IT-Projektmanagement 6.5 Risikomanagement Masterstudiengang Prof. Dr. Walter Ruf 1

1. Begriff Unter Risiko versteht man im betrieblichen Bereich die Gefahr, „dass Ereignisse oder Handlungen ein Unternehmen daran hindern, seine Ziele zu erreichen bzw. seine Strategien erfolgreich umzusetzen.“ (Gaulke, M.: Risikomanagement in IT-Projekten, Oldenbourg 2004, S. 3) Allgemein: –Gefahr einer ungünstigen Entwicklung Projektrisiko –„Unwägbarkeiten des technischen und/oder wirtschaftlichen Projekterfolges.“ 2

Prof. Dr. Walter Ruf Risikomanagement „Risikomanagement ist die systematische Anwendung von Managementgrundsätzen, -verfahren und -praktiken zur Festlegung des Kontextes, Identifizierung, Analyse, Bewertung, Beurteilung, Steuerung/Bewältigung, Überwachung und Kommunikation von Risiken derart, dass Organisationen auf wirtschaftliche Weise Verluste minimieren und Chancen optimieren können.“ (DIN 62198) Risikomanagement beinhaltet –die Identifikation und Analyse von Risiken, –die Beurteilung und Einschätzung von Risiken, –die Entwicklung von Strategien im Umgang mit Risiken sowie –die Kontrolle und Überwachung der Risiken. 3

Prof. Dr. Walter Ruf Ziele beim Risikomanagement  Projekte ohne Risiken gibt es nicht!  Ziele: –Risiken erkennen –Risikobereiche positiv beeinflussen –Auswirkungen von Risiken minimieren 4

Prof. Dr. Walter Ruf Risikomanagement in der Praxis Untersuchung von Hindel et al (2004): –Bei Projekten, die außer Kontrolle geraten waren wurde festgestellt, dass: 55% hatten gar kein Risikomanagement 38% betrieben nur ein halbherziges Risikomanagement 7% konnten nicht sagen, ob ein Risikomanagement überhaupt gemacht wurde. Untersuchung von Rezagholi bei Projekten zur Softwareentwicklung: –53% hatten kein Risikomanagement –38% verfügten ansatzweise über ein Risikomanagement –In 9% war ein systematisches Risikomanagement vorhanden. 5

Prof. Dr. Walter Ruf Warum nimmt die Bedeutung von Risikomanagement zu? KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) „§ 91 (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ KonTraG gilt –prinzipiell für Aktiengesellschaften und große Unternehmen. (Teil vom AktG) –zu den großen U. zählen »Bilanzsumme: > 3,44 Mio. €; Umsatz > 6,87 Mio. € »Mitarbeiter > 50 (2 von 3 Kriterien müssen erfüllt sein.) vgl. Versteegen (Hrsg.: Risikomanagement in IT-Projekten, S. 5) Releasezyklen werden kürzer Haftungsrecht wird strenger enger werdende Budgets 6

Prof. Dr. Walter Ruf 2. Risikofaktoren in IT-Projekten (1) Technische Risiken –Hardwareausfall –erstmaliger Einsatz von Tools, Hard- und Softwarekomponenten –fehlerhafte Verwendung von Entwicklungstools –mangelhafte Integration in das IT-Produktumfeld –fehlerhafte Einschätzung in der künftigen Technologieentwicklung Finanzielle Risiken –zu geringe Ressourcenausstattung –nicht einzuhaltende Terminvorgaben –Prognosefehler bei der Schätzung des Ressourcenverbrauchs –unrealistische Budgets 7

Prof. Dr. Walter Ruf Risikofaktoren in IT-Projekten (2) Personelle Risiken –mangelnde Qualifikation der IT-Projektmitarbeiter –unerfahrene IT-Projektmitarbeiter –unerfahrener IT-Projektleiter –mangelnde Kooperationsbereitschaft der IT-Projektmitarbeiter –… 8 Im Jahr 2012 betrug der Krankenstand in deutschen Unternehmen 3,6%. Dies entspricht 13,2 Fehltage pro Versicherten.

