Raumfahrt- Projektmanagement

Transkript

1 Raumfahrt- Projektmanagement Risikomanagement

2

3 Raumfahrt- Projektmanagement Risikomanagement

4 Deutsche Übersetzung Herausgeber Deutsches Zentrum für Luft- und Raumfahrt e.v. Qualitäts- und Produktsicherung Nationales ECSS-Sekretariat Anschrift Technische Bearbeitung Porz-Wahnheide Linder Höhe D Köln Dr.-Ing. Andreas K. Jain Telefon ( ) Telefax ( ) Andreas.Jain@dlr.de Redaktion Ruth Opperbeck Telefon ( ) Telefax ( ) Ruth.Opperbeck@dlr.de Preis 15 Englische Originalausgabe Herausgeber ESA Publications Division ESTEC, Postfach AG Noordwijk Niederlande Copyright 2000 : European Space Agency für die Mitglieder von ECSS

5 Vorwort Diese Norm gehört zu einer Reihe von ECSS-Normen, die sich auf das Management, die Technik (Engineering) und die Produktsicherung bei Projekten und Anwendungen der Raumfahrt beziehen. ECSS ist ein Gremium, in dem die europäische Raumfahrtagentur ESA, nationale Raumfahrtagenturen sowie europäische Industrieverbände mit dem Ziel zusammenarbeiten, einheitliche Normen zu erstellen und zu pflegen. Diese Norm legt Anforderungen in Form von Zielen fest, die zu erreichen sind, und nicht in Bezug auf die Organisation und Durchführung der erforderlichen Arbeiten. Dies ermöglicht es, bewährte Organisationsstrukturen und abläufe beizubehalten und erlaubt gleichzeitig deren Weiterentwicklung, ohne dass die Normen überarbeitet werden müssen. Bei der Erarbeitung dieser Norm wurde die Normenreihe ISO 9000 berücksichtigt. Diese Norm wurde von der ECSS-Arbeitsgruppe "Risk Management" erstellt, vom Technischen Ausschuss der ECSS geprüft und vom ECSS-Lenkungsgremium verabschiedet. i

6

7 Inhaltsverzeichnis Seite Vorwort... i Einleitung Anwendungsbereich Allgemeines Tailoring Normative Verweisungen Begriffe und Abkürzungen Begriffe Abkürzungen Verfahrensweise des Risikomanagements Das Konzept des Risikomanagements Der Risikomanagementprozess Projektbezogene Anwendung des Risikomanagements Dokumentation Risikomanagementprozess Überblick Stufen und Aufgaben des Risikomanagements Durchführung des Risikomanagements Allgemeines Zuständigkeiten Betrachtungen zum Projektlebenszyklus Sichtbarkeit von Risiken und Entscheidungsfindung Dokumentation Anforderungen an das Risikomanagement Allgemeines Anforderungen an den Risikomanagementprozess Anforderungen an die Implementierung des Risikomanagements Anhang A (informativ) Vordrucke zur Ermittlung des Risikoindex und zur Risikoklassifizierung Anhang B (informativ) Bedeutung von ECSS-Normen im Risikomanagementprozess B.1 Allgemeines B.2 ECSS-M-Normen B.3 ECSS-Q-Normen B.4 ECSS-E-Normen Bilder Bild 1: Stufen und Zyklen im Risikomanagementprozess Bild 2: Zu den Stufen des Risikomanagementprozesses gehörende Aufgaben im Risikomanagementzyklus Bild 3: Beispiel für eine Klassifizierung von Risiken nach dem Schweregrad der Folgen Bild 4: Beispiel für eine Klassifizierung von Risiken nach Eintrittswahrscheinlichkeit. 14 Bild 5: Beispiel für das Risikoindexsystem Bild 6: Beispiel für eine Klassifizierung von Risiken nach ihrer Höhe und empfohlene Maßnahmen Bild 7: Beispiel für eine Darstellung der Risikoentwicklung ii

8

9 Einleitung Risiken gefährden mit ihren Auswirkungen auf Projektkosten, Zeitplan und technische Leistung den Erfolg von Projekten. Das Ziel des Projekt-Risikomanagements besteht darin, die Raumfahrtprojektrisiken unter Berücksichtigung der technischen und programmatischen Randbedingungen in einer systematischen, vorbeugenden, umfassenden und kostengünstigen Weise zu erkennen, zu bewerten, zu verringern, zu akzeptieren und zu überwachen. Jedes Risiko ist auf Managementebene, wie in programmatischer (z. B. Kosten, Zeitplanung) und technischer Hinsicht (z. B. Masse, Leistung, Zuverlässigkeit, Sicherheit) mit Hinblick auf bekannte und vorhandene Projektressourcen abzuwägen. Das gesamte Risikomanagement für ein Projekt ist ein iterativer Prozess während des gesamten Lebenszyklus des Projekts mit Iterationen, die von den einzelnen Phasen des Projektfortschritts abhängen, sowie von Änderungen gegenüber der ursprünglichen Projektplanung, die Einfluss auf die Projektressourcen haben. Das Risikomanagement wird auf allen Ebenen des Kunden-/Lieferanten-Netzwerkes angewendet. Bekannte Verfahren zur Behandlung von Projektrisiken wie z.b. System- und Engineeringanalysen, Sicherheitsanalysen, Analysen kritischer Einheiten, der Zuverlässigkeit, des kritischen Pfades und der Kosten sind integraler Bestandteil im Projektrisikomanagement. Die Einstufung der Risiken nach ihrem Gefährdungspotential im Hinblick auf den Projekterfolg richtet die Aufmerksamkeit des Managements auf wesentliche Fragen und bildet eines der Hauptziele des Risikomanagements. Die Projektbeteiligten vereinbaren den Umfang des Risikomanagements für ein bestimmtes Projekt entsprechend der Aufgabenstellung und Besonderheit des jeweiligen Projekts. 1

