Methoden der projektorientierten Risikoanalyse Klassifikation und kritische Betrachtung ausgewählter Verfahren

Einleitung

Was haben so verschiedene Großprojekte wie aufwendige Kinofilme (z.B. "Titanic"), neue Waffensysteme (z.B. der Jäger 90) oder Großveranstaltungen (z.B. die Olympischen Spiele 2000 in Sydney) gemeinsam? Die Gesamtkosten liegen in der Regel um ein Vielfaches über den geplanten Kosten und auch der geplante Zeitpunkt der Fertigstellung wird häufig deutlich überschritten. Muß das so sein?

Natürlich sind derartige Probleme keine nur für unsere Zeit typischen Erscheinungen. Sicherlich traten sie auch bei Bauvorhaben im Altertum auf, doch wurden sie in der Regel dadurch "gelöst", daß man die tatsächlich oder angeblich Verantwortlichen kurzerhand hinrichtete. Daran ändert auch die Tatsache nichts, daß die Kaiser Roms das Verfahren gelegentlich dahingehend modifiziert hatten, daß sie die betreffenden Personen zum Selbstmord zwangen.

Damals waren genügend Gold und billige Arbeitskräfte bzw. Sklaven vorhanden, oder man fand Mittel und Wege, um sich beides zu beschaffen. Heutzutage ist die Situation grundlegend anders: die Sklaverei ist nicht nur abgeschafft, man kann auch mit Arbeitskräften nicht beliebig umgehen. Inzwischen gibt es zwar bessere Maschinen und sogar Computer, doch das löst nicht nur einige alte Probleme, sondern schafft auch zahlreiche neue. Auch sind Personen und Unternehmen in der Regel nicht mehr so reich und mächtig wie die Herrscher vergangener Zeiten. In dem Moment, in dem öffentliche Einrichtungen und damit Steuergelder ins Spiel kommen, wird die Situation noch weiter verschärft.

Früher konnte man bei Naturkatastrophen und anderen unvorhergesehenen Ereignissen den Zorn der Götter als Erklärung heranziehen. Heute kann man sich nicht mehr so einfach aus der Affäre ziehen. Zwar sind auch heute noch viele Ereignisse unvorhersehbar und viele Risiken unberechenbar, doch hat man inzwischen zahlreiche Modelle, Methoden und Verfahren entwickelt, um Risiken zu erkennen, zu analysieren, zu begrenzen oder gar zu beseitigen.

Nach Fürnrohr [1] wird "der Erfolg bei der Durchführung von Projekten durch eine zwangsläufig unvollständige Informationslage und eine geringer werdende Transparenz der Umweltsituation immer unsicherer. Die Verwirklichung von Projektvorhaben ist oftmals mit einer Vielzahl von Risiken verbunden. Die Aufgabe des projektorientierten Risikomanagements ist es deshalb, Entscheidungen zu treffen, um das Risiko des Verfehlens der angestrebten Projektziele (typischerweise Leistung, Kosten und Abschlußtermin) so gering wie möglich zu halten."

Nach Franke (in [2]) liegt die schwierigste und für den Erfolg des Risikomanagements wesentliche Aufgabe in der Risikoanalyse und der Bewertung von Risiken. Die Qualität der projektorientierten Risikoanalyse ist also die Voraussetzung für eine optimale Risikobewältigung.

In nun mehr als dreißig Jahren wurden zahlreiche Methoden und Modelle zur Analyse von Projektrisiken entwickelt. Inzwischen existiert eine kaum überschaubare Menge von Publikationen auf diesem Gebiet. Das Ziel der vorliegenden Arbeit ist deshalb die Sichtung des vorhandenen Materials sowie die Klassifikation der entwickelten Verfahren, wobei jeweils charakteristische Modelle vorgestellt und kritisch betrachtet werden sollen.

Prinzipiell lassen sich zwei Typen von Risikoanalyse-Verfahren unterscheiden: solche, die zur Unterstützung strategischer Unternehmensentscheidungen dienen, und solche, die taktische Entscheidungen unterstützen. In der vorliegenden Arbeit werden die Risikoanalyse-Verfahren nach ihrem Konzept in Top-down- und Bottom-up-Verfahren unterschieden. Die Bottom-up-Verfahren lassen sich noch dahingehend unterscheiden, ob sie sich nach dem Ablaufplan oder dem Strukturplan des Projekts orientieren. Diese Grobklassifikation wird durch die folgende Abbildung veranschaulicht:

Die vorliegende Arbeit gliedert sich in drei größere Teile. Im ersten Abschnitt wird das Thema projektorientierte Risikoanalyse eingegrenzt und die Grundlagen sowie das notwendige Begriffsgerüst vorgestellt. Außerdem wird eine Übersicht über die bisher entwickelten Methoden und Verfahren zur Risikoanalyse erstellt und versucht, erkennbare Tendenzen aufzuzeigen.

Im zweiten Abschnitt werden die Bottom-up-Verfahren behandelt. In diese Kategorie fallen die meisten der bisher entwickelten Modelle zur Analyse von Projektrisiken. Sie kommen gewöhnlich erst nach der Auftragserteilung zum Einsatz, da sie einen mehr oder weniger tief gegliederten Projektstrukturplan voraussetzen und einen enormen Bedarf an Eingabedaten haben.

Ohne allzusehr vorzugreifen läßt sich sagen, daß diese Verfahren in der Praxis so gut wie nicht angewendet werden. Ein Hauptgrund für die mangelnde Akzeptanz ist, daß die Modelle sehr komplex und schwierig sind und die Ergebnisse für den Projektmanager meist schwer nachvollziehbar sind. Diesen Sachverhalt hat Little [3] in folgendem vielzitierten Satz treffend formuliert: "Ein Manager lebt lieber mit ungelösten Problemen als mit Modellen, die er nicht versteht."

Die Menge der vorhandenen Literatur auf diesem Gebiet ist dementsprechend sehr hoch, wobei allerdings einige Einschränkungen zu machen sind:

- Viele Verfahren bauen auf denselben Grundlagen auf, beispielsweise auf älteren Verfahren wie PERT.
- In den letzten Jahren hat sich auf diesem Gebiet nicht mehr viel getan.
- Der Schwerpunkt der Forschung und Entwicklung und damit auch der Veröffentlichung liegt eindeutig in den USA, wobei meistens das Verteidigungsministerium (DoD) der Auftraggeber ist, was sich behindernd auf die Beschaffung von Literatur auswirkt.
- Die meisten Veröffentlichungen stammen von den Firmen, von denen die Verfahren entwickelt wurden, so daß keine allzu kritische Betrachtung erwartet werden darf, da die Unternehmen ihre Verfahren schließlich verkaufen wollen.
- Vergleichende Übersichten über verschiedene vorhandene Verfahren gibt es praktisch überhaupt nicht.

Die vorliegende Arbeit soll versuchen, eine solche Übersicht zu geben und die bisher entwickelten Verfahren mit ihren charakteristischen Merkmalen, Voraussetzungen, ihren Vorteilen und Nachteilen vorstellen. Dabei sollen die für den Projektmanager wichtigen Fragen beantwortet werden, z.B. wann und für welche Projekte kann ein Verfahren eingesetzt werden, oder welche Projektziele werden modelliert?

Im dritten Abschnitt werden die Top-down-Verfahren behandelt. Diese Verfahren werden hauptsächlich bereits in der Vorauftragsphase angewendet, d. h. die Projektstruktur muß nicht bis in alle Einzelheiten bekannt sein. Die Verfahren kommen also unter Umständen schon zur Anwendung, bevor eine Entscheidung über die Durchführung eines Projekts gefallen ist. Da diese Verfahren immer größere Bedeutung erlangen, bildet dieser Teil den Schwerpunkt der vorliegenden Arbeit.

Leider gibt es zur Zeit noch sehr wenige fertige Top-down-Verfahren und entsprechend wenig brauchbare Literatur, weshalb hauptsächlich Ideen, Konzepte und Hilfsmittel vorgestellt werden. Es ist jedoch damit zu rechnen, daß sich in naher Zukunft auf diesem Gebiet einiges bewegen wird.

Bei der Überarbeitung der ersten Auflage aus dem Jahr 1990 habe ich die alte Rechtschreibregelung beibehalten, nicht zuletzt weil ich von Sinn und Notwendigkeit der Rechtschreibreform nicht überzeugt bin.

Hamburg, im September 2000

Torsten Stau

Torsten Stau

Teil I Projektorientierte Risikoanalyse

1. Einleitung

In der heutigen Zeit nimmt die Größe und Komplexität menschlicher Organisationen immer mehr zu. Eine solche Entwicklung ist in gleicher Weise bei Unternehmungen, öffentlichen Betrieben, Behörden und im Verteidigungsapparat festzustellen. Im Zuge wachsender Komplexität wird es für die Leitungen solcher Organisationen zunehmend schwieriger, Ziele zu erkennen, festzulegen und kontrolliert zu erreichen.

Zur Realisierung der Projektziele stehen zahlreiche verschiedene Techniken des Projektmanagements zur Verfügung. Dazu gehört das Management der Risiken, die mit jedem Projekt verbunden sind. Den Methoden und Verfahren zur Analyse dieser Risiken sowie den darauf aufbauenden Projektentscheidungen kommt also immer größere Bedeutung für die erfolgreiche Durchführung von Projekten zu.

An dieser Stelle möchte ich ausdrücklich davor warnen, den im folgenden verwendeten Begriff Risikomanagement von Projekten mit dem Oberbegriff Projektmanagement zu verwechseln! Die vorliegende Arbeit beschäftigt sich ausschließlich mit dem Risikomanagement, insbesondere der Risikoanalyse, die ein wichtiger Bestandteil des Risikomanagements ist und dazu dient, Risiken zu identifizieren und zu bewerten. Die Ergebnisse der Risikoanalyse sind eine Grundlage für Entscheidungen im Rahmen des Risikomanagements.

Bevor ein Überblick über das Problem des Risikomanagements von Projekten gegeben werden kann, sollten die am häufigsten verwendeten Begriffe definiert werden. Das ist besonders deshalb notwendig, weil die Terminologie in der Fachliteratur in diesem Bereich nicht immer eindeutig ist. Begriffe wie Risiko, Ungewißheit und die damit verbundenen Aspekte bei der Durchführung eines Projekts werden in unterschiedlichen Zusammenhängen erwähnt und mit voneinander abweichenden Bedeutungen belegt.

Die Bereiche Risikomanagement und Risikoanalyse werden anschließend ausführlich behandelt. In einem weiteren Kapitel wird versucht, ein Raster zu entwerfen, nach dem vorhandene Modelle und Verfahren zur Risikoanalyse klassifiziert und bewertet werden können.

2. Definitionen

Da wie bereits erwähnt die Terminologie in der Fachliteratur nicht immer eindeutig ist, werden zunächst die im folgenden ständig verwendeten Begriffe definiert, bevor auf Risikomanagement und Risikoanalyse näher eingegangen wird, wobei ich mich weitgehend an die von Charette [4] verwendete Terminologie halte. Da die Fachliteratur überwiegend in den USA erschienen ist, halte ich es für ratsam, jeweils auch die englischen Fachbegriffe zu nennen.

2.1. Ungewißheit / Unsicherheit

Ganz allgemein läßt sich Ungewißheit oder Unsicherheit (uncertainty) folgendermaßen definieren:

Unsicherheit ist das Fehlen von Informationen.

Die Ungewißheit kann sich dabei auf vergangene, gegenwärtige oder zukünftige Ereignisse und Bedingungen erstrecken. Besondere Bedeutung kommt dabei den Aussagen über zukünftige Ereignisse oder Zustände zu, d.h. den Prognosen. Nach Brockhoff [5] ist eine Prognose (forecast) eine "Aussage über ein oder mehrere zukünftige Ereignisse, die auf Beobachtungen und einer – wenn auch rudimentären – Theorie beruht. Eine unsichere Prognose ist eine Vorhersage, bei der das Eintreffen eines zukünftigen Ereignisses nur mit einer bestimmten Wahrscheinlichkeit angegeben werden kann."

Unter Sicherheit (safety) versteht man ein Risiko, das so gering ist, daß es akzeptiert werden kann. Eine Entscheidung hierüber zu fällen, ist Aufgabe des Risikomanagements.

Je höher der Informationsstand, desto präziser wird im Allgemeinen eine Prognose zutreffen. Ein vollkommener Informationstand bedeutet dabei allerdings nicht, daß der Faktor Ungewißheit völlig eliminiert wird. Da in der (ökonomischen) Umwelt subjektiv nondeterministische Zusammenhänge gelten, ist auch bei Kenntnis aller relevanten Informationen, die für eine Aussage über die Zukunft notwendig sind, eine vollkommene Voraussicht niemals gegeben (vgl. Brockhoff [5]).

2.2. Risiko

Der Begriff des Risikos (risk) wird in der Fachliteratur (vgl. z.B. Charette [4], Fürnrohr [1], Rowe [6] oder Whatley [7]) einheitlich wie folgt definiert:

Risiken sind Möglichkeiten von Fehlentscheidungen, d.h. die Möglichkeit des Eintretens eines oder mehrerer ungünstiger Ereignisse, für die die gefällte Entscheidung unter der gewählten Zielsetzung nicht optimal war.

Nach Fürnrohr [1] stellt sich die Frage, "welche Aktion das geringste Risiko einer Divergenz zwischen Plandaten und faktischen Daten beinhaltet, oder anders formuliert: Welche Entscheidungen sind zu treffen, um das Risiko eines Verfehlens der angestrebten Projektziele so gering wie möglich zu halten."

Es versteht sich eigentlich von selbst, daß ein Risiko immer aus einer Unsicherheit entsteht. Diese Unsicherheit und die damit verbundenen Risiken sind im Rahmen der Risikoanalyse zu identifizieren.

Ein identifiziertes Risiko tritt (wenn überhaupt) mit einer bestimmten Wahrscheinlichkeit auf. Die Eintrittswahrscheinlichkeiten der identifizierten Risiken sind im Rahmen der Risikoanalyse zu berechnen.

Ein auftretendes Risiko ist mit negativen Folgen oder Konsequenzen verbunden. Die negativen Folgen der aufgetretenen Risiken und die Höhe des damit verbundenen Schadens für das Projekt sind im Rahmen der Risikoanalyse zu berechnen.

Bezeichnet man die möglichen auftretenden negativen Folgen mit si (für scenario), die Wahrscheinlichkeit ihres Eintretens mit li (für likelihood) und den zu erwartenden Schaden mit di (für damage), so läßt sich das Risiko durch folgendes Tripel beschreiben:

Risiko = { < si, li, di > }

Die identifizierten und bewerteten Risiken eines Projekts lassen sich in dieser Form als Tabelle auflisten und für die weitere Bearbeitung im Rahmen des Risikomanagements benutzen, denn jedes Risiko muß zu einer Entscheidung in irgendeiner Form führen.

