Ansätze zum PRM

RISIKEN MANAGEN
Risikomanagement in Projekten
Ein kontinuierlicher Prozess
Ansätze zum PRM-Leitfaden
Von Beat Schneiter und Jachen Cajos
Projektleiter müssen mit den Risiken umgehen
können, die in jedem Projekt verknüpft sind.
Dieser PRM-Ansatz soll die Zusammenhänge einfach und verständlich erklären. Und er soll helfen,
das Projekt-Risikomanagement (PRM) als Prozess
in Projekten zu verankern, auch mit dem Ziel
eines einheitlichen Vorgehens.
P
rojekte stellen in vielen Organisationen und Unternehmungen einen wichtigen Erfolgsfaktor dar. Dies aufgrund
ihrer strategischen Bedeutung,
ihrer für die Organisation möglicherweise kritischen Grösse oder
der vorgegebenen Zielsetzungen.
Projekte können wegen ihrer strategischen Bedeutung als wichtige
Instrumente der Wertsteigerung
und Strategie bezeichnet werden.
Kein «nice to have»
Diese zentrale Rolle von Projekten
sowie wiederholte Erfahrungen
mit Zeitverzögerungen, Kostenüberschreitungen oder sogar mit
dem Scheitern von Projekten geben dem Wissen um Projektrisiken und damit dem Projekt-Risi-
Beat Schneiter, Master of Science, Executive
Master of Risk Management, Corporate Risk
Manager, Swisscom AG, Alte Tiefenaustrasse 6,
CH-3048 Worblaufen, Tel. +41 (0)79 798 36
82, [email protected]
Jachen Cajos, Dipl. Bauingenieur FH, Executive
Master of Risk Management, Fachverantwortlicher Risiko- und Sicherheitsmanagement, Bundesamt für Strassen ASTRA, CH-3063 Ittigen,
Tel. +41 (0)31 323 41 83,
[email protected]
24
komanagement (PRM) seine zentrale Bedeutung. Häufig führt die
Projektleitung das Risikomanagement in Projekten nur intuitiv
und nicht bewusst oder nicht auf
der Basis von einheitlichen Kriterien. Die Notwendigkeit, die Projektrisiken zu kennen, ist darüber
hinaus – nach Art. 663b Ziffer 12
OR – auch eine gesetzlich vorgeschriebene Managementaufgabe.
Projektrisiken können einer Organisation oder Unternehmung
grossen Schaden zufügen oder
gar deren Weiterbestehen gefährden. Sie sind deshalb ins organisationsweite Risikomanagement
einzubeziehen.
Projekt-Auftraggeber diese Aufgabe an einen organisationsinternen oder externen Risikomanager
oder an den Projektleiter delegieren. Die Delegation an einen Risikomanager ausserhalb des Projektes hat den Vorteil, dass dieser
unabhängig ist, eine Aussensicht
einbringt und zudem den Projektleiter entlastet. Ebenso ist eine
Delegation ans Qualitätsmanagement denkbar. Dabei sind folgende Punkte klar zu regeln:
1. Definition des Pflichtenheftes
für den Risikomanager
2. Die Analysetiefe des PRM (abhängig vom Risikograd des Projekts)
3. Der Massnahmen- und Reportingprozess
Prozess nach ISO 31000
Festlegung
des Kontextes und
der Risikoanalyseart
Dringender Regelungsbedarf
Um Projekte erfolgreich mit dem
Risikomanagement zu verknüpfen, muss das Risikomanagement
bereits vor Projektbeginn durch
die Zuteilung von Verantwortlichkeiten eingeführt werden. Beim
Einsatz eines Projektleiters soll
diese Verantwortlichkeit bezüglich des Risikomanagements
durch den Auftraggeber definiert
werden. In der Praxis kann der
Nach COSO (Committee of Sponsoring Organizations of the Treadway Commission) wird Risikomanagement wie folgt definiert: «Alle
Prozesse und Massnahmen, welche der Steuerung einer Organisation bezüglich Risiken und dem
Erreichen der gesetzten (strategischen, operativen, Berichterstattungs- und Compliance-)
Ziele dienen». Das Risikoereignis
wird als eine Kombination von
Eintretenswahrscheinlichkeit und
Schadensausmass (Auswirkung)
bewertet. Diese Kombination beschreibt die Unsicherheit der Zielerreichung. Der Risikomanagement-Prozess ist ein kontinuierlicher Prozess, der sich periodisch
wiederholt. Nach der Erstanalyse
werden neue Ereignisse erfasst
und bestehende Risiken neu bewertet. Grafik 1 fasst den Prozess
nach ISO 31000 zusammen.
