Projektmanagement 101: Projektrisiken und Risikomanagement
Hallo und herzlich willkommen liebe Projekt Meister Community, zu diesem neuen Beitrag der „Projektmanagement 101“ Reihe. Heute geht es um das Thema:
- Projektrisiken / Was sind Projektrisiken und
- Wie steuere ich Risiken in IT Projekten?
Was sind Projektrisiken?
Risiken in unserem Projekt sind ganz allgemein zukünftige Ereignisse, die stattfinden können oder auch nicht, die sich aber negativ auf unser Projekt auswirken – zum Beispiel auf den Scope unseres Projekts, auf die verfügbare Zeit, auf unser Budget oder die Kosten, auf die Projektqualität oder unsere Zielerreichung.
Aber der Eintritt dieses zukünftigen Ereignisses ist noch unsicher, das heißt wir wissen nicht, ob es eintritt oder nicht. Stattdessen können wir diesem Ereignis nur eine gewisse Eintrittswahrscheinlichkeit zuordnen.
Die negativen Auswirkungen des Ereignisses, sobald es eintritt, lassen sich daher auch nicht immer zu 100% voraussagen. Auch hier muss man häufig zunächst qualitativ einschätzen und anschließend versuchen, die Schwere der Auswirkung messbar zu machen.
Häufige Risiken in IT-Projekten
IT Projekte haben ein ganz typisches Risikoprofil mit sich häufig wiederholenden Themenfeldern. Die möchte ich euch hier kurz vorstellen, damit ihr wisst, wo typische Risiken in IT-Projekten stecken.
Risiken der Datensicherheit betreffen zum einen natürlich das Projekt selbst aber auch das angestrebte Endprodukt eures IT Projekts. Sowohl die Projektarbeit selbst als auch das Endprodukt müssen durch Maßnahmen zur Datensicherheit geschützt werden. Aufgrund der steigenden Zahl der Cyberangriffe wird Datensicherheit auch in Zukunft eine große Bedeutung in IT Projekten haben.
Datenschutzrisiken sind hingegen in der Regel eher rechtliche Risiken. Werden grundlegende Prinzipien des Datenschutzes verletzt oder fehlen etwa vertragliche Dokumente kann dies zu hohen Strafen und Nachbesserungen führen.
Zeitliche Risiken gehören zu den wahrscheinlich bekanntesten Risiken im IT Projekten denn die meisten IT Projekte sind in der Regel verspätet dabei ist. Dabei ist es nicht allein die zeitliche Verspätung die das Risiko darstellt sondern die aus der Verspätung entstehenden Kosten für euer Projekt oder euer Unternehmen. Wenn ihr zum Beispiel ein neues Software Release auf den Markt bringen wollt, kann eine Verspätung von mehreren Monaten oder gar Jahren schnell zum wirtschaftlichen Problem werden.
Auch technische Risiken gehören zu jedem IT Projekt dazu Komma denn wir haben es ja in der Regel mit sehr komplizierter Technologie zu tun. Oftmals ist es in der Praxis so dass technische Probleme zu zeitlichen Verzögerungen führen das heißt Technikprobleme Manifest manifestieren sich in Verspätungen. Aber in manchen Fällen muss man auch mal hinter die Technikprobleme schauen und prüfen ob es sich nicht eher um eine Schwäche der strategischen Fähigkeit handelt also fehlt euch vielleicht die technische Expertise?
Ein weiteres beliebtes Risiko betrifft den Projektumfang. Viele von euch werden den Begriff Scope Creep kennen. Mit „scope creep“ bezeichnen wir IT-Projektmanager die klammheimliche Erweiterung unseres Projektumfangs um Aufgaben und Themen die zu Projektbeginn noch gar nicht dazu gehörten. Diesem Risiko könnt ihr entgegenwirken indem ihr euren Scope möglichst genau beschreibt und in die Beschreibung auch einfließen lasst was definitiv nicht zum Projektumfang gehört.
Ressourcenmangel ist ein weiteres Projektrisiko Punkt wenn euch die erforderlichen Mitarbeiter und Spezialisten in eurem Projekt nicht zur Verfügung stehen führt das zu zeitlichen Verzögerungen und zu schlechterer Qualität im Projekt. Dem Risiko der Ressourcenknappheit könnt ihr entgehen indem ihr Ressourcen frühzeitig plant und diese Pläne mit den Verantwortlichen teilt.
Das letzte typische Risiko von IT Projekten betrifft Qualitätsprobleme. Viele alte Projekte gerade softwareentwicklungsprojekte verfehlen ihre Qualitätsziele und das entstandene Produkt erfüllt nicht die Anforderungen. Dem Risiko von Qualitätsproblemen könnte entgegenwirken indem er eine Qualitätsmanagement Strategie für euer Projekt definiert.
In den allermeisten eurer it Projekte werdet ihr auf Risiken in einer dieser 7 Kategorien treffen und wahrscheinlich auch viele neue Risiken kennenlernen. Damit sich die Risiken nicht negativ auf euer Projekt auswirken müsst ihr in euren Projekten ein methodisches Risikomanagement etablieren.
Was sind Projektrisiken?
Risiko Management ist der Prozess für den methodischen Umgang mit Risiken. Er besteht aus 4 Schritten.
Schritt Nummer 1 ist das Erkennen von Risiken. In diesem Schritt identifiziert ihr alle möglichen Ereignisse die eintreten könnten und deren Eintritt negative Folgen für euer Projekt und dessen Ergebnisse haben könnte. Ein typisches Werkzeug für diesen Prozessschritt ist das Brainstorming.
