Upload
angelika-hofmann
View
212
Download
0
Embed Size (px)
Citation preview
IT-Projektmanagement
6.5 Risikomanagement
Masterstudiengang
Prof. Dr. Walter Ruf
1
Prof. Dr. Walter Ruf
1. Begriff
• Unter Risiko versteht man im betrieblichen Bereich die Gefahr, „dass Ereignisse oder Handlungen ein Unternehmen daran hindern, seine Ziele zu erreichen bzw. seine Strategien erfolgreich umzusetzen.“ (Gaulke, M.: Risikomanagement in IT-Projekten, Oldenbourg 2004, S. 3)
• Allgemein:– Gefahr einer ungünstigen Entwicklung
• Projektrisiko– „Unwägbarkeiten des technischen und/oder wirtschaftlichen
Projekterfolges.“
2
Prof. Dr. Walter Ruf
Risikomanagement
• „Risikomanagement ist die systematische Anwendung von Managementgrundsätzen, -verfahren und -praktiken zur Festlegung des Kontextes, Identifizierung, Analyse, Bewertung, Beurteilung, Steuerung/Bewältigung, Überwachung und Kommunikation von Risiken derart, dass Organisationen auf wirtschaftliche Weise Verluste minimieren und Chancen optimieren können.“ (DIN 62198)
• Risikomanagement beinhaltet– die Identifikation und Analyse von Risiken,– die Beurteilung und Einschätzung von Risiken,– die Entwicklung von Strategien im Umgang mit Risiken sowie– die Kontrolle und Überwachung der Risiken.
3
Prof. Dr. Walter Ruf
Ziele beim Risikomanagement
Projekte ohne Risiken gibt es nicht!
Ziele:– Risiken erkennen– Risikobereiche positiv beeinflussen– Auswirkungen von Risiken minimieren
4
Prof. Dr. Walter Ruf
Risikomanagement in der Praxis
• Untersuchung von Hindel et al (2004):– Bei Projekten, die außer Kontrolle geraten waren wurde
festgestellt, dass:• 55% hatten gar kein Risikomanagement• 38% betrieben nur ein halbherziges Risikomanagement• 7% konnten nicht sagen, ob ein Risikomanagement überhaupt
gemacht wurde.• Untersuchung von Rezagholi bei Projekten zur
Softwareentwicklung:– 53% hatten kein Risikomanagement– 38% verfügten ansatzweise über ein Risikomanagement– In 9% war ein systematisches Risikomanagement vorhanden.
5
Prof. Dr. Walter Ruf
Warum nimmt die Bedeutung von Risikomanagement zu?
• KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich)
„§ 91 (2) Der Vorstand hat geeignete Maßnahmen zutreffen, insbesondere ein Überwachungssystem einzurichten,damit den Fortbestand der Gesellschaftgefährdende Entwicklungen früh erkannt werden.“http://www.gesetze-im-internet.de/aktg/
• KonTraG gilt – prinzipiell für Aktiengesellschaften und große Unternehmen.
(Teil vom AktG)– zu den großen U. zählen
» Bilanzsumme: > 3,44 Mio. €; Umsatz > 6,87 Mio. € » Mitarbeiter > 50 (2 von 3 Kriterien müssen erfüllt sein.) vgl. Versteegen
(Hrsg.: Risikomanagement in IT-Projekten, S. 5)
• Releasezyklen werden kürzer• Haftungsrecht wird strenger• enger werdende Budgets
6
Prof. Dr. Walter Ruf
2. Risikofaktoren in IT-Projekten (1)
• Technische Risiken– Hardwareausfall– erstmaliger Einsatz von Tools, Hard- und Softwarekomponenten– fehlerhafte Verwendung von Entwicklungstools– mangelhafte Integration in das IT-Produktumfeld– fehlerhafte Einschätzung in der künftigen Technologieentwicklung
• Finanzielle Risiken– zu geringe Ressourcenausstattung– nicht einzuhaltende Terminvorgaben– Prognosefehler bei der Schätzung des Ressourcenverbrauchs– unrealistische Budgets
7
Prof. Dr. Walter Ruf
Risikofaktoren in IT-Projekten (2)
• Personelle Risiken– mangelnde Qualifikation der IT-Projektmitarbeiter– unerfahrene IT-Projektmitarbeiter– unerfahrener IT-Projektleiter– mangelnde Kooperationsbereitschaft der IT-Projektmitarbeiter– …
8
Im Jahr 2012 betrug der Krankenstand in deutschen Unternehmen 3,6%. Dies entspricht 13,2 Fehltage pro Versicherten.
