<i>THE</i> <i>G-BLOG</i>
<i>THE</i> <i>G-BLOG</i>

THE G-BLOG

Der Risikokatalog

meric-dagli-XkcnfE_GO30-unsplash

Ein Risikokatalog listet strukturiert mögliche Risikoereignisse auf, die den Projekterfolg gefährden können. Darüber hinaus kann er weitere Informationen enthalten wie z.B. empfohlene Risikomassnahmen. Der Risikokatalog dient zum einen als Checkliste für die Risikoanalyse von Projekten, zum anderen als Informationsspeicher für die kontinuierliche Verbesserung des Risikomanagements. Neben Bedrohungen kann ein Risikokatalog auch Chancen auflisten, die den Projekterfolg fördern.

Einsatzmöglichkeiten


  • Erstellung von Checklisten für die Risikoanalyse von Vorhaben
  • Planung von Risikomassnahmen
  • Beurteilung der Risikobelastung eines Projekts
  • Vergleich der Risikobelastungen von mehreren Projekten
  • Beurteilung der Erfolgschancen von Projekten
  • Sammlung von Erfahrungswerten aus dem Risikomanagement von Projekten

Die Arbeit mit dem Risikokatalog wird nicht durch einen immer wieder gleich ablaufenden Prozess definiert, vielmehr können die im Folgenden beschriebenen Schritte auch jeweils für sich allein durchgeführt werden.

Schritt 1: Legen Sie die Kategorien fest!


Für ein effizientes Arbeiten mit einer umfangreichen Liste von Risikoereignissen ist es unbedingt erforderlich, diese zu strukturieren. Die Strukturierung ist zugleich ein wesentlicher Bestandteil der Anpassung des Risikokatalogs an das jeweilige Projektumfeld, z.B. die Branche oder die Projektart.
Beginnen Sie zunächst mit nur einer Ebene von Kategorien. Wenn die Anzahl der Risikoereignisse innerhalb einer Kategorie zu hoch wird, können Sie eine zweite Ebene von Unterkategorien definieren. Als Bezeichnungen für die Kategorien finden sich in der Praxis unterschiedliche Begriffe wie z.B. "Risikofeld", "Risikoart", "Risikotyp" oder "Risikobereich". Wenn Sie nicht einfach beim Begriff "Risikokategorie" bleiben wollen, sollten Sie für die oberste Ebene einen Begriff verwenden, der die Allgemeinheit dieser Kategorisierung zum Ausdruck bringt, wie z.B. "Risikofeld".

Grundsätzlich sind drei inhaltliche Ausrichtungen der Kategorisierung möglich: Nach Risikoursache, nach Managementdisziplin oder nach Risikoauswirkung. Eine Kategorisierung nach Risikoauswirkungen, also z.B. "Verzögerung", "Budgetüberschreitung", "Nichterfüllung des Leistungsumfang" usw. scheint zwar auf den ersten Blick intuitiv, ist aber nicht zu empfehlen, da die meisten Risikoereignisse mehr als eine Auswirkung haben und demgemäss in mehreren Kategorien aufgeführt werden müssten. In einer stark arbeitsteilig spezialisierten Umgebung kann eine Kategorisierung nach Managementdisziplinen bzw. Zuständigkeitsbereichen sinnvoll sein, wie z.B. "Qualitätsmanagement", "Produktion", "Vertrieb" usw. Am weitesten verbreitet und als erster Ansatz zu empfehlen ist die Kategorisierung nach übergeordneten Risikoursachen wie z.B. "Technik", "Finanzierung", "Markt", "Ressourcen" usw.

Schritt 2: Legen Sie die Skalen für die Risikobewertung fest!


Aus einem Risikoereignis wird ein Risiko, wenn es hinsichtlich Eintrittswahrscheinlichkeit und Auswirkung bewertet wurde. Das Produkt aus diesen beiden Bewertungen dient dazu, die Risiken untereinander zu priorisieren. Allerdings können diese beiden Grössen meist nicht exakt ermittelt, sondern nur abgeschätzt werden. Deshalb ist es üblich, hier geeignete Stufenskalen zu definieren, z.B. dreistufige Skalen sowohl für Eintrittswahrscheinlichkeit als auch für die Auswirkung mit den Werten: "gering", "mittel" und "hoch". Aus den möglichen Kombinationen können dann Prioritäten für das Risiko abgeleitet werden. Tabelle 1 zeigt ein Beispiel für die Priorisierung von Risiken, die mit jeweils dreistufigen Skalen für Eintrittswahrscheinlichkeit und Auswirkung bewertet werden.

Dreistufige Skalen sind einerseits schnell in der Anwendung, andererseits erlauben sie keine feine Differenzierung. Allerdings können zu feine Skalen eine nicht vorhandene Genauigkeit vortäuschen. Ein bewährter Kompromiss sind fünfstufige Skalen.