Prof. Dr. Walter Ruf Risikofaktoren in IT-Projekten (2) Produktrisiken –zu hohe Komplexität des Endproduktes –fehlerhafte Projektstrukturierung –Fehler bei der Bildung von Arbeitspaketen –fehlerhafte Funktionen –Design- und Implementierungsfehler –zeitaufwändige Fehlerbehebung Organisatorische Risiken / Prozessrisiken –Qualitätsmängel im Endprodukt –mangelnde Unterstützung durch die Fachabteilungen –fehlerhafte Zuliefererprodukte Managementrisiken –unklare Projektziele –unklarer Projektantrag –unklarer Projektauftrag –Prognosefehler bei der Schätzung von Projektzeiten 9

Prof. Dr. Walter Ruf Risikofaktoren in IT-Projekten (3) Risiken im Anwendungsumfeld –unklare und unvollständige Benutzerwünsche –Widerstände bei den Betroffenen –behördliche Widerstände –politische Risiken –Risiken durch Wettbewerber 10

Prof. Dr. Walter Ruf Risiken bestehen aus 3 Komponenten 1.aus einem Ereignis, das zum Risikoeintritt führt. 2.aus einer Wahrscheinlichkeit mit der das Risiko eintritt 3.aus einer Auswirkung, die dieses Ereignis mit sich bringt 11

Prof. Dr. Walter Ruf Einfluss des Risikomanagements 12

Prof. Dr. Walter Ruf 4 Stufen (Prozessschritte) des Risikomanagements 13

Prof. Dr. Walter Ruf 1. Identifikation von Risiken möglichst vollständige Erfassung von zu erwartenden Risiken proaktive Erfassung von Risiken Maßnahmen: –Risikoworkshop –Fragebogen zur Risikoerfassung Praxistipp: 14 Beispiel für ein mögliches Vorgehen: 1.Erstellen eines Fragebogens zur Sammlung einer ersten Auswahl bereits erkannter Risiken. 2.Dokumentation der erfassten Risiken und Kategorisierung der Ergebnisse. 3.Ergänzen der Ergebnisse um weitere Haupteinflussgrößen. 4.Durchführung eines Workshops unter Verwendung einer Kreativitätsmethode (z.B. Brainstorming). Als Basis dienen die bereits festgestellten Risiken, deren Kategorien und die hinzugefügten Haupteinflussfaktoren.

Prof. Dr. Walter Ruf Risikoidentifizierung Risikoidentifizierung während der gesamten Projektlaufzeit –In der Initialisierungsphase Vor der Angebotserstellung –Budget vorhanden? Stellenwert des Projektes für den Kunden? … Während der Auftragsklärung –Wirtschaftliche Situation des Auftraggebers? –Einzusetzende Technologien –… 15 Initiali- sierung DefinitionPlanungSteuerungAbschluss Risikoidentifizierung

Prof. Dr. Walter Ruf Risikokatalog 16

Prof. Dr. Walter Ruf 2. Analyse und Bewertung von Risiken (1) Kategorisierung der Ergebnisse aus der Identifikation von Risiken ggf. Bewertung von Risiken mit Eintrittswahrscheinlichkeiten Fragen im Rahmen der Risikoanalyse und Bewertung 17

Prof. Dr. Walter Ruf Analyse und Bewertung von Risiken (2) Hinweis zur Durchführung: –Risikobeurteilung durch ein Formular 18 Risiko:Ausfall des Hauptrechners Eintrittswahrscheinlichkeit (p) für das Risiko Niedrigp = 0,2 Auswirkung auf die Bestimmungsgrößen des Projektes: BestimmungsgrößeRisikoklassep Leistung / FunktionalitätNiedrig0,0 RessourcenMittel0,25 ProjektdauerHoch0,55 QualitätNiedrig0,0 Schadenshöhe Risikowert (A) = Eintrittswahrscheinlichkeit * Schadenshöhe Gegenmaßnahme:Aufbau eines Parallelsystems

Prof. Dr. Walter Ruf Bestimmung von Risikoklassen Beispiel für die Zuordnung einer Riskoklasse aufgrund von Eintrittswahrscheinlichkeiten 19 Wahrscheinlichkeit für das Eintreten des Risikos RisikoklasseEintrittswahrscheinlichkeitWahrscheinlichkeit (p) Sehr HochÜber 80%0,75 – 1,0 Hoch51% – 80 %0,51 – 0,74 Mittel20% – 50%0,25 – 0,5 NiedrigUnter 20%0,0 – 0,24

Prof. Dr. Walter Ruf „The Seven Keys to Success“ (IBM) 1.Sind alle Projektziele klar definiert und beschrieben? 2.Ist der Mehrwert für den Auftraggeber deutlich herausgearbeitet? 3.Unterstützen alle Projektbeteiligten das Projekt? 4.Sind alle Risiken bekannt und unter ständiger Kontrolle? 5.Sind der Aufwand und der Projektablauf kalkulierbar? 6.Ist das Projektteam motiviert und leistungsfähig? 7.Ist für die Leistungserbringer ein Mehrwert vorhanden? 20

