Risikomanagement in verteilten Software-Projekten

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1. Einleitung
1.1 Motivation
1.2 Aufbau der Arbeit

2. Einführung in die Thematik
2.1 Grundlagen des Risikomanagements
2.1.1 Begriffsdefinitionen
2.1.1.1 Risiko
2.1.1.2 Risikomanagement
2.1.2 Der allgemeine Risikomanagementprozess
2.1.2.1 Risikoidentifikation
2.1.2.2 Risikobewertung
2.1.2.3 Risikosteuerung
2.1.2.4 Risikokontrolle
2.2 Grundlagen des Software-Projektmanagements
2.2.1 Begriffsdefinitionen
2.2.1.1 Projektbegriff
2.2.1.2 Projektmanagement
2.2.2. Projektorganisation
2.2.2.1 Grundsätzliche Formen der Projektorganisation
2.2.2.2 Rollen und Gremien in Projekten
2.2.2.3 Interne Projektorganisation
2.2.3 Projektablauf

3. Risikomanagement in Softwareprojekten
3.1 Notwendigkeit von Risikomanagement
3.1.1 Wozu Risikomanagement?
3.1.2 Ursachen für das Scheitern von Software-Projekten
3.1.3 Erfolgsfaktoren von Software-Projekten
3.2 Der Risikomanagementprozesses in der Software-Entwicklung
3.2.1 Der Risikomanagementprozess nach Boehm
3.2.2 Der Risikomanagementprozess nach Wallmüller
3.2.3 Der Risikomanagementprozess nach Kontio
3.2.4 Der Risikomanagementprozess des SEI
3.2.5 Risikomanagement in der agilen Softwareentwicklung

4. Risikomanagement und globale Softwareentwicklung
4.1 Offshoring
4.1.1 Gründe für Offshoring
4.1.2 Offshoring-Länder
4.1.3 Auswahlkriterien für Offshoring-Standorte
4.1.4 Offshoring-Report
4.2 Verteilte Projekte und ihre Besonderheiten
4.2.1 Arten verteilter Projekte
4.2.2 Vorzüge verteilter Projekte
4.2.3 Risiken verteilter Projekte
4.2.4 Erfolgsfaktoren verteilter Softwareentwicklung
4.3 Wirkungsvolles Risikomanagement
4.3.1 Besonderheiten
4.3.2 Umsetzung

5. Fazit

Anhang A: Formen der Projektorganisation

Anhang B: Ergebnisse Offshoring-Report 2005

Quellenverzeichnis

Abbildungsverzeichnis

Abbildung 1: Der Kreislauf des Risikomanagements

Abbildung 2: Risikomatrix

Abbildung 3: Risikoakzeptanz

Abbildung 4: Strategien der Risikosteuerung

Abbildung 5: Verteilung der IT-Projektergebnisse in Unternehmen der USA

Abbildung 6: Spiralmodell nach Boehm

Abbildung 7: Software Risk Management Steps nach Boehm

Abbildung 8: Risikomanagementprozess nach Wallmüller

Abbildung 9: RiskIt Prozess nach Kontio

Abbildung 10: Risk Management Model des SEI

Abbildung 11: Risk Management Framework des SEI

Abbildung 12: Umfrageergebnis zur Fragestellung: "Welche Bedeutung haben folgende Faktoren als Motiv für Ihr Unternehmen für Offshoring bzw. für Ihre Kunden?"

Abbildung 13: Umfrageergebnis zur Fragestellung: „In welches Land verlagert Ihr Unternehmen Geschäftsprozesse?“

Abbildung 14: Aspekte bei der Auswahl eines Offshoring-Partnerlandes

Abbildung 15: Auf verteilte Projekte einwirkende Kräfte nach Carmel

Abbildung 16: Modell der verteilten Softwareentwicklung

Abbildung 17: Global agierendes Unternehmen

Abbildung 18: Risikomanagementaktivitäten während der Projektvorbereitung

Abbildung 19: Risikomanagementaktivitäten während der Projektrealisierung

Tabellenverzeichnis

Tabelle 1: Übersicht von Studienergebnissen für Ursachen fehlgeschlagener Projekte

