Diese Arbeit gibt sowohl einen theoretischen als auch praktischen Überblick über die wesentlichen Themen des Risikomanagements in IT-Projekten. Dabei wird zusätzlich erläutert, inwiefern ein konsequentes Risikomanagement bei der Implementierung eines Workforce-Management-Systems durchgeführt werden kann. Dazu werden Risiken durch die Darstellung von Parallelen der generellen Risiken in IT-Projekten betrachtet, die ebenfalls eine Auswirkung auf ein WMS-Projekt haben können. Durch das Skizzieren und Erläutern der einzelnen Methoden, Werkzeuge und der unterschiedlichen Risikovarianten im Steuern der Risiken wird außerdem ein praktischer Bezug aufgebaut.
Inhaltsverzeichnis
Abkürzungsverzeichnis
Abbildungsverzeichnis
1 Einleitung
1.1 Problemstellung
1.2 Zielsetzung
1.3 Aufbau der Arbeit
2 Einordnung des Risikomanagements
2.1 Begriffsdefinition
2.2 Differenzierung von Risiken
2.3 Nutzen eines Risikomanagements
3 Risikomanagement in der Praxis
3.1 Risikoidentifikation
3.2 Risikobewertung
3.3 Risikobewältigung
3.4 Risikosteuerung und –überwachung
3.5 Risikomanagement als Kreislauf
4 Fazit
Literatur- und Quellenverzeichnis
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Abbildungsverzeichnis
Abbildung 1: Risk of Delaying Risk Management
Abbildung 2: Risikomanagement nach PMI
Abbildung 3: Beispiel für eine Risikomatrix
Abbildung 4: Maßnahmen zur Risikobewältigung
1 Einleitung
1.1 Problemstellung
„Das Problem zu erkennen ist wichtiger als die Lösung zu erkennen, denn die genaue Darstellung des Problems führt zur Lösung.“ - Albert Einstein
Das Zitat von Albert Einstein verdeutlicht die Signifikanz einer Problem- bzw. Risikoerkennung, welche durch eine detaillierte und strukturierte Analyse zur Lösungsfindung führt.
Vor allem die hohe Anzahl an gescheiterten IT-Projekten fordert eine standardisierte Methodik zur Steuerung von unterschiedlichen Risiken. Bei über einem Viertel aller IT-Projekte ist kein Abschluss des Projekts verzeichnet und das Projekt wird vorzeitig abgebrochen. Die Hälfte der Projekte überschreitet aufgrund von fehlender Anforderungserreichung das Projektbudget oder verzögert sich zeitlich. Lediglich ein Viertel der Projekte wird gemäß den getroffenen abgestimmten Vereinbarungen erfolgreich beendet.1
Risiken sind in Projekten und gerade in IT-Projekten ein wesentlicher Bestandteil des zum täglichen Projektgeschäfts und der Projektplanung.2Dies gilt auch für die Implementierung eines Workforce-Management-Systems (WMS)3, da hier aufgrund der Einführung einer neuen Software und Systems auf unterschiedliche technische Herausforderungen erkannt werden können. Es sind jedoch viele Faktoren vorhanden, die den Verlauf eines Projekts sowohl negativ als auch positiv beeinflussen können. Durch die steigende technische Komplexität von IT-Infrastrukturen aufgrund der Vielzahl an IT-Systemen sind unterschiedliche Gründe für das Scheitern von WMS-Projekten erkennbar. Die Integrationen von Systemen in bestehende Infrastrukturen erfordert eine detaillierte Bestands- und Kompatibilitätsanalyse. Aufgrund dessen können sich mögliche Fehler auf weitere Systeme verteilen und zu erheblichen Risiken mit nicht identifizierbaren Auswirkungen führen.4
Allerdings führen nicht alle Risiken zwangsläufig zu negativen Auswirkungen. So können mithilfe eines strategischen Managements ebenfalls Risiken neue Chancen erkannt werden. Durch die Integration von unterschiedlichen Systemen können gerade in vielen IT-Projekten neue innovative Lösungen realisiert werden. Es entstehen folglich zwar Risiken für den Projektverlauf, jedoch auch Chancen für eine Erhöhung des Projekterfolgs. In vielen Fällen entsteht ein Vorteil gegenüber den Marktwettbewerbern beim Projektabschluss, wenn die Risiken durch das Untersuchen neuer und noch unbekannter Vorgehensweisen eingegangen werden.5
Ein aktives Projekt-Risikomanagement kann jedoch nicht nur den Projekt- sondern auch den gesamten Unternehmenserfolg langfristig erhöhen. In der Praxis sind einige Beispiele für die Misserfolgsquote von IT-Projekte erkennbar. Oftmals wird vor allem Komplexität in IT-Projekte unterschätzt und zusätzlich das Risikomanagement aufgrund von mangelnder Ressourcen nicht durchgeführt.
