RISIKO- UND CHANCENMANAGEMENT

Transkript

1 ernest WALLMÜLLER MIT S SUCCES DRIVER E ANALYS RISIKO- UND CHANCENMANAGEMENT FÜR IT- UND SOFTWARE-PROJEKTE EIN LEITFADEN FÜR DIE UMSETZUNG IN DER PRAXIS 2. Auflage Im Internet: Downloads unter

2 Inhalt Vorwort IX Bemerkungen zur zweiten Auflage...XI 1 No risk no business fun Grundlagen Umgang mit Risiken und Problemen im Unternehmen Unternehmensweites Risikomanagement, internes Kontrollsystem und Governance Notwendigkeiten für unternehmensweites Risikomanagement und interne Kontrollen Unternehmensweites Risikomanagementsystem Unternehmensweiter Risikomanagementprozess Operationales Risikomanagement Integriertes Kontrollsystem im Rahmen von Governance, Risikomanagement und Compliance Risikomanagement als Prozess in einem integrierten Managementsystem Risikomanagement in IT-Organisationen Projekte und Risiken Trends im Projektmanagement Wechselbeziehung Projekt- und Risikomanagement Der Projektrisikomanagementprozess des Project Management Institute (PMI) Portfolios von Projekten und Risiken Nutzen und Verwendung von Projektrisikoinformationen Erfolgsfaktoren von Projekten und Programmen Erfolgsfaktoren und die SOS-Methode des BVA/BIT Erfolgsfaktoren und die Success-Driver-Analyse (SDA) des SEI...87

3 VI Inhalt 4 Gefahren bei IT- und Software-Projekten Ursachen von Projektmisserfolgen IT-Kosten und -Performance -Studie 2002 von Ploner Die CHAOS-Studie der Standish Group IT Runaway -Studie von KPMG Untersuchungen über Standardrisiken Best-Practices-Modelle CMMI ISO (SPICE) Das SPMN-Modell zur Vermeidung von Software-Risiken Scrum und Projektrisiken Die Bedeutung des Risikomanagements für das Qualitätsmanagement von Projekten Aus Anforderungen werden Risiken Grundlagen Anforderungsfehler und deren Ursachen Requirements-Engineering-Prozesse Architekturen und Risiken Risikobasiertes Testen Agiles Entwickeln ohne Risiken? Prozesse, Techniken und Hilfsmittel Beispiele von Prozessen des Risikomanagements Der Risikomanagementprozess von Boehm Der ITQ-Risikomanagementprozess nach Wallmüller Risikomanagementprozess nach Kontio (Riskit) Der CRM-Prozess des SEI Risikomanagementtechniken Techniken zur Identifikation von Risiken Techniken zur Analyse und Bewertung von Risiken Techniken zur Planung von Kontrollmaßnahmen Techniken zur Überwachung von Risiken Werkzeuge Das Risikoregister Übersicht zu Risikomanagement-Tools Methodische Grundaufgaben Identifikation von Risiken Analyse, Bewertung, Filterung und Priorisierung von Risiken Risikoplanung Verfolgung und Steuerung von Risiken Simulation von Risiken

4 Inhalt VII 7 Fallstudie Ausgangslage Management Summary Umfang und Inhalt des WHB-Projekts Projektorganisation Trainingskonzept Projektstrukturplan Managementmethoden Weitere Projektdokumente Übungsaufgaben Übung Übung Übung Lösungen Lösung zu Übung Lösung zu Übung Lösung zu Übung Einführung von Risikomanagement und Risikomanagementprozessen Stufenweise Einführung Rahmenbedingungen Zusammenfassung und Ausblick Anhang A.1 Hilfsmittel A.1.1 Muster zur Erfassung und Bewertung von Risiken A.1.2 Muster für eine Risikobeschreibung A.1.3 Muster eines Risikomanagementplans A.1.4 Muster für Risikobewertungstabelle A.1.5 Begriffserklärungen A.2 Risikochecklisten für Standardsoftware Projekte A.2.1 Fragebogen zur Risikoeinschätzung A.3 Checkliste für die Beurteilung des Reifegrads des Risikomanagements Glossar Literaturverzeichnis Stichwortverzeichnis

5 1 No risk no business fun Ohne den Einsatz von Informations- und Kommunikationstechnologie ist effizientes wirtschaftliches Handeln heute kaum noch denkbar. Die zunehmende Abhängigkeit zentraler Geschäftsprozesse von Informationstechnologie (IT) sorgt jedoch auch für ein wachsendes Risikopotenzial. Systemausfälle können mitunter zu bestandsgefährdenden Verlusten führen. Diesem Gefährdungspotenzial stellen sich Unternehmen im Rahmen eines spezialisierten IT-Risikomanagements, das zusätzlich zum allgemeinen Risikomanagement IT-spezifische Anforderungen erfüllen muss. So führt der schnelle technologische Wandel zu einer kontinuierlichen Änderung der Risikosituation des Unternehmens. Damit das IT-Risikomanagement hier mithalten kann, ist aktuelles IT-Know-how erforderlich. Um IT-Risiken als messbare Größe in die Unternehmenssteuerung einzubinden, müssen spezielle Methoden zur Quantifizierung entwickelt werden. Informationen über IT-Risiken fallen dabei nicht nur in der IT an, auch andere Unternehmensbereiche liefern wichtige Hinweise zum eingegangenen Risiko. Damit diese Informationen gebündelt und strukturiert an das Management weitergeleitet werden können, ist eine ganzheitliche Betrachtung der IT vorzunehmen. Nicht die Technologie, sondern die Projektbeteiligten, mangelnde Projektausführung und schlechtes Projektmanagement sind vorwiegend für das Scheitern von Projekten verantwortlich! Deshalb ist modernes IT- bzw. Projektrisikomanagement ein wesentlicher Bestandteil der IT- bzw. Projekt-Governance und zufriedenstellende Projektqualität wird als das Ergebnis beherrschter Projektprozesse gesehen. Die erfolgreiche Bewältigung komplexer IT-Projekte hat für die Wettbewerbsfähigkeit von Unternehmen erhebliche strategische Bedeutung. Gemäß einer regelmäßigen Untersuchung der Standish Group ( sind viele der gegenwärtig in den Unternehmen ablaufenden Organisations- und Informatikprojekte nicht bzw. nur teilweise erfolgreich. Beispielsweise erleben viele Unternehmen Probleme bei der Einführung neuer IT-Technologien, wie z. B. bei Workflow-Systemen sowie Standardsoftware-Systemen. Auswirkungen Einige Beispiele von spektakulären Misserfolgen internationaler Großprojekte zeigen das Risiko der Entwicklung großer, komplexer IT-/Software-Systeme:

6 2 1 No risk no business fun Tabelle 1.1 Projektkatastrophen Projekt Verspätung Verlust Deutsches Mautsystem Toll Collect Abbruch nach rd. 2,2 Milliarden zwei Jahren MAGELAN -Projekt der SIX Group Abbruch nach mindestens CHF 40 Millionen in Zürich zwei Jahren YOU -Projekt von Bank Vontobel Abbruch nach CHF 256 Millionen zwei Jahren Insieme -Projekt der Eidgenössischen Abbruch ca. CHF 150 Millionen Steuerverwaltung FIS Heer der Schweizerischen Armee bis 2018 mindestens CHF 700 Millionen IT-Fusions-Megaprojekt bei Raiffeisen in Österreich mindestens zwei Jahre mindestens 40 Millionen London, Krankenwagenleitsystem fünf Jahre 12 Millionen und der Verlust von 46 Menschenleben California PKW-Zulassung drei Jahre $ 54 Millionen Denver Flughafen Gepäckverteilung zwei Jahre $ 750 Millionen Die Liste ließe sich noch beliebig fortsetzen. Um die Wahrscheinlichkeit für einen erfolgreichen Projektabschluss zu erhöhen, ist es notwendig, die Risiken oder potenziellen Probleme eines Projekts frühzeitig zu kennen und geeignete Gegenmaßnahmen zu entwickeln. Tom Gilb hat die Problematik mit Risiken folgendermaßen auf den Punkt gebracht: If you don t actively attack the risks, the risks will actively attack you. Ein proaktiver Umgang mit Risiken, wie Projektrisikomanagement ihn bietet, ist, wie die Erfahrungen zeigen [Boeh89], kostengünstiger als ein nachträgliches Korrigieren von aufgetretenen Problemen. Deregulierung, weltweite (grenzenlose) Kommunikation, ökonomische und politische Integration beschleunigen die Globalisierung; neue Technologien und das Internet schaffen neue Märkte und verbinden Menschen sowie Unternehmen schneller und effizienter denn je. Sie scheinen Zeit und Raum gleichsam zu komprimieren. Gleichzeitig eskaliert für viele Unternehmungen der Wettbewerbsdruck aufgrund einer erhöhten Anzahl von Konkurrenzunternehmen. Sie werden mit einer noch nie da gewesenen Vielfalt von Geschäftsrisiken, im Sinne von Chancen und Bedrohungen, konfrontiert. Unternehmerische Entscheidungsprozesse sind in der heutigen Zeit deshalb durch folgende Herausforderungen geprägt: Neue Geschäftsmodelle Manager wie auch Investoren erkennen, dass nicht nur das materielle Vermögen, sondern zunehmend auch die immateriellen Werte wie Mitarbeiter, Wissen, geistiges Eigentum und Beziehungen mit allen Anspruchsgruppen aktiv bewirtschaftet werden müssen. In der heutigen Zeit bestimmen immaterielle Werte den Unternehmenswert (Corporate Value) wesentlich mit. Wir sehen dies in neuen Strategien und Geschäftsmodellen aufstrebender Unternehmen, die Elemente der Old und New Economy erfolgreich kombinieren, und stellen auch fest, dass sich die Zeithorizonte für die Umsetzungsmöglichkeit von Strategien und Geschäftsmodellen extrem verkürzen. Beispiele dafür sind Firmen wie Google, ebay, Amazon oder neue Geschäftsmodelle, die auf webbasierten Handels-, Tausch- und Vermittlungssystemen beruhen.