10 2

11 1 Anwendungsbereich 1.1 Allgemeines Diese Norm legt in Ergänzung der Anforderungen nach ECSS-M-00 Grundsätze für und Anforderungen an das integrierte Risikomanagement für Raumfahrtprojekte fest; sie erläutert, was zur Umsetzung einer projektintegrierten Risikomanagementpolitik von jedem Projektbeteiligten auf allen Ebenen, d. h. den Kunden, Lieferanten oder Zulieferern der ersten Ebene oder Vorlieferanten, verlangt wird. Diese Norm enthält eine Zusammenfassung aller Elemente des Risikomanagementprozesses, der in vier Schritte und neun Aufgaben unterteilt wird, wobei die Durchführung des Prozesses an die projektspezifischen Bedingungen angepasst werden kann. Der Risikomanagementprozess erfordert den Informationsaustausch zwischen sämtlichen Projektbereichen und liefert eine Übersicht über die Risiken, die entsprechend ihrer Kritikalität für das Projekt eingestuft werden; diese Risiken sind nach den Regeln zu überwachen und zu steuern, die für den jeweiligen Bereich festgelegt sind. Der Anwendungsbereich dieser Norm erstreckt sich auf sämtliche Phasen von Raumfahrtprojekten. Eine Definition von Projektphasen befindet sich in ECSS-M Tailoring Im Kontext eines spezifischen Projektumfeldes sollten die in dieser Norm festgelegten Anforderungen an die profilspezifischen Anforderungen oder die Umstände eines bestimmten Projekts angepasst werden. ANMERKUNG: Tailoring ist ein Verfahren, bei dem einzelne Anforderungen in Spezifikationen, Normen und ähnlichen Dokumenten bewertet und für ein bestimmtes Projekt durch Auswahl oder in Ausnahmefällen durch Modifikation bestehender oder Hinzufügen neuer Anforderungen anwendbar gemacht werden. 3

12 4

13 2 Normative Verweisungen Die folgenden normativen Dokumente enthalten Festlegungen, die durch Verweisung in diesem Text Bestandteil dieser ECSS-Norm sind. Bei Verweisungen gelten spätere Änderungen oder Überarbeitungen dieser Publikationen nicht. Anwender dieser ECSS-Norm werden jedoch gebeten, die Möglichkeit zu prüfen, die jeweils neuesten Ausgaben der nachfolgend angegebenen normativen Dokumente anzuwenden. Bei undatierten Verweisungen gilt die letzte Ausgabe des in Bezug genommenen normativen Dokuments. ECSS-M-00A Raumfahrt-Projektmanagement Grundsätze und Verfahrensweise ECSS-M-10 Raumfahrt-Projektmanagement Projektstrukturen ECSS-M-20 Raumfahrt-Projektmanagement Projektorganisation ECSS-M-30 Raumfahrt-Projektmanagement Projektphaseneinteilung und -planung ECSS-M-40 Raumfahrt-Projektmanagement Konfigurationsmanagement ECSS-M-50 Raumfahrt-Projektmanagement Informations-/Dokumentations-management ECSS-M-60 Raumfahrt-Projektmanagement Kosten- und Zeitplanmanagement ECSS-M-70 Raumfahrt-Projektmanagement Integrierte Logistikunterstützung ECSS-E-00 Raumfahrttechnik Grundsätze und Verfahrensweise ECSS-E-10 Raumfahrttechnik Systemengineering ECSS-E-20 Raumfahrttechnik Elektrische und elektronische Bauteile ECSS-E-30 Raumfahrttechnik Maschinenbau/Mechanik ECSS-E-40 Raumfahrttechnik Software ECSS-E-50 Raumfahrttechnik Kommunikation ECSS-E-60 Raumfahrttechnik Steuer- und Regelsysteme ECSS-E-70 Raumfahrttechnik Bodensysteme und Bodenbetrieb ECSS-Q-00 Raumfahrtproduktsicherung Grundsätze und Verfahrensweise ECSS-Q-20A Raumfahrtproduktsicherung Qualitätssicherung ECSS-Q-30 Raumfahrtproduktsicherung Zuverlässigkeit ECSS-Q-40 Raumfahrtproduktsicherung Sicherheit ECSS-Q-60 Raumfahrtproduktsicherung Elektrische, elektronische und elektromechanische (EEE-)Bