Baustein RM-25: Entwickeln von Maßnahmen

1Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein:RM-25 Entwickeln von Maßnahmen - Version 2.0: 06/2001

DKR Unternehmensberatung

Baustein RM-25:

Entwickeln von Maßnahmen



Inhalte des Bausteins

Entwickeln von Maßnahmen: Charakterisierung Entwickeln von Maßnahmen: Überblick Werkzeuge und Techniken Ergebnisse Beispiel: Top Ten Risikoelemente - typische

Maßnahmen Empfehlungen für das Entwickeln von Maßnahmen Übung 5: Entwickeln von Maßnahmen



Entwickeln von Maßnahmen Charakterisierung

Entwickeln von Maßnahmen bedeutet, Abwehrmaßnahmen gegen mögliche Bedrohungen durch Risiken festzulegen.

Abwehrmaßnahmen fallen in eine der folgenden vier Kategorien: Risikovermeidung - eliminieren einer bestimmten Bedrohung,

normalerweise durch eliminieren der Quelle. Risikoübertragung - übertragen der Verantwortung für das

Risiko auf eine andere Partei. Risikomilderung (Mitigation) - reduzieren der Risikoaussetzung

z. B. durch reduzieren der Eintrittswahrscheinlichkeit des Risikos oder durch reduzieren des Risikowertes.

Risikoakzeptanz - akzeptieren der Konsequenzen des Risikoeintritts.



Entwickeln von Maßnahmen: Überblick (1)

Input: Risiko-Management Plan Liste der priorisierten Risiken Rangfolge der Risiken Liste der priorisierten und quantifizierten Risiken Wahrscheinlichkeitsanalyse des Projekts Wahrscheinlichkeit, die Kosten - und Zeitplanziele zu erreichen Liste möglicher Maßnahmen (die bei der Analyse bereits notiert wurden) Risikoeigentümer (Projektbeteiligte, die verantwortlich für die

Risikoabwehrmaßnahmengemacht werden) Risikotoleranz(en) der Entscheider (Auftraggeber, Sponsor etc.) Generelle Risikoquellen (Quellen, die mehr als ein Risiko verursachen)

Werkzeuge und Techniken: Brainstorming Risikovermeidung Risikoübertragung Risikomilderung Risikoakzeptanz Notfallplanung Risikoreduktionsfaktor Projektwert



Entwickeln von Maßnahmen: Überblick (2)

Ergebnisse Risikoabwehr-Maßnahmen Plan Restrisiken Sekundärrisiken Verträge Notfallpläne Benötigte Reserven/Puffer Input für andere Prozesse

Anmerkung: Es gibt verschiedene Strategien, mit denen man Risiken begegnen kann (s. im folgenden). Für jedes Risiko sollte die Strategie gewählt werden, die wahrscheinlich den besten Effekt verspricht. Dann müssen spezielle Aktionen entwickelt werden, um die Strategie zu implementieren. Man kann auch primäre und Back up Strategien entwickeln, wenn es sich um eine besonders gefährliches Risiko handelt.



Werkzeuge und Techniken: Risikovermeidung

Risikovermeidung bedeutet, die Projektplanung zu ändern, um das Risiko zu eliminieren oder um die Projektziele vor seinen Auswirkungen zu schützen. Obwohl das Projektteam niemals alle Risiken eliminieren kann, ist es doch in der Regel möglich, einen Teil der Risiken unschädlich zu machen

Einige Risiken, die frühzeitig im Projektverlauf auftreten, können z. B. durch Präzisierung der Anforderungen, durch Sammeln von zusätzlichen Informationen, durch Verbesserung der Kommunikation oder durch Beschaffung von Fach-Know How eliminiert werden.

Andere Möglichkeiten sind, den Projektumfang zu reduzieren, um stark risikobehaftete Aktivitäten auszuschließen, mehr Ressourcen bereit zu stellen, den Endtermin hinaus zu schieben, eine bekannte Vorgehensweise zu wählen anstatt einer neuen oder einen unbekannten Subkontraktor durch einen bekannten zu ersetzen.



