Risikomanagement in IT Projekten

Inhaltsverzeichnis

  Abbildungsverzeichnis  iii

1  Einleitung  1

1.1  No Risk - No Business  1

1.2  Risikomanagement heute - Fallbeispiele  2

1.3  Abgrenzung  2

2  Risiko  3

2.1  Begriffsdefinition  3

2.2  Risiken als Chance  4

2.3  Gefahrenpotentiale als Teil des Risikos  5

2.4  Schadensauswirkungen als Teil des Risikos  6

3  Einführung in das Risikomanagement  8

3.1  Risikomanagement als Teil des IT-Projektmanagements  8

3.2  Vorteile von aktivem Risikomanagement  9

3.3  Populäre Risikomanagementmodelle  10

4  Kerntätigkeiten und Methoden des Risikomanagements  12

4.1  Risikoidentifikation  12

4.2  Risikoanalyse und -bewertung  13

4.3  Risikohandhabung  15

4.4  Risikoüberwachung und -dokumentation  17

4.5  Übergreifende Faktoren eines effizienten Risikomanagementprozesses  18

5  Zusammenfassung und Ausblick  21

  Literaturverzeichnis  23

ii

  Abbildungsverzeichnis  

  Abb. 1 : Risikobeurteilung zu einem Meilenstein (aus Wall04 , S 57 )  

  Abb. 2 : Risk of Delaying Risk Management (aus BlFa98 )  

  Abb. 3 : Risikomanagement nach Boehm (aus Boeh91 )  

  Abb. 4 : Risikomanagementprozess nach Wallmüller (aus Wall04 , S. 121 )  

  Abb. 5 : The Riskit risk management cycle (aus Kont97 )  

  Abb. 6 : Risk Matrix für die ISS (aus Gree01 )  

  Abb. 7 : Prozess der Risikosteuerung (aus GlRo05 )  

  Abb. 8 : Optimierung der Risikokosten nach Romeike (aus RoFi03 )  

  Abb. 9 : Risikostatusreport nach Wallmüller (aus Wall04 , S. 132 )  

iii

1 Einleitung

„If you don’t actively attack the risks, the risks will actively attack you.“ Tom Gilb (Autor von „Competitive Engineering“)

1.1 No Risk - No Business

IT-Projekte haben mit einer relativ mangelhaften Erfolgsquote eine Eigenheit, die im negativen Sinne einzigartig für die Unternehmenswelt ist. Über ein Viertel aller begonnenen Projekte liefert kein Ergebnis oder wird vorzeitig abgebrochen. Ungefähr die Hälfte überschreitet trotz fehlender Funktionen Zeit- und/oder Budgetrahmen. Gerade ein Viertel der Projekte wird entsprechend den im Vorfeld getroffenen Vereinbarungen erfolgreich beendet (vgl. [Stre04], S. VII; [Diaz04]).

Risiken gehören jedoch zum Alltag von Projekten, erst recht in IT-Projekten (vgl. [Thal04], S. 10). Viele Faktoren können den Verlauf positiv oder auch, wenig vorhersehbar, negativ beeinflussen. Die Ursachen sind insbesondere aufgrund der technischen Komplexität von IT-Systemen sehr vielfältig. Denn die Annahme, dass fehlerfreie Produkte existieren, ist weitgehend unrealistisch. Da in IT-Projekten oft eine Vielzahl unterschiedlicher Systeme, Software und Technologien kombiniert und integriert wird, multiplizieren sich mögliche Fehler zu Risiken größerer Dimensionen mit Auswirkungen entsprechender Tragweite (vgl. [Thal04], S. 11).

Der bewusste Umgang mit Risiken hat neben der Gefahrenkontrolle einen weiteren elementaren Vorteil. Denn mit Risiken gehen auch immer Chancen einher. IT-Projekte führen oft zu neuen, innovativen Systemlösungen und setzen unerforschte Kombinationen von Technologien ein, so dass es auf der einen Seite zu Risiken für den Gesamtverlauf, aber auch zu großen Chancen bei einem Projekterfolg kommen kann. Nach Tom DeMarco und Timothy Lister ist der Wettbewerbsvorteil bei einem Projekterfolg oft größer, wenn Risiken durch das Beschreiten von unbekannten Wegen eingegangen werden (vgl. [DeLi03], S. 3). Die für die Unternehmenswelt einzigartig hohe Misserfolgsquote von IT-Projekten (vgl. [DeLi03], S. 18ff) ist mittlerweile auch der breiten Öffentlichkeit bekannt (siehe Kapitel 1.2). Noch immer tragen Unternehmen durch eine zu optimistische Einstellung gegenüber zukünftigen Projektverläufen Scheuklappen und weigern sich, Risiken bewusst gegenüberzutreten. Doch nur ein aktives Risikomanagement kann den Projekt- und damit auch den Unternehmenserfolg langfristig sichern. Diese Tatsache wird den Unternehmen nur allmählich bewusst.