Tabelle 2: Rollen im Risikomanagement und deren Aufgaben nach Wallmüller

Tabelle 3: Stakeholder-Ziel-Matrix

Tabelle 4: Principles of effective risk management

Tabelle 5: Erfolgsfaktoren verteilter Softwareentwicklung

Kapitel 1 Einleitung

1.1 Motivation

Für eine Studie zur Zukunft des Projektmanagements befragte die Deutsche Gesellschaft für Projektmanagement (GPM) im Jahr 2002 23 internationale Projektmanagement-Experten. Ziel dieser Studie war es, herauszufinden, welche Entwicklungen im Projektmanagement innerhalb der nächsten zehn Jahre erwartet werden. Dazu wurden von den Experten zunächst 98 Thesen formuliert. Anschließend hatte jeder Experte die aufgestellten Thesen zweimal zu bewerten: einerseits nach persönlichem Zustimmungsgrad und andererseits nach ihrer geschätzten Bedeutung für die nächsten Jahre.^[1] Auf diese Weise konnten die Thesen geordnet werden. Unter den am höchsten bewerteten Trends des Projektmanagements der nächsten Jahre befinden sich demnach die folgenden drei Thesen:

- wachsende Bedeutung des Risikomanagements,
- vermehrter Einsatz virtueller bzw. verteilter Teams sowie
- steigende Anzahl internationaler Projekte als Resultat der zunehmenden Globalisierung.^[2]

Speziell in Software-Projekten gewinnt das Risikomanagement immer mehr an Bedeutung. Dies resultiert nicht zuletzt aus der immensen Zahl an fehlgeschlagenen Projekten in der Vergangenheit, die durch zahlreiche Studien belegt wird. Zudem stellt die Softwareentwicklung einen kreativen Prozess dar und viele Probleme, die während der Durchführung dieses Prozesses auftauchen, ergeben sich aus der vergänglichen Natur von Software - denn man kann das Produkt, das letztendlich entstehen soll, während seiner Entwicklung weder sehen noch anfassen.^[3]

Die Durchführung von Risikomanagementaktivitäten ist essentiell. Nur auf diese Weise kann den auf das Projekt einwirkenden Problemen begegnet werden Des Weiteren besteht kein Zweifel daran, dass nur mit Hilfe eines in das Projektmanagement integrierten und gut ausgereiften Risikomanagementprozesses die Statistik der erfolgreich abgeschlossenen Projekte im Vergleich zu den Vergangenheitsdaten verbessert werden kann.

Der zweite aufgeführte Trend besagt, dass es zu einem vermehrten Einsatz virtueller Teams in Projekten kommen wird. Dies hat vornehmlich zwei verschiedene Ursachen. Zum Einen ist dies durch den technischen Fortschritt bedingt. In früheren Zeiten, in denen elektronische Kommunikationsformen noch weniger weit verbreitet waren als heute, wäre es unmöglich gewesen, Projekte durch virtuelle Teams entwickeln zu lassen. Wie sollten sich die Beteiligten auch verständigen, wenn sie nicht an ein und demselben Ort zusammen waren. Heute stellt dies keine Herausforderung mehr dar, denn die räumliche Distanz zwischen den Projektmitarbeitern kann leicht überbrückt werden, bspw. durch das Abhalten von Videokonferenzen.

Die zweite Ursache für den vermehrten Einsatz virtueller Teams spielt in den dritten Trend mit hinein: Aufgrund der immer weiter voranschreitenden Globalisierung kommt es zu einer steigenden Zahl an länderübergreifenden Projekten^[4], die natürlich auch durch verteilte Teams realisiert werden. Solche verteilten Projekte stellen zudem eine neue Herausforderung dar, da auf sie z.B. viele zusätzliche Risiken einwirken. Diese Risiken brauchen in nicht verteilten Projekten, also zentralen, an einem Ort durchgeführten Projekten, aus dem einfachen Grund nicht beachtet werden, weil es sie dort gar nicht gibt.

Die vorliegende Arbeit befasst sich nun mit genau den drei aus der GPM-Studie herausgezogenen Trends. Dies soll der Titel Risikomanagement in verteilten Software­Projekten zum Ausdruck bringen.

1.2 Aufbau der Arbeit

Die Arbeit umfasst neben der Einleitung die weiteren Kapitel Einführung in die Thematik, Risikomanagement in Software-Projekten, Risikomanagement und Globale Softwareentwicklung sowie Zusammenfassung und Ausblick.

Kapitel 2, Einführung in die Thematik, soll einen kurzen Einblick in die Grundlagen des Risikomanagements und des Software-Projektmanagements gewähren. Dazu werden zunächst jeweils elementare Begriffe definiert und anschließend grundsätzliche Abläufe beschrieben, die im Rahmen des Risikomanagement- bzw. des Softwareentwicklungsprozesses erfolgen.

Das dritte Kapitel, Risikomanagement in Software-Projekten, beschreibt die Notwendigkeit von Risikomanagement. Dazu wird erläutert, warum es unumgänglich ist, in diesem Bereich aktiv zu werden. Außerdem werden Erfolgsfaktoren sowie Ursachen für das Scheitern von Software-Projekten aufgeführt. Der zweite Teil des Kapitels geht auf verschiedene Ansätze für Risikomanagementprozesse ein und stellt diese vor.