Für die Übertragung der Skalen auf quantitative Wahrscheinlichkeitswerte oder monetäre Schadenshöhen können keine allgemeingültigen Regeln angegeben werden. Grundsätzlich ist es empfehlenswert, Risiken, deren Eintrittswahrscheinlichkeit einen bestimmten Grenzwert überschreitet (z.B. 60%) nicht mehr als Risiko, sondern als mit Sicherheit eintreffendes Ereignis zu behandeln. Die Möglichkeit, dass dieses Ereignis nicht eintritt, kann dann ggf. als Chance mit einer entsprechend niedrigeren (z.B. 40%) Eintrittswahrscheinlichkeit behandelt werden. Für die Quantifizierung der Auswirkung wird häufig eine nicht lineare, z.T. sogar logarithmische Skalierung verwendet. Dabei steigt die maximale Schadenshöhe pro Stufe z.B. um den Faktor 10 (gering=1'000 CHF, mittel= 10'000 CHF, hoch=100'000 CHF).

Schritt 3: Legen Sie die Anwendungsbereiche fest!


Der entstehende Risikokatalog ist vielfältig einsetzbar, dementsprechend wird er mit der Zeit sehr umfangreich werden. Deshalb sollten Sie bereits frühzeitig die Möglichkeit einplanen, die Einträge nach dem Einsatzbereich zu filtern und so nur relevante Risikoereignisse in der Checkliste für die konkrete Risikoidentifikation zu haben. Für den Einsatz im Projektrisikomanagement sollten Sie z.B. eine Liste der Projektarten definieren, für die der Katalog anzuwenden ist. So sind z.B. für IT-Projekte, Immobilienprojekte, Marketingprojekte oder im Eventmanagement jeweils andere Risiken zu beachten.

Schritt 4: Definieren Sie Massnahmenkategorien!


Wichtigster Zweck des Risikokatalogs ist letztendlich die Planung von geeigneten Risikomassnahmen, um die Risikobelastung eines Vorhabens zu reduzieren. Diese sind zwar für jedes konkrete Risiko individuell zu entwickeln, aber für die Risikoverantwortlichen stellt es eine wichtige Unterstützung dar, wenn sie zumindest die möglichen Arten von Risikomassnahmen für jedes Risikoereignis erhalten.
Übliche Massnahmenkategorien sind:

  • Vermeiden: Den Projektplan so ändern, dass das Risikoereignis nicht eintreten kann.
  • Akzeptieren: Keine aktiven Massnahmen durchführen, sondern das Risiko nur aktiv überwachen.
  • Auswirkung reduzieren: Das Projekt vor dem Einfluss durch das Risikoereignis schützen (z.B. stets aktuelle Dokumentation der Projekttätigkeiten, um neue Mitarbeiter schnell einzuarbeiten).
  • Eintrittswahrscheinlichkeit verringern: Die Ursachen für das Risikoereignis bekämpfen (z.B. Massnahmen zur Förderung der Gesundheit und Motivation der Mitarbeiter).
  • Notfallplan: Massnahmen planen und vorbereiten, die erst bei Eintritt des Risikoereignisses durchgeführt werden, z.B. Backup-Systeme vorhalten.
  • Teilen: Mit einem Stakeholder vereinbaren, dass die Auswirkungen des Risikos gemeinsam getragen werden.
  • Übertragen: Das Risiko an einen anderen delegieren, z.B. durch vertragliche Regelungen.
  • Versichern: Die finanziellen Folgen des Risikoereignisses durch eine Versicherung decken (z.B. Zahlungsausfallsversicherung)

Schritt 5: Erstellen Sie die Tabellenstruktur!


Als nächstes können Sie nun die Tabellenstruktur des Risikokatalogs definieren (bzw. das Datenmodell, wenn Sie mit einer Datenbank arbeiten). Verfolgen Sie dabei das Prinzip "so einfach wie möglich"! Für den Einstieg genügt eine einfache Tabelle mit den vier Spalten: "Risikokategorie", "Risikoereignis", "Erläuterung", "Einsatzgebiete“.

Im Laufe der Zeit können Sie dann weitere Spalten hinzufügen, wenn sie sich in der Praxis als hilfreich erweisen. Z.B. kann es sinnvoll sein, für jedes Einsatzgebiet eine eigene Spalte zu definieren, so dass diese separat markiert werden können. Auch kann es sich bewähren, nach Art der Auswirkung (z.B. Zeit, Kosten, Umfang, Qualität, Nutzen, Risiko) zu differenzieren. Schliesslich können Sie nach den ersten Erfahrungen Spalten mit empfohlenen Arten von Risikomassnahmen oder sogar konkreten Risikomassnahmen ergänzen.

Schritt 6: Tragen Sie die Risikoereignisse ein!