Damit das Projekt-Risikomanagement erfolgreich umgesetzt werden kann, müssen der
Risikomanagement- und der Projektmanagement-Prozess möglichst gut aufeinander abgestimmt werden. Dies ist aufgrund
der ähnlichen Prozessschritte bei
Grafik 1
Risikobeurteilung aufgrund der Strategie und der Ziele.
Umfassende Kontextanalyse, Beurteilung der Kernprozesse,
der Organisation und des Managementmodells,
Szenarienanalyse.
Review der bestehenden Risiken, Einbezug von Ereignissen
und inhärenter Risiken.
Risikoanalyse,
Identifikation und
Evaluation
Regelmässige vertiefte Risikoanalyse (Workshops, Interviews,
Checklisten, usw.) unter Berücksichtigung des Kontextes,
Ereignisanalyse in Form von Benchmarks, Beschreibung,
Evaluation der Risiken im Risikomanagement Tool,
Einschätzung in der Risiko-Matrix, Bestimmung von
Risikoverantwortlichen.
Risikostrategie,
Kommunikation und
Monitoring
Evaluation der Top-Risiken und der Risikostrategie durch Risk
Board; Auswahl der Strategie: Vermeiden, Vermindern,
Überwälzen oder Selbsttragen.
Stufengerechte Kommunikation und Monitoring der Top-Risiken.
Quartalsweise Aktualisierung und Reporting der Top-Risiken.
MQ Management und Qualität 11/2009
RISIKEN MANAGEN
DIN, SIA und weiteren Normen/
Standards gut möglich. In der
Umsetzungsvorbereitung
des
PRMs müssen daher die Projektmeilensteine sinnvoll mit den
PRM-Schritten verknüpft werden.
Vier Schritte des Projekt-Risikomanagements
Grafik 2
Prozessschritte
Projekt Risiko/Kategorien
Rollen und
Verantwortlichkeiten
1. Schritt
Voranalyse
Projektrisiken
Innovationsgrad, Technologiegrad, Komplexitätsgrad, Umsetzungstempo,
Projekt-Beteiligte, Finanzrisiken, Projektdauer
Analyse durch ProjektAuftraggeber (oder
delegiert an Projektleiter)
Ziele des PRM
Hauptziel des Projekt-Risikomanagements ist ein erfolgreicher
Projektabschluss. Es soll den Projektleiter unterstützen, die kritischen Risiken in Projekten zu finden und mit entsprechenden
Massnahmen effizient zu minimieren. Zudem sollen Projektrisiken, welche Auswirkungen auf die
Gesamtorganisation haben, frühzeitig mit dem Risikomanagement dieser Organisation kommuniziert werden. Da die Gesamtorganisation ihr Risikomanagement nach gesetzlichen Vorgaben
steuert, sind Projektrisiken ein
wichtiger, unverzichtbarer Bestandteil des Risikoportfolios
einer Organisation.
Risikoanalyse und vier
Prozessschritte
Die im PRM-Ansatz vorgeschlagene Methodik basiert auf vier
Prozessschritten. Diese vier
Schritte werden unter Einsatz
von vorhandenen Checklisten
und durch Risikoanalyse-Workshops oder Interviews im Projektteam durchgeführt. In jedem
Schritt wird zuerst der Kontext
definiert. Dazu gehören die
Faktoren, die das Projekt beeinflussen, beispielsweise Informationen zu den Stakeholdern, den
Ressourcen, den Projektspezifikationen, usw.