Werkzeuge und Techniken: Risikoübertragung

Bei der Strategie der Risikoübertragung versucht man, das Risiko und die Verantwortung für die Abwehrmaßnahmen auf einen Dritten zu übertragen. Risikoübertragung eliminiert nicht das Risiko, sondern gibt nur jemand anders die Verantwortung dafür.

Risikoübertragung eignet sich besonders gut für finanzielle Risiken. Natürlich kostet es etwas, damit eine andere Partei die Verantwortung für das Risiko übernimmt. Typische Maßnahmen sind z. B. Abschluss von Versicherungen, Zusichern lassen von Leistungsdaten, Gewährleistung oder Garantien.

Dies vereinbart man gewöhnlich in Verträgen. Ein Festpreisvertrag z. B. überträgt die Projektrisiken auf den Auftragnehmer, wenn das Design stabil ist. Ein Vertrag, in dem nach Aufwand abgerechnet wird, lässt zwar mehr Risiken beim Auftraggeber, kann jedoch auch Kosten reduzieren, wenn sich während der Laufzeit des Projekts plötzlich wesentliche Änderungen ergeben.



Werkzeuge und Techniken: Risikomilderung

Beim Einsatz der Strategie Risikomilderung ist das Ziel, die Risikoeintrittswahrscheinlichkeit oder die möglichen Konsequenzen des Risikos soweit zu reduzieren, dass sie innerhalb der Risikotoleranz der Beteiligten liegen. Es ist gewöhnlich effektiver und kostengünstiger, bereits frühzeitig Maßnahmen zur Risikomilderung zu ergreifen anstatt die Folgen auszubaden, wen das Kind in den Brunnen gefallen ist.

Risikomilderungsmaßnahmen zur Reduktion eines sind z. B. die Prozesse zu vereinfachen, mehr Tests der Werkzeuge vor ihrem Einsatz durchzuführen, einen wirtschaftlich stabilen Vertragspartner auszuwählen, dem Projekt mehr Ressourcen zur Verfügung zu stellen oder den Zeitplan zu verändern.

Risikomilderung kann z. B. Prototyping erfordern, um das Risiko die falsche Funktionalität zu entwickeln zu verringern oder um die Machbarkeit eines bestimmten Design zu verifizieren.



Werkzeuge und Techniken: Risikoakzeptanz

Bei Wahl der Strategie Risikoakzeptanz wird entschieden, den Projektplan nicht zu ändern, um dem Risiko zu begegnen oder das Team sieht sich nicht in der Lage, geeignete Maßnahmen zu identifizieren.

Aktive Akzeptanz bedeutet, einen Notfallplan zu entwickeln, der ausgeführt wird, wenn das Risiko eintritt

Passive Akzeptanz bedeutet, einfach abzuwarten und es dem Projektteam zu überlassen auf das Risikoereignis zu reagieren, falls es eintritt.



Werkzeuge und Techniken: Notfallplanung

Notfallplanung heißt, Aktionsschritte zu definieren, die ausgeführt werden, falls ein identifiziertes Risikoereignis eintritt. Die Entwicklung eines Notfallplans mit entsprechenden Vorkehrungen kann die Kosten der Reaktion auf das eingetretene Risiko beträchtlich reduzieren. Risikosymptome, wie z. B. das Nicht-Erreichen von Meilensteinen, sollten überwacht werden. Möglicherweise ist es auch erforderlich eine Rückfallposition zu definieren: Was passiert, wenn das Projekt gar nicht oder viel zu spät fertig wird (z. B. ein Projekt zur Behandlung des Euro, das nicht zum 1. 1. 2002 fertig wird).

Die häufigste Art der Notfallplanung besteht darin, Reserven einzuplanen - Zeit, Geld oder Ressourcen. Die Reserven müssen angemessen sein im Verhältnis zur Größe des Risikos.

Notfallpläne sind üblicherweise ein Teil des Risikoabwehr-Maßnah-men Plans, aber sie können auch in andere Projektteilpläne integriert werden, z. B. in dem Qualitätsmanagementplan.



