Auf der einen Seite kann ein systematisches Risikomanagement dazu beitragen, frühzeitig auf mögliche Probleme aufmerksam zu werden und Ausweichstrategien zu entwickeln. Auf der anderen Seite können auch negative Effekte wie Scheinsicherheit und Überbürokratie drohen. Wir haben uns der drei wichtigsten Irrtümer rund um das Risk Management angenommen.
Risikomanagement ist heute fester Bestandteil der Projektumsetzung. Die Akzeptanz gründet sich nicht zuletzt auf Anforderungen aus verschiedenen Standards wie CMMI, PMBOK, Automotive SPICE oder INCOSE Systems Engineering sowie aus der Norm DIN ISO 31000, in der Grundsätze des Risikomanagements verankert sind.
Mit Hilfe des Risikomanagements soll die Erreichung der Projekt- und Geschäftsziele abgesichert werden – sowohl in Hinblick auf die Projektdauer, die Kosten als auch qualitativer Faktoren. Dazu werden in der Regel mögliche Risiken im Vorfeld identifiziert und diese nach Eintrittswahrscheinlichkeit und der Schwere der Auswirkungen bewertet. Sodann werden geeignete Strategien zur Vermeidung der Risiken, zur Reduzierung der Eintrittswahrscheinlichkeit und/oder der Verringerung der Auswirkungen gesucht.
Das können Anpassungen von Arbeitsabläufen und Arbeitsergebnissen sein, oder die Entwicklung von Notfallplänen und Alternativlösungen.
Licht und Schatten
Risikomanagement ist als eine nutzbringende Strategie konzipiert, die zum Geschäfts- und Projekterfolg beitragen soll. In der praktischen Umsetzung sieht es nicht immer so rosig aus. Risikomanagement bindet personelle Kapazitäten und erhöht die Komplexität der Prozesse innerhalb des Projektes, weil zusätzliche Aktivitäten gefordert werden.
Nicht selten gerät Risikomanagement zur lästigen Pflichterfüllung im Projekt, die lediglich dazu dient, auf dem Papier den gängigen Standards und Normen in dieser Hinsicht zu genügen. Der Grund muss nicht in persönlichen Befindlichkeiten oder Herangehensweisen liegen. Vielleicht haben sich tatsächlich in den Methoden Tendenzen zur Überbürokratisierung eingeschlichen, die einem höheren Innovationstempo („China Speed“) entgegenstehen.
Aber auch wo grundsätzlich der Nutzen des Risikomanagements anerkannt wird, gilt dieses Thema oft nur als „Nebenschauplatz“, das hinter anderen Herausforderungen zurückstehen muss.
Deshalb lohnt es sich in jedem Fall, die Herangehensweise an das Thema Risikomanagement kritisch zu hinterfragen. Zum einen, inwiefern überhaupt die damit beabsichtigten positiven Effekte erreicht werden können. Zum anderen, wie effizient die Integration in die diversen Projektprozesse gelingt. Auf diese Weise lassen sich Optimierungspotenziale bei internen Prozessen aufdecken.
Im Folgenden werden drei typische Fehler und ihre Ursachen dargelegt.
Irrtum 1: Risiken addieren
Um es klar zu sagen: Den Risikowert eines Projekts anhand der Risikowerte von Einzelrisiken zu bestimmen ist keine zulässige, praxisnahe Vereinfachung, sondern falsch. Einzelrisiken können nicht addiert werden, denn Risiken unterliegen Wahrscheinlichkeitsverteilungen, die je nach Fragestellung völlig unterschiedlich ausfallen können.
Ein Lieferverzug um eine Woche weist eine andere Wahrscheinlichkeit auf als ein Verzug um einen Monat (vgl. Bild 1). Risiken können unterschiedlichen statistischen Verteilungsmustern folgen (z. B. Gleich-, Normal-, Dreiecks- oder Weibull-Verteilung), sie können aber ebenso keiner dieser Standardverteilungen entsprechen.