Prof. Dr. Walter Ruf
Risikofaktoren in IT-Projekten (2)
• Produktrisiken– zu hohe Komplexität des Endproduktes– fehlerhafte Projektstrukturierung– Fehler bei der Bildung von Arbeitspaketen– fehlerhafte Funktionen– Design- und Implementierungsfehler– zeitaufwändige Fehlerbehebung
• Organisatorische Risiken / Prozessrisiken– Qualitätsmängel im Endprodukt– mangelnde Unterstützung durch die Fachabteilungen– fehlerhafte Zuliefererprodukte
• Managementrisiken– unklare Projektziele– unklarer Projektantrag– unklarer Projektauftrag– Prognosefehler bei der Schätzung von Projektzeiten
9
Prof. Dr. Walter Ruf
Risikofaktoren in IT-Projekten (3)
• Risiken im Anwendungsumfeld– unklare und unvollständige Benutzerwünsche– Widerstände bei den Betroffenen– behördliche Widerstände– politische Risiken– Risiken durch Wettbewerber
10
Prof. Dr. Walter Ruf
Risiken bestehen aus 3 Komponenten
1. aus einem Ereignis, das zum Risikoeintritt führt.2. aus einer Wahrscheinlichkeit mit der das Risiko eintritt3. aus einer Auswirkung, die dieses Ereignis mit sich
bringt
11
Prof. Dr. Walter Ruf
Einfluss des Risikomanagements
12
Definition Planung Realisierung Abschluss
Uns
iche
rhei
t
Zeitlicher Projektverlauf
Auf
wan
d / K
oste
n
Einfluss von Risikomanagement nimmt ab
Eintrittswahrscheinlichkeit
Aufwand zur Behebung eines Risikos
Prof. Dr. Walter Ruf
4 Stufen (Prozessschritte) des Risikomanagements
13
Prof. Dr. Walter Ruf
1. Identifikation von Risiken
• möglichst vollständige Erfassung von zu erwartenden Risiken
• proaktive Erfassung von Risiken• Maßnahmen:
– Risikoworkshop– Fragebogen zur Risikoerfassung
• Praxistipp:
14
Beispiel für ein mögliches Vorgehen:1. Erstellen eines Fragebogens zur Sammlung einer ersten Auswahl bereits
erkannter Risiken.
2. Dokumentation der erfassten Risiken und Kategorisierung der Ergebnisse.
3. Ergänzen der Ergebnisse um weitere Haupteinflussgrößen.
4. Durchführung eines Workshops unter Verwendung einer Kreativitätsmethode (z.B. Brainstorming). Als Basis dienen die bereits festgestellten Risiken, deren Kategorien und die hinzugefügten Haupteinflussfaktoren.
