RISIKEN MANAGEN Risikomanagement in Projekten Ein kontinuierlicher Prozess Ansätze zum PRM-Leitfaden Von Beat Schneiter und Jachen Cajos Projektleiter müssen mit den Risiken umgehen können, die in jedem Projekt verknüpft sind. Dieser PRM-Ansatz soll die Zusammenhänge einfach und verständlich erklären. Und er soll helfen, das Projekt-Risikomanagement (PRM) als Prozess in Projekten zu verankern, auch mit dem Ziel eines einheitlichen Vorgehens. P rojekte stellen in vielen Organisationen und Unternehmungen einen wichtigen Erfolgsfaktor dar. Dies aufgrund ihrer strategischen Bedeutung, ihrer für die Organisation möglicherweise kritischen Grösse oder der vorgegebenen Zielsetzungen. Projekte können wegen ihrer strategischen Bedeutung als wichtige Instrumente der Wertsteigerung und Strategie bezeichnet werden. Kein «nice to have» Diese zentrale Rolle von Projekten sowie wiederholte Erfahrungen mit Zeitverzögerungen, Kostenüberschreitungen oder sogar mit dem Scheitern von Projekten geben dem Wissen um Projektrisiken und damit dem Projekt-Risi- Beat Schneiter, Master of Science, Executive Master of Risk Management, Corporate Risk Manager, Swisscom AG, Alte Tiefenaustrasse 6, CH-3048 Worblaufen, Tel. +41 (0)79 798 36 82, [email protected] Jachen Cajos, Dipl. Bauingenieur FH, Executive Master of Risk Management, Fachverantwortlicher Risiko- und Sicherheitsmanagement, Bundesamt für Strassen ASTRA, CH-3063 Ittigen, Tel. +41 (0)31 323 41 83, [email protected] 24 komanagement (PRM) seine zentrale Bedeutung. Häufig führt die Projektleitung das Risikomanagement in Projekten nur intuitiv und nicht bewusst oder nicht auf der Basis von einheitlichen Kriterien. Die Notwendigkeit, die Projektrisiken zu kennen, ist darüber hinaus – nach Art. 663b Ziffer 12 OR – auch eine gesetzlich vorgeschriebene Managementaufgabe. Projektrisiken können einer Organisation oder Unternehmung grossen Schaden zufügen oder gar deren Weiterbestehen gefährden. Sie sind deshalb ins organisationsweite Risikomanagement einzubeziehen. Projekt-Auftraggeber diese Aufgabe an einen organisationsinternen oder externen Risikomanager oder an den Projektleiter delegieren. Die Delegation an einen Risikomanager ausserhalb des Projektes hat den Vorteil, dass dieser unabhängig ist, eine Aussensicht einbringt und zudem den Projektleiter entlastet. Ebenso ist eine Delegation ans Qualitätsmanagement denkbar. Dabei sind folgende Punkte klar zu regeln: 1. Definition des Pflichtenheftes für den Risikomanager 2. Die Analysetiefe des PRM (abhängig vom Risikograd des Projekts) 3. Der Massnahmen- und Reportingprozess Prozess nach ISO 31000 Festlegung des Kontextes und der Risikoanalyseart Dringender Regelungsbedarf Um Projekte erfolgreich mit dem Risikomanagement zu verknüpfen, muss das Risikomanagement bereits vor Projektbeginn durch die Zuteilung von Verantwortlichkeiten eingeführt werden. Beim Einsatz eines Projektleiters soll diese Verantwortlichkeit bezüglich des Risikomanagements durch den Auftraggeber definiert werden. In der Praxis kann der Nach COSO (Committee of Sponsoring Organizations of the Treadway Commission) wird Risikomanagement wie folgt definiert: «Alle Prozesse und Massnahmen, welche der Steuerung einer Organisation bezüglich Risiken und dem Erreichen der gesetzten (strategischen, operativen, Berichterstattungs- und Compliance-) Ziele