Die bestehende Analyse
wird danach regelmässig wiederholt, wobei bestehende Risiken
aktualisiert und neue Risiken aufgenommen werden. Bei dieser
Neubewertung sind auch die
Massnahmenpläne durchzugehen und der Status der Risikostrategie zu bewerten. Die vier Schritte präsentieren sich wie folgt:
MQ Management und Qualität 11/2009
2. Schritt
Hauptanalyse
Projektrisiken
Ziele/Prozesse
Lösungkonzeption
Rahmenbedingungen
Strategiekonformität
Business Case
Change Management
Dokumentation
Spezifikationen
Rollen
(inkl. Verantwortlichkeiten)
Kommunikation
Controlling
Qualitätssicherung
Ressourcen
Technische Ressourcen
Finanz-Ressourcen
Personal-Ressourcen
Lieferanten/Verträge
Outsourcing
Organisationsstruktur
Wissensmanagement
Betrug
Umfeld
Stakeholder
Benchmark
Akzeptanz/Wirkung
Strukturen
Abhängigkeiten
Politik
Substitution
Reputation
Compliance
(inkl. Legal und Regulation)
Katastrophen/Krisen
Sabotage/Terror
Analyse der PRM-Stufe I
durch Projektleiter
Analyse der PRM-Stufe II
durch Projektleiter oder
Projekt-Risikomanager (zu
definieren nach Schritt 1)
Analyse der PRM-Stufe III
durch Projekt-Risikomanager
3. Schritt
Detailanalyse
Projektrisiken
Spezifische Risikoanalyse für die Projekt-, Bau-, IT-,
Organisations- und Produktekategorien und noch weiteren Kategorien.
Jede Projektkategorie verfügt über eigene Risikospezifitäten.
Analyse durch Spezialisten
koordiniert durch Projektleiter
oder Projekt-Risikomanager
4. Schritt
Abschlussanalyse
Projektrisiken
Beispiele für Abschlussanalysekategorien: Übergabeprozess, Testphase,
Betriebsphasen-Risiken, Risiken-Projektstopp, Vertragsrisiken.
Analyse durch Projektleiter
oder Projekt-Risikomanager
(an PRM-Stufe I-III angepasst)
1. Schritt:
Voranalyse Projektrisiken
Eine erste Projektbeurteilung wird
vorgenommen, in welcher der Innovationsgrad, der Technologiegrad, der Komplexitätsgrad, die
Umsetzungsgeschwindigkeit, die
Anzahl der Projekt-Beteiligten,
die Finanzrisiken und die Projektdauer bewertet werden. Anhand
der Resultate entscheidet der Projekt-Auftraggeber, welche Stufe
des Projektrisikomanagements
umgesetzt wird (PRM I, II, III).
Diese Stufen sagen aus, ob die
Umsetzung des Risikomanagements durch den Projektleiter erfolgt oder ob ein unabhängiger
Risikomanager eingesetzt wird.
Zudem wird die Analysetiefe festgelegt. In diesem Schritt sollen
auch die Rollen und Verantwortlichkeiten definiert werden.
2. Schritt:
Hauptanalyse Projektrisiken
Der nächste Arbeitsschritt umfasst die Analyse der Risiken in
den Projektzielen, den Projektprozessen, den Projektressourcen
und im Projektumfeld. Die vorgeschlagenen Risikokategorien sind
umfassend, können aber je nach
Projekttypus ergänzt oder gekürzt
werden.
In diesem Schritt sollen
dann die verschiedenen ProjektMeilensteine mit PRM verknüpft
werden. Die Risikoberichterstattung sowie die Integration des Risiko-Managers in die verschiedenen Prozesse (Sitzungen, usw.)
werden festgelegt. Danach wird
für die Top-Risiken des Projektes
die entsprechende Risikostrategie
bestimmt und es werden Risikoverantwortliche sowie Fristen
festgelegt.
3. Schritt:
Detailanalyse Projektrisiken
Sobald die spezifischen Projektbestandteile bekannt sind, werden diese einer Risikoanalyse unterzogen. Dieser Schritt dient dazu, die projektspezifischen Risiken (beispielsweise: IT, Safety, Security, Organisationsrisiken, usw.)
im Projekt zu erfassen und zu minimieren. Hierzu sind mit Vorteil
Spezialisten aus den jeweiligen
Disziplinen beizuziehen. Bei der
Detailanalyse kann sich die Analyse auf anerkannte Normen und
Standards wie zum Beispiel die
ISO 27000 zur Beurteilung der ITSecurity-Risiken stützen.