In diesem Zusammenhang sind einige Anmerkungen wichtig: Die Eintrittswahrscheinlichkeit und die erwartete Höhe eines Verlusts müssen nicht notwendigerweise voneinander unabhängig sein. Außerdem muß man zwischen einzelnen und verschiedenartigen Ereignissen und negativen Folgen unterscheiden, denn das Risiko ist sicherlich höher, wenn in verschiedenen Bereichen (z.B. politisch, wirtschaftlich und sozial) eine negative Folge droht als nur in einem Bereich.

3. Risikomanagement

Im Streben nach besseren Projektergebnissen bedarf es neben den "klassischen Methoden" des Projektmanagements nach [8] eines "projektorientierten Risikomanagements (risk management), um Aktivitäten so zu bestimmen, daß die Wahrscheinlichkeit einer Störung oder eines Verlusts minimiert wird." Projektorientiertes Risikomanagement läßt sich folgendermaßen definieren:

Risikomanagement bei Projekten umfaßt alle Methoden und Handlungen, die angewandt werden, um Projektrisiken zu minimieren.

Bei Risikomanagement handelt es sich also nicht um ein Verfahren zur Risikominimierung, sondern um einen Oberbegriff, der alle Verfahren und Aktivitäten umfaßt, die zur Risikominimierung erforderlich sind. Ein wesentlicher Bestandteil des Risikomanagements ist deshalb die projektorientierte Risikoanalyse.

Nach Dobelke (in [9]) bedeutet Risikomanagement "der bewußte Umgang mit Risikopotentialen in der horizontalen Ebene, d.h. über sämtliche Projektphasen, sowie in der vertikalen Ebene, d.h. in allen Hierarchie- und Entscheidungsebenen."

Abbildung in dieser Leseprobe nicht enthalten

Das Risikomanagement besteht aus folgenden drei Aufgabengebieten:

Diese drei Aufgabenbereiche des Risikomanagements sind nicht voneinander unabhängig und überschneiden sich. Sie werden auch nicht im wesentlichen nacheinander erledigt, sondern ziehen sich im Normalfall über den gesamten Projektverlauf hin. Ebenso läßt sich die Risikoanalyse nicht in eine der drei "Schubladen" ablegen, denn sie kommt in allen drei Aufgabenbereichen zum Einsatz. Ein Projekt ist ein dynamischer Vorgang, der ständig abläuft, quasi ein Regelkreis, denn jede "Lageänderung" bedingt eine neue Analyse, und jede Analyse führt zu einer Entscheidung und damit wieder zu einer Lageänderung usw.

Entscheidungen sind zu treffen, um das Risiko eines Verfehlens der angestrebten Projektziele so gering wie möglich zu halten. Diese Projektziele sind gewöhnlich:

Abbildung in dieser Leseprobe nicht enthalten

Wie und in welchem Ausmaß sollten nun in der Praxis die Methoden des Risikomanagements zum Einsatz kommen? Im Allgemeinen hängt dieses von der Größe des Projekts und von den zur Verfügung stehenden Mitteln ab. Eine extensive Risikoanalyse und Bewertung aller Aspekte eines Projekts, die einen beträchtlichen Teil des Budgets verschlingt, hätte ihren Sinn verfehlt.

Eine ungleiche Aufteilung der für das Risikomanagement veranschlagten Zeit und Mittel über einzelne Projektziele und deren Unsicherheiten stellt wohl die vorteilhafteste Verfahrensweise dar. Einzelne Subsysteme oder Phasen des Projekts, die mit einem hohen Maß an Ungewißheit behaftet und für den Erfolg entscheidend sind, rechtfertigen eine detailliertere Analyse (eventuell mit verschiedenen Verfahren), wohingegen Abschnitte des Projekts, deren Ablauf und Kosten mit hoher Wahrscheinlichkeit feststehen, als zweitrangig behandelt werden können. Dieses ist die Aufgabe der Risikoselektion.

Außerdem sollten die einzelnen Subsysteme eines Projekts nicht ausschließlich getrennt voneinander analysiert werden, da die wechselseitigen Abhängigkeiten unter Umständen beträchtlich sind. Darüber hinaus sind die in den einzelnen Phasen angestrebten Ziele oft konträr. So wird eine Kürzung der zur Verfügung stehenden Zeit sich mit Sicherheit negativ auf den Faktor Leistung/Qualität auswirken. Als gemeinsame Basis für integrierte Analyseverfahren könnten die mit den Risiken letztlich verbundenen Kosten dienen.

Zu einem besseren Verständnis für die mit einem Projekt verbundenen Risiken führt der Einsatz von Techniken des Risikomanagements im Allgemeinen immer. Die notwendige Informationssammlung und -auswertung macht die Struktur und die logischen Abhängigkeiten einzelner Aspekte des Projekts transparenter und erleichtert die Entscheidungsfindung und Planerstellung. Die Erfolgswahrscheinlichkeit des Projekts wird damit auch bei komplexen Zusammenhängen sicherlich günstig beeinflußt werden und den Einsatz von Techniken des Risikomanagements rechtfertigen.

Nach Charette [4] ist Risikomanagement "die geplante Kontrolle der Risiken und die Überwachung des Erfolgs der Kontrollmechanismen." Das Risikomanagement beinhaltet eine Entscheidung über die Risiken, nachdem diese analysiert worden sind. Um Risikomanagement wirkungsvoll anwenden zu können, sind einige Voraussetzungen notwendig. Es müssen geeignete Maßstäbe zur Leistungsmessung vorhanden sein und Informationen, um ständig die aktuelle Leistung überwachen zu können. Der Projektmanager muß Erfahrung besitzen, um die beste von möglichen Alternativlösungen auszuwählen, und natürlich die Autorität und Kompetenz, um die getroffenen Entscheidungen auch durchsetzen zu können.

Im folgenden wird kurz auf die drei genannten Aufgabenbereiche eingegangen.

3.1. Risikoplanung

Die Risikoplanung (risk planning) befaßt sich unter anderem mit zwei grundlegenden Problemen: Einerseits wird überprüft, ob die zur Durchführung des Risikomanagements gewählte Strategie selbst korrekt und durchführbar ist. Andererseits wird geprüft, ob die zur Anwendung der Strategie zur Verfügung stehenden Taktiken und Mittel mit den Projektzielen in Einklang stehen. Außerdem wird hier die Durchführbarkeit von Risikokontrolle und Risikoüberwachung überprüft.

In der Phase der Risikoplanung werden die Entscheidungen getroffen, die im wesentlichen auf den Ergebnissen der durchgeführten Risikoanalyse basieren. Hier findet im Prinzip auch eine Risikoselektion statt, denn es wird nicht nur entschieden, wie mit einem identifizierten und bewerteten Risiko umgegangen wird. Einige Risiken werden ausgeschlossen, nachdem festgestellt worden ist, daß sie zu vernachlässigen oder zumindest zu akzeptieren sind. Außerdem werden die Risiken bestimmt, gegen die man sich versichern kann, wobei natürlich zuvor eine Kosten-Nutzen-Analyse durchgeführt werden muß, denn auch eine Versicherung ist natürlich mit Kosten verbunden.

In einem Projekt, in dem eine Risikoanalyse durchgeführt wird, kann man die Projektplanung mit dem Risikomanagement gleichsetzen, da Risikokontrolle und -überwachung praktisch nicht stattfinden. Da ein Projekt ein dynamischer Prozeß ist, ist diese Situation jedoch ziemlich unrealistisch und wird im folgenden nicht weiter berücksichtigt.

3.2. Risikokontrolle

Die Risikokontrolle (risk control) befaßt sich mit der Entwicklung und Überprüfung der Durchführbarkeit von Kontrollmechanismen, die eingesetzt sind, um Risiken einzuschränken, oder in unvorhergesehenen Fällen eingesetzt werden könnten. Außerdem werden hier der risk management plan (RMP) und der risk aversion plan (RAP) erstellt sowie ein aktualisiertes RES (risk estimate of the situation), auf die hier nicht näher eingegangen werden soll. Diese Pläne dienen ebenfalls als Grundlage für den Entscheidungsprozeß.

3.3. Risikoüberwachung

Der Begriff Risikoüberwachung wurde nicht aus der benutzten Fachliteratur übernommen, sondern wird an dieser Stelle als Übersetzung des Begriffs risk monitoring eingeführt.

Die Risikoüberwachung kommt zum Tragen, nachdem Entscheidungen über Risikostrategien und Taktiken gefallen sind. Es wird überprüft, ob die getroffenen Entscheidungen die geplanten Folgen nach sich ziehen. Außerdem werden Gelegenheiten aufgezeigt, an denen man noch steuernd oder verbessernd eingreifen kann.

Es werden Erfahrungswerte und Daten für zukünftige Entscheidungen gesammelt, um neue Risiken oder solche, die mit der gewählten Strategie nicht erfaßt werden, oder solche, deren Natur sich im Laufe der Zeit geändert hat, zu kontrollieren. Hier kommt also erneut die Risikoanalyse zum Tragen, um neue Daten zu sammeln. Ziel der Risikoüberwachung ist also festzustellen, ob eine gewählte Strategie wirkungsvoll genug ist oder ob eine neue Entscheidung zu treffen ist.

3.4. Einige "Grundregeln" des Risikomanagements

Charette [4] nennt einige einfache und plakative "Grundregeln" für erfolgreiches Risikomanagement, die ich für interessant genug halte, um an dieser Stelle angeführt zu werden.

1. Regel: Vor allem keinen Schaden anrichten.

Eigentlich ein Grundsatz aus der Physik. Wenn bei der Bearbeitung von Risiken mehr neue Risiken entstehen als bearbeitet werden können, dann soll man es sein lassen und diese Risiken nicht akzeptieren. Man hat meistens die Möglichkeit zu warten, bis durch die Risikobewertung und Risikoverdichtung größere Sicherheit entstanden ist. Sind die Risiken kleiner oder gleich den abgeschätzten, so braucht man sich nur noch auf unbekannte oder nicht vorhersehbare Risiken zu konzentrieren, worunter nicht nur neue Risiken zu verstehen sind, sondern auch solche, die durch Verbindung oder Vermischung bekannter Risiken entstanden sind. Die Suche nach diesen Fehlerquellen sollte eine hohe Priorität haben.

2. Regel: Adde parvum parvo magnus acervus erit.

"Es ergibt einen großen Haufen, wenn man zu einem bißchen ein wenig hinzufügt." (zitiert frei nach Ovid). Diese Weisheit entspricht etwa dem deutschen Sprichwort "Kleinvieh macht auch Mist" und gilt natürlich auch für das Risikomanagement.

Die Risikoanalyse kann die Wahrscheinlichkeit des Eintretens irgendeines ungünstigen Ereignisses bestimmen, aber nichts über einzelne Ereignisse aussagen. Das Ziel des Risikomanagements ist die Verbesserung der Erfolgswahrscheinlichkeit. Alle Projektaktivitäten sind Nebenerscheinungen dieser Zielsetzung. Risikomanagement existiert ja nicht um seiner selbst willen. Alle Mittel, um die Erfolgswahrscheinlichkeit zu steigern, sollten berücksichtigt werden.

3. Regel: Fähigkeiten statt Absichten.

Risikomanagement basiert auf dem, was durchgeführt werden kann, nicht auf dem, was man hofft durchführen zu können. Realismus ist eine Voraussetzung für ein erfolgreiches Risikomanagement. Der Weg zum Versagen eines Projekts ist voll von guten Absichten.

4. Regel: Ohne Engagement kein Risikomanagement.

Wenn das Risikomanagement durch das Projektmanagement weder aktiv unterstützt noch die Notwendigkeit dafür eingesehen wird, hat es wenig Sinn, so zu tun, als ob man es durchführen würde. Das Risikomanagement verlangt Manager, die beharrlich und vorurteilsfrei Problemen direkt ins Auge sehen, anstatt ihnen auszuweichen oder vor ihnen wegzulaufen. Niemand mag Probleme, aber sie existieren und man muß professionell mit ihnen umgehen.

3.5. Vergleich von Risikomanagement und "normalem" Management

Oft stellt sich die Frage nach dem Unterschied zwischen dem, was bei "normalem" Projektmanagement, und dem, was bei Risikoanalyse und Risikomanagement passiert. In den meisten Fällen gibt es theoretisch keinen Unterschied. Risikoanalyse und Risikomanagement sind lediglich Mittel zum Zweck und müssen als solche mit anderen Instrumenten konkurrieren, die ebenfalls dazu dienen, die Projektziele zu erreichen. Charette [4] sieht jedoch zwei Bereiche, in denen sich Risikoanalyse und Risikomanagement vom "normalen" Management unterscheiden.

Der erste Unterschied liegt in ihrer Philosophie. Management wird gesteuert durch Möglichkeiten und Gelegenheiten, während Risiken die Handlungsfreiheit einschränken. Als Beispiel führt Charette [4] hier die Softwareentwicklungsstrategie der Japaner an, die lieber bestehende Systeme verfeinern und verbessern als das ganze System zu verändern oder etwas Neues herzustellen. Sie legen mehr Wert auf Zuverlässigkeit als auf Funktionalität. Gegenübergestellt wird das Verhalten der USA, wo mehr Wert auf Funktionalität gelegt wird, auch auf Kosten der Zuverlässigkeit und mit Inkaufnahme höherer Kosten. Man orientiert sich an den Anforderungen der Verbraucher und baut Komponenten neu, wenn diese benötigt werden. Das Risikomanagement wird also gesteuert durch die Risiken und durch die Möglichkeiten eingeschränkt.

Ein weiterer Unterschied liegt in der individuellen Praxis beider Ansätze. Das typische Management kann man als erfolgsorientiert bezeichnen. Es herrschen Einstellungen vor wie "es wird schon gutgehen", "mir kann nichts passieren" oder "bloß aufpassen, daß nichts durch meine Schuld schiefgeht". Niemand möchte zugeben, daß etwas schiefgehen könnte, oder gar dafür geradestehen müssen. Um so größer ist dann die Krise, wenn tatsächlich etwas schiefgeht. "Normales" Management könnte man daher als optimistisch oder gar als blauäugig bezeichnen.