So erhielten bundesweit mehr als 2,5 Millionen Empfänger kein Arbeitslosengeld II nachdem eine Systemlösung zur Auszahlung eingeführt wurde, da die Nummernfelder der Kontonummern mit nachhängenden statt mit führenden Nullen aufgefüllt wurden.6
Der Schaden von durch die fehlende Risikoerkennung ist jedoch nicht zwangsläufig von monetärer Art, sondern kann im schlimmsten Fall auch das Leben von Menschen gefährden.
Die Shuttle Mission aus dem Jahre 2006 zeigt, was aufgrund von verspätetem Risikomanagement in IT-Projekten passieren könnte. Ziel der Mission war die Durchführung bis zum Jahresende. Da jedoch die Software des Shuttles 30 Jahre alte war, konnte diese jedoch nicht die notwendigen Anforderungen der Zeitmessung während eines Jahreswechsels erfüllen. Die Risiken bei einem möglichen Ausfall der Zeitmessung oder auch falscher Zeitmessung sind dabei für die Raumfähre und Besatzung unvorhersehbar gewesen. Aufgrund dessen musste die Durchführung und der Projektplant der Mission kurzfristig umgestellt werden, um die Gefahren zu beseitigen.7
1.2 Zielsetzung
Die vorliegende Projektarbeit soll sowohl einen theoretischen als auch praktischen Überblick über die wesentlichen Themen des Risikomanagements in IT-Projekten aufzeigen. Dabei soll zusätzlich erläutert werden, inwiefern ein konsequentes Risikomanagement bei der Implementierung eines Workforce-Management-Systems durchgeführt werden kann. Des Weiteren soll durch die Darstellung von Parallelen der generellen Risiken in IT-Projekten auch Risiken betrachtet werden, die ebenfalls eine Auswirkung auf ein WMS-Projekt haben können. Durch das Skizzieren und Erläutern der einzelnen Methoden, Werkzeuge und der unterschiedlichen Risikovarianten im Steuern der Risiken während des gesamten Projektverlaufs wird außerdem ein praktischer Bezug aufgebaut.
1.3 Aufbau der Arbeit
Zunächst wird eine theoretische Grundlage geschaffen, indem das Risikomanagement und der Begriff des Risikos eingeordnet und definiert werden. Zusätzlich werden die Vorteile eines Risikomanagements für das WMS-Projekt aufgezeigt. Anhand der Darstellung des Risikomanagements als zyklischer Prozess, werden dann im Anschluss die einzelnen Prozessschritte genauer betrachtet und erläutert. Dabei werden die einzelnen Methoden und Werkzeuge aufgezeigt und wird konkreten Beispielen aus WMS und IT-Projekten spezifiziert. Auf Grundlage der theoretischen Basis und der praktischen Anwendung des Risikomanagements bildet das Fazit zur Durchführung eines Risikomanagements in WMS-Projekt den Abschluss der Projektarbeit.
2 Einordnung des Risikomanagements
2.1 Begriffsdefinition
Generell lässt sich der Begriff Risiko in zwei wesentliche Faktoren unterteilen und definieren. Der erste Faktor ist die Eintrittswahrscheinlichkeit eines Ereignisses und der zweite der Schaden bzw. die negativen Auswirkungen des Ereignisses.8Durch die folgende Formel kann das isolierte Risiko eines einzelnen Ereignisses berechnet werden:9
Risiko = Eintrittswahrscheinlichkeit * potentielle Schadenshöhe
Die potentielle Schadenshöhe bezieht sich auf den berechneten, meist finanziellen Wert des Schadens, wenn das Risikoereignis tatsächlich eintritt. Die Eintritts-wahrscheinlichkeit wird dabei als ein Prozentwert angegeben.