Prof. Dr. Walter Ruf
Risikoidentifizierung
• Risikoidentifizierung während der gesamten Projektlaufzeit– In der Initialisierungsphase
• Vor der Angebotserstellung– Budget vorhanden? Stellenwert des Projektes für den Kunden? …
• Während der Auftragsklärung– Wirtschaftliche Situation des Auftraggebers?– Einzusetzende Technologien
– …
15
Initiali-sierung Definition Planung Steuerung Abschluss
Risikoidentifizierung
Prof. Dr. Walter Ruf
Risikokatalog
16
Prof. Dr. Walter Ruf
2. Analyse und Bewertung von Risiken (1)
• Kategorisierung der Ergebnisse aus der Identifikation von Risiken• ggf. Bewertung von Risiken mit Eintrittswahrscheinlichkeiten• Fragen im Rahmen der Risikoanalyse und Bewertung
17
Schwellwert und Trigger,ab denen das Risiko als
eingetreten gilt Auswirkung
bei Eintritt desRisikos
Priorität des Risikosim Verhältnis zuanderen Risiken
Auswirkungen beiEintritt auf dasGesamtprojekt
Zeitfenster, in demdas Risiko
eintreten kann
Frequenz, mitder das Risikoeintreten kann
Wahrscheinlichkeit,mit der das Risiko
eintritt
Prof. Dr. Walter Ruf
Analyse und Bewertung von Risiken (2)
• Hinweis zur Durchführung:– Risikobeurteilung durch ein Formular
18
Risiko: Ausfall des HauptrechnersEintrittswahrscheinlichkeit (p) für das Risiko
Niedrig p = 0,2
Auswirkung auf die Bestimmungsgrößen des Projektes:Bestimmungsgröße Risikoklasse pLeistung / Funktionalität Niedrig 0,0Ressourcen Mittel 0,25Projektdauer Hoch 0,55Qualität Niedrig 0,0Schadenshöhe 85.000Risikowert (A) = Eintrittswahrscheinlichkeit * Schadenshöhe
17.000
Gegenmaßnahme: Aufbau eines Parallelsystems
Prof. Dr. Walter Ruf
Bestimmung von Risikoklassen
• Beispiel für die Zuordnung einer Riskoklasse aufgrund von Eintrittswahrscheinlichkeiten
19
Wahrscheinlichkeit für das Eintreten des Risikos
Risikoklasse Eintrittswahrscheinlichkeit Wahrscheinlichkeit (p)
Sehr Hoch Über 80% 0,75 – 1,0
Hoch 51% – 80 % 0,51 – 0,74
Mittel 20% – 50% 0,25 – 0,5
Niedrig Unter 20% 0,0 – 0,24
Prof. Dr. Walter Ruf
„The Seven Keys to Success“ (IBM)
1. Sind alle Projektziele klar definiert und beschrieben?2. Ist der Mehrwert für den Auftraggeber deutlich
herausgearbeitet?3. Unterstützen alle Projektbeteiligten das Projekt?4. Sind alle Risiken bekannt und unter ständiger
Kontrolle?5. Sind der Aufwand und der Projektablauf kalkulierbar?6. Ist das Projektteam motiviert und leistungsfähig?7. Ist für die Leistungserbringer ein Mehrwert
vorhanden?
20
Prof. Dr. Walter Ruf
Risikowert
• Eintrittswahrscheinlichkeit und Schadenshöhe können von den am Projekt beteiligten Personen geschätzt werden.
• Praxistipp:– Vorgabe von Skalen (z.B. 1 – 5)– Schadenshöhe: 1 = niedriger Schaden; 2 = geringer Schaden;
… 5 sehr hoher Schaden– Eintrittswahrscheinlichkeit: 0 = sehr unwahrscheinlich; 1 =
unwahrscheinlich; … 5 sehr wahrscheinlich
21
Risikowert = Eintrittswahrscheinlichkeit * Schadenshöhe
Prof. Dr. Walter Ruf
Bew
erte
ter R
isik
okat
alog
22
Prof. Dr. Walter Ruf
Risikoportfolio
• Mapping von Wahrscheinlichkeit und Schadenshöhe• „Faustformel“:
IT-Risiken und ihre Komplexität zu verstehen ist der erste Schritt zur Vermeidung derselben.