Risikomanagement ist dagegen wesentlich realistischer orientiert. Der Erfolg beruht auf dem Vorhersehen von und dem Umgang mit Fehlern. Es wird vorgebeugt; Charette [4] spricht sogar von defensivem Management. Es werden Fragen gestellt wie

- was kann schiefgehen?
- wie verhindere ich, daß etwas schiefgeht?
- wie hoch ist die Wahrscheinlichkeit, daß etwas schiefgeht?
- welche Folgen hat es, wenn etwas schiefgeht?
- wann und wie weiß ich, daß etwas schiefgegangen ist?
- was tue ich, wenn etwas schiefgegangen ist?

Diese ein wenig pessimistische Einstellung mag paranoid erscheinen, aber man bedenke folgenden Merksatz:

Risiken und Fehler verschwinden nicht dadurch, daß man sie ignoriert.

Charette [4] macht die Unterschiede an einem weiteren anschaulichen Beispiel deutlich: Wenn man eine Yacht von einem Hafen zum anderen segeln möchte, so gibt es dazu mehrere Möglichkeiten: Einerseits kann man weit ins Meer hinaus segeln, wobei man zwar viel Zeit braucht, aber die Riffe, Felsen und Sandbänke an der Küste umgeht. Andererseits kann man aber auch nahe an der Küste segeln und dabei ständig Karten zu Rate ziehen, auf denen die Riffe, Felsen und Sandbänke eingezeichnet sind. Ebenso wie man nicht sagen kann, welcher Kurs in jeder Situation der beste ist, gibt es auch immer mehrere Wege, um zu einer Entscheidung zu kommen, wobei jedoch entscheidend ist:

Nur weil ein Risiko identifiziert worden ist, muß es noch lange nicht zum Tragen kommen. Die Risikoanalyse versucht, Erkenntnisse zu gewinnen, die dem Risikomanagement helfen, den Schaden gering zu halten, wenn ein Risiko eintritt. Dazu ist man bemüht, Größe, Eintrittswahrscheinlichkeit und Folgen der identifizierten Risiken zu reduzieren.

4. Risikoanalyse

Die Risikoanalyse ist die wichtigste Grundlage für das Risikomanagement. Ihr Ziel muß es sein, die Ungewißheiten, die ihm Rahmen der Projektplanung auftreten können, zu erkennen, zu quantifizieren und schließlich ihren Einfluß auf das Erreichen der Projektziele darzustellen. Auf der Basis der in der Risikoanalyse gewonnenen und verdichteten Informationen müssen die Entscheidungen über die zur Risikominimierung nötigen Vorgehensweisen getroffen werden. Die Qualität der Risikoanalyse ist Voraussetzung für eine optimale Risikobewältigung.

In Anlehnung an Whatley [7] kann man die projektorientierte Risikoanalyse folgendermaßen definieren:

Projektorientierte Risikoanalyse ist das logisch strukturierte Vorgehen zur Quantifizierung von Unsicherheiten bei der Planung und Realisation von Projekten.

Der Begriff Risikoanalyse wird in der Literatur sehr unterschiedlich verwendet. Grundsätzlich läßt sich Risikoanalyse charakterisieren als eine Maßnahme der Informationsbeschaffung und -verarbeitung zur Vorbereitung von Managemententscheidungen. Nach Fürnrohr [1] ist es das Ziel, "die Ungewißheiten in der Planung von Vorhaben aufzudecken, mit Wahrscheinlichkeiten zu bewerten und deren Konsequenzen (Risiken) in bezug auf die angestrebten Projektziele darzustellen. Risikoanalysen sind keine Entscheidungsmodelle, die klare Handlungsweisen vermitteln. Vielmehr handelt es sich um Entscheidungshilfen, die dem Management die Konsequenzen von Entscheidungen verdeutlichen und alternative Handlungsoptionen aufzeigen sollen."

Die Risikoanalyse kann viele verschiedene Ziele haben, z.B. nach [8]:

- Systematische Beschreibung der Projektrisiken
- Ordnung der Risiken nach Prioritäten
- Identifizierung von Problembereichen
- Beseitigung von Defekten, Fehlern und Fallen des Projekts
- Vergleich von erwarteten und tatsächlichen Werten
- Vergleich zwischen alternativen Projektplänen
- Vergleich mit ähnlichen abgeschlossenen Projekten
- Detaillierte Optimierung der Projektparameter
- Bewertung der Akzeptanz des Projekts
- Basis für eine Kosten-Nutzen-Analyse
- Basis für die Entscheidungsfindung

Die Risikoanalyse sollte immer zu einer Entscheidung führen, ist aber so gut wie nie der einzige Faktor, der zu einer Entscheidungsfindung herangezogen wird. Es kommen eine ganze Menge subjektive Faktoren hinzu und andere Faktoren wie finanzielle Gelegenheiten, erhoffter Lebensstil, Sicherheitskriterien etc. Außerdem sind die Möglichkeiten der Entscheidung normalerweise stark begrenzt durch eine Reihe von Einschränkungen wie z.B.:

- Gesetze aller Art
- Sicherheitsvorschriften
- Normen
- Vertragsvereinbarungen
- finanzielle Beschränkungen
- technische Beschränkungen
- personelle Beschränkungen
- Zeitbeschränkungen

Cooper und Chapman [11] sehen fünf verschiedene Situationen, in denen Unsicherheiten eine bedeutende Rolle spielen und in denen geeignete Formen der Risikoanalyse zur Anwendung kommen könnten:

- Bei der Bewertung eines geplanten Projekts oder einer beabsichtigten Investition vor der Durchführung muß, oft auf der Basis minimaler Informationen, eine Entscheidung getroffen werden, um ggf. das Projekt aufzugeben, es hinauszuschieben oder um mit detaillierteren Durchführbarkeitsstudien fortzufahren.
- Eine Entscheidung kann notwendig sein, bevor man ein kleineres Nebenprojekt übernimmt oder darin verwickelt wird. Dieses ist besonders der Fall, wenn man ohnehin knapp kalkuliert hat und der vorher berechnete Nutzen die Kosten kaum aufwiegt.
- Risikoanalyse ist ratsam, wenn ein Projekt oder eine Investition mit ungewöhnlichen Risiken oder Unsicherheiten verbunden ist, so daß der Bereich für die zu erwartenden Ergebnisse nicht ohne weiteres absehbar oder zu weit gesteckt ist.
- Strategische Entscheidungen sind notwendig, wenn zwischen Projektalternativen gewählt werden muß, die für einen Projektplan in Frage kommen, der bereits zu einem früheren Stadium festgelegt worden ist.
- Risikoanalyse ist ratsam für taktische Entscheidungen, um einen detaillierten Plan zu entwickeln oder Projektspezifikationen zu optimieren für ein Projektkonzept, das bereits genehmigt worden ist.

Entscheidungen sind zu treffen, um das Risiko eines Verfehlens der angestrebten Projektziele so gering wie möglich zu halten.

Die Risikoanalyse besteht aus folgenden drei Aufgabengebieten:

Abbildung in dieser Leseprobe nicht enthalten

Diese drei Aufgabenbereiche der Risikoanalyse sind nicht voneinander unabhängig und deshalb nicht klar voneinander zu trennen. Die oben genannte Einteilung wird jedoch in praktisch allen verwendeten Quellen eingehalten.

Den Schwerpunkt jeder Risikoanalyse bilden dabei die beiden ersten Phasen. Sie stellen die eigentliche Risikoanalyse im Sinne einer Maßnahme zur Informationsbeschaffung dar und werden in den folgenden Abschnitten näher erläutert. Die Phase der Risikoverarbeitung ist dagegen nach Fürnrohr [1] weitgehend "handwerklicher Natur".