Zusammenhang zwischen Eintrittswahrscheinlichkeit und Tragweite am Beispiel „Späte Lieferung einer Komponente“, idealisierte Darstellung; Quelle: EDAG
Numerische Annäherungsverfahren zur Risiko-Aggregation, wie etwa die Monte-Carlo-Simulation, setzen bekannte Wahrscheinlichkeitsverteilungen voraus. Im Unterschied zu Versicherungen, Wettbüros oder der medizinischen Forschung stehen im Projekt in der Regel keine statistischen Daten zur Verfügung. Daten aus früheren Projekten oder Studien sind, falls vorhanden, kaum übertragbar – zu unterschiedlich sind die Randbedingungen, und zu schnell ändern sich Technologien, Datenstrukturen, Tools und Arbeitsweisen.
Zudem beruht diese Art der Risikowert-Ermittlung auf der Annahme, dass alle (oder zumindest ein Großteil der) Risiken identifiziert wurden. Es ist ein Irrglaube, dass man in größeren Projekten sämtliche Risiken identifizieren könne, wenn man nur systematisch vorgeht und die richtige Methode anwendet. Machen wir uns nichts vor: Bei komplexen Sachverhalten, wie sie in der Produktentwicklung mit hohem Innovationsgrad die Regel sind, reicht unser Blick in die Zukunft nicht besonders weit.
Komplexität entsteht durch viele miteinander verknüpfte Elemente und ihre gegenseitigen Abhängigkeiten (strukturelle Komplexität). Ebenso trägt die Unsicherheit über das gewünschte Ergebnis und des Vorgehens zur Komplexität bei (siehe Bild 2). Projekte sind grundsätzlich komplex, da Stakeholder, Teammitglieder, Arbeitspakete, Anforderungen und äußere Randbedingungen miteinander in Wechselwirkung stehen und sowohl die Ziele als auch das Vorgehen mit Ungewissheiten behaftet sind. In Projekten muss man daher immer mit einem „blinden Fleck“ rechnen, dessen Größe nicht quantifiziert werden kann. Diese Unsicherheit bedeutet tatsächlich „Nicht-Wissen“ – und fehlendes Wissen lässt sich nicht durch Methoden ersetzen.
Faktoren der Projektkomplexität, in Anlehnung an Williams (2002), zit. nach Alter (2018); Quelle: EDAG
Ein weiterer Hinweis darauf, warum Risiken nicht addierbar sind, ergibt sich aus dem folgenden Abschnitt.
Irrtum 2: Risiken sind für sich stehende Elemente
Einträge in Risikolisten erwecken den Eindruck, Risiken seien voneinander abgrenzbare Elemente bzw. Bausteine, die zusammen ein Gesamtbild ergeben. In Wirklichkeit jedoch ist jedes potenzielle Ereignis Teil einer kontinuierlichen, komplexen Ursache-Wirkungs-Kette. Schon die jeweilige Formulierung bestimmt, was als „Risiko“ angesehen wird. Vergleiche am Beispiel Personalverfügbarkeit: Betrachtet man das ganze Team oder einzelne Personen? Den Ausfall von einem Tag, zwei Tagen oder einer Woche? In welchem Zeitraum? Aufgrund von Krankheit, Kündigung oder Wechsel in ein anderes Projekt? Bewertet man die Auswirkung auf Termine, Kosten oder Leistung?
Ein in Worte gefasstes Risiko ist immer ein gewählter Ausschnitt – doch welchen wählt man? Genau vor diesem Problem stehen Mitarbeiterinnen und Mitarbeiter oft in Risikoworkshops, so dass es oft schwerfällt, eine Risikobeschreibung zu formulieren.
Schwierige Abgrenzungen
Eine weitere Hürde: Risiken sind stets miteinander verflochten. Sie lassen sich nicht in einzelne lineare Kausalketten zerlegen. Zwischen Auswirkungen, zugrunde liegenden Ursachen und möglichen Gegenmaßnahmen besteht keine 1:1-Beziehung. Unterschiedliche Risiken können ähnliche Auswirkungen haben oder auf die gleiche Ursache zurückzuführen sein. Eine Maßnahme kann eine Vielzahl von Risiken vermeiden.
Auch eine Unterscheidung nach „Termin“-, „Kosten“- und „Qualitäts“-Risiken erscheint nicht zielführend und ist höchstens künstlich gewählt, denn jedes Risiko kann mehrere Aspekte beinhalten.
In Risikolisten vermischen sich zudem oft globale und spezifische Risiken, wie z. B. „Personalmangel“ vs. „Messbereich Sensor X nicht ausreichend“. Identifizierte Risiken können sich auf ein Teilergebnis beziehen, auf Projektziele, Geschäftsziele oder globale Ziele.
