Risikomanagement in Projekten
Das plangesteuerte Risikomanagement kennt innerhalb der Unternehmens- und IT-Entwicklung unterschiedliche Risikomanagementansätze.
Auf folgende Ansätze wird in den nachfolgenden Abschnitten näher eingegangen:
- Risikoklassifizierung
- Risikomanagementplan
- Phasen des Risikomanagements
Risikoklassifizierung
Risiken können danach klassifiziert werden, worauf sie sich auswirken:
Projektrisiken
beeinflussen den Zeitplan oder die Ressourcen des Projekts
z.B. Ausfall von Mitarbeitern, bei denen es Zeit braucht, einen Ersatz zu finden
Produktrisiken
beeinflussen die Qualität und Leistung der Software
z.B. der Ausfall einer gekauften Komponente, der die Gesamtleistung verlangsamt
Geschäftsrisiken
betreffen die Organisation der Softwareentwicklung
z.B. ein Wettbewerber, der ein neues Produkt einführt, beeinflusst höchstwahrscheinlich die Anzahl der Verkäufe des eigenen Produkts, d.h. die Annahmen über Verkäufe gelten dann nicht
Kategorien können sich überschneiden, da Prozesse voneinander abhängen können.
Risikomanagementplan
- ist eine Dokumentation der Ergebnisse des Risikomanagements, in der Regel in großen Projekten
- beinhaltet Diskussion und Analyse der Risiken und deren Bewältigung
- unterliegt Änderungen während des Projekts: iterative Neuanalyse der Risiken und Neubewertung der Risikopriorität
Phasen des Risikomanagements
- Risikoidentifizierung potenzieller Projekt-, Produkt- und Geschäftsrisiken
- Risikoanalyse zur Bewertung der Wahrscheinlichkeit und der Folgen von Risiken
- Risikoplanung einschließlich der Bewältigung der Risiken (Vermeidung oder Minimierung ihrer Auswirkungen)
- Risikoüberwachung zur regelmäßigen Aktualisierung der Pläne zur Risikominderung
Risikoidentifizierung
Identifiziere die Risiken, die sich stark auswirken könnten:
- von Softwareentwicklungsprozessen
- von zu entwickelnder Software
- der Entwicklungsorganisation
Checkliste der möglichen Risiken der Risikoidentifizierung
- Schätzungsrisiken: z.B. Entwicklungszeit, Entdeckungsrate oder Größe der Software wird unterschätzt
- Organisatorische Risiken: z.B. mehrere für das Projekt verantwortliche Manager aufgrund von Umstrukturierungen in der Organisation oder erforderliche Budgetkürzungen aufgrund finanzieller Probleme der Organisation
- Personelle Risiken: z.B. können Mitarbeiter mit den erforderlichen Fähigkeiten nicht rekrutiert werden oder sind zu einem kritischen Zeitpunkt krank oder die erforderlichen Schulungen für die Mitarbeiter sind nicht verfügbar
- Anforderungsrisiken: z.B. vorgeschlagene Anforderungsänderungen würden größere Nacharbeiten erfordern oder der Kunde versteht die Auswirkungen der Anforderungsänderungen nicht
- Technologische Risiken: z.B. die Datenbank kann nicht so viele Transaktionen pro Sekunde verarbeiten wie erwartet oder Fehler in wieder verwendbaren Komponenten müssen vor der Wiederverwendung erst behoben werden
- Tool–Risiken: z.B. ineffizienter Code wird von Software-Code-Generierungs-Tools erzeugt oder Software-Tools arbeiten nicht integriert zusammen
Risikoanalyse
Identifizierte Risiken müssen hinsichtlich ihrer Wahrscheinlichkeit und Schwere beurteilt werden:
- Wahrscheinlichkeit des Risikos:
- unbedeutend,
- gering,
- moderat,
- hoch oder sehr hoch
- Auswirkungen des Risikos:
- katastrophal -> bedroht das Überleben des Projekts
- schwerwiegend -> größere Verzögerungen
- tolerierbar -> Verzögerungen innerhalb der zulässigen Toleranz
- unbedeutend
Risikoplanung
- Planung zur Risikovermeidung: Definiere “Was-wäre-wenn”-Fragen für:
- Einzelne Risiken: z.B. “Was ist, wenn der Kunde die überarbeiteten Anforderungen nicht wie vorhergesagt freigibt?”
- Kombinationen von Risiken: z.B. “Was ist, wenn die Leistung eines zu integrierten Tools unzureichend ist und der einzige Experte für dieses Tool das Unternehmen verlässt?„
- Externe Faktoren, die diese Risiken beeinflussen: z.B. “Was ist, wenn ein wirtschaftlicher Abschwung zu Budgetkürzungen von 20 % führt?
- Kategorien für Strategien zur Bewältigung der Hauptrisiken:
- Vermeidungsstrategien: Wahrscheinlichkeit reduzieren, dass das Risiko eintritt
- Minimierungsstrategien: Auswirkungen des Risikos reduzieren
- Notfallpläne: Auf das Schlimmste vorbereitet sein und eine Strategie für den Fall der Fälle haben
Wenn möglich, ist die Risikovermeidung sowohl der Minimierung als auch den Notfallplänen vorzuziehen.
Risikoüberwachung
Um zu überprüfen, ob sich die Annahmen über die Produkt-, Prozess- und Geschäftsrisiken nicht geändert haben, regelmäßige Bewertung der identifizierten Risiken und Entscheidung durchführen, ob es:
- eine Änderung der Wahrscheinlichkeit des Risikos gibt
- eine Änderung der Auswirkungen des Risikos (d.h. Schweregrad und Folgen) gibt
Dazu müssen auch andere Faktoren überwacht werden, z.B. die Anzahl der Änderungsanträge für Anforderungen.