4.1. Risikoidentifikation

Vor der Bewertung und Analyse eines Risikos muß dieses zuerst erkannt werden. Die Aufgabe der Risikoidentifikation (risk identification) ist also das schrittweise Aufdecken und Erkennen projektspezifischer Unsicherheiten, d.h. es wird die Frage beantwortet: "Was kann schiefgehen?" Parallel zur Identifikation der Risiken sind diese als Basis der nachfolgenden Bewertung durch die Experten zu beschreiben. Die identifizierten und dokumentierten Risiken sollten in einer Gruppe zusammengefaßt werden, um Mehrfachbewertungen auszuschließen. Laut Franke (in [2]) ist das Ziel der Risikoidentifikation, "die Risiken in einem projektspezifischen Risikokatalog zusammenzustellen. Dieser Risikokatalog stellt die Grundlage für die folgende Risikobewertung dar."

In Anlehnung an Charette [4] läßt sich die Risikoidentifikation in folgende drei Abschnitte gliedern:

4.1.1. RES

Zuerst wird ein sogenannter RES (risk estimate of the situation) erstellt. Die Bezeichnung ist ein wenig verwirrend, da die zweite Phase der Risikoanalyse, die Risikoberechnung, als risk estimation bezeichnet wird. Das Ziel dieses Schrittes ist es, die folgenden vier Projektelemente eindeutig zu identifizieren:

- Projektziele
- Strategie
- Taktiken
- Mittel, um die Projektziele zu erreichen

Es kann natürlich nicht sichergestellt werden, daß die Projektziele meßbar und kontrollierbar sind (zumal die Risikoanalyse dann hinfällig würde). Es sollte jedoch sichergestellt werden, daß wenigstens zwei alternative Strategien und/oder Taktiken zum Erreichen der Projektziele existieren. Identifiziert werden müssen außerdem die Beziehungen, in denen die Mittel zu den Projektzielen stehen. Alle diese Elemente sollten im Projektplan klar formuliert werden. Die Projektziele sind die sogenannten Erfolgskriterien des Projekts. Solche Erfolgskriterien können z.B. sein:

- Profit maximieren
- Kosten minimieren
- Verlustrisiko minimieren
- Umsätze maximieren
- Schwankungen minimieren
- vorteilhaftes Image erreichen
- Qualität maximieren
- Wachstumsrate maximieren
- Firmenansehen maximieren

Projektziele lassen sich am besten identifizieren, indem man fragt: "Woran erkenne ich, daß ich fertig bin?" Die Projektziele sollten in irgendeiner Form nach Prioritäten sortiert werden. Die Meßbarkeit der Projektziele ist nicht nur notwendig für die Festlegung von Strategie und Taktiken, sondern auch zur Überwachung des Projekts und damit zur rechtzeitigen Erkennung von auftretenden Schwierigkeiten. Die besten Projektziele sind "binärer" Natur – entweder sie werden erreicht oder nicht.

Die Strategie ist eine Sammlung grober Richtlinien, unter denen die Projektziele erreicht werden sollen. Charette [4] nennt als Beispiel den Golfsport. Die Strategie wäre es beispielsweise, mit möglichst wenigen Schlägen den Golfplatz zu durchlaufen. Strategien bestehen gewöhnlich aus vier Komponenten:

- der technischen Komponente
- der operationalen Komponente
- der logistischen Komponente
- der sozialen Komponente

Alle diese Komponenten müssen berücksichtigt werden bei der Entwicklung einer Strategie. Nicht jede Strategie ist die beste zum Erreichen jedes Ziels, aber eine Strategie sollte möglichst einfach gehalten werden. Eine Strategie ändert sich nicht, solange sich die Projektziele nicht ändern, ist also nicht zeitabhängig.

Die Taktiken sind die operationalen Elemente einer Strategie. Taktiken legen fest, wie unter bestimmten Situationen die Projektziele erreicht werden können. Beim Golf sind also beispielsweise die Taktiken, in welcher Situation welcher Schläger und welcher Schlag benutzt werden. Taktiken ändern sich nach der Situation, sind also zeitabhängig. Die Taktiken hängen natürlich von den zur Verfügung stehenden Mitteln ab, deren Beschränkungen bekannt sein müssen, um eine Taktik zu implementieren.

4.1.2. Gewinnung von Informationen über die relevanten Risiken

Nun wird versucht, Informationen über diejenigen Risiken zu erhalten, die von Bedeutung für das Projekt sind. Mögliche Informationsquellen können beispielsweise sein (vgl. Charette [4]):

- überlieferte Kenntnisse, Weisheiten
- Analogien zu bekannten Fällen
- einheitliche gemeinsame Einschätzungen
- Ergebnisse von Experimenten und Tests
- Überprüfung unerwarteter Erscheinungen

4.1.3. Kategorien der Risiken

Anhand der Ergebnisse aus den ersten Schritten wird nun versucht, die Risiken nach verschiedenen Kriterien zu kategorisieren, z.B. nach Art des Risikos:

- Risiken, die von der Technik abhängen
- Risiken, die vom Zeitplan abhängen
- Risiken, die von Kosten abhängig sind
- Risiken, die vom Einsatz bzw. einer Taktik abhängig sind
- Risiken, die von Unterstützung abhängig sind

Eher zweifelhaft ist dagegen die häufig vorkommende Einteilung in bekannte, vorhersehbare, unidentifizierbare, unbekannte oder unbeobachtbare Risiken, da diese Bezeichnungen nicht eindeutig sind.

Hier kommen die in der Praxis häufig angewandten Risikochecklisten zum Einsatz, die auf empirischer Basis entstehen, d.h. auf der Grundlage einer systematischen Analyse vergleichbarer, abgeschlossener Vorhaben (nach Franke in [2]). Risikochecklisten ermöglichen eine Strukturierung des Problems und erleichtern das Auffinden von Risiken, die mit detaillierteren Aspekten des Projekts verbunden sind. Wenngleich methodisch bislang unbefriedigend, findet die Entwicklung und Anwendung von Risikochecklisten in der Praxis zunehmende Verbreitung. Die folgende Abbildung zeigt an einem vereinfachten Beispiel die Struktur einer Risikocheckliste nach Fürnrohr [1] und Franke (in [2]):

- Kostenunsicherheiten aus Mengen und Effizienzen
- Kostenunsicherheiten aus Abhängigkeiten
- Verläßlichkeit des Auftraggebers
- Risiken aus Abhängigkeiten von Lieferanten, Subunternehmern und Behörden
- Externe Einflüsse
- Erlösunsicherheiten
- Zahlungsunsicherheiten
- Haftungsunsicherheiten
- Terminrisiken

Ein weiteres geeignetes Hilfsmittel sind die sogenannten Stakeholderlisten. Als Stakeholder bezeichnet man Personen, Firmen, Gruppierungen und öffentliche Institutionen, die in irgendeiner Weise direkt oder indirekt einen Einfluß auf die Durchführung des geplanten Projekts haben könnten. Wideman [12] unterscheidet folgende Gruppen von Stakeholdern:

- solche, die in direkter Beziehung zum Projekt stehen, wie Lieferanten, Auftraggeber bzw. Konsument und Projektmanager
- solche, die einen Einfluß haben auf die physikalischen, infrastrukturellen, technologischen, kommerziellen/finanziellen/sozioökonomischen oder politisch/rechtlichen Bedingungen
- solche, die in einer hierarchisch übergeordneten Beziehung zum Projekt stehen, wie staatliche Organe auf lokaler, regionaler und nationaler Ebene
- solche Personen, Gruppen oder Vereinigungen, die ein berechtigtes Interesse haben, wobei mitunter der Bezug zum Projekt fehlt, es aber als Gelegenheit erachten, um eigene Ziele zu verfolgen

Stakeholder lassen sich beispielsweise in folgende Kategorien unterteilen:

- solche, die kontrollierbar sind
- solche, die beeinflußbar sind
- solche, für die man Verständnis aufbringen muß

Unter Umständen stößt man dabei auch auf Stakeholder, die das Projekt zum Scheitern bringen können, ohne daß man etwas dagegen unternehmen kann. Diese Gruppe kann nur identifiziert werden, aber es kann im Rahmen des Risikomanagements keine geeignete Maßnahme getroffen werden, um diese Risiken auszuschalten.