7 1 No risk no business fun 3 Neue Risiken Neue Geschäftsmodelle schaffen neue Risiken, die die Grenzen traditioneller Überwachungs- und Kontrollsysteme aufzeigen. Unternehmen erkennen, dass ihre Performance- Measurement-Systeme nicht mehr mit den immer komplexeren Geschäftsmodellen, die dazu dienen, neue Werte zu schaffen, verträglich sind. Beispiele dazu gibt es in den letzten Jahren einige, wie die Fälle von Enron (Derivatgeschäft) oder der Bank Vontobel (Aufbau einer Internetbank) zeigen. Neue Prozesse und Instrumente Sie sind notwendig, um erfolgreich zu sein. Doch trotz wachsender Bedeutung immaterieller Werte haben die meisten Unternehmungen keine flexiblen bzw. einfach und klar beschriebenen Prozesse und Systeme, um alle Vermögensobjekte zu bewirtschaften und die daraus entstehenden Risiken zu steuern. Neue Informationsbedürfnisse Transparente Informationen sind vital für die Wertgenerierung. Unternehmen müssen erkennen, dass einige alte Modelle des Informationsmanagements obsolet werden. Modelle der Zukunft sind transparent, benutzergesteuert und sollten den Stakeholdern einen unmittelbaren Zugang zu den benötigten Informationen, wann immer sie diese brauchen (real-time), ermöglichen. Unternehmen müssen deshalb ihre sämtlichen wertgenerierenden Unternehmensobjekte messen, einschließlich der nur schwierig zu messenden immateriel len Werte, wie z. B. Fähigkeiten und Erfahrungen. Handlungsbedarf Die diversen Unternehmenszusammenbrüche und Unternehmenskrisen, wie z. B. die von Swissair, ENRON, Kirch Media und anderen, haben weltweit zu einer Diskussion über Unternehmensführung und Unternehmenskontrolle geführt. In diesem Zusammenhang ist immer wieder der Begriff Corporate Governance aufgetaucht. Darunter verstehen wir alle Regeln, die zwischen Eigentümern des Unternehmens (wie z. B. Aktionären) und verantwortlichen Unternehmenslenkern (etwa Geschäftsleitung und Vorstand) etabliert werden und zu gelten haben. Ziel dabei ist eine verantwortungsvolle und werterhaltende Unternehmensführung und Kontrolle. Fragen und Forderungen, die immer wieder auftauchen, sind, welche Kontrollfunktionen und -möglichkeiten das Unternehmen haben soll und wie mit den Risiken des Unternehmens umgegangen wird. Dies führte in den verschiedenen Ländern zur Entwicklung eines Corporate-Governance-Kodex, der hohe Anforderungen an die Risikokontrolle im Unternehmen und die proaktive Behandlung von Risiken stellt. Risikomanagement hat sich als Antwort auf die Herausforderungen der Unternehmen etabliert und findet in unterschiedlichsten Ausprägungsformen Eingang in Theorie und Praxis. Risikomanagement wird dabei meist verstanden als mehr oder weniger spezifisches Konzept zur Bewältigung von Bedrohungen für das gesamte Unternehmen. Unternehmertum ist aber zwangsläufig verbunden mit Risiken; der alte Spruch ohne Risiko kein Gewinn kommt nicht von ungefähr. Die Herausforderung liegt also in der bewussten Auseinandersetzung mit Risiken dort, wo gleichzeitig Chancen wahrgenommen werden können, und im Vermeiden oder Reduzieren von Risiken dort, wo die Risikoerwartung den erwarteten Nutzen übersteigt. Unternehmen mit ihren Geschäftsprozessen hängen immer stärker von ihrer Informationsund Kommunikationstechnologie ab bzw. sind nur mehr ausschließlich durch sie möglich. Dies bedeutet aber auch neue Risiken im Umgang mit diesen Technologien.

