1Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Baustein RM-10:
Überblick
2Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Inhalte des Bausteins
Was ist ein „Risiko“? Beispiele für allgemeine Risiken Beispiele für Risiken in der IV Beispiele für Risiken bei der Software Entwicklung Was kann man gegen Risiken tun? Qualität der Projektarbeit erhöhen Risiko - Ursache und Wirkung Ist Risiko-Management wichtig für IV-Projekte? Softwareentwicklung - reife und unreife Organisationen Methodisches Risiko-Management Dimensionen des Risikos Risiko-Management Subprozesse Risiko-Management senkt Kosten
3Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Was bedeutet „Risiko“? (1)
Risiko (ialienisch): Wagnis, Gefahr (Brockhaus)
The possibility of loss, injury, disadvantage, or destruction
(Websters Dictionary)
Risk is a combination of the probability of a negative event and its consequences
(Project Management scaleable Methodology Guide, James R. Chapman, 1997)
Strictly speaking, risk involves only the possibility
of suffering harm or loss. In the project context, however, risk identification is also concerned with opportunities (positive outcomes) as well as threats (negative outcomes).
(A Guide to the Projct Management Body of Knoiwledge, Project Management Institute 2000)
„Man muß nichts riskiren, wo nichts zu gewinnen ist“ (Ludmilla Assing, Varnhagen von Ense‘s Nachlaß, Leipzig 1865)
4Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Was bedeutet „Risiko“? (2)
Risiken sind allen menschlichen Aktivitäten inhärent, die mit Kreativität und Entdeckungen von Neuland verbunden sind
als Haupterfolgsfaktor anerkannt
Ein Problem oder eine Gelegenheit, die sich noch nicht materialisiert haben
dies impliziert, dass mehrfache Handlungen möglich sind
mit verschiedenen Belohnungen oder Bestrafungen
Entwicklungsorientierte Umgebungen wertschätzen das Eingehen von Risiken (Verfolgung von Chancen), ignorieren aber ein wenig das Risiko Management (Taktiken zur Problemabwehr)
Quelle: S:PRIME Trainingsunterlagen
5Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Beispiele für allgemeine Risiken/Chancen (1)
Bau eines Kernkraftwerks: Risiko: Das AKW kann außer Kontrolle geraten ( z. B. Tschernobyl, Harrisburg) Chance: Die Stromversorgung des Landes kann unabhängiger von den Ölscheichs
werden
Bau einer Chemiefabrik/Raffinerie in einem Entwicklungsland: Risiko: Durch technische Störfälle können Umweltschäden angerichtet werden
(z. B. Sandoz, Iguazu) Chance: Durch profitable Verarbeitung von Rohstoffen wird Kaufkraft erzeugt und
größere Unabhängigkeit von den Industrieländern erreicht
Bauen in Erdbebengebieten: Risiko: Bei einem großen Beben besteht die Gefahr, dass Gebäude einstürzen Chance: Durch bebauen gefährdeter Gebiete wird Raum für die stetig wachsende
Bevölkerung geschaffen (z. B. Japan)
Technologische Risiken/Chancen
6Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Beispiele für allgemeine Risiken/Chancen (2)
Bau eines Stausees: Risiko: Durch zu hohe Wasserentnahme trocknet der Unterlauf des Flusses
weitgehend aus, außerdem kann der Staudamm brechen Chance: Durch Bewässerung umliegenden Landes wird mehr Nahrung erzeugt
(z. B. Assuan)
Abholzungen von Wäldern: Risiko: Durch Abholzen des tropischen Regenwaldes werden Klimaänderungen
hervorgerufen und Arten vernichtet Chance: Durch Holzexport wird Kaufkraft geschaffen, gerodete Flächen ergeben
Ackerland
Einsatz von genmanipuliertem Saatgut: Risiko: Durch unkontrollierten Einsatz können unerwünschte Nebenwirkungen
auftreten Chance: Neu gezüchtete Arten tragen mehr Frucht und sind resistenter gegen Keime
Ökologische Risiken/Chancen
7Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Beispiele für allgemeine Risiken/Chancen (3)
Aktienkauf: Risiko: Die Kurse fallen oder das Unternehmen geht sogar pleite. Chance: Mit dem „richtigen Riecher“ lässt sich schnell Geld verdienen
Unternehmensgründung: Risiko: Das Unternehmen überlebt die ersten 5 Jahre nicht (kritische Grenze für
Neugründungen) Chance: Mit einer guten Idee kann man schnell reich werden, sogar, wenn man nur
Verluste macht (z. B. viele Firmen am sog. „Neuen Markt“)
Kreditvergabe: Risiko: Je höher ein Objekt beliehen wird, desto schneller kommt die Pleite, wenn
sich die Rahmenbedingungen ändern (z. B. Donald Trump, Schneider) Chance: Je schlechter die Bonität des Schuldners ist, desto höher können die Zinsen
für einen Kredit sein und desto mehr verdient die Bank potentiell.