Um ein Beispiel zu bringen, welche Gruppen im Extremfall als Stakeholder zu berücksichtigen sind, kann es beispielsweise bei einem geplanten Staudamm dazu kommen, daß eine gefährdete Tier- oder Pflanzenart, die durch den Bau des Staudamms bedroht würde, zum Stakeholder wird und unter Umständen das Projekt scheitern lassen kann, auch wenn diese Gruppe ihre Rechte nicht selbst vertreten kann.

Nach Fürnrohr [1] verschafft "das systematische Erfassen von Stakeholdern und deren Beziehungen zum geplanten Projekt dem Management zusätzliche Transparenz über potentielle Risiken. Dieses gilt im besonderen für Vorhaben mit Auswirkungen auf den sensiblen Bereich Umweltschutz."

Stakeholderlisten sind ein wesentlicher Bestandteil der Methode SIAM, die im dritten Teil der vorliegenden Arbeit vorgestellt wird. Siehe hierzu auch Neumann [13] oder Abonyi [14].

Häufig werden Risiken auch nach ihren Ursachen klassifiziert, z.B.:

- Informationsmangel
- Mangel an Kontrolle
- Zeitmangel

Die Identifizierung und Klassifikation von Risiken ist die Voraussetzung für die Behandlung verschiedener Risikokategorien im Rahmen des Risikomanagements. Nach Franke (in [2]) können so unter anderem folgende Maßnahmen getroffen werden:

- Bestimmte Risiken können durch geeignete Projektverträge ausgeschlossen werden. Um die Projektabwicklung beeinflussende Risiken auszuschließen, bietet sich als einziges Instrument eine vertragliche Lösung an.
- Erfahrungsgemäß lassen sich bestimmte Projektrisiken im Vertrag ausschließen bzw. auf Dritte abwälzen.
- Einige Risiken können vernachlässigt werden, weil sich ihr Auftreten als zu unwahrscheinlich oder die Folgen als akzeptabel herausgestellt haben.
- Gegen einige der verbleibenden, nicht ausschließbaren Risiken kann man sich eventuell versichern, wobei der kostenmäßige Umfang dieser Risiken gegen die Kosten der Versicherungsprämie im Rahmen einer Kosten-Nutzen-Analyse abzuwägen ist.
- Außerdem kann das Risiko in der Regel durch Revision der ursprünglichen Planung reduziert werden.
- Es werden kalkulatorische Risikovorsorgen gebildet. Unter diesem Punkt werden jene Risiken subsummiert, die weder auszuschließen noch versicherbar sind. Es sind die Risiken, die bewußt eingegangen und somit verkraftet werden müssen.

Nachdem alle Risiken identifiziert und in Kategorien zusammengefaßt worden sind, werden nun in der Phase der Risikobewertung die Wahrscheinlichkeiten ermittelt, mit denen gewisse Risiken auftreten können, sowie der mit ihnen verbundene zu erwartende Schaden.

4.2. Risikobewertung

Nachdem alle mit einem Projekt verbundenen Risiken identifiziert und kategorisiert und ihre Beziehungen und Abhängigkeiten untereinander analysiert sind, soweit das in dieser Phase möglich ist, kann man daran gehen, diese Risiken zu bewerten.

Die Phase der Risikobewertung (risk estimation) beinhaltet zwei wesentliche Aufgabenbereiche: Zum einen sind die Eintrittswahrscheinlichkeiten der in der Risikoidentifikation erfaßten potentiellen Risiken zu ermitteln; zum anderen sind deren Auswirkungen auf die Projektziele (Leistung, Termine und Kosten) zu bestimmen. Die Risikobewertung ist nicht klar von der Risikoidentifikation zu trennen, denn die Einteilung der Risiken in einzelne Kategorien ist bereits eine Form der Bewertung.

Der Bereich der Risikobewertung wird in vielen Quellen als risk evaluation bezeichnet, während andere Ansätze damit die Phase der Risikoverdichtung meinen (in der vorliegenden Arbeit werden jedenfalls risk evaluation und Risikoverarbeitung gleichgesetzt). In weiteren Ansätzen wird risk evaluation sogar als Oberbegriff für Risikomanagement und Risikoanalyse benutzt (z.B. Curling in [14])!

Nach Imboden [15] erfüllt "die Quantifizierung der Risikopotentiale eines Vorhabens damit auch die Funktion einer Risikoselektion, indem darüber befunden wird, welche Risikofaktoren weitere Aufmerksamkeit – und gegebenenfalls in welcher Reihenfolge – verdienen."

Die Bezeichnung Risikobewertung ist nicht eindeutig, denn sie kann einerseits meinen, daß etwas, dessen Größe nicht exakt bekannt ist, sorgfältig berechnet wird, andererseits kann damit eine grobe Approximation gemeint sein, die unter Umständen nicht mehr ist als eine Schätzung. Natürlich wäre in jedem Fall eine exakte Berechnung wünschenswert, doch meist sind die dazu notwendigen Daten nicht zu bekommen – es sei denn, man hat Aladins Wunderlampe zur Hand.

In Ermangelung statistischer Daten erfolgt die Risikobewertung normalerweise durch Expertenbefragung. Die Quantifizierung von Projektrisiken ist folglich ein höchst subjektiver Vorgang, der auf Intuition, dem Fachwissen und den Erfahrungen der Befragten aufbaut. Zur Vermeidung von Verzerrungen wurden verschiedene Befragungstechniken entwickelt wie beispielsweise die Delphi-Methode.

Nach Charette [4] müssen während der Risikobewertung folgende vier Aufgaben erfüllt werden: Zuerst müssen die Variablen bestimmt werden, die das System beschreiben. Dieses verlangt natürlich eine einheitliche Bewertungsbasis. Die Konsequenzen, die ein auftretendes Ereignis nach sich ziehen kann, müssen bestimmt werden. Aktionen verursachen Reaktionen, die erkannt werden müssen. Die Größe der einzelnen Risiken muß bestimmt werden, wozu die zuvor erstellte einheitliche Bewertungsbasis benutzt wird. Es sind also alle Faktoren, die die Eintrittswahrscheinlichkeit eines Risikos verringern oder erhöhen, sowie die Härte einer negativen Folge bei Eintreten eines Risikos berücksichtigt. Der vierte Punkt ist die Beseitigung von Überraschungen (surprise elimination). Indem alle Risiken mit ihren Eintrittswahrscheinlichkeiten und negativen Folgen erkannt werden, werden zukünftige böse Überraschungen vermieden.