dienen». Das Risikoereignis wird als eine Kombination von Eintretenswahrscheinlichkeit und Schadensausmass (Auswirkung) bewertet. Diese Kombination beschreibt die Unsicherheit der Zielerreichung. Der Risikomanagement-Prozess ist ein kontinuierlicher Prozess, der sich periodisch wiederholt. Nach der Erstanalyse werden neue Ereignisse erfasst und bestehende Risiken neu bewertet. Grafik 1 fasst den Prozess nach ISO 31000 zusammen. Damit das Projekt-Risikomanagement erfolgreich umgesetzt werden kann, müssen der Risikomanagement- und der Projektmanagement-Prozess möglichst gut aufeinander abgestimmt werden. Dies ist aufgrund der ähnlichen Prozessschritte bei Grafik 1 Risikobeurteilung aufgrund der Strategie und der Ziele. Umfassende Kontextanalyse, Beurteilung der Kernprozesse, der Organisation und des Managementmodells, Szenarienanalyse. Review der bestehenden Risiken, Einbezug von Ereignissen und inhärenter Risiken. Risikoanalyse, Identifikation und Evaluation Regelmässige vertiefte Risikoanalyse (Workshops, Interviews, Checklisten, usw.) unter Berücksichtigung des Kontextes, Ereignisanalyse in Form von Benchmarks, Beschreibung, Evaluation der Risiken im Risikomanagement Tool, Einschätzung in der Risiko-Matrix, Bestimmung von Risikoverantwortlichen. Risikostrategie, Kommunikation und Monitoring Evaluation der Top-Risiken und der Risikostrategie durch Risk Board; Auswahl der Strategie: Vermeiden, Vermindern, Überwälzen oder Selbsttragen. Stufengerechte Kommunikation und Monitoring der Top-Risiken. Quartalsweise Aktualisierung und Reporting der Top-Risiken. MQ Management und Qualität 11/2009 RISIKEN MANAGEN DIN, SIA und weiteren Normen/ Standards gut möglich. In der Umsetzungsvorbereitung des PRMs müssen daher die Projektmeilensteine sinnvoll mit den PRM-Schritten verknüpft werden. Vier Schritte des Projekt-Risikomanagements Grafik 2 Prozessschritte Projekt Risiko/Kategorien Rollen und Verantwortlichkeiten 1. Schritt Voranalyse Projektrisiken Innovationsgrad, Technologiegrad, Komplexitätsgrad, Umsetzungstempo, Projekt-Beteiligte, Finanzrisiken, Projektdauer Analyse durch ProjektAuftraggeber (oder delegiert an Projektleiter) Ziele des PRM Hauptziel des Projekt-Risikomanagements ist ein erfolgreicher Projektabschluss. Es soll den Projektleiter unterstützen, die kritischen Risiken in Projekten zu finden und mit entsprechenden Massnahmen effizient zu minimieren. Zudem sollen Projektrisiken, welche Auswirkungen auf die Gesamtorganisation haben, frühzeitig mit dem Risikomanagement dieser Organisation kommuniziert werden. Da die Gesamtorganisation ihr Risikomanagement nach gesetzlichen Vorgaben steuert, sind Projektrisiken ein wichtiger, unverzichtbarer Bestandteil des Risikoportfolios einer Organisation. Risikoanalyse und vier Prozessschritte Die im PRM-Ansatz vorgeschlagene Methodik basiert auf vier Prozessschritten. Diese vier Schritte werden unter Einsatz von vorhandenen Checklisten und durch Risikoanalyse-Workshops oder Interviews im Projektteam durchgeführt. In jedem Schritt wird zuerst der Kontext definiert. Dazu gehören die Faktoren, die das Projekt beeinflussen, beispielsweise Informationen zu den Stakeholdern, den Ressourcen, den Projektspezifikationen, usw. Die bestehende Analyse wird danach regelmässig wiederholt, wobei bestehende Risiken aktualisiert und neue Risiken aufgenommen