Prof. Dr. Walter Ruf Risikowert Eintrittswahrscheinlichkeit und Schadenshöhe können von den am Projekt beteiligten Personen geschätzt werden. Praxistipp: –Vorgabe von Skalen (z.B. 1 – 5) –Schadenshöhe: 1 = niedriger Schaden; 2 = geringer Schaden; … 5 sehr hoher Schaden –Eintrittswahrscheinlichkeit: 0 = sehr unwahrscheinlich; 1 = unwahrscheinlich; … 5 sehr wahrscheinlich 21 Risikowert = Eintrittswahrscheinlichkeit * Schadenshöhe

Prof. Dr. Walter Ruf Bewerteter Risikokatalog 22

Prof. Dr. Walter Ruf Risikoportfolio Mapping von Wahrscheinlichkeit und Schadenshöhe „Faustformel“: IT-Risiken und ihre Komplexität zu verstehen ist der erste Schritt zur Vermeidung derselben. 23

Prof. Dr. Walter Ruf 3. Risiko-Reaktionsplanung 24 Risiken ver- meiden Risiken akzep- tieren Risiken übertra- gen Risiken versicherrn Risiken ein- grenzen

Prof. Dr. Walter Ruf Priorisierter Risikokatalog 25

Prof. Dr. Walter Ruf Risiken vermeiden Definition von Prozessen und Strategien zur Risikovermeidung Risiken, die nicht identifiziert und analysiert wurden, können nicht gesteuert werden! Beispiele für Maßnahmen: –Erwerb von Produkten bei „sicheren“ Lieferanten –Vertragsprüfung durch Juristen –Zusammenarbeit mit bewährten Outsourcingpartnern –Einsatz von Entwicklern mit Erfahrung in besonders kritischen Prozessschritten –Einrichtung einer Firewall –verstärkter Einsatz von Standardsoftware –Erhöhung der Ausfallsicherheit von IT-Systemen (z.B. Spiegelserver) 26

Prof. Dr. Walter Ruf Risiken vermeiden 27

Prof. Dr. Walter Ruf Risiken akzeptieren Folgende Gründe können für die Akzeptanz von Risiken sprechen: 1.Die Konsequenzen sind so gering, dass der Aufwand den Nutzen übersteigt. 2.Das Verhältnis von Eintrittswahrscheinlichkeit zu Auswirkung ist sehr klein. 3.Es gibt keine andere Alternative. Die Auswirkungen müssen getragen werden. 28

Prof. Dr. Walter Ruf Risiken übertragen Outsourcing von bestimmten Produktteile an Dritte. –Risiken werden vertraglich übertragen –Nutzung von strategischen Partnerschaften Beispiele –Übertragung von Risiken an Unterauftragnehmer –Vereinbarung von Haftungsausschlüssen (Anpassung von AGBs) –Installation von Servern mit Glasfaserverbindungen durch Partnerunternehmen 29

Prof. Dr. Walter Ruf Risiken eingrenzen Risiken können eingegrenzt werden: 1.indem die Wahrscheinlichkeit des Eintritts oder die Auswirkung nach Eintritt reduziert wird. 2.indem bereits frühzeitig Aktionen eingeleitet werden, die bei Eintritt des Risikos ergriffen werden. Beispiel: Situation Das Risiko für den Ausfall eines wichtigen Mitarbeiters wurde sehr hoch priorisiert. Die Kenntnisse des Mitarbeiters sind in dem Unternehmen einmalig. Die Tätigkeiten und Aufgabenpakete des Mitarbeiters liegen mehrfach auf dem kritischen Pfad. Der Mitarbeiter ist zusätzlich ein begeisterter Skifahrer. Risikobegrenzung a) Eine sofortige Aktion für das Eindämmen der Auswirkungen wäre, einen Mitarbeiter zu schulen und beide Mitarbeiter ab sofort gemeinsam einzusetzen. b) Ein Plan, der bei Eintritt des Ereignisses greift, wäre zum jetzigen Zeitpunkt die Vorbereitung für den Einsatz eines externen Dienstleisters durchzuführen und entsprechende Anforderungs- und Auftragsprofile zu erstellen. 30

Prof. Dr. Walter Ruf Risiken versichern Versicherungen im Hardwarebereich –Elektroniksachversicherungen (Schwachstromversicherung) –Datenträgerversicherungen Spezialversicherungen Beispiel: Von der Gothaer wird beispielsweise eine umfangreiche Versicherung angeboten, die auch den Ausfall von Hard- und Software (inkl. Webseiten bei Providern), insbesondere durch menschliche oder technische Ursachen wie Bedienungsfehler, Vandalismus, Hackerattacken usw. abdeckt Praxistip  Berücksichtigung von Sicherheitsreserven bei der Projektkalkulation. 31

Prof. Dr. Walter Ruf 4. Risiken überwachen und Reaktionen auslösen 32

Prof. Dr. Walter Ruf 33