23
Dringend Maximal
Dringend
Dringend
DringendDringend
Dringend
Maximal
Maximal
Relevant
Niedrig Relevant Relevant
RelevantRelevant Dringend
Sehr hoch
Hoch
Mittel
Niedrig
Sehr hochHochMittelNiedrigWahrscheinlichkeit
Schadenshöhe
Prof. Dr. Walter Ruf
3. Risiko-Reaktionsplanung
24
Risiken ver-
meiden
Risiken akzep-tieren
Risiken übertra-
gen
Risiken versicherrn
Risiken ein-
grenzen
Prof. Dr. Walter Ruf
Priorisierter Risikokatalog
25
Prof. Dr. Walter Ruf
Risiken vermeiden
• Definition von Prozessen und Strategien zur Risikovermeidung
• Risiken, die nicht identifiziert und analysiert wurden, können nicht gesteuert werden!
• Beispiele für Maßnahmen:– Erwerb von Produkten bei „sicheren“ Lieferanten– Vertragsprüfung durch Juristen– Zusammenarbeit mit bewährten Outsourcingpartnern– Einsatz von Entwicklern mit Erfahrung in besonders kritischen
Prozessschritten– Einrichtung einer Firewall– verstärkter Einsatz von Standardsoftware– Erhöhung der Ausfallsicherheit von IT-Systemen (z.B.
Spiegelserver)
26
Prof. Dr. Walter Ruf
Risiken vermeiden
27
Prof. Dr. Walter Ruf
Risiken akzeptieren
• Folgende Gründe können für die Akzeptanz von Risiken sprechen:1. Die Konsequenzen sind so gering, dass der Aufwand den
Nutzen übersteigt.2. Das Verhältnis von Eintrittswahrscheinlichkeit zu Auswirkung
ist sehr klein.3. Es gibt keine andere Alternative. Die Auswirkungen müssen
getragen werden.
28
Prof. Dr. Walter Ruf
Risiken übertragen
• Outsourcing von bestimmten Produktteile an Dritte. – Risiken werden vertraglich übertragen– Nutzung von strategischen Partnerschaften
• Beispiele– Übertragung von Risiken an Unterauftragnehmer– Vereinbarung von Haftungsausschlüssen (Anpassung von
AGBs)– Installation von Servern mit Glasfaserverbindungen durch
Partnerunternehmen
29
Prof. Dr. Walter Ruf
Risiken eingrenzen
Risiken können eingegrenzt werden: 1. indem die Wahrscheinlichkeit des Eintritts oder die
Auswirkung nach Eintritt reduziert wird.2. indem bereits frühzeitig Aktionen eingeleitet werden,
die bei Eintritt des Risikos ergriffen werden. Beispiel:SituationDas Risiko für den Ausfall eines wichtigen Mitarbeiters wurde sehr hoch priorisiert. Die Kenntnisse des Mitarbeiters sind in dem Unternehmen einmalig. Die Tätigkeiten und Aufgabenpakete des Mitarbeiters liegen mehrfach auf dem kritischen Pfad. Der Mitarbeiter ist zusätzlich ein begeisterter Skifahrer.Risikobegrenzunga) Eine sofortige Aktion für das Eindämmen der Auswirkungen wäre, einen Mitarbeiter zu schulen und beide Mitarbeiter ab sofort gemeinsam einzusetzen. b) Ein Plan, der bei Eintritt des Ereignisses greift, wäre zum jetzigen Zeitpunkt die Vorbereitung für den Einsatz eines externen Dienstleisters durchzuführen und entsprechende Anforderungs- und Auftragsprofile zu erstellen.
30
Prof. Dr. Walter Ruf
Risiken versichern
• Versicherungen im Hardwarebereich– Elektroniksachversicherungen (Schwachstromversicherung)– Datenträgerversicherungen
• SpezialversicherungenBeispiel: Von der Gothaer wird beispielsweise eine umfangreiche Versicherung angeboten, die auch den Ausfall von Hard- und Software (inkl. Webseiten bei Providern), insbesondere durch menschliche oder technische Ursachen wie Bedienungsfehler, Vandalismus, Hackerattacken usw. abdeckt
PraxistipBerücksichtigung von Sicherheitsreserven bei der
Projektkalkulation.
31
Prof. Dr. Walter Ruf
4. R
isik
en ü
berw
ache
n un
d R
eakt
ione
n au
slös
en
32