Kapitel 4, Risikomanagement und globale Softwareentwicklung, beschreibt, auf welche Art und in welchen Ländern globale Projekte durchgeführt werden und was es dabei zu beachten gilt. Darüber hinaus werden Arten, Vorzüge, Risiken sowie Erfolgsfaktoren verteilter Projekte genannt. Der letzte Teil des Kapitels zeigt, welche Besonderheiten bei der Durchführung von Risikomanagementaktivitäten in verteilten Projekten auftreten. Außerdem wird ein Prozess für die Umsetzung eines effektiven Risikomanagements innerhalb verteilter Software-Projekte eingeführt, mit dem den herausgearbeiteten Besonderheiten begegnet werden kann.

Das fünfte und letzte Kapitel fasst die Ergebnisse der Arbeit noch einmal zusammen und gibt einen Ausblick auf zukünftige Entwicklungen für das Risikomanagement in verteilten Software-Projekten.

Kapitel 2 Einführung in die Thematik

Ziel dieses Einführungskapitels ist es, einen Überblick über grundlegende Begriffe sowie Abläufe und Vorgehensweisen in den Bereichen Risikomanagement (Kapitel 2.1) und Software-Projektmanagement (Kapitel 2.2) zu geben. Dadurch soll ein einheitliches Verständnis der Begriffe im Rahmen dieser Arbeit geschaffen werden.

2.1 Grundlagen des Risikomanagements

2.1.1 Begriffsdefinitionen

2.1.1.1 Risiko

Der Risikobegriff findet im allgemeinen Sprachgebrauch sehr unterschiedliche Verwendungen. Dies spiegelt sich auch in der Fachliteratur wider, in der viele im Detail unterschiedliche Definitionen auftauchen.^[5] So ist im Rahmen dieser Ausführungen ein Risiko die mögliche (wahrscheinliche) Abweichung eines Ist-Wertes von einem erwarteten Ergebnis. Diese Abweichung kann sowohl positiver als auch negativer Natur sein. Positive Risiken werden als Chancen bezeichnet und stehen für das Eintreten unerwartet positiver Ereignisse.^[6] Im Fall der negativen Abweichung besteht die Gefahr, dass unerwünschte Ereignisse eintreten (z.B. Verluste) oder dass erwünschte Ereignisse nicht eintreffen (verpasste Chancen).

Der drohende Schaden eines Einzelrisikos kann mathematisch wie folgt berechnet werden:

R = S * w

dabei bedeuten:

[Abbildung in dieser Leseprobe nicht enthalten]^[7]

Auch im Bereich der Betriebswirtschaftslehre existieren verschiedene Ansätze für die Definition des Risiko-Begriffes. Dabei kristallisieren sich zwei Auffassungen heraus: zum Einen ist dies der entscheidungsorientierte Risikobegriff: Entscheidungen werden dabei als „die Auswahl einer von zwei oder mehreren Handlungsmöglichkeiten (Alternativen), die dem Entscheidungsträger zur Realisierung eines Ziels zur Verfügung stehen“^[8] verstanden. Die Fähigkeit einer handelnden Person, Umweltentwicklungen mit absoluter Sicherheit vorherzusehen, bestimmt dabei Ursache und Ausmaß des Risikos.^[9]

Die Eintrittswahrscheinlichkeiten verschiedener Umweltzustände werden durch Informationssysteme bereitgestellt. Das Risiko wird als Gefahr angesehen, in der Phase der Willensbildung die nicht gewinn- bzw. nutzenmaximierende Handlungsalternative auszuwählen.^[10]

Dagegen sind unsichere Informationen, die den Entscheidungen zu Grunde liegen, ausschlaggebend für Gefahren beim informationsorientierten Risikobegriff.^[11] Nicht die Entscheidung selbst, sondern die Informationsstruktur als Basis für Entscheidungen prägt das Risiko durch Unsicherheiten, Unbestimmtheiten sowie Unvollständigkeiten.^[12] Zusammenfassend für ein einheitliches Risikoverständnis im Rahmen dieser Arbeit müssen für ein Risiko „folgende drei Tatbestände erfüllt sein:

1. Es muss ein möglicher Schaden oder Verlust damit verbunden sein.
2. Der Ausgang ist unsicher oder kann im Voraus jedenfalls nicht mit Sicherheit bestimmt oder vorhergesagt werden.
3. Die handelnden Personen haben in begrenztem Umfang Wahlmöglichkeiten.“^[13]