In Anlehnung an Charette [4] läßt sich die Risikobewertung in folgende vier Abschnitte gliedern:

4.2.1. Einheitliche Bewertungsbasis

Nach Franke (in [2]) müssen die Risiken eines Projekts "eine einheitliche Bewertungsbasis haben, die zwangsläufig auf einem Kostenansatz basiert, d.h. die Bewertung erfolgt in Geldeinheiten. Denn alle Risiken aus den Bereichen Termine, Arbeitsfortschritt, Technik, Qualität und dem kaufmännischen Bereich werden letztendlich kostenmäßige Auswirkungen auf die definierten Projektziele haben. Basierend auf einer einheitlichen Bewertungsbasis wird die kostenmäßige Bewertung von Risiken durch eine Expertenbefragung und deren EDV-gestützte Auswertung erreicht."

Diese Behauptung von Franke ist mit Vorsicht zu genießen, denn die Bewertungsbasis ist mit Sicherheit von den Projektzielen abhängig. Bei Projekten, deren Priorität eindeutig auf dem Fertigstellungstermin liegt, ist ein Kostenansatz ziemlich verfehlt. Als Beispiel denke man an die Stadien in Italien, die bis zum Beginn der Fußballweltmeisterschaft fertiggestellt werden mußten, koste es, was es wolle.

Rein formal gesehen heißt Bewertung die Zuordnung von Zahlenwerten zu Objekten nach irgendeiner Regel. Da die identifizierten Risiken gewöhnlich von verschiedenen Typen sind, ist es nicht einfach, eine einheitliche Bewertungsbasis zu finden, deren Genauigkeit mit den Anforderungen von Risikobewertung und anschließender Risikoverdichtung übereinstimmt. Charette [4] führt einige unterschiedliche Bewertungsmöglichkeiten an:

Der einfachste Maßstab, den man benutzen kann, ist der nominelle Maßstab (nominal scale / identity-taxonomy scale). Die Ereignisse werden nur aufgezählt. Die Risiken werden anhand einer oder mehrere Eigenschaften unterschieden. Solche Maßstäbe wurden bereits beim Kategorisieren der Risiken während der Risikoidentifikation benutzt. Man benutzt diese Maßstäbe, wenn man die Verpflechtungen eines Risikos nicht vollständig kennt, d.h. wenn man seine Zusammenhänge mit anderen, besser bekannten Risiken nicht kennt.

Ein etwas komplizierterer Maßstab ist der Ordnungsmaßstab (ordinal scale / order-risk scale). Die Risiken werden nach irgendeinem Kriterium geordnet. Bezüglich dieses Kriteriums wird nur unterschieden, ob ein Risiko größer als, kleiner als oder gleich einem anderen Risiko ist, aber nicht, um wieviel größer oder kleiner es ist. Das Kriterium kann subjektiv oder objektiv sein, solange es durchgehend benutzt wird. Beispielsweise lassen sich politische Risiken auf diese Weise ordnen (politisch selbstmörderisch, gleichgültig oder vorteilhaft).

Eine weitere Möglichkeit ist ein Kardinalmaßstab (cardinal scale / interval scale). Jetzt werden die Risiken nicht nur nach Kriterien geordnet, sondern auch die Differenzen explizit berechnet. Eine solche Skala bewegt sich gewöhnlich zwischen einem Anfangs- und einem Endpunkt. Ein einfaches Beispiel wäre ein Thermometer.

Die letzte Möglichkeit ist ein Verhältnismaßstab (ratio scale / zero reference scale). Auch hier werden die Risiken geordnet und die Differenzen berechnet, aber der Maßstab beginnt an einem einheitlichen Beziehungspunkt. Ein Verhältnismaßstab ist also nichts anderes als ein Kardinalmaßstab, dessen Anfangs- oder Endpunkt sich an einer geeigneten physikalischen Grenze orientiert. Da diese Maßstäbe für kosten-, zeit- und leistungsbedingte Risiken am besten geeignet sind, werden sie im folgenden ausschließlich verwendet.

Ein weiterer Bewertungsmaßstab ist die Zuordnung von Wahrscheinlichkeiten. Im Rahmen der Risikoanalyse kommt dieser Methode die größte Bedeutung zu, wie man später noch sehen wird.

4.2.2. Zuordnung von Informationsquellen und Bewertungsmaßstäben

Je komplexer ein gewählter Bewertungsmaßstab ist, desto genauer und verständlicher kann ein Risiko bewertet werden. Da die Informationen über die einzelnen Risiken auf unterschiedliche Weise gewonnen wurden, müssen unter Umständen auch verschiedene Maßstäbe benutzt werden. Informationen können auf drei verschiedene Arten vorliegen (vgl. u.a. Charette [4]):

Informationen können einfach in "erzählerischer" Form (narrative information) vorliegen, d.h. sie enthalten keinerlei qualitative oder quantitative Aussagen über die betreffenden Risiken. Daraus ergibt sich automatisch, daß entweder nominelle oder Ordnungsmaßstäbe benötigt werden.

Qualitative Informationen (qualitative information) werden gewöhnlich durch geordnete Bewertungssysteme dargestellt, beispielsweise eine Skala, in der Risiken als hoch oder niedrig oder zwischen irgendwelchen Grenzen liegend angegeben werden. Die Darstellung kann auch anschaulich mittels Farben dargestellt werden. Ein Problem, daß auch die Benutzung von Kardinal- oder Verhältnismaßstäben verhindert, ist die Tatsache, daß die zur Beschreibung benutzten Worte unpräzise sind, wie z.B.:

Abbildung in dieser Leseprobe nicht enthalten

Unter solchen Begriffen und Formulierungen verstehen verschiedene Personen möglicherweise nicht genau dasselbe. Es ist einsichtig, daß dieses Problem zu Fehlentscheidungen wegen falscher Annahmen führen kann bzw. schon oft geführt hat.

Quantitative Informationen (quantitative information) werden gewöhnlich nach Kardinal- oder Verhältnismaßstäben bewertet, wobei im wesentlichen Eintrittswahrscheinlichkeiten zum Tragen kommen. Mit anderen Worten, es werden explizit Zahlen benutzt. Hier ist jedoch Vorsicht geboten, denn Wahrscheinlichkeiten sind keine genauen Berechnungen, sondern nur Annahmen. Zahlen können irreführend und Statistiken voller Fallen sein. Trotzdem sind quantitative Informationen wesentlich genauer und eindeutiger als qualitative Informationen.

Die Zuordnung der Informationen zu den Bewertungsmaßstäben ist normalerweise nicht einfach, da zwischen den einzelnen Risiken in der Regel sehr komplizierte Abhängigkeiten bestehen. Außerdem treten qualitative und quantitative Informationen in der Regel nie getrennt voneinander auf.

4.2.3. Bewertung der Einflüsse durch die beteiligten Personen, Techniken und Verfahren

Nicht nur die in der Phase der Risikoidentifikation erkannten und klassifizierten Risiken des Projekts müssen bewertet werden. Auch durch die an der Risikoanalyse beteiligten Experten und sonstigen Personen, durch die benutzten Mittel, Techniken und Verfahren entstehen neue Unsicherheiten und Risiken, für die dieselben Aussagen gelten, die bisher über die Projektrisiken getroffen worden sind. Unter mangelnden Informationen getroffene Entscheidungen führen zu neuen Risiken, ebenso die Verbreitung von Informationen, da diese fehlinterpretiert oder falsch verstanden werden können. Diesen Zusammenhang bezeichnet Charette [4] als information availability bias.

[...]