Einige Definitionen berücksichtigen dabei noch zusätzlich einen wichtigen unbekannten Faktor, der in den bekannten Definitionen des Begriffs Risiko vernachlässigt wird. Dabei wird das Risiko als ein Fehlschlag von Leistungen durch nicht erwarteten oder beeinflussbaren Ereignisse bewertet. Außerdem spielt die (Fehl-)Entscheidungen und Verantwortung der Entscheidungsträger im Risikomanagement eine wesentliche Rolle, da beispielweise die Informationsgrundlage über die Auswirkungen in den gewählten Zielgrößen fehlerhaft sein kann.10
Des Weiteren werden in der Literatur werden die Begriffe Gefahr und Risiko voneinander eindeutig abgegrenzt, da die Risiken auf Basis der menschlichen Erfahrungen eintreten und eine Auseinandersetzung und Beobachtung mit der damit einhergehenden Unsicherheit beinhaltet.11
Das Risiko ist hierbei jedoch nicht zwingend mit den negativen Auswirkungen gleichgesetzt. Die aktive Auseinandersetzung mit Risiken, deren Auswirkungen und das kontrollierte Management dieser kann auch die Chancen auf positive Auswirkungen erhöhen. Dabei handelt es sich bei den Chancen meist um positive und lukrative Ausprägungen bevorstehender Entwicklungen und Ereignisse.12
Demzufolge treten neben den negativen Abweichungen von der Planung auch positive Abweichungen in Bezug auf den Projektverlauf mit unterschiedlichen Auswirkungen auf. Die negativen Abweichungen spiegeln daher die auftretenden Risiken und die positiven Abweichungen die aufgetauchten Chancen wider.
Aus diesem Grund darf ein Unternehmen nicht versuchen, alle erkannten Risiken zu vermeiden werden, sodass die möglichen Chancen zur Entstehung neuer innovativer Produkte und damit die Chance zum möglichen Alleinstellungsmerkmal und Wettbewerbsvorteil vergeben werden. Eine aktive Risikosteuerung und -kontrolle kann daher mittelfristig zur Wahrnehmung und Sicherung von Chancen führen.13
2.2 Differenzierung von Risiken
Als Voraussetzung müssen die unterschiedlichen Risikoarten zunächst gegliedert und erläutert werden, um diese anschließend im Risikomanagement steuern zu können.
Nachfolgend werden zehn mögliche und häufige Risikopotentiale in IT-Projekten auf Grundlage von Barry W. Boehm aus dem Jahr 1991, die in einer zweiten Fassung im Jahre 1998 verfeinert wurden, skizziert:14
- Personelles Versagen durch Defizite im fachlichen oder persönlichen Knowhow, personelle Konflikte, fehlendes Engagement, Fahrlässigkeit
- Irreale Kosten- und Terminplanung und zu optimistische Projektverläufe
- Gefährdung durch Inkompatibilitätsprobleme nach Integration und Customizing in Verbindung mit standardisierter Software und externen Systemen
- Fehlerhafte, zu ungenaue oder fehlende Anforderungsdokumentationen und dadurch vorhandene Abweichungen zwischen Anforderungen und entwickelter Funktionen
- Benutzerschnittstellen werden den Anforderungen und Bedürfnissen des Kunden nicht gerecht
- Fehlerhafte IT-Architektur, Performance- oder Qualitätsmängel
- Stetige Änderungen der aufgenommenen Anforderungen (Change Request)
- Gefahr aufgrund des Einsatzes und fehlender Kenntnisse von Altsystemen, bereits bekannte und ungelöste Probleme, ausgelaufener Support
- Gefahr durch Aufgabenverteilung an externe Dienstleister, fehlende Kontrolle aller Projektbeteiligten, mangelnde Prüfung von Fremdsystemen
- Überschätzung der IT Kenntnisse bzw. Unterschätzung der Aufgaben bei den Projektbeteiligten
Bei Betrachtung der Risikopotentiale wird deutlich, dass diese sich ebenfalls auf WMS-Projekte transferieren lassen. Zusätzlich ist erkennbar, dass bei mehr als der Hälfte der Risiken der Mensch die Ursache in einem Projekt ist.