Wirtschaftliche Risiken/Chancen
8Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Beispiele für allgemeine Risiken/Chancen (4)
Autofahren: Risiko: Pro Jahr gibt es in Deutschland ca 15 000 Verkehrstote, insbesondere bei
Nebel kommt es immer wieder zu schweren Massenkarambolagen Chance: Das Auto schafft Mobilität. Auch Behinderte haben so die Chance,
unabhängig von anderen zu entfernteren Zielen zu gelangen.
Bunjee Jumping, Free Climbing: Risiko: Gelegentlich reißt mal ein Seil oder ein Kletterer stürzt ab. Chance: Wenn man die „Prüfung“ erfolgreich bestanden hat, steigt oft das
Selbstwertgefühl, das Eingehen hoher Wagnisse führt zur Ausschüttung
von Endomorphinen.
Zigaretten rauchen: Risiko: Der Zusammenhang zwischen Zigarettenrauchen und Krebs ist inzwischen
wohl bekannt. Chance: Insbesondere junge Frauen haben das Gefühl, endlich emanzipiert zu sein,
wenn sie in der Öffentlichkeit rauchen können.
Persönliche Risiken/Chancen
9Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Risiken und Chancen
Im weiteren Verlauf des Kurses werden wir uns auf negative Risiken konzentrieren, da diese oft vernachlässigt oder übersehen werden.
Chancen hingegen werden meist leichter erkannt und wahrgenommen. Um aber Chancen erfolgreich nutzen zu können, muss man auch wissen, was alles passieren kann, um einen vom Erreichen des Ziels fernzuhalten und Vorkehrungen dagegen treffen.
Wir verlassen jetzt die Betrachtung allgemeiner Risiken und wenden uns den Risiken der IV zu, insbesondere den Risiken bei der Abwicklung von IV-Projekten
10Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Beispiele für Risiken in der Informationsverarbeitung (IV)
Ausfall des Zentralcomputers zur Hauptarbeitszeit Unerlaubter Zugriff auf geschützte Daten Hackerangriff auf Website Feuer im Rechenzentrum Einschleusen von Viren Kriminelle Aktivitäten von Programmierern (z. B.
Manipulation von Bankkonten) Datenverlust durch Überalterung der
Speichermedien
11Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Beispiele für Risikoquellen in der Softwareentwicklung
Unklare Projektdefinition Einsatz von ungeprüfter oder unreifer Technologie Zu große und zu komplexe Projekte Unerfahrene Mitarbeiter Zu ehrgeizige Entwicklungsziele Mangelnde Managementunterstützung Beschäftigung von Unterauftragnehmern Zu optimistische Aufwandsschätzung
12Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Was kann man gegen Risiken tun?
Risiko-Management: Risiko-Management bedeutet keinesfalls, Risiken überhaupt zu
vermeiden, etwa durch Unterlassung einer riskanten Aktivität. Es bedeutet vielmehr, Risiken bewusst und in systematischer
Weise gegenüber zu treten, in dem man unnötige Risiken vermeidet und sorgfältig diejenigen managt (d. h. Vorkehrungen trifft, die die Wahrscheinlichkeit des Eintretens reduzieren
und/oder das Risiko bei Eintreten leichter beherrschbar machen), die man bereit ist einzugehen.
Risiko-Management hat auch nichts mit „Trouble Shooting“ zu tun. Risiko-Management ergreift Maßnahmen, bevor sich ein
Risiko manifestiert hat. Trouble Shooting ergreift Maßnahmen,
nachdem etwas schief gelaufen ist.
13Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Qualität der Projektarbeit erhöhen
60‘er 70‘er 80‘er 90‘er 00‘er Jahrzehnt
vorherrschendePhilosophie der
QualitätssicherungK
ein
e Q
S
An
we
nd
un
gs
-o
rien
tie
rte
QS
Ze
rtif
izie
run
gs
-o
rien
tie
rte
QS
Pro
zes
s-
ori
enti
ert
e Q
S
Ris
iko
-M
an
ag
em
ent
ori
enti
ert
e Q
S?
??
14Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Risiko: Ursache und Wirkung
Risikofaktoren Ziele Entscheidungsträger Nutzer Budget/Kosten Entwicklungsprozess Entwicklungsumgebung Mitarbeiter neue Technologien
Konsequenzen Kosten explodieren Termine können nicht
gehalten werden Funktionalität entspricht nicht
den Anforderungen Projekte werden gestoppt Kunde ist unzufrieden eigenes Image sinkt Mitarbeiter sind unzufrieden häufiger Wechsel der
Mitarbeiter
15Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Diskussion: Stand des Risiko-Managements
Wie ist der Stand des Risiko-Managements in Ihrem Unternehmen?
Wissen Sie, was mangelndes Risiko-Management Ihr Unternehmen kostet?
Falls Risiken gemanagt werden: Wird methodisch vorgegangen?
Falls Risiken gemanagt werden: Wird Risiko- Management durch Werkzeuge unterstützt?
vgl. Fragebogen: Software-Risiko-Management
16Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Ist Risiko-Management wichtig für IV-Projekte? (1)
„Trotz aller neuen angeblich besseren Technologien wie Client/Server, Objektorientierung und CASE steigen die Risiken der Software-Entwicklung. Im Jahre 1995 wurden ca. 250 Milliarden $ für 175 000 Projekte in den USA ausgegeben. Davon gingen 81 Milliarden $ an gescheiterten Projekten verloren. Außerdem wurden 59 Milliarden $ für Kostenüber-schreitungen draufgezahlt.
Somit fielen lediglich 110 Milliarden $ oder 48% auf fruchtbaren Boden. Der Rest wurde umsonst ausgegeben.“
Zitiert nach Harry Sneed: Software-Risikoanalyse (Notwendigkeit, Methodik und Anwendung aus:
Software Management`99, Teubner, Stuttgart-Leipzig
17Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Ist Risiko-Management wichtig für IV-Projekte? (2)
„Alles deutet darauf hin, dass mit neuen Technologien die Risiken steigen. Verteilte OO-Projekte haben eine um 139% größere Wahrscheinlichkeit zu scheitern und eine um 156% größere Wahrscheinlichkeit ihr Budget zu überschreiten als konventionelle Projekte.
Je mehr neue Technologien eingesetzt werden, um so größer sind die Risiken.
Deshalb kommt der Risikoanalyse immer mehr Bedeu-tung zu. Eine gründliche Risikoanalyse ist inzwischen zum unerlässlichen Instrument der Projektplanung geworden.“
Zitiert nach Harry Sneed: Software-Risikoanalyse (Notwendigkeit, Methodik und Anwendung aus: Software Management`99, Teubner, Stuttgart-Leipzig
18Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Ist Risiko-Management wichtig für IV-Projekte? (3)
Aus Mr. Tompkins‘ Tagebuch:
Risiko-Management: Managen Sie Projekte, indem Sie ihre Risiken managen. Führen Sie akribisch Buch über die Risiken jedes Projekts. Setzen Sie sich mit den ursächlichen Risiken auseinander, statt nur die unerwünschten Folgen am Ende zu sehen. Schätzen Sie für jedes Risiko die Wahrscheinlichkeit seines Auftretens und die mutmaßlichen Kosten ab. Antizipieren Sie für jedes Risiko das allererste Symptom, mit dem es sich vermutlich ankündigen wird. Ernennen Sie einen Risikobeauftragten, einen Mitarbeiter, den Sie von der „Das-Schaffen-Wir-Haltung“ entbinden. Richten Sie zwanglose (vielleicht sogar anonyme) Kanäle ein, über die schlechte Nachrichten bis in die höchsten Hierarchie- Ebenen hinauf kommuniziert werden können.
Quelle: Tom DeMarco, Der Termin, Hanser Verlag 1998
19Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Softwareentwicklung - Merkmale unreifer Organisationen
Improvisation - Prozesse sind undefiniert
oder werden ignoriert Notfallmaßnahmen - man verläßt sich auf einzelne
Helden Pläne werden umgestoßen, oder es werden
Kompromisse gemacht bezüglich Funktionalität Fertigstellungsplanung Qualitätssicherung
Es gibt keine Basis für objektives urteilen
20Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Softwareentwicklung -Merkmale reifer Organisationen
Gesteuert: Prozesse sind definiert und werden organisationsweit gesteuert Arbeitsausführung basiert auf definierten/geplanten Prozessen
Klar: Klare Verteilung von Rollen und Verantwortlichkeiten Exakte Kommunikation untereinander
Objektiv: Leistung und Qualität werden überwacht und analysiert
Realistisch: Pläne und Budgets basieren auf Vergangenheitserfahrungen Pläne werden normalerweise erreicht
Liefertermine Funktionalität Qualität
21Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Das (Software-) Capability Maturity Model (SW-CMM) des SEI
Produktivität & Qualität steigen
Risiko nimmt ab
Optimierend
Gesteuert
Definiert
Wiederholbar
Ad Hoc
“jeder ist ständig damit beschäftigt,alles zu verbessern”
“wir legen Regeln fest aufgrund vonErfahrungen aus der Vergangenheit”
”wir wählen unter unseren Praktiken ausdurch die Ergebnisse, die sie produzieren”
“wir befolgen die Regeln,außer, wenn wir in Panik geraten”
“wir machen das, wozuwir im Augenblick Lust haben”
Quelle: Technical Report CMM/SEI - 93 - TR - 025, „Key Practises of the Capability Maturity Model,Mark C. Paulk et al., Software Engineering Institute der Carnegie Mellon Universotät
22Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Wo steht das Risiko-Management im SW-CMM?