2.1.1.2 Risikomanagement

„Risikomanagement ist ein systematischer Prozess zur Identifikation, Analyse und Kontrolle im Sinne von Überwachung und Steuerung von Risiken in Projekten oder Organisationen.“^[14]

Risikomanagement hat einen strategischen Charakter, da man sich mit Korrekturmaßnahmen für evtl. auftretende Probleme beschäftigt, solange diese noch abstrakte Vorstellung und nicht real sind.^[15]

Zentrale Aufgabe (und zugleich Herausforderung) des Risikomanagements ist die Abbildung des Gesamtrisikos als Bündelung der wechselwirkenden Einzelrisiken.^[16] Seine große Bedeutung zeigt sich unter anderem darin, dass Risikomanagement dabei helfen soll, „wesentliche Risiken, die den Unternehmenserfolg oder -bestand gefährden können, rechtzeitig zu erkennen und zu bewältigen.“^[17]

Da sich die Umwelt von Unternehmen oder auch speziell die Umwelt von Projekten in einem stetigen Entwicklungsprozess befindet, muss auch das Risikomanagement permanent gestaltet werden.

2.1.2 Der allgemeine Risikomanagementprozess

Die Gesamtheit des Risikomanagements umfasst einen fortlaufenden Prozess. Fortlaufend bedeutet hierbei, dass es sich um einen ständigen Kreislauf handelt. Dieser beginnt mit der Identifizierung potentieller Risiken. Daran schließen die Risikobewertung sowie die Risikosteuerung an. Schließlich folgt die Risikokontrolle, mit der die Wirksamkeit und die Nachhaltigkeit der eingeleiteten Steuerungsmaßnahmen überprüft werden sollen. Mit der neuerlichen Risikoidentifikation beginnt der Kreislauf von vorn.^[18] Abbildung 1 fasst den beschriebenen Prozess noch einmal zusammen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Der Kreislauf des Risikomanagements

Quelle: eigene Darstellung

Im Folgenden wird etwas näher auf die einzelnen Phasen eingegangen.

2.1.2.1 Risikoidentifikation

Ziel der Risikoidentifikation ist es, aktuelle (bestehende) sowie potentielle (zukünftige) Störfaktoren und deren Wirkungen zu herauszufinden und zu analysieren.^[19]

Das Hauptaugenmerk sollte dabei auf bestandsgefährdende Risiken gerichtet sein.^[20]

Wichtige Voraussetzung für eine systematische Risikoidentifikation innerhalb eines Unternehmens oder eines Projektes ist neben einem einheitlichen Risikobewusstsein aller beteiligten Personen auch „das Vorhandensein einer gleichen Sichtweise auf die gemeinsamen Unternehmensziele sowie der für die Umsetzung der Unternehmensziele zugehörigen Erfolgsfaktoren.“^[21]

Zur Erleichterung der Umsetzung sollten bei der Risikoidentifikation zunächst relevante Risikofelder festgelegt werden, welche dann systematisch nach konkreten Risiken durchsucht werden können. Eingesetzte Methoden bzw. Hilfsmittel bei der Suche können Checklisten, Expertenbefragungen, Einsatz von Szenariotechniken oder auch einfach Brainstorming sein.

Ein effektives Risikomanagement hängt sehr stark von der frühzeitigen und schnellen Erkennung von Risiken ab. Außerdem ist die zeitige Beseitigung der Risiken in einem früheren Stadium oftmals auch mit einem geringeren Aufwand verbunden.^[22]

Um eine möglichst frühe Erkennung von Risiken zu gewährleisten, werden häufig Eintrittsindikatoren eingesetzt.^[23] Solche Indikatoren sind meist Kennzahlen, die im Voraus festgelegt werden und bei deren Über- oder Unterschreitung entsprechende Folgehandlungen eingeleitet werden.^[24]

2.1.2.2 Risikobewertung

Das Ziel der Risikobewertung ist eine qualitative Beurteilung sowie eine quantitative Messung der identifizierten Risiken einschließlich ihrer Zusammenhänge. Deshalb sollte die Basis hierfür eine sorgfältig und vollständig durchgeführte Risikoidentifikation sein.^[25]

Für jedes identifizierte Risiko wird individuell die Eintrittswahrscheinlichkeit, die potentielle Schadenhöhe sowie Häufigkeit eines möglichen Schadeneintritts bestimmt und so das jeweilige Risikoausmaß ermittelt.