1

1.2 Risikomanagement heute - Fallbeispiele

Populäre Beispiele für Misserfolge von IT-Projekten gibt es zur Genüge. An ihnen lässt sich eindeutig erkennen, wie unvorbereitet Projektbeteiligte oft auf Risiken reagieren und zu lange nach dem „Prinzip Hoffnung“ agieren (siehe z.B. Projekt Toll Collect). Nur langsam kommen Unternehmen zu der Einsicht, dass „Rettungsboote nicht erst während des Untergangs gebaut werden sollten“ (vgl. [GlRo05]).

So wird vielfach die Komplexität von IT-Projekten unterschätzt, und Risikoanalysen werden aufgrund von mangelnden Ressourcen unzureichend durchgeführt. Beispielweise erhielten nach der Einführung der neuen Arbeitslosengeld II Software über einhunderttausend Empfänger keine Bezüge, schlichtweg aufgrund eines Formatierungsfehlers von Kontonummern, bei denen Nummern mit weniger als 10 Stellen von hinten mit Nullen aufgefüllt wurden, anstatt von vorne ([Tage04]).

Zu reaktives oder zu spätes Risikomanagement kann in Projekten neben negativen Auswirkungen finanzieller Art auch zur Gefährdung von Menschenleben führen. Ein klassisches Beispiel aus dem Umfeld von Technologieprojekten mit verspätetem Risikomanagement ist die letzte Shuttle Mission des Jahres 2006 (STS-116: Discovery). Zunächst war geplant, die Mission kurz vor dem Jahresende durchzuführen. Doch die 30 Jahre alte Software der Raumfähre wurde nie dafür ausgelegt, während eines Jahreswechsels im All zu sein. Hätten Probleme im All die Mission verzögert, wäre die interne Zeitmessung des Shuttles vom 365. auf den 366. Tag des Jahres 2006 gesprungen. Die Diskrepanz von den korrekten Uhren auf der Erde barg unvorhersehbare Risiken für Raumfähre und Besatzung in sich, so dass der Zeitplan für die Mission kurzfristig umgestellt werden musste ([Youn06]).

1.3 Abgrenzung

Das Ziel dieser Arbeit ist es, einen Überblick über das Risikomanagement auf der Ebene von IT-Projekten zu geben und die wesentlichen Modelle und Methoden zu erläutern. Doch auch auf der Unternehmensebene setzt sich in den letzten Jahren ein Sinneswandel durch. Der Sarbanes Oxley Act und das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich haben zu einer gestiegenen Verantwortung und Dokumentationspflicht des Managements geführt (vgl. [Wall04], S. 3). Trotz der Abgrenzung zwischen Risikomanagement auf Unternehmens- und auf IT-Projektebene finden sich in beiden Welten ähnliche Ansätze und Methoden.

2

2 Risiko

In diesem Kapitel wird der Begriff Risiko definiert und die Schaffung von Chancen durch die Beschäftigung mit Risiken erläutert. Des Weiteren werden die zentralen Risikopotentiale in IT-Projekten und Schadenauswirkungen als elementarer Aspekt des Risikos erörtert.

2.1 Begriffsdefinition

Der Begriff Risiko ist vom italienischen Wort risicare („etwas wagen“) entlehnt. Schon vor Jahrhunderten kalkulierten Handelsgesellschaften Risiken für ihre Geschäftsvorgänge. Beispielsweise wurden im 17. Jahrhundert üblicherweise vier europäische Schiffe ausgesandt, um aus Indien Pfeffer zu beschaffen. Die Kalkulation besagte, dass zwei Jahre später nur zwei Schiffe wohlbehalten den Heimathafen erreichten und der Profit trotzdem bei 300% lag ([Wall04], S. 5). Bei einem Versenden einzelner Schiffe wäre die Gefahr des Totalverlusts aufgrund diverser Faktoren (schlechte Verteidigungsfähigkeit mangels Geleitschutz, keine Hilfe im Notfall, etc.) zu groß gewesen. Hier wurde das Risiko eindeutig identifiziert und durch die gemeinsame Versendung mehrerer Schiffe vermindert.