Werkzeuge und Techniken:Risikoreduktionsfaktor und Projektwert

Der Risikoreduktionsfaktor ist der Mittelwert der Erfolgswahrscheinlichkeit aller Maßnahmen, die zur Abwehr eines bestimmten Risikos getroffen worden. Durch Multiplikation mit der Risikoaussetzung wird diese reduziert.

Der Projektwert = Projektnutzen (min) - Risikoaussetzung (max) - Projektkosten ist dann besonders nützlich, wenn man verschiedene Lösungen für ein Problem vergleichen will (z. B. Eigenentwicklung versus Einführung von Standardsoftware oder Reengineering versus Neuentwicklung).

Wenn Sie feststellen, dass ihr Projektwert nahe Null oder negativ ist sollten Sie das ganze Projekt vielleicht noch einmal überdenken.



Ergebnisse: Risikoabwehr-Maßnahmen Plan

Der Risikoabwehr-Maßnahmen Plan ist ein Unterplan des allgemeinen Projektplans.

Im Risikoabwehr-Maßnahmen Plan werden alle Prozeduren dokumentiert, die im Projekt zum Management der Risiken eingesetzt werden sollen.

Weiter enthält er alle identifizierten Risiken, ihre Bewertung, die Verantwortung für das Management der Risiken in den einzelnen Kategorien

(Risikoeigentümer), wie die Risiken überwacht werden sollen, wie aufgestellte Notfallpläne implementiert werden sollen und

wie zur Abmilderung von Risiken Reserven zugeordnet werden können.

Ein Risikoabwehr-Maßnahmen Plan kann formell oder informell sein, er kann sehr detailliert oder nur grob ausgeführt sein - das hängt von den Anforderungen des Projekts ab.



Beispiel: Top Ten Risikoelemente - typische Maßnahmen (1)

Risikoelement Risikomanagementmaßnahmen1. Personelle Defizite Hochtalentierte Mitarbeiter einstellen

Teams zusammenstellen2. Unrealistische Termin- und Kostenvorgaben

Detaillierte Kosten- und Zeitschätzungmit mehreren Methoden

Produkt an Kostenvorgabenorientieren

Inkrementelle Entwicklung Wiederverwendung von Software Anforderungen streichen

3. Entwicklung von falschen Funktionen und Eigenschaften

Benutzerbeteiligung Prototypen Frühzeitiges Benutzerhandbuch

4. Entwicklung der falschen Benutzer- schnittstelle

Prototypen Aufgabenanalyse Benutzerbeteiligung

5. Vergolden (über das Ziel hinaus- schießen)

Anforderungen streichen Prototypen Kosten-/Nutzenanalyse Entwicklung an den Kosten orientieren

Quelle: Helmut Balzert, Lehrbuch der Software-Technik, Bd. 1, Spektrum 1998



Beispiel: Top 10 Risikoelemente - typische Maßnahmen (2)

Risikoelement Risikomanagementmaßnahmen6. Kontinuierliche Anforderungs- änderungen

Hohe Änderungsschwelle Inkrementelle Entwicklung

(Änderungen auf spätereErweiterungen verschieben)

7. Defizite bei extern gelieferten Komponenten

Leistungstest Inspektionen Kompatibilitätsanalyse

8. Defizite bei extern erledigten Aufträgen Prototypen Frühzeitige Überprüfung Kompatibilitätsanalyse

9. Defizite in der Echtzeitleistung Simulation Leistungstest Modellierung Prototypen Instrumentierung Tuning

10. Überfordern der Software-Technik Technische Analyse Kosten-/Nutzenanalyse Prototypen

Quelle: Helmut Balzert, Lehrbuch der Software-Technik, Bd. 1, Spektrum 1998



Ergebnisse: Restrisiken und Sekundärrisiken

Restrisiken sind solche, die verbleiben, nachdem Maßnahmen zur Risikovermeidung, Risikoübertragung oder Risikomilderung ausgeführt wurden. Sie umfassen weiter kleinere Risiken, die akzeptiert bzw. adressiert wurden, indem Reserven in das Budget oder den Zeitplan eingebaut wurden.