4. Schritt:
Abschlussanalyse Projektrisiken
Bei der Übergabe des Projektes an
den Auftraggeber sind die bestehenden Risiken an die Projektempfänger (Kunden) zu kommunizieren und Risiken der Übergabe- und der künftigen Betriebsphase zu analysieren. Die erfolgreiche Projekt-Übergabe und der
Betrieb des Projektproduktes sind
der eigentliche Gradmesser für
den Projekterfolg. Grafik 2 zeigt
das Projekt-Risikoanalyse-Modell
mit den vier Schritten des ProjektRisikomanagements:
Risiko-Matrix
Die Risiko-Matrix dient der Einschätzung/Vergleichbarkeit von
potenziellen Ereignissen nach
Eintretenswahrscheinlichkeit und
25
RISIKEN MANAGEN
Projekt-Risikomatrix
Projekt Spezifisch
(Beispiele)
Projekt Allgemein
Eintretenswahrscheinlichkeit
tritt ein
(100 %)
Grafik 3
4
as Pr
häufig
1x pro 2 Projekte
(50 %)
3
möglich
1x pro 5 Projekte
(20 %)
2
gelegentlich
1x pro 10 Projekte
(<10 %)
1
Die
uf d
) ist a
mass .
s
u
a
s
)
en
se
Schad
oanaly
Achse t der Risik
ie
d
r
e
nder r dem Sta
o
sbeso
rix (in passen (v
t
a
m
anzu
Risiko
ojekt
A
klein
B
mittel
C
gross
D
katastrophal
Finanzschaden
< 10%
Projektkosten
20%
Projektkosten
30%
Projektkosten
> 50%
Projektkosten
Zeitverzögerung
< 10%
Projektdauer
20%
Projektdauer
50%
Projektdauer
> 100%
Projektdauer
Einhaltung spezifischer
Projektziele
Ziel nicht oder kaum
beeinträchtigt
Ziele teilweise nicht
eingehalten
Ziele nicht
eingehalten
Projekt
aufgelöst
Schaden Reputation/
Politik
keine/lokale
Medienpräsenz
nationale
Medienpräsenz
internationale
Medienpräsenz
Organisation
aufgelöst
Sicherheitsschaden
(Beispiel IT)
IT-Verfügbarkeit wenig
beeinträchtigt
(< 1 h Ausfall)
IT-Verfügbarkeit mittel
beeinträchtigt
(> 1 h Ausfall)
IT-Verfügbarkeit gross
beeinträchtigt
(> 4 bis 5 h Ausfall)
IT nicht verfügbar
(> 5 Tage)
Umweltschaden
klein
(lokal/oberflächlich)
mittel
(lokal/Erdbereich)
gross
(Bach)
katastrophal
(See)
Schadensausmass/Auswirkung
Grosse Risiken mit grossem Handlungsbedarf
Auswirkung/Schadensausmass.
Grafik 3 zeigt eine solche RisikoMatrix, die jeweils auf das konkrete Projekt angepasst werden kann.
■ Definition
Eintretenswahrscheinlichkeit: Die relative Häufigkeit zukünftiger Ereignisse oder
Entwicklungen. Die Eintretenswahrscheinlichkeit eines Risikos
kann sich auf eine Periode (Monatswahrscheinlichkeit) oder auf
eine Anzahl von Fällen (Fallwahrscheinlichkeit) beziehen. Der Begriff Wahrscheinlichkeit kann sowohl das objektive wie auch das
subjektive Verständnis umfassen.
■ Definition Auswirkung/Schadensausmass: Das Schadensausmass zeigt die mögliche Risikoauswirkung auf das Projekt auf.
26
Die folgenden Rollen und Verantwortlichkeiten im Projekt sind zu
berücksichtigen:
Mittlere Risiken mit Handlungsbedarf
Projektspezifische Anpassungen: Die Achsen der Matrix (Eintretenswahrscheinlichkeit, Schadensausmass) müssen auf das
Projekt angepasst werden.