Da nicht jedes einzelne Risiko behandelt werden muss und es manchmal auch gar nicht möglich ist, ein Risiko zu behandeln, ist innerhalb der Risikobewertung eine Differenzierung der einzelnen Risiken vorzunehmen. Einerseits kann man nach primären und sekundären Risiken unterscheiden, das heißt in schwerwiegende Risiken und in solche, die vernachlässigt werden können. Zum Anderen kann man eine Filterung zwischen Risiken, die man mit geeigneten Maßnahmen beeinflussen kann und solchen, denen man in jedem Fall ausgesetzt ist, vornehmen.^[26] Hierbei sollten auch mögliche Abhängigkeiten zwischen einzelnen Risiken Berücksichtigung finden.^[27]

Danach erfolgt eine Einteilung der Risiken in verschiedene Klassen, bezüglich der jeweiligen Eintrittswahrscheinlichkeiten:

- fast unmöglich
- unwahrscheinlich
- möglich
- wahrscheinlich
- sehr wahrscheinlich

Wichtig ist hierbei, dass nicht eine Person allein diese Einteilung vornimmt, denn die subjektive Wahrnehmung von Risiken kann sehr unterschiedlich ausfallen. Sinnvoll wäre das Einbeziehen von Expertenmeinungen oder eines Teams, bestehend aus mehreren Personen, um so die verschiedenen (subjektiven) Meinungen abzugleichen.^[28]

Bei der Bestimmung der möglichen Schadenhöhe der verschiedenen Risiken muss man grundsätzlich zwei Fälle unterscheiden. Zum Einen gibt es Risiken, bei denen sich das Ausmaß direkt in Geldeinheiten messen lässt. Ist das Risiko jedoch nicht direkt quantifizierbar, muss ein anderer Weg gefunden werden, die Schadenhöhe auszudrücken. Dies kann beispielsweise durch statistisch ermittelte Werte oder durch Expertenbefragungen geschehen. Allerdings sollten die so gewonnenen Werte lediglich Anhaltspunkte für eine Risikoeinteilung sein. Sind auf keinem Weg spezielle Werte für die Schadenhöhe zu ermitteln, ordnet man den Schaden wie folgt wieder in eine Skala ein:^[29]

- unbedeutend
- gering
- mittel
- schwerwiegend
- existenzbedrohend

Anschließend werden die ermittelten Daten in einer Risikomatrix (risk map) dargestellt. Die Abzissenachse bezeichnet die Eintrittswahrscheinlichkeit, die Ordinatenachse die Schadenhöhe.^[30]

Jedes Risiko wird als ein Punkt in die Matrix eingetragen. Beziehungen zwischen einzelnen Risiken oder festgestellte Trends können durch Pfeile veranschaulicht werden. Die folgende Abbildung zeigt die beschriebene Risikomatrix.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Risikomatrix

Quelle: eigene Darstellung in Anlehnung an Wolf, K.; Runzheimer, W. (2003), S.82 und Balzert, H.

(2008), S. 364

Verschiedene Risiken können miteinander in Beziehung stehen und sich gegenseitig verstärken oder auch abschwächen. Ausschlaggebend dafür sind statistische Variablen der einzelnen Risiken, die so genannten Korrelationen.^[31]

Die Bestimmung eines Gesamtrisikos für einzelne Projekte mittels der so genannten Risikoaggregation ist mitunter von großer Bedeutung. Diese Aggregation von Einzelrisiken stellt sich in der Praxis allerdings als „methodisch relativ schwierig“^[32] dar. Daher wird an dieser Stelle auf entsprechende Fachliteratur zu geeigneten Aggregationsverfahren verwiesen.^[33]

2.1.2.3 Risikosteuerung

Risikosteuerung bedeutet die aktive Beeinflussung der ermittelten Risiken entsprechend ihrer Risikoposition. Voraussetzung dafür ist eine regelmäßige Erfassung aller Risiken und deren sachgerechte Übergabe an die Entscheidungsträger.^[34] Allerdings hat die Risikosteuerung nicht die grundsätzliche Vermeidung aller Risiken zum Ziel, denn risikobehafteten wirtschaftlichen Aktivitäten stehen immer auch Chancen gegenüber.^[34]

Die Beeinflussung geschieht durch verschiedene Maßnahmen, die eine Verringerung der Eintrittswahrscheinlichkeit und/oder eine Begrenzung der Schadenhöhe zum Ziel haben. Die in die Risikomatrix eingetragenen Risiken sollen auf diese Weise so begrenzt werden, dass sie innerhalb eines vorgegebenen Akzeptanzbereiches rücken, der je nach Risikobereitschaft individuell für jedes Projekt bzw. Unternehmen festzulegen ist. Dieser Prozess der „Risikooptimierung“ wird in der nachstehen Darstellung abgebildet.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Risikoakzeptanz

Quelle: eigene Darstellung

Für die Risiken R2, R4 und R5 in der abgebildeten Matrix müssen nach Möglichkeit geeignete Maßnahmen gefunden werden, um auch sie in den Akzeptanzbereich zu bewegen, was die Pfeile verdeutlichen sollen.