Nun können Sie den Risikokatalog befüllen. Dies kann z.B. im Rahmen eines Projektleiter-Workshops geschehen, in dem diese ihre Erfahrungen mit unerwünschten Abweichungen von Projektplänen zusammentragen. Die Herausforderung dieses Schritts besteht darin, die Einträge im Risikokatalog einerseits so allgemein zu formulieren, dass sie auf andere Projekte übertragbar sind, andererseits dennoch so konkret zu bleiben, dass sie zur Identifizierung der Risiken geeignet sind.

Beispiel
Das konkrete Risikoereignis eines Entwicklungsprojekts: "Im Kippschalter des Staubsaugers kam es durch die beständige mechanische und thermische Belastung zu einem Ermüdungsbruch, so dass sich das Gerät nicht mehr ausschalten lassen konnte, sich dadurch der Motor überhitzte und die Spule durchbrannte." ist für einen Eintrag im Risikokatalog viel zu speziell formuliert. Dagegen kann das davon verallgemeinerte Risikoereignis "Ermüdungsbruch" im Risikofeld "Material" zu abstrakt sein, als dass ein Entwickler damit auch die Gefahr der Fehlfunktion eines Schalters assoziiert. Evtl. kann hier die verallgemeinerte Formulierung "Fehlfunktion von mechanischen Schaltelementen durch Materialversagen" bessere Dienste leisten. Vielleicht ist es auch sinnvoll, aus dieser konkreten Erfahrung mehrere allgemeine Risikoereignisse in den Katalog einzutragen, z.B. "Ermüdungsbruch", "Fehlfunktion von mechanischen Schaltelementen" und "Motorüberhitzung durch Dauerbetrieb".

Schritt 7: Wenden Sie den Risikokatalog an!


Auch wenn der Risikokatalog erst rudimentär erscheint, sollten Sie ihn so schnell wie möglich in der Praxis einsetzen. Nur in der konkreten Anwendung können Sie erfahren, wie der Risikokatalog gestaltet sein muss, um maximalen Nutzen zu entfalten.
Der typischste Anwendungsfall ist die Erstellung einer Checkliste für die Risikoanalyse eines Projekts. Filtern Sie hierzu die Risikoereignisse nach der entsprechenden Projektart und ergänzen Sie die drei Spalten für Eintrittswahrscheinlichkeit, Auswirkung und Risikopriorität. Aus dieser Checkliste erstellen Sie die Risikoliste für das Projekt, indem Sie Schritt für Schritt alle Risikoereignisse betrachten und hinsichtlich ihrer Relevanz für das Projekt analysieren. Gehen Sie dabei folgendermassen vor:

  • Erscheint ein Risikoereignis des Katalogs irrelevant, tragen Sie unter Eintrittswahrscheinlichkeit einfach "0%" ein. Sie haben damit dokumentiert, dass Sie dieses Risiko sehr wohl berücksichtigt haben.
  • Erkennen Sie aus dem Risikoereignis genau ein Projektrisiko, dann konkretisieren Sie den Eintrag entsprechend und schätzen Sie Eintrittswahrscheinlichkeit und Auswirkung ab.
  • Wenn Sie aus einem Eintrag des Katalogs mehrere Risiken ableiten können, dann lassen Sie den ursprünglichen Eintrag als Überschrift stehen und fügen die einzelnen Risiken darunter in neuen Zeilen ein.
  • Überlegen Sie anschliessend unbedingt, ob es noch weitere Risiken für Ihr Projekt gibt, die nicht im Risikokatalog aufgeführt sind! Geben Sie diese Risiken an den Eigentümer des Risikokatalogs weiter.
  • Das weitere Vorgehen mit der so erstellten Risikoliste ist im Risikomanagement-Plan des Projekts geregelt – z.B. die Zuweisung von Risikoverantwortlichen und die Überprüfungsfrequenz.

Schritt 8: Pflegen Sie den Risikokatalog!


Aufgrund der Einzigartigkeit von Projekten entstehen mit jedem neuen Projekt auch neue Risiken. Ein Risikokatalog ist deshalb nur dann nützlich, wenn er kontinuierlich um diese neuen Erkenntnisse und Erfahrungen bereichert wird. Damit dies geschieht, muss eine Person oder Organisationseinheit verantwortlich für die Pflege und Weiterentwicklung des Risikokatalogs sein. Im Idealfall ist es das PMO oder der Riskmanager des Unternehmens. Falls es diese Funktionen nicht gibt, kann z.B. die Qualitätssicherung diese Aufgabe übernehmen. Notfalls führen die Projektmanager individuelle Risikokataloge – in diesem Fall sollten sie aber zumindest im kollegialen Austausch ihre Erfahrungen teilen.

Quellen für die Aktualisierung des Risikokatalogs sind z.B.:

  • Risikoanalysen bei Projektplanungen
  • Lessons Learned bei Phasenübergängen und Projektabschlüssen
  • Projektstatusberichte
  • Analysen bei aufgetretenen Fehlern


Quelle: projektmagazin.de