werden. Bei dieser Neubewertung sind auch die Massnahmenpläne durchzugehen und der Status der Risikostrategie zu bewerten. Die vier Schritte präsentieren sich wie folgt: MQ Management und Qualität 11/2009 2. Schritt Hauptanalyse Projektrisiken Ziele/Prozesse Lösungkonzeption Rahmenbedingungen Strategiekonformität Business Case Change Management Dokumentation Spezifikationen Rollen (inkl. Verantwortlichkeiten) Kommunikation Controlling Qualitätssicherung Ressourcen Technische Ressourcen Finanz-Ressourcen Personal-Ressourcen Lieferanten/Verträge Outsourcing Organisationsstruktur Wissensmanagement Betrug Umfeld Stakeholder Benchmark Akzeptanz/Wirkung Strukturen Abhängigkeiten Politik Substitution Reputation Compliance (inkl. Legal und Regulation) Katastrophen/Krisen Sabotage/Terror Analyse der PRM-Stufe I durch Projektleiter Analyse der PRM-Stufe II durch Projektleiter oder Projekt-Risikomanager (zu definieren nach Schritt 1) Analyse der PRM-Stufe III durch Projekt-Risikomanager 3. Schritt Detailanalyse Projektrisiken Spezifische Risikoanalyse für die Projekt-, Bau-, IT-, Organisations- und Produktekategorien und noch weiteren Kategorien. Jede Projektkategorie verfügt über eigene Risikospezifitäten. Analyse durch Spezialisten koordiniert durch Projektleiter oder Projekt-Risikomanager 4. Schritt Abschlussanalyse Projektrisiken Beispiele für Abschlussanalysekategorien: Übergabeprozess, Testphase, Betriebsphasen-Risiken, Risiken-Projektstopp, Vertragsrisiken. Analyse durch Projektleiter oder Projekt-Risikomanager (an PRM-Stufe I-III angepasst) 1. Schritt: Voranalyse Projektrisiken Eine erste Projektbeurteilung wird vorgenommen, in welcher der Innovationsgrad, der Technologiegrad, der Komplexitätsgrad, die Umsetzungsgeschwindigkeit, die Anzahl der Projekt-Beteiligten, die Finanzrisiken und die Projektdauer bewertet werden. Anhand der Resultate entscheidet der Projekt-Auftraggeber, welche Stufe des Projektrisikomanagements umgesetzt wird (PRM I, II, III). Diese Stufen sagen aus, ob die Umsetzung des Risikomanagements durch den Projektleiter erfolgt oder ob ein unabhängiger Risikomanager eingesetzt wird. Zudem wird die Analysetiefe festgelegt. In diesem Schritt sollen auch die Rollen und Verantwortlichkeiten definiert werden. 2. Schritt: Hauptanalyse Projektrisiken Der nächste Arbeitsschritt umfasst die Analyse der Risiken in den Projektzielen, den Projektprozessen, den Projektressourcen und im Projektumfeld. Die vorgeschlagenen Risikokategorien sind umfassend, können aber je nach Projekttypus ergänzt oder gekürzt werden. In diesem Schritt sollen dann die verschiedenen ProjektMeilensteine mit PRM verknüpft werden. Die Risikoberichterstattung sowie die Integration des Risiko-Managers in die verschiedenen Prozesse (Sitzungen, usw.) werden festgelegt. Danach wird für die Top-Risiken des Projektes die entsprechende Risikostrategie bestimmt und es werden Risikoverantwortliche sowie Fristen festgelegt. 3. Schritt: Detailanalyse Projektrisiken Sobald die spezifischen Projektbestandteile bekannt sind, werden diese einer Risikoanalyse unterzogen. Dieser Schritt dient dazu, die projektspezifischen Risiken (beispielsweise: IT, Safety, Security, Organisationsrisiken, usw.) im Projekt zu erfassen und zu minimieren. Hierzu sind mit Vorteil Spezialisten aus den jeweiligen Disziplinen beizuziehen. Bei der Detailanalyse kann sich die Analyse auf anerkannte Normen und Standards wie zum Beispiel die ISO 27000 zur Beurteilung der ITSecurity-Risiken stützen. 