Die vier grundsätzlichen Strategien der Risikosteuerung sind die Vermeidung, die Verminderung, die Überwälzung und die Übernahme von Risiken. Nacheinander wird so durch verschiedene Maßnahmen das ursprüngliche Brutto-Risiko verringert. Das am Ende verbleibende Netto-Risiko muss selbst getragen werden, da es durch keine weiteren Maßnahmen beeinflusst werden kann bzw. soll. Diese Vorgehensweise wird in Abbildung 4 noch einmal verdeutlicht.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Strategien der Risikosteuerung

Quelle: eigene Darstellung in Anlehnung an RiskNet (2008)

Die einzelnen Strategien werden im Folgenden näher erläutert.

- Risikovermeidung

Risikovermeidung bedeutet den Verzicht auf risikobehaftete Aktivitäten.

Das Vermeiden von Risiken stellt eine strategische Grundsatzfrage dar. Lediglich Risiken, deren Eintreten zu gravierende Folgen hätten, werden vermieden.

Mitunter kann Risikovermeidung auch den Verzicht auf die Durchführung eines Projektes bedeuten, wenn die Risiken, die das Projekt bedrohen, zu schwerwiegend sind und vermieden werden sollen.^[36]

- Risikoverminderung

Nach Feststellung der Unvermeidbarkeit eines bestimmten Risikos können Möglichkeiten gesucht werden, es zu vermindern. Dabei werden grundsätzliche zwei Ansätze unterschieden. Einerseits kann versucht werden, die

Eintrittwahrscheinlichkeit zu beeinflussen, was sich beispielsweise durch die Einrichtung von Kontrollen, Sicherheits- oder Schutzvorkehrungen realisieren lässt. Auf der anderen Seite kann geprüft werden, ob sich die potentielle Schadenhöhe durch Präventionsmaßnahmen verringern lässt.

Ein Beispiel für die Verringerung der potentiellen Schadenhöhe ist ein Projekt, bei dem ein großes terminliches Risiko besteht. Es könnte eine Vertragsklausel aufgenommen werden, wonach der Auftraggeber eine Art Galgenfrist gewährt: erfolgt die Fertigstellung des Projekts nicht bis zum gewünschten Termin, aber noch innerhalb dieser bestimmten Frist danach, sind noch keine drastischen Vertragsstrafen zu zahlen.^[37]

- Risikoüberwälzung

Können Risiken nicht weiter vermindert werden, besteht eine weitere Möglichkeit der Risikosteuerung in der Risikoüberwälzung. Hierbei ist das Ziel, die Auswirkungen, die bei Eintritt eines Risikos entstehen, auf eine andere Partei zu übertragen.

Es könnte zum Einen der Auftraggeber sein, der unter bestimmten Voraussetzungen Risiken übernimmt. Andererseits können Risiken an Unterauftragnehmer weitergegeben werden.^[38] Eine dritte Möglichkeit der Risikoüberwälzung besteht in Form von Versicherungen.^[39] Dabei werden teilweise oder vollständige Schadenausgleichszahlungen von der Versicherung als Gegenleistung für eine Versicherungsprämie gewährleistet.

- Risikoübernahme

Als letzte Alternative der Risikosteuerung verbleibt die Risikoübernahme. Dabei werden Risiken gezielt selbst getragen, also in Kauf genommen. Zum Einen ist dies eine Menge von Restrisiken, die im Rahmen der Steuerung nicht weiter vermieden, vermindert oder übertragen werden konnten. Andererseits können auch Risiken, deren Eintrittswahrscheinlichkeit und/oder Schadenhöhe gering ist, von vorn herein selbst getragen werden. Der Vorteil dieser Strategie liegt in der Einsparung von Zeit und Kosten für die Behandlung.^[40]

„Wichtig ist eine bewusste Risikoakzeptanz. Denn letztlich wird unwillkürlich jedes Risiko, das nicht über die vorherigen Strategien ausgeschlossen oder vermindert wurde, voll übernommen.“^[41] Dadurch wird erneut klar, wie wichtig die richtige Einschätzung jedes einzelnen Risikos in der vorhergehenden Analyse ist. Gegebenenfalls muss deshalb für als wesentlich eingestufte Risiken eine Reservebildung vorgenommen werden, die als das älteste risikopolitische Steuerungsinstrument überhaupt gilt.^[42]