■ Bewertung der Risiken: Die
Priorisierung der Risiken erfolgt
primär durch das Projektleitungsteam und sekundär durch den
Risikomanager. Bei unterschiedlicher Bewertung muss ein Konsens zwischen Projektleitungsteam und Risikomanager erarbeitet werden. Der Stand der
Risiko-Matrix (Top-Risiken) und
der Massnahmen soll regelmässig bei Projektsitzungen und mit
dem Steering Committee (Projektaufsicht) kommuniziert werden.
■
Kleine Risiken ohne Handlungsbedarf
Risiko-Katalog
Im Risiko-Katalog werden mögliche Risiken beschrieben, eingeschätzt und falls notwendig mit
Massnahmen versehen. Der Risikomanager ist für den aktuellen
Status des Risikokataloges verantwortlich und führt ihn regelmässig nach. Die Massnahmen zur Risikominimierung werden vom Risikomanager und dem Projektteam erarbeitet.
Rollen und Verantwortlichkeiten
Bereits bei Projektbeginn sind die
Rollen und Verantwortlichkeiten
betreffend Risikomanagement
definiert. Dies führt zu Klarheit
und Effizienz im Projektverlauf.
Projekt-Auftraggeber/ProjektSponsor
Der Projekt-Auftraggeber (oder
delegiert an Projektleiter) definiert die Anforderungen (Art,
Umfang und Detaillierungsgrad)
an das Risikomanagement im
Projekt und er führt eine erste
Grobanalyse des Projektes durch.
Er überwacht die Organisation
und die Prozesse des ProjektRisikomanagements, trägt zudem
die Verantwortung, dass das definierte Risikomanagement im Projekt durchgeführt wird und übernimmt die Aufsichtsfunktion zur
Risikostrategie. Er setzt nach Bedarf, Projektgrösse und Projektkomplexität einen unabhängigen
Projekt-Risikomanager ein.
Projektaufsicht/Steering
Committee
Die Projektaufsicht ermöglicht
dem Projekt-Risikomanager die
Teilnahme an den Projektaufsichtssitzungen und den Projektleitungssitzungen. Sie sorgt für
eine unabhängige Position des
Projekt-Risikomanagers innerhalb des Projektes und ermöglicht
den Zugang zu Informationen,
Dokumenten und Strukturen.
Projektleiter
Der Projektleiter oder der ProjektRisikomanager verantwortet das
Risikomanagement, indem er den
PRM-Prozess in seine Projektplanung einbaut. Er stellt den Zugang des Risikomanagements zu
allen Informationen, zu beteiligten Projektmitarbeitern, Projektdokumenten, Informations- und
Arbeitssitzungen sicher.
Projekt-Risikomanager
Der Projekt-Risikomanager führt
die Risikobeurteilung in Form von
anerkannten Methoden (Workshops, Interviews, Checklisten,
MQ Management und Qualität 11/2009
RISIKEN MANAGEN
usw.) durch. Er ist für das regelmässige Reporting der Resultate
der Risikobeurteilung an den Projektleiter beziehungsweise die
Projektaufsicht verantwortlich.
Der Projekt-Risikomanager führt
auch die periodische Aktualisierung des Risikokataloges und das
Reporting der Top-Risken durch
und koordiniert die Einschätzung
Risikofreundliche
Kultur
der möglichen Risiken nach Eintretenswahrscheinlichkeit und
Schadensausmass und die Bestimmung der Top-Risiken in der
Risikomatrix. Er strukturiert die
identifizierten Risiken nach Risikofeldern und bestimmt die Risiko-Verantwortlichen. Der ProjektRisikomanager ist dem ProjektAuftraggeber (Sponsor), der Projektaufsicht (Steering Committee)
oder dem Projektleiter unterstellt.
an die übergeordnete Organisation übernehmen.
Erfolgsfaktoren
Um die möglichen Risiken in Projekten zu erfassen, führen nach
unserer Erfahrung folgende sechs
Erfolgsfaktoren zum Ziel:
1. Durchführung von Workshops
als anerkanntes Brainstorming-, Risiko-Analyse und -Bewertungsinstrument.
2. Benchmark in anderen vergleichbaren Projekten.
3. Einsatz von Checklisten bei der
Durchführung der Risikoanalyse in Workshops/Interviews.
4. Wahl geeigneter Risikostrategien beziehungsweise Wahl von
Massnahmen zur Steuerung
der Projekt-Risiken.