Im zweiten Schritt müsst ihr die gefundenen Risiken bewerten. Dabei schaut ihr euch 2 Aspekte eines jeden Risikos an. Zum einen prüft ihr wie sich das Risiko Auf euer Projekt auswirken wird. Dazu müsst ihr zunächst die Auswirkungen beschreiben. Anschließend müsst ihr was bewährten wie stark diese Auswirkung ist. Dazu nutzt ihr eine Skala zum Beispiel von 1 bis 10 oder die Kategorisierung in niedrig Mittel und hoch.
Der zweite Schritt der Bewertung betrifft die Wahrscheinlichkeit des Risikos. Es geht um die Frage wie wahrscheinlich das Ereignis eintreten wird. Auch dazu könnte er wieder eine Skala von 1 bis 10 oder die Kategorisierung der niedrig Mittel und hoch verwenden.
Die bisher gefundenen und bewerteten Risiken nennt man auch inhärente Risiken. Inhärente Risiken sind diejenigen Risiken die zu Projektbeginn identifiziert wurden.
Der dritte Schritt des Risikomanagementprozesses besteht aus dem Ableiten von Maßnahmen um die Risiken zu abzuschwächen. Das Fremdwort dafür lautet „mitigieren“. Auch hier könnt ihr zum Beispiel wieder mit Hilfe von Brainstorming geeignete Maßnahmen identifizieren. Anschließend prüft er für jede Maßnahme, wie geeignet sie ist, entweder die Auswirkung des Risikos oder seine Eintrittswahrscheinlichkeit abzuschwächen. Im Idealfall findet ihr Maßnahmen die geeignet sind das Risiko auszuschließen.
Im letzten Schritt des Risikomanagements geht es darum die vereinbarten Maßnahmen umzusetzen. Wie gesagt tragen die Maßnahmen entweder dazu bei, die Auswirkungen oder die Eintrittswahrscheinlichkeit eines Risikos zu mildern. Das verbleibende Risiko, dass nach Umsetzung der Maßnahmen noch zu tragen ist, nennt man auch residuales Risiko oder Restrisiko.
Der Prozess des Risikomanagements sollte euch über die gesamte Projektlaufzeit hinweg begleiten. Als IT Projektmanager müsst ihr dafür sorgen, dass regelmäßig Risiken identifiziert bewertet und abgeschwächt werden.
Was ist die Projekt-Risiko-Matrix?
Ein wichtiges Werkzeug beim Steuern von Risiken ist die sogenannte Risikomatrix. In der Risikomatrix könnt ihr die nach Auswirkungen und Eintrittswahrscheinlichkeit bewerteten Risiken eintragen.
Risiken mit hoher Eintrittswahrscheinlichkeit und starke Auswirkungen auf das Projekt London oben rechts in der Matrix. Risiken mit geringer Eintrittswahrscheinlichkeit und wenig negativen Auswirkungen auf eure Projekte findet ihr unten links in der Matrix. Mit Hilfe der Risikomatrix könnt ihr schnell identifizieren welche eurer Risiken die wichtigsten sind um Maßnahmen zu ergreifen.
Vergesst nicht: jedes Mal wenn ihr eure Risiken neu bewertet habt oder neue Risiken gefunden habt, müsst ihr auch eure Risikomatrix anpassen!
Maßnahmen zur Risikomitigation bzw. -abschwächung solltet ihr in jedem Fall für die Risiken der Kategorien hoch und Mittel ergreifen. Risiken mit geringer Auswirkung oder geringer Eintrittswahrscheinlichkeit erfordern in der Regel nicht sehr viel Aufmerksamkeit. Aber das hängt hauptsächlich davon ab, welches Risikoprofil ihr und euer Auftraggeber zu akzeptieren bereit seid.
Risiko-Management-Strategien
Es gibt insgesamt 6 verschiedene Strategien zum Umgang mit Risiken. Diese nennt man auch Risiko-Reaktions-Strategien oder Risikomanagement-Strategien.
Eine Risikomanagement-Strategie legt fest, wie ihr mit Risiken in eurem Projekt umgehen wollt.
Eine erste Strategie ist die Risikovermeidung, das heißt ihr versucht das Risiko komplett auszuschließen.
Die zweite Strategie ist die Verringerung der Eintrittswahrscheinlichkeit.
Dritte Strategie ist das Verringern der Auswirkungen des Ereignisses also das Abschwächen der Wirkung des Risikos.
Die vierte Strategie des Risikomanagements ist das Übertragen von Risiken also z.B. mit Hilfe einer Versicherung.
Nummer 5 ist der Risiko Notfallplan. Das heißt ihr akzeptiert, dass das Risiko in jedem Fall eintreten könnte und entwickelt für genau diesen Fall einen Notfallplan. Sobald das Risiko dann eintritt, aktiviert ihr diesen Plan und schwächt damit die Auswirkungen auf euer Projekt ab.
Letzte mögliche Risikostrategie ist das Akzeptieren eines Risikos. Akzeptieren bedeutet, dass ihr das residuale Risiko beziehungsweise Restrisiko zu tragen bereit seid und keine weiteren Maßnahmen erforderlich sind. Häufig ist dies der Fall wenn die Maßnahmen zur Risikominimierung zu teuer oder zu komplex (angesichts von Auswirkung und Eintrittswahrscheinlichkeit) sind.
Damit kommen wir auch schon zum Ende dieses Grundlagenbeitrags aus der Reihe Projektmanagement 101 zum Thema Projektrisiken und Risikomanagement ich habe euch eine kurze Definition von Projektrisiken gegeben und euch auch gezeigt was ihr tun müsst um Risiken in eurem Projekt methodisch und strukturiert zu behandeln.
Wenn ihr Fragen oder weitere Anregungen zum Thema Projektrisiken habt könnt ihr euch gerne an mich wenden. Bis zum nächsten Mal!