8 4 1 No risk no business fun Was kann durch Risikomanagement bewirkt werden? Nachfolgend geben wir einige Ideen an, die aktives Risikomanagement charakterisieren: Potenzielle Gefährdungssituationen möglichst frühzeitig erkennen und erfassen; wo Risiken sind, sind auch Chancen das negative Bild von Risiken durch Erkennen von Opportunitäten und deren Nutzung beseitigen; systematisch Risikoursachen identifizieren; Risiken einschätzen, um geeignetes Umgehen mit Risiken festzulegen; Risiken kommunizieren und allen Beteiligten bewusst machen; Risiken in ihrer Entwicklung verfolgen; Risiken eingrenzen und als bewusste Steuerungsgröße des Managements verwenden; Hilfsmitteln zur Erkennung, Bewertung und Steuerung der Risiken (Frühwarnsysteme, Score Cards, Risk Controls) bereitstellen und nutzen. Geschäftsbereiche mit großen Opportunitäten zu bewältigen, bedeutet heute, sich auf große und komplexe Risikosituationen einzulassen. Dies erfordert nicht nur exzellente Mitarbeiter und Prozesse, sondern auch eine Disziplin, mit Risiken umzugehen und diese wenn möglich aufzulösen. Diese Disziplin, die uns in die Lage versetzt, solche Vorhaben und Herausforderungen anzunehmen und zu bewältigen, wird Risikomanagement genannt. Primäres Ziel des Risikomanagements ist nicht nur die Vermeidung potenzieller Risiken, sondern die Schaffung von Handlungsspielräumen, die ein bewusstes Eingehen auf Risiken aufgrund umfassender Kenntnisse der Risiken und Risikozusammenhänge ermöglichen. Der kontrollierte Umgang mit Risiken soll dazu beitragen, bestehende Chancen zu nutzen und den Unternehmenswert zu steigern. Das Risikomanagement soll insbesondere dazu beitragen, das Risikobewusstsein und die Risikotransparenz zu verbessern; die Motivation und die Befähigung, mit Risiken umzugehen, auf allen Stufen zu fördern; alle wesentlichen Risiken zu identifizieren, angemessen zu steuern und zu überwachen; ein effizientes internes Kontrollsystem durch notwendige Optimierungen sicherzustellen; eine zuverlässige und ausreichende sowie stufengerechte Berichterstattung bis in die Topmanagementebene zu gewährleisten. Dazu ist es notwendig, eine Unternehmenskultur zu fördern, die eine offene Kommunikation über Risiken zulässt; Verantwortlichkeiten festzulegen und wahrzunehmen; Methoden zu erarbeiten, zu kommunizieren und anzuwenden; Risikomanagement als einen permanenten Prozess unserer Arbeit zu verstehen; das System und seine Prozesse zu dokumentieren, zu bewerten und kontinuierlich weiterzuentwickeln. Führungskräfte, aber auch Mitarbeiter in Unternehmen sowie Projektverantwortliche sollten heute Interesse an Risikomanagement finden und sich einen Überblick zu dieser Thematik verschaffen. Darüber hinaus soll in jedem Unternehmen ein umfassendes Vertrauen in die Fähigkeit, mit Chancen und Risiken systematisch umzugehen, gebildet werden.

9 1 No risk no business fun 5 Nur die Unternehmen, die ihre Risiken vorausschauend erfassen und damit steuern und kontrollieren können, werden langfristig erfolgreich sein. In diesem Sinne bleibt modernes, proaktives Management, so wie es hier vorgestellt wird, nicht bei der Ist-Analyse stehen. Es setzt stattdessen auf prognostische Fähigkeiten, den Blick in die Zukunft.