5. Bei kritischen Projekten Wahl
eines unabhängigen ProjektRisikomanagers; soll Aussensicht gewährleisten und Risikowahrnehmung stärken.
6. Durchführung Review-Prozess
zur periodischen Überprüfung
der Risikoanalyse bei kritischen Projekten.
Risiko-Verantwortlicher
Der Risiko-Verantwortliche ist
operativ verantwortlich, die genehmigte Risikostrategie sowie
die Massnahmen umzusetzen
und durchzuführen. Er übernimmt die eigentliche Aufgabe
der Risikominimierung. Der Risiko-Verantwortliche erarbeitet die
detaillierte Risikobeschreibung in
Zusammenarbeit mit dem Projekt-Risikomanager im Risikokatalog, inkl. der Massnahmenstrategie, das Reporting der Massnahmenfortschritte an den Projekt-Risikomanager.
Projektcontrolling
Das Projektcontrolling kann Aufgaben im Reporting von Projektrisiken übernehmen und stellt
sicher, dass die Grundsätze des
PRM angewendet werden. Das
Projektcontrolling kann auch das
Reporting der Top-Projekt-Risiken
MQ Management und Qualität 11/2009
Neben diesen «harten» sind auch
folgende «weiche» Faktoren für
den Erfolg des Risikomanagements unabdingbar: Risikofreundliche Kultur (Risikomanagement wird als Lösungsprozess
angesehen und verstanden und
nicht als Störfaktor, man ist auch
bereit, offen Risiken anzusprechen) und direktes Reporting der
Resultate an Organisations-Risikomanagement oder Projektleitung. Das Risikomanagement soll
auch qualitative Bewertungen
vornehmen und Extremereignisse
berücksichtigen. Im Weiteren ist
Risikomanagement eine normierte Managementdisziplin und verfügt über anerkannte Normen
(ISO 31000 und ONR 49000), welche die Umsetzung des Risikomanagements erleichtern und
unterstützen (Gesamtübersicht
Grafik 4).
Gesamtübersicht
Grafik 4
Zusammenfassender Prozessablauf Risikoanalyse
Neues Projekt
und Voranalyse
1. Schritt Voranalyse
(vor oder bei Projektstart)
Entscheid zum Projektrisikomanagement (PRM)
Definition der
PRM-Vorgehensweise
Auslösung der 1. Schrittes,
der Voranalyse
Auswertung der Resultate
der Voranalyse
Definition der PRM-Stufe I,
II oder III
Voranalyse durch ProjektAuftraggeber
Projektleiter oder
Projekt-Risikomanager
Entscheid/Start
PRM I, II oder III
2. Schritt Hauptanalyse
(bei der Projektdefinition,
der Projektierung)
3. Schritt
Detailanalyse Projektrisiken
Eintrag der Risikoanalyse
Resultate Risikokatalog
und Matrix
Durchführung Hauptanalyse
Projekt
Durchführung mit Interviews
und Workshops
Herausarbeiten zusätzlicher
Kernrisiken
Durchführung Detailanalyse
Projekt
Durchführung mit Interviews
und Workshops
Herausarbeiten zusätzlicher
Kernrisiken
Entscheid
Kernrisiken und
Risikostrategie
definieren
Risikostrategie umsetzen
und Neubewertungen
Review Schritt 2 und 3
4. Schritt
Abschlussanalyse
Projektrisiken
Review des Risikokatalogs
Neubewertung der RisikoMatrix
Review-Zyklus angepasst
auf Projekt
Durchführung Abschlussanalyse Projekt
Übergabe Risikokatalog und
Matrix an Kunden
Kommunikation der Restrisiken
Review des PRM
Abschluss
PRM
Zusammenfassung
Projekte ohne Risiken sind demzufolge auch ohne Chancen und
erzeugen daher auch keinen
Mehrwert. Risikomanagement in
Projekten soll einerseits zum Projekterfolg verhelfen, andererseits
soll das erfolgreiche Weiterbeste-
hen der Organisation beziehungsweise Unternehmung sichergestellt sein und die gesetzlichen
Forderungen umgesetzt werden,
indem die Risiken bewusst erkannt und soweit nötig und möglich reduziert werden.
■
27