Sekundärrisiken sind Risiken, die sich aus einer Risikoabwehrmaßnahme ergeben. Sie müssen ebenfalls identifiziert und angemessen adressiert werden. Beispielsweise kann die Milderung des Kostenrisikos durch

einen Festpreiskontrakt ein Qualitätsrisiko zur Folge haben, wenn der Lieferant aus Kostengründen Kompromisse bei der Qualität macht.



Ergebnisse: Verträge

Verträge zur Risikoübertragung bzw. Risikomilderung kann man z. B. schließen für Versicherungen Dienstleistungen Hardwarebeschaffung Softwarebeschaffung.

Vertragliche Vereinbarungen und ihre genauen Vertagsbedingungen und -konditionen können einen ganz erheblichen Einfluss auf den Umfang der Risikoreduktion haben.



Ergebnisse: Benötigte Reserven/Puffer

Eine Reserve ist eine Vorsorge, die im Projektplan vorgesehen ist, um z. B. Kosten- und/oder Zeitplanrisiken zu mildern.

Der Ausdruck wird oft in Zusammenhang mit einem qualifizierenden Substantiv gebraucht (z. B. Management Reserve, Notfall-Reserve, Zeitplan-Reserve (Pufferzeit)), um anzudeuten, welche Art von Risiken gemildert werden sollen.

Was ein solcher Begriff jeweils genau bedeutet, hängt vom Anwendungsgebiet ab, ebenso wie die Definition, was genau in der Reserve eingeschlossen ist.



Ergebnisse: Input für andere Prozesse

Ausgewählte oder vorgeschlagene alternative Strategien, Notfallpläne, vorgeschlagene Beschaffungsmaßnahmen und andere mit der Risikobehandlung verbundene Ergebnisse müssen wieder als Input in den Projektplanungsprozess eingehen, um die Planung an die neu gewonnenen Erkenntnisse anpassen zu können.

Risikoabwehr-Maßnahmen

Plan

Projekteinzelpläne



Empfehlungen für das Entwickeln von Maßnahmen (1)

Projekttyp 1 und 2:

Entwickeln Sie Maßnahmen für die Top Ten Risiken (wenn Sie die S:PRIME Methode anwenden, werden Ihnen Maßnahmen durch die Software vorgeschlagen). Berechnen sie die Restrisiken und den Projektwert. Weisen Sie die Verantwortung für die Risiken den ausgewählten Risikoeigentümern zu und stellen Ressourcen und Budget zur Umsetzung der Maßnahmen bereit. Dokumentieren Sie alle zu treffenden Maßnahmen im Risikoabwehr-Maßnahmen plan.



Empfehlungen für das Entwickeln von Maßnahmen (2)

Projekttyp 3:

Entwickeln Sie Maßnahmen für die relevanten (Urteil des Projektleiters) Risiken (max 10). Stellen Sie Ressourcen und Budget zur Umsetzung der Maßnahmen bereit (Risikoeigentümer ist der Projektleiter). Dokumentieren Sie alle zu treffenden Maßnahmen im Risikoabwehr-Maßnahmen Plan.

Projekttyp 4:

Entwickeln Sie Maßnahmen für die relevanten (Urteil des Projektleiters) Risiken (max 5). Stellen Sie Ressourcen und Budget zur Umsetzung der Maßnahmen bereit (Risikoeigentümer ist der Projektleiter). Dokumentieren Sie alle zu treffenden Maßnahmen im Risikoabwehr-Maßnahmen Plan.



Übung 5: Entwickeln von Maßnahmen

Nehmen Sie die Top Ten Risiken aus Übung 4. Definieren Sie Maßnahmen. Welche Strategie wollen Sie jeweils anwenden? Wie schätzen Sie die Wirksamkeit Ihrer Maßnahmen ein? Treten Sekundärrisiken auf? Um wieviel reduziert sich die Risikoaussetzung des Projekts

wahrscheinlich?

Arbeit in Teams von 3 - 5 Personen

Dauer: 45 Minuten



Diskussion

Entwickeln von Maßnahmen

Documents

Baustein RM-25: Entwickeln von Maßnahmen