Irrtum 3: Risikomanagement ist ein eigener Prozess
Risikomanagement wird in vielen Unternehmen als eigenständiger Prozess oder Teilprozess verstanden. Dessen Aktivitäten verlaufen dabei parallel zu anderen Prozessen, wie etwa Führungs-, Kern- und Unterstützungsprozessen. Ein möglicher Grund hierfür liegt in der 1:1-Übernahme der Strukturen aus Standards wie CMMI, PMBOK, Automotive SPICE, INCOSE Systems Engineering oder der Norm ISO 31000 für Risikomanagement.
In Fachliteratur, Normen und Standards erfolgt die Strukturierung oft zweckmäßig nach Wissensgebieten oder Themenfeldern. Für die Gestaltung unternehmensspezifischer Prozesse gelten jedoch andere Kriterien. Während es bei Ersterem vorwiegend um die Sammlung und Sortierung von Wissen (bzw. Anforderungen) geht, stehen bei Unternehmensprozessen die chronologische Beschreibung von Arbeitsabläufen und personelle Zuordnung im Vordergrund.
Aktivitäten, die personell, inhaltlich und zeitlich in enger Beziehung stehen, werden zu Prozessen zusammengefasst. Nach dieser Logik macht ein Risikomanagement als eigener Prozess mit eigenen Aktivitäten, Arbeitsergebnissen und Rollen keinen Sinn. Risiken erkennen, bewerten oder abschwächen sind die wichtigsten Risikomanagement-Aktivitäten. Sie sind nie losgelöst von den anderen Projektaktivitäten: Sie finden im gleichen Zeitraum statt, beziehen sich auf dieselben Arbeitsergebnisse und werden in der Regel durch denselben Personenkreis durchgeführt.
Die Strategie, einen separaten Risikomanagementprozess zu etablieren, führt unweigerlich zu Redundanzen und Inkonsistenzen in der Projektsteuerung.
Auswege aus dem Dilemma
Wie gezeigt, hält der Prozess des Risikomanagements einiges an Fallen und Stolpersteinen bereit. So darf man bei der Betrachtung von Einzelrisiken nicht das große Ganze aus den Augen verlieren. Strategische Entscheidungen wie „Bid-/No-Bid“-Entscheidungen oder die Bemessung von Rückstellungen und Risikozuschlägen erfordern eine gesamthafte Betrachtung des Projektes.
Eine bewährte Vorgehensweise zeigt das „Project Complexity and Risk Assessment Tool“ der kanadischen Regierung (Treasury Board of Canada Secretariat, 2017). Anhand eines umfangreichen Kriterienkatalogs werden Projekte hinsichtlich ihrer Komplexität und Tragweite bewertet und einer von vier Kategorien zugeordnet: Sustaining, Tactical, Evolutionary und Transformational. Die Kriterien beleuchten in einem Rundumblick die Projektmerkmale sowie Management-, Beschaffungs-, Personal-, Geschäfts-, Projektmanagement-Integrations- und Anforderungsrisiken.
Deutlich schwieriger ist es, parallele Prozesse und unklare Zuständigkeiten zu vermeiden. Hier empfiehlt sich ein Embedded-Risk-Management-Ansatz, bei dem die Analyse und Behandlung von Risiken in die bestehenden Kern-, Management- und Unterstützungsprozesse integriert wird. Risikobewertung und -behandlung werden so Teil eines jeden Arbeitsschrittes. Das entspricht auch den Grundsätzen der Risikomanagementnorm DIN ISO 31000 (2018, 4 Grundsätze). Nach dieser bedeutet effektives Risikomanagement, dass dieses „integraler Bestandteil aller Aktivitäten einer Organisation“ ist.
Wenn auch Sie Ihre Prozesse und Projekte optimieren und die Effizienz beim Risikomanagement erhöhen wollen, sprechen Sie mit Alin Javorsky, Projektmanagement & Prozessberatung bei EDAG Engineering. Oder laden Sie sich gleich hier unser Whitepaper „Risikomanagement neu gedacht“ herunter, in dem ausführlich das Konzept der Embedded-Risk-Management-Ansatz erläutert wird.