Produktivität & Qualität steigen
Risiko nimmt ab
PA: Software Project Planning: Risikoidentifikation und -bewertungPA: Software Project Tracking and Oversight: Risikoüberwachung
Quelle: Technical Report CMM/SEI - 93 - TR - 025, „Key Practises of the Capability Maturity Model,Mark C. Paulk et al., Software Engineering Institute der Carnegie Mellon Universotät
PA: Integrated Software Management:Risiko-Management qualitativ
PA: Quantitative Process Management: Risiko-Management quantitativ
23Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Diskussion: Risiko-Management Methoden
Die meisten Firmen setzen keine Risiko-Management Methode ein: Warum ist das so? Gibt es Vorteile eines methodischen
Ansatzes? Gibt es Nachteile eines methodischen
Ansatzes?
24Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Vor- und Nachteile des Einsatzes einer Methode
Vorteile: Der Prozess des Risiko-Managements wird definiert Der Risiko-Management Prozess wird wiederholbar Es wird sicher gestellt, daß Komponenten mit hohem Risiko
ausreichend beachtet werden Es wird vermieden, dass etwas vergessen wird ( z. B.
unzureichender Test von wichtigen Systemkomponenten) Individuelle Unterschiede (Erfahrung der Projektleiter) werden
reduziert Risiko-Management wird ein ‚intelligenter‘ Vorgang Metriken für Management und Kontrolle des Risiko-Management
Prozesses werden bereit gestellt Eine Basis für die Teilautomatisierung des Risiko-Managements
wird geliefert
Nachteile: keine
25Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Wann ist der richtige Zeitpunkt für eine erste Risikoanalyse?
Vorhaben abgelehntLinienmaßnahme
Projekt zurückgestellt
Projektantragabgelehnt
Linienmaßnahme
Projektidee Projektauftrag
ErstellenVoruntersuchungs-
auftrag
Voruntersuchungs-auftrag
Aufnahme inProjektliste
DurchführungVoruntersuchung
Projektantrag erstellen:ProjektzieleProjektbegründungProjektbudgetProjektorganisationProjekt (grob- )planungRisikofaktoren
ErstellungProjektantrag
Entscheidungder Projektkoordi-
nation
Entscheidungüber Vorunter-
suchung
26Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Dimensionen des Risikos
Projektstruktur Projektgröße Erfahrung mit der
Technologie
Qualitative Risikogleichung:
R
Struktur
Größe
Erfahrung*
27Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Risiko-Management: Subprozesse
Die Subprozesse im Risiko-Management Risiko-Management planen Risiken identifizieren Qualitative Risikoanalyse Quantitative Risikoanalyse Entwickeln von Maßnahmen Verfolgung der Risikoentwicklung
Quelle: A Guide To The Project Management Body Of Knowledge, Project Management Institute 2000. Das 1969 gegründete PMI ist die führende Non-Profit-Forschungs- und Certifizierungsinstitution der Welt zum Thema Projekt-Management.
Die folgende Darstellung lehnt sich an das PMBOK® des Project Management Institute Inc. Newton Square, PA, USA an
28Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Risikomanagement senkt Kosten
Jedes eintretende Risiko verursacht - direkt oder indirekt - Kosten
Ziel: alle Risiken, die direkt zu signifikanten finanziellen Schaden führen identifizieren und beheben
erst im zweiten Schritt alle anderen analysieren und ggf. beheben
29Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Motivation für Risiko-Management
Höhere Sicherheit (Termintreue) Senkung der Kosten
Projektkosten Produktkosten
höhere Qualität der Produkte steigende Zufriedenheit auf Kunden- und
Mitarbeiterseite höhere Transparenz Steigerung des eigenen Images
30Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-10 Überblick - Version 2.0: 06/2001
DKR Unternehmensberatung
Diskussion
Überblick