2.1.2.4 Risikokontrolle

Die Risikokontrolle bildet die letzte Stufe im Risikomanagementprozess, bevor der Kreislauf von Neuem beginnt. „Die Aufgaben [...] bestehen darin, die risikopolitischen Instrumente im Hinblick auf den Zielausrichtungsgrad, ihrer Wirtschaftlichkeit und Wirksamkeit ständig zu überwachen und zu dokumentieren.“^[43] Das Wort ständig soll ausdrücken, dass Risikokontrolle nicht nur strikt als vierter Teilprozess des gesamten Risikomanagements gesehen werden darf, sondern eine Überprüfung auch während der Abarbeitung der anderen Teilprozesse stattfinden muss. Es muss beobachtet werden, wie Risiken sich entwickeln, um so frühzeitig Trends erkennen zu können. Daneben bleibt die Überprüfung der veränderten Risiko-Situation nach den verschiedenen Steuerungsmaßnahmen Hauptbestandteil der Risikokontrolle.^[44]

Die Umsetzung der Informationsgewinnung kann durch Soll-Ist-Vergleiche oder ähnliche Analysen realisiert werden sowie in automatischen Prüfprozessen durch unterstützende Softwarelösungen.^[45]

Innerhalb dieser Analysen wird mit Hilfe von Kennzahlen und anderen Indikatoren festgestellt, ob vorher definierte Grenzwerte überschritten wurden.^[46] Die so zusammengestellten Daten und Informationen müssen anschließend an die entsprechenden Stellen zur Auswertung weitergeleitet werden. Diese Risiko-Berichte sollten Bestandteil regelmäßiger Berichterstattungen an die Unternehmensführung oder die Projektleitung sein. Dort müssen dann die richtigen Schlussfolgerungen aus den vorliegenden Daten gezogen sowie die notwendigen Folgehandlungen eingeleitet werden.

2.2 Grundlagen des Software-Projektmanagements

2.2.1 Begriffsdefinitionen

In diesem Abschnitt werden die Begriffe Projekt und Projektmanagement so definiert, wie sie im Rahmen dieser Arbeit verstanden werden sollen.

2.2.1.1 Projektbegriff

Nach Balzert ist ein Projekt „ein Vorhaben, das in vorgegebener Zeit und mit beschränktem Aufwand ein eindeutig definiertes Ziel erreichen soll, wobei der genaue Lösungsweg weder vorgegeben noch bekannt ist.“^[47]

Neben dieser gibt es in der Fachliteratur zahlreiche andere Definitionen, aus denen im Folgenden die wichtigsten Merkmale zusammengestellt wurden, die für Projekte charakteristisch sind:

- Komplexe Aufgabenstellung

Jedes Projekt umfasst eine komplexe Aufgabenstellung, die in ihrer Form eine einmalige, neuartige und damit also keine wiederkehrende Tätigkeit widerspiegelt. Die Komplexität ergibt sich einerseits aus der Einmaligkeit der Aufgabe und andererseits aus der Unkenntnis über den Lösungsweg.^[48]

- Projektziel und zeitliche Begrenzung

Das Ziel eines Projektes wird vor Beginn, in der Regel durch einen Auftraggeber, klar definiert und es gibt einen festgelegten Endtermin für die Durchführung.^[49]

- Begrenzte Ressourcen

Die zur Durchführung eines Projektes zur Verfügung stehenden Ressourcen (Finanzmittel, Personal etc.) sind begrenzt.^[50]

- Aufwand / Kosten abschätzbar

Aufwand bzw. Kosten eines Projektes lassen sich im Voraus abschätzen.^[51]

- Zusammenarbeit verschiedener Organisationseinheiten

Projekte werden in der Regel von temporären Organisationseinheiten (Teams) ausgeführt, die ansonsten nicht zusammenarbeiten und ursprünglich aus verschiedenen Bereichen eines Unternehmens oder Ähnlichem stammen.^[52]

- Risikobehaftung

Jedes Projekt ist grundsätzlich risikobehaftet^[53], was allein aus der sonstigen Charakteristik folgt: Merkmale wie Einmaligkeit, Komplexität oder nur begrenzt zur Verfügung stehende Ressourcen bringen zwangsweise Risiken mit sich.

