der angestrebten Projektziele so gering wie möglich zu halten. Diese Projektziele sind gewöhnlich:
Wie und in welchem Ausmaß sollten nun in der Praxis die Methoden des Risikomanagements zum Einsatz kommen? Im Allgemeinen hängt dieses von der Größe des Projekts und von den zur Verfügung stehenden Mitteln ab. Eine extensive Risikoanalyse und Bewertung aller Aspekte eines Projekts, die einen beträchtlichen Teil des Budgets verschlingt, hätte ihren Sinn verfehlt.
Eine ungleiche Aufteilung der für das Risikomanagement veranschlagten Zeit und Mittel über einzelne Projektziele und deren Unsicherheiten stellt wohl die vorteilhafteste Verfahrensweise dar. Einzelne Subsysteme oder Phasen des Projekts, die mit einem hohen Maß an Ungewissheit behaftet und für den Erfolg entscheidend sind, rechtfertigen eine detailliertere Analyse (eventuell mit verschiedenen Verfahren), wohingegen Abschnitte des Projekts, deren Ablauf und Kosten mit hoher Wahrscheinlichkeit feststehen, als zweitrangig behandelt werden können. Dieses ist die Aufgabe der Risikoselektion.
Außerdem sollten die einzelnen Subsysteme eines Projekts nicht ausschließlich getrennt voneinander analysiert werden, da die wechselseitigen Abhängigkeiten unter Umständen beträchtlich sind. Darüber hinaus sind die in den einzelnen Phasen angestrebten Ziele oft konträr. So wird eine Kürzung der zur Verfügung stehenden Zeit sich mit Sicherheit negativ auf den Faktor Leistung/Qualität auswirken. Als gemeinsame Basis für integrierte Analyseverfahren könnten die mit den Risiken letztlich verbundenen Kosten dienen.
Zu einem besseren Verständnis für die mit einem Projekt verbundenen Risiken führt der Einsatz von Techniken des Risikomanagements im Allgemeinen immer. Die notwendige Informationssammlung und -auswertung macht die Struktur und die logischen Abhängigkeiten einzelner Aspekte des Projekts transparenter und erleichtert die Entscheidungsfindung und Planerstellung. Die Erfolgswahrscheinlichkeit des Projekts wird damit auch bei komplexen Zusammenhängen sicherlich günstig beeinflusst werden und den Einsatz von Techniken des Risikomanagements rechtfertigen.
Nach Charette [4] ist Risikomanagement "die geplante Kontrolle der Risiken und die Überwachung des Erfolgs der Kontrollmechanismen." Das Risikomanagement beinhaltet eine Entscheidung über die Risiken, nachdem diese analysiert worden sind. Um Risikomanagement wirkungsvoll anwenden zu können, sind einige Voraussetzungen notwendig. Es müssen geeignete Maßstäbe zur Leistungsmessung vorhanden sein und Informationen, um ständig die aktuelle Leistung überwachen zu können. Der Projektmanager muss Erfahrung besitzen, um die beste von möglichen Alternativlösungen auszuwählen, und natürlich die Autorität und Kompetenz, um die getroffenen Entscheidungen auch durchsetzen zu können.
Im Folgenden wird kurz auf die drei genannten Aufgabenbereiche eingegangen.
3.1. Risikoplanung
Die Risikoplanung (risk planning) befasst sich unter anderem mit zwei grundlegenden Problemen: Einerseits wird überprüft, ob die zur Durchführung des Risikomanagements gewählte Strategie selbst korrekt und durchführbar ist. Andererseits wird geprüft, ob die zur Anwendung der Strategie zur Verfügung stehenden Taktiken und Mittel mit den Projektzielen in Einklang stehen. Außerdem wird hier die Durchführbarkeit von Risikokontrolle und Risikoüberwachung überprüft.
In der Phase der Risikoplanung werden die Entscheidungen getroffen, die im Wesentlichen auf den Ergebnissen der durchgeführten Risikoanalyse basieren. Hier findet im Prinzip auch eine Risikoselektion statt, denn es wird nicht nur entschieden, wie mit einem identifizierten und bewerteten Risiko umgegangen wird. Einige Risiken werden ausgeschlossen, nachdem festgestellt worden ist, dass sie zu vernachlässigen oder zumindest zu akzeptieren sind. Außerdem werden die Risiken bestimmt, gegen die man sich versichern kann, wobei natürlich zuvor eine Kosten-Nutzen-Analyse durchgeführt werden muss, denn auch eine Versicherung ist natürlich mit Kosten verbunden.
