben unbekannter Risiken kein Grund dafür ist, auf klassisches Risikomanagement zu verzichten.

Nutzen des klassischen Risikomanagements

  • Reduzieren der Eintretenswahrscheinlichkeit ungünstiger Ereignisse
  • Vorbereiten auf das allfällige Eintreten ungünstiger Ereignisse
  • Bewusstes Entscheiden betreffend Inkaufnahme bestimmter Risiken
  • Besseres Entscheiden wegen Berücksichtigung von Risiken
  • Transparentes Ausweisen von Risiken gegenüber Stakeholdern
  • Verpasste Chancen gefährden den Projekterfolg oft nicht, ignorierte Risiken schon

Klassisches Risikomanagement und Agilität

SCRUM kennt kein explizites, klassisches Risikomanagement. Allerdings sind auch die Anpassung bestehender Prozesse an die neue Lösung oder das Planen und Umsetzen von Einführungsmassnahmen nicht Gegenstand von SCRUM. Dies ist ein Hinweis darauf, dass SCRUM eben stark auf die Produkteentwicklung fokussiert und nicht eine umfassende Projektmanagementmethode wie PRINCE 2 oder HERMES 5 darstellt. In SAFe (Scaled Agile Framework), das bereits einen viel breiteren Fokus aufweist als SCRUM, ist das klassische Risikomanagement ein explizites Element des program increment planning, einem regelmässig stattfindenden face-to-face-event.


Quintessenz

Klassisches Risikomanagement ist kein Auslaufmodell, sondern eine Chance, die Wahrscheinlichkeit des Projekterfolgs zu erhöhen. 


Dieser Beitrag basiert auf einem Referat des Autors an der Online-Tagung «HERMES 5 angewandt 2020: Resilientes Projektmanagement in turbulenten Zeiten» vom 5. Juni 2020, veranstaltet von der Berner Fachhochschule und der APP Unternehmensberatung AG.

Möchten Sie mehr über dieses spannende Thema erfahren oder wissen, wie die APP auch Sie bei einem herausfordernden Vorhaben unterstützen kann? Wir freuen uns auf Ihre Kontaktaufnahme.

  • Kategorie
    Fachbeiträge

Branchen

    Banken und Versicherungen
    Energie und Infrastruktur
    Gesundheitswesen und Pharma
    Handel, Transport und Logistik
    Industrie, Technologie und Dienstleistung
    Öffentliche Verwaltung

Dienstleistungen

Kontaktieren Sie uns