Im Bereich der Softwareentwicklung ist die Organisation in Form von Projekten vorherrschend, da die Produkte zumeist innovative Neuentwicklungen sind und sich die Projektorganisation in der Regel hierfür am besten eignet.^[54]

2.2.1.2 Projektmanagement

„Projektmanagement ist sowohl die Kunst als auch die Wissenschaft des Entwickelns und Koordinierens von Kenntnissen, Fachwissen, Werkzeugen und Techniken sowie des Planens von Aktivitäten zur Erreichung eines definierten Projektziels“^[55], schreibt Wack. Kuster et al. dagegen umschreiben Projektmanagement als Oberbegriff für alle planenden, überwachenden, koordinierenden sowie steuernden Maßnahmen, die für die Um- oder Neugestaltung eines Systems oder eines Prozesses bzw. für Problemlösungen notwendig sind.^[56]

Auf die Art und Weise der Umsetzung von Projektmanagement soll im weiteren Verlauf dieses Kapitels eingegangen werden.

[...]

---

^[1] Vgl. Steeger, O. (2002), S.38

^[2] Vgl. Schelle, H. (2002), S.2

^[3] Vgl. Down, A. et al. (1994), S.4

^[4] Vgl. Wallmüller, E. (2004), S.52

^[5] Vgl. Seibold, H. (2006), S.6

^[6] Vgl. Seibold, H. (2006), S.7

^[7] Vgl. Wack, J. (2007), S.24

^[8] Wöhe, G. (2005), S.156

^[9] Vgl. Wolf, K.; Runzheimer, W. (2003), S.29

^[10] Vgl. Imboden, C. (1983), S.7 ff.

^[11] Vgl. Braun, H. (1984), S.24

^[12] Vgl. Neubürger, K.W. (1989), S.29

^[13] Thaller, G. E. (2004), S.26

^[14] Wallmüller, E. (2004), S.10

^[15] Vgl. DeMarco, T.; Lister, T. (2003), S. 12

^[16] Vgl. Wolf, K.; Runzheimer, W. (2003), S.31

^[17] Gaulke, M. (2004), S.6

^[18] Vgl. Reichling, P. (2003), S.26

^[19] Vgl. Haller, M. (1986), S.28 ff.

^[20] Vgl. Wolf, K.; Runzheimer, W. (2003), S.41

^[21] Gaulke, M. (2004), S.8

^[22] Vgl. Wolf, K.; Runzheimer, W. (2003), S.41

^[23] Vgl. DeMarco, T.; Lister, T. (2003), S. 12

^[24] Vgl. Gaulke, M. (2004), S.8

^[25] Vgl. Wolf, K.; Runzheimer, W. (2003), S.57

^[26] Vgl. Schmitz, T.; Wehrheim, M. (2006), S.81

^[27] Vgl. Gaulke, M. (2004), S.8

^[28] Vgl. Vassia, S. (2004), S.46

^[29] auf eine Zuordnung konkreter Geldbeträge zu den einzelnen Schadensklassen wird an dieser Stelle verzichtet, da dies von der Größe und vom Risikobewusstsein des jeweiligen Unternehmen abhängt

^[30] Vgl. Balzert, H. (2008), S.363

^[31] Vgl. Königs, H.-P. (2005), S.19

^[32] Gleißer, W.; Meier, G. (1999), S.926

^[33] z.B. siehe Deutsche Gesellschaft für Risikomanagement e.V. (Hrsg.) (2008): Risikoaggregation in der Praxis - Beispiele und Verfahren aus dem Risikomanagement von Unternehmen

^[34] Vgl. Neubeck, G. (2003), S.96

^[35] Vgl. Göbenzell, K.-P. (2001), S.1464

^[36] Vgl. Versteegen, H. (2003), S.174

^[37] Vgl. Versteegen, H. (2003), S.178

^[38] Vgl. Versteegen, H. (2003), S.180

^[39] Vgl. Schmitz, T.; Wehrheim, M. (2006), S.97

^[40] Vgl. Vassia, S. (2004), S.50

^[41] Seibold, H. (2006), S.33

^[42] Vgl. Zellmer, G. (1990), S.73 f.

^[43] Maier (1999), S.23

^[44] Vgl. Königs, H.-P. (2005), S.44

^[45] Vgl. Schmitz, T.; Wehrheim, M. (2006), S.140

^[46] Vgl. Kirchner, M. (2002), S.50

^[47] Balzert, H. (2008), S.69

^[48] Vgl. Gaulke, M. (2004), S.2

^[49] Vgl. Wack, J. (2007), S.5

^[50] Vgl. Henrich, A. (2002), S.8

^[51] Vgl. Gaulke, M. (2004), S.2

^[52] Vgl. Balzert, H. (2008), S.69 ff.

^[53] Vgl. Wack, J. (2007), S.5

^[54] Vgl. Balzert, H. (2008), S.69

^[55] Wack, J. (2007), S.7

^[56] Vgl. Kuster, J. et al. (2008), S.8