In einem Projekt, in dem eine Risikoanalyse durchgeführt wird, kann man die Projektplanung mit dem Risikomanagement gleichsetzen, da Risikokontrolle und -überwachung praktisch nicht stattfinden. Da ein Projekt ein dynamischer Prozess ist, ist diese Situation jedoch ziemlich unrealistisch und wird im Folgenden nicht weiter berücksichtigt.
3.2. Risikokontrolle
Die Risikokontrolle (risk control) befasst sich mit der Entwicklung und Überprüfung der Durchführbarkeit von Kontrollmechanismen, die eingesetzt sind, um Risiken einzuschränken, oder in unvorhergesehenen Fällen eingesetzt werden könnten. Außerdem werden hier der risk management plan (RMP) und der risk aversion plan (RAP) erstellt sowie ein aktualisiertes RES (risk estimate of the situation), auf die hier nicht näher eingegangen werden soll. Diese Pläne dienen ebenfalls als Grundlage für den Entscheidungsprozess.
3.3. Risikoüberwachung
Der Begriff Risikoüberwachung wurde nicht aus der benutzten Fachliteratur übernommen, sondern wird an dieser Stelle als Übersetzung des Begriffs risk monitoring eingeführt.
Die Risikoüberwachung kommt zum Tragen, nachdem Entscheidungen über Risikostrategien und Taktiken gefallen sind. Es wird überprüft, ob die getroffenen Entscheidungen die geplanten Folgen nach sich ziehen. Außerdem werden Gelegenheiten aufgezeigt, an denen man noch steuernd oder verbessernd eingreifen kann.
Es werden Erfahrungswerte und Daten für zukünftige Entscheidungen gesammelt, um neue Risiken oder solche, die mit der gewählten Strategie nicht erfasst werden, oder solche, deren Natur sich im Laufe der Zeit geändert hat, zu kontrollieren. Hier kommt also erneut die Risikoanalyse zum Tragen, um neue Daten zu sammeln. Ziel der Risikoüberwachung ist also festzustellen, ob eine gewählte Strategie wirkungsvoll genug ist oder ob eine neue Entscheidung zu treffen ist.
3.4. Einige "Grundregeln" des Risikomanagements
Charette [4] nennt einige einfache und plakative "Grundregeln" für erfolgreiches Risikomanagement, die ich für interessant genug halte, um an dieser Stelle angeführt zu werden.
Eigentlich ein Grundsatz aus der Physik. Wenn bei der Bearbeitung von Risiken mehr neue Risiken entstehen als bearbeitet werden können, dann soll man es sein lassen und diese Risiken nicht akzeptieren. Man hat meistens die Möglichkeit zu warten, bis durch die Risikobewertung und Risikoverdichtung größere Sicherheit entstanden ist. Sind die Risiken kleiner oder gleich den abgeschätzten, so braucht man sich nur noch auf unbekannte oder nicht vorhersehbare Risiken zu konzentrieren, worunter nicht nur neue Risiken zu verstehen sind, sondern auch solche, die durch Verbindung oder Vermischung bekannter Risiken entstanden sind. Die Suche nach diesen Fehlerquellen sollte eine hohe Priorität haben.
"Es ergibt einen großen Haufen, wenn man zu einem bisschen ein wenig hinzufügt." (zitiert frei nach Ovid). Diese Weisheit entspricht etwa dem deutschen Sprichwort "Kleinvieh macht auch Mist" und gilt natürlich auch für das Risikomanagement.
Die Risikoanalyse kann die Wahrscheinlichkeit des Eintretens irgendeines ungünstigen Ereignisses bestimmen, aber nichts über einzelne Ereignisse aussagen. Das Ziel des Risikomanagements ist die Verbesserung der Erfolgswahrscheinlichkeit. Alle Projektaktivitäten sind Nebenerscheinungen