4. Schritt: Abschlussanalyse Projektrisiken Bei der Übergabe des Projektes an den Auftraggeber sind die bestehenden Risiken an die Projektempfänger (Kunden) zu kommunizieren und Risiken der Übergabe- und der künftigen Betriebsphase zu analysieren. Die erfolgreiche Projekt-Übergabe und der Betrieb des Projektproduktes sind der eigentliche Gradmesser für den Projekterfolg. Grafik 2 zeigt das Projekt-Risikoanalyse-Modell mit den vier Schritten des ProjektRisikomanagements: Risiko-Matrix Die Risiko-Matrix dient der Einschätzung/Vergleichbarkeit von potenziellen Ereignissen nach Eintretenswahrscheinlichkeit und 25 RISIKEN MANAGEN Projekt-Risikomatrix Projekt Spezifisch (Beispiele) Projekt Allgemein Eintretenswahrscheinlichkeit tritt ein (100 %) Grafik 3 4 as Pr häufig 1x pro 2 Projekte (50 %) 3 möglich 1x pro 5 Projekte (20 %) 2 gelegentlich 1x pro 10 Projekte (<10 %) 1 Die uf d ) ist a mass . s u a s ) en se Schad oanaly Achse t der Risik ie d r e nder r dem Sta o sbeso rix (in passen (v t a m anzu Risiko ojekt A klein B mittel C gross D katastrophal Finanzschaden < 10% Projektkosten 20% Projektkosten 30% Projektkosten > 50% Projektkosten Zeitverzögerung < 10% Projektdauer 20% Projektdauer 50% Projektdauer > 100% Projektdauer Einhaltung spezifischer Projektziele Ziel nicht oder kaum beeinträchtigt Ziele teilweise nicht eingehalten Ziele nicht eingehalten Projekt aufgelöst Schaden Reputation/ Politik keine/lokale Medienpräsenz nationale Medienpräsenz internationale Medienpräsenz Organisation aufgelöst Sicherheitsschaden (Beispiel IT) IT-Verfügbarkeit wenig beeinträchtigt (< 1 h Ausfall) IT-Verfügbarkeit mittel beeinträchtigt (> 1 h Ausfall) IT-Verfügbarkeit gross beeinträchtigt (> 4 bis 5 h Ausfall) IT nicht verfügbar (> 5 Tage) Umweltschaden klein (lokal/oberflächlich) mittel (lokal/Erdbereich) gross (Bach) katastrophal (See) Schadensausmass/Auswirkung Grosse Risiken mit grossem Handlungsbedarf Auswirkung/Schadensausmass. Grafik 3 zeigt eine solche RisikoMatrix, die jeweils auf das konkrete Projekt angepasst werden kann. ■ Definition Eintretenswahrscheinlichkeit: Die relative Häufigkeit zukünftiger Ereignisse oder Entwicklungen. Die Eintretenswahrscheinlichkeit eines Risikos kann sich auf eine Periode (Monatswahrscheinlichkeit) oder auf eine Anzahl von Fällen (Fallwahrscheinlichkeit) beziehen. Der Begriff Wahrscheinlichkeit kann sowohl das objektive wie auch das subjektive Verständnis umfassen. ■ Definition Auswirkung/Schadensausmass: Das Schadensausmass zeigt die mögliche Risikoauswirkung auf das Projekt auf. 26 Die folgenden Rollen und Verantwortlichkeiten im Projekt sind zu berücksichtigen: Mittlere Risiken mit Handlungsbedarf Projektspezifische Anpassungen: Die Achsen der Matrix (Eintretenswahrscheinlichkeit, Schadensausmass) müssen auf das Projekt angepasst werden. ■ Bewertung der Risiken: Die Priorisierung der Risiken erfolgt primär durch das Projektleitungsteam und sekundär durch den Risikomanager. Bei unterschiedlicher Bewertung muss ein Konsens zwischen Projektleitungsteam und Risikomanager erarbeitet werden. Der Stand der Risiko-Matrix (Top-Risiken) und der Massnahmen soll regelmässig bei Projektsitzungen und mit dem Steering Committee (Projektaufsicht) kommuniziert werden. ■ Kleine Risiken ohne Handlungsbedarf Risiko-Katalog Im Risiko-Katalog werden mögliche Risiken beschrieben, eingeschätzt und falls notwendig mit Massnahmen versehen. Der Risikomanager ist für den aktuellen Status des Risikokataloges verantwortlich und führt ihn regelmässig nach. Die Massnahmen zur Risikominimierung werden vom Risikomanager und dem Projektteam erarbeitet. Rollen und Verantwortlichkeiten Bereits bei Projektbeginn sind die Rollen und Verantwortlichkeiten betreffend Risikomanagement definiert. Dies führt zu Klarheit und Effizienz im Projektverlauf. Projekt-Auftraggeber/ProjektSponsor Der Projekt-Auftraggeber (oder delegiert an Projektleiter) definiert die Anforderungen (Art, Umfang und Detaillierungsgrad) an das Risikomanagement im Projekt und er führt eine erste Grobanalyse des Projektes durch. Er überwacht die Organisation und die Prozesse des ProjektRisikomanagements, trägt zudem die Verantwortung, dass das definierte Risikomanagement im Projekt durchgeführt wird und übernimmt die Aufsichtsfunktion zur Risikostrategie. Er setzt nach Bedarf, Projektgrösse und Projektkomplexität einen unabhängigen Projekt-Risikomanager ein. Projektaufsicht/Steering Committee Die Projektaufsicht ermöglicht dem Projekt-Risikomanager die Teilnahme an den Projektaufsichtssitzungen und den Projektleitungssitzungen. Sie sorgt für eine unabhängige Position des Projekt-Risikomanagers innerhalb des Projektes und ermöglicht den Zugang zu Informationen, Dokumenten und Strukturen. Projektleiter Der Projektleiter oder der ProjektRisikomanager verantwortet das Risikomanagement, indem er den PRM-Prozess in seine Projektplanung einbaut. Er stellt den Zugang des Risikomanagements zu allen Informationen, zu beteiligten Projektmitarbeitern, Projektdokumenten, Informations- und Arbeitssitzungen sicher. Projekt-Risikomanager Der Projekt-Risikomanager führt die Risikobeurteilung in Form von anerkannten Methoden (Workshops, Interviews, Checklisten, MQ Management und Qualität 11/2009 RISIKEN MANAGEN usw.) durch. Er ist für das regelmässige Reporting der Resultate der Risikobeurteilung an den Projektleiter beziehungsweise die Projektaufsicht verantwortlich. Der Projekt-Risikomanager führt auch die periodische Aktualisierung des Risikokataloges und das Reporting der Top-Risken durch und koordiniert die Einschätzung Risikofreundliche Kultur der möglichen Risiken nach Eintretenswahrscheinlichkeit und Schadensausmass und die Bestimmung der Top-Risiken in der Risikomatrix. Er strukturiert die identifizierten Risiken nach Risikofeldern und bestimmt die Risiko-Verantwortlichen. Der ProjektRisikomanager ist dem ProjektAuftraggeber (Sponsor), der Projektaufsicht (Steering Committee) oder dem Projektleiter unterstellt. an die übergeordnete Organisation übernehmen. Erfolgsfaktoren Um die möglichen Risiken in Projekten zu erfassen, führen nach unserer Erfahrung folgende sechs Erfolgsfaktoren zum Ziel: 1. Durchführung von Workshops als anerkanntes Brainstorming-, Risiko-Analyse und -Bewertungsinstrument. 2. Benchmark in anderen vergleichbaren Projekten. 3. Einsatz von Checklisten bei der Durchführung der Risikoanalyse in Workshops/Interviews. 4. Wahl geeigneter Risikostrategien beziehungsweise Wahl von Massnahmen zur Steuerung der Projekt-Risiken. 