Im Allgemeinen beinhaltet der Begriff Risiko zwei wesentliche Faktoren. Der erste ist die Wahrscheinlichkeit des Eintritts eines Ereignisses und der zweite der Schaden, also die negativen Auswirkungen des Ereignisses (vgl. [Boeh91]; [Wall04], S. 6; [Wieg98]). Zur Berechnung des isolierten Einzelrisikos wird die folgende Formel verwendet (u.a. [Boeh91]; [VeMc04]; [Wall04], S. 7):

Einzelrisiko = Eintrittswahrscheinlichkeit * potentielle Schadenshöhe Die Eintrittwahrscheinlichkeit wird üblicherweise als Prozentwert angegeben. Die potentielle Schadenshöhe ergibt sich aus dem berechneten, meist finanziellen Wert der durch den Eintritt verursachten negativen Auswirkungen.

Dr. Barbara Mikus erwähnt in ihrem Aufsatz „Risiken und Risikomanagement - ein Überblick“ zusätzlich das Verständnis des Risikos als „Gefahr einer Fehlentscheidung, die zur Nicht-Erreichung der gesetzten Ziele führen“ ([BFHL01], S. 5). Dazu müssen jedoch sowohl Ziele definiert, als auch Entscheidungen getroffen worden sein. Diese Ansicht bezieht sich vor allem auf das unternehmensweite Risikomanagement, bei dem jedoch nicht nur monetäre, sondern auch qualitative oder sogar soziale Ziele betrachtet werden. Die Definition berück-

3

sichtigt einen zusätzlichen wichtigen Aspekt, der in gängigen Charakterisierungen des Risikobegriffs vernachlässigt wird. Denn dort wird Risiko im Wesentlichen als Fehlschlag von Leistungen aufgrund von nicht beeinflussbaren oder erwarteten Ereignissen betrachtet. Mikus ergänzt den Begriff um die Verantwortung der Entscheidungsträger und deren potentielle Fehlentscheidungen, zum Beispiel aufgrund einer mangelhaften Informationsgrundlage über die sich manifestierenden Auswirkungen in den gewählten Zielgrößen ([BFHL01], S. 6). Michael Theil hält den Bezug zu Fehlentscheidungen jedoch „für die Auseinandersetzung mit Risikobewältigungssituationen nur von beschränktem Wert“ ([Thei95], S. 9), da sich normalerweise erst ex post herausstellt, „welche Alternative“ und Entscheidung, „letztlich die günstigste gewesen wäre“ ([Thei95], S. 9).

Theil unterscheidet allerdings Risiko und Gefahr, da mit Risiken menschliche Erfahrungen verbunden sind, und man versucht, „sich mit der Unsicherheit auseinanderzusetzen, sie zu beobachten, zu messen und sie zu bewältigen“ ([Thei95], S. 8). Der Sicherheit sind demnach durch Gefahren, also „objektive Gegebenheiten, die Schaden bringen können, sowie durch die generelle Ungewissheit bzw. Unsicherheit gegenüber der Zukunft enge Grenzen gesetzt“ ([Thei95], S. 7). Beide Begriffe haben jedoch auch bei Theil gemein, dass sie in einem klaren Zukunftsbezug stehen, sowie dass die Sicherheit der Schadensfreiheit als wesentlich zu erstrebender Zustand angesehen wird.

2.2 Risiken als Chance

„Wägen und Wagen“ lautete das Motto der Kaufleute bereits zur Zeiten der Hanse ([MSFr04]). Es drückt aus, dass die bewusste Beschäftigung mit Gefahren, ihren Auswirkungen und das kontrollierte Eingehen von Risiken auch Chancen auf positive Auswirkungen bieten. Chancen sind nichts anderes als positive, oft vermögensmehrende Ausprägungen zukünftiger Entwicklungen und Ereignisse (vgl. [DeLi03], S. 3). Der Projektverlauf kann also nicht nur in negativer Weise von der Planung abweichen, sondern auch auf positive. Die negativen Abweichungen sind Folgen von eingetretenen Risiken, die positiven wahrgenommene Chancen. Doch zuerst müssen Projektteilnehmer Risiken offensiv gegenübergetreten, bevor Chancen gesehen und angestrebt werden können. Wenn ein Unternehmen auch auf Projektebene alle Risiken vermeidet oder realistischerweise eher zu vermeiden versucht, vergibt es auch Chancen zur Entwicklung innovativer Produkte und verliert das mögliche Ziel die Markt-/Innovationsführerschaft zu erreichen. In diesem Sinne bedeutet die proaktive Steuerung von Risiken auch mittelfristig die Wahrnehmung und Sicherung von Chancen. Tom DeMarco und Timothy Lister gehen in ihrem Buch „Bären-

4