Gemäß einer Studie aus dem Jahr 2001, in der 100 ausgewählte IT-Verantwortlichen der größten Unternehmen der Schweiz befragt wurden, waren die drei am häufigsten genannten Gründe für gescheiterte IT-Projekte unrealistische Erwartungen, eine falsche Planung von Projektressourcen und technische Probleme. Daraus leitete sich ebenfalls die Erkenntnis ab, dass annähernd die Hälfte aller befragten Unternehmen keine eindeutig definierte IT-Sicherheitsstrategie besitzt.15
Ferner werden in der Literatur die Risikopotentiale nach Boehm aufgegriffen und sowohl die Qualitätsmerkmale der entwickelten Systemlösungen und als auch das Missverhältnis zwischen Testbetrieb und der realen Belastungen analysiert und gegliedert:16
- Robustheit: fehlendes Knowhow im Umgang mit häufigen und verbreiteten Fehlern
- Performance: die Anforderungen werden durch das System erfüllt, jedoch nicht in einer akzeptablen Zeit
- Lokalisierung: Probleme mit den durch das System unterstützten lokalen Einstellungen wie Währungsumrechnungen, Zeitzonen, Sprachen, etc.
- Datenqualität: Beschädigung der Datenbank oder Akzeptanz unzulässiger Daten
- Bedienbarkeit: fehlende Usability der Benutzeroberfläche für die Endbenutzer
- Kapazität: Höchstlast und anhaltende Belastung führt zum Systemausfall
- Verlässlichkeit: sporadische Systemausfälle, defekte User-Sessions, etc.
Gerade diese Punkte bestärken die Notwendigkeit eines Risikomanagements zur strukturierten Steuerung der Risiken in WMS- bzw. Software-Projekten.
2.3 Nutzen eines Risikomanagements
Um potentielle Risiken rechtzeitig zu erkennen und die Ursache zu identifizieren, sollte ein vorausschauendes und proaktives Risikomanagement in allen WMS-Projekten für die kontinuierlich eingesetzt werden. Eine frühzeitige Identifikation des Risikos ist dabei ausschlaggebend für eine Auslegung der geeigneten Risikostrategie und Verminderung des Risikos. Neben der rechtzeitigen Identifikation können die Kosten und Auswirkungen im voranschreitenden Projektverlauf aufgrund eines fehlenden oder vernachlässigten Risikomanagements exponentiell steigen.
Dies wird durch die folgende Grafik verdeutlicht, welche die Entwicklung der Projektfaktoren in Bezug auf die Kosten während eines Projektes visualisiert.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: Risk of Delaying Risk Management17
Demzufolge ist die Definition der Technologien, Konfigurationen und Performance (Commitment to Technology, etc.) bereits nach der Detail Design- und Entwicklungsphase annähernd beendet ist, wobei die Änderbarkeit des fertigen Systems (Ease of Change) nur noch bei ungefähr 25% liegt. Durch dieses starre Verhalten und dem erforderlichen Maß an systemspezifischen Wissen (System-Specific Knowledge) steigen folglich die Kosten für weitere Anforderungsänderungen erheblich (Cost Incurred).
Abschließend ist demnach das Ziel eines proaktiven Risikomanagements, in den Anfangsphasen eines Projektes frühzeitig das Risiko der Risikopotentiale zu vermindern oder idealerweise zu beseitigen. Nur durch dieses strukturierte und methodische Vorgehen kann die Gefährdung des Projektbudgets und schließlich des gesamten Projekterfolgs.