5. Bei kritischen Projekten Wahl eines unabhängigen ProjektRisikomanagers; soll Aussensicht gewährleisten und Risikowahrnehmung stärken. 6. Durchführung Review-Prozess zur periodischen Überprüfung der Risikoanalyse bei kritischen Projekten. Risiko-Verantwortlicher Der Risiko-Verantwortliche ist operativ verantwortlich, die genehmigte Risikostrategie sowie die Massnahmen umzusetzen und durchzuführen. Er übernimmt die eigentliche Aufgabe der Risikominimierung. Der Risiko-Verantwortliche erarbeitet die detaillierte Risikobeschreibung in Zusammenarbeit mit dem Projekt-Risikomanager im Risikokatalog, inkl. der Massnahmenstrategie, das Reporting der Massnahmenfortschritte an den Projekt-Risikomanager. Projektcontrolling Das Projektcontrolling kann Aufgaben im Reporting von Projektrisiken übernehmen und stellt sicher, dass die Grundsätze des PRM angewendet werden. Das Projektcontrolling kann auch das Reporting der Top-Projekt-Risiken MQ Management und Qualität 11/2009 Neben diesen «harten» sind auch folgende «weiche» Faktoren für den Erfolg des Risikomanagements unabdingbar: Risikofreundliche Kultur (Risikomanagement wird als Lösungsprozess angesehen und verstanden und nicht als Störfaktor, man ist auch bereit, offen Risiken anzusprechen) und direktes Reporting der Resultate an Organisations-Risikomanagement oder Projektleitung. Das Risikomanagement soll auch qualitative Bewertungen vornehmen und Extremereignisse berücksichtigen. Im Weiteren ist Risikomanagement eine normierte Managementdisziplin und verfügt über anerkannte Normen (ISO 31000 und ONR 49000), welche die Umsetzung des Risikomanagements erleichtern und unterstützen (Gesamtübersicht Grafik 4). Gesamtübersicht Grafik 4 Zusammenfassender Prozessablauf Risikoanalyse Neues Projekt und Voranalyse 1. Schritt Voranalyse (vor oder bei Projektstart) Entscheid zum Projektrisikomanagement (PRM) Definition der PRM-Vorgehensweise Auslösung der 1. Schrittes, der Voranalyse Auswertung der Resultate der Voranalyse Definition der PRM-Stufe I, II oder III Voranalyse durch ProjektAuftraggeber Projektleiter oder Projekt-Risikomanager Entscheid/Start PRM I, II oder III 2. Schritt Hauptanalyse (bei der Projektdefinition, der Projektierung) 3. Schritt Detailanalyse Projektrisiken Eintrag der Risikoanalyse Resultate Risikokatalog und Matrix Durchführung Hauptanalyse Projekt Durchführung mit Interviews und Workshops Herausarbeiten zusätzlicher Kernrisiken Durchführung Detailanalyse Projekt Durchführung mit Interviews und Workshops Herausarbeiten zusätzlicher Kernrisiken Entscheid Kernrisiken und Risikostrategie definieren Risikostrategie umsetzen und Neubewertungen Review Schritt 2 und 3 4. Schritt Abschlussanalyse Projektrisiken Review des Risikokatalogs Neubewertung der RisikoMatrix Review-Zyklus angepasst auf Projekt Durchführung Abschlussanalyse Projekt Übergabe Risikokatalog und Matrix an Kunden Kommunikation der Restrisiken Review des PRM Abschluss PRM Zusammenfassung Projekte ohne Risiken sind demzufolge auch ohne Chancen und erzeugen daher auch keinen Mehrwert. Risikomanagement in Projekten soll einerseits zum Projekterfolg verhelfen, andererseits soll das erfolgreiche Weiterbeste- hen der Organisation beziehungsweise Unternehmung sichergestellt sein und die gesetzlichen Forderungen umgesetzt werden, indem die Risiken bewusst erkannt und soweit nötig und möglich reduziert werden. ■ 27