3 Risikomanagement in der Praxis
Das Risikomanagement wird in der Literatur gewöhnlich in vier Prozessschritte zur Identifikation, Bewertung, Bewältigung und Kontrolle/Überwachung von Risiken gegliedert. In einigen Definitionen wird die Analyse zusätzlich in eine qualitative und eine quantitative Risikobewertung unterteilt. Die folgende Grafik visualisiert die einzelnen Schritte zur strukturierten Durchführung des Risikomanagements nach PMI.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2: Risikomanagement nach PMI18
3.1 Risikoidentifikation
Wie in den vorherigen Kapiteln beschrieben ist der erste Schritt des Risikomanagement, nach der Entscheidung für das entsprechende Vorgehen, die Identifikation der möglichen Risiken. Dabei ist die frühzeitige und systematische Identifikation und Dokumentation von Risikopotentialen eine wichtige Voraussetzung für die Planung von Gegenmaßnahmen.19
Ein unbekanntes Risiko gefährdet demnach in kritischen Fällen das gesamte Risikomanagement und damit das Projekt. Aufgrund der Bedeutung zählt die Risikoidentifikation zu den schwierigsten und aufwendigsten Prozessschritten des Risikomanagements. Des Weiteren fehlt nach der Identifikation der Risiken die Bestätigung, dass alle potentiellen Risiken vollständig erfasst sind.20
Bei der Implementierung eines WMS ist eines der wesentlichen Problematiken einerseits-der überschätzte Optimismus der Entwickler und andererseits das fehlende Knowhow für die Softwareentwicklung bei den weiteren Projektbeteiligten. Aus diesen beiden unterschiedlichen Sichtweisen ergeben sich oftmals Risiken, die in den ersten Schritten nicht identifiziert werden können.
Aufgrund dessen wird beispielsweise angenommen, dass die Implementierung von wieder verwendbarer Software keinen zusätzlichen Entwicklungsaufwand verursacht oder, dass die Termine zur Lieferung z.B. von Hardware immer eingehalten werden. In dem Prozessschritt der Risikoidentifikation werden üblicherweise kreative Methoden und Techniken eingesetzt, die mehrere Beteiligte involvieren. Dazu zählen gängige Methoden wie beispielweise das Brainstorming, die Delphi-Methode zur Expertenbefragung oder die Erstellung von Mindmaps zur grafischen Darstellung. Da diese Methoden prädestiniert für mehrere Beteiligte sind, kann durch diese unterschiedliche Sichtweisen eine möglichst vollständige Identifikation von Risiken angestrebt werden.21Zusätzlich kann durch sogenannte „risk item“-Checklisten auf bereits identifizierte Risiken aus vergangenen Projekten zurückgegriffen werden22
3.2 Risikobewertung
Der nächste Prozessschritt bewertet die mögliche Schadenshöhe in Bezug auf die Eintrittswahrscheinlichkeit des Risikos. Dabei werden die Risikopotentiale klassifiziert und je nach Bewertung und Einordnung entsprechende Bewältigungsmaßnahmen eingeplant. Demzufolge wird die Risikobewertung auch als Grundlage für die Entscheidungen zum Umgang mit Risiken in den weiteren Schritten gesehen.23Zur Einordnung und Bewertung der Risiken kann in der Praxis eine Risikomatrix eingesetzt werden. Mithilfe dieser Matrix kann die Schadenshöhe und Eintrittswahrscheinlichkeit auf einer Skala (z.B. niedrig bis hoch) eingestuft werden.
Anmerkung der Redaktion: Diese Abbildung wurde aus urheberrechtlichen Gründen entfernt.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 3: Beispiel für eine Risikomatrix24
[...]
1Vgl. Streitz (2004), S. VII
2Vgl. Thaller (2004), S.
3Ein Workforce-Management-System (WMS) wird als ein ganzheitliches System gesehen, das unterschiedliche Prozesse des Unternehmens wie die Zeitwirtschaft, Lohndaten, Personaleinsatzplanung, etc. in einem System verknüpft.
4Vgl. Thaller (2004)., S.
5Vgl. DeMarco,Lister (2003), S.
6Vgl. Onetz (2004)
7Vgl. Young (2006)
8Vgl. Wallmüller (2004), S.
9Vgl. ebd., S.
10Vgl. Bloech, et al.(2001), S.
11Vgl. Theil (1995), S.7 f
12Vgl. DeMarco,Lister (2003), S.
13Vgl. ebd., S.
14Vgl. Boehm (1998), S. 32 ff
15Vgl. Wöll (2002)
16Vgl. Black (2002)
17Blanchard,Fabrycky (1998)
18In Anlehnung an: PMI (2012)
19Vgl. Wallmüller (2004), S.120 ff.
20Vgl. Theil (1995), S.
21Vgl. Thaller (2004), S. 82 ff
22Vgl. Theil (1995), S. 23 ff
23Vgl. Theil (1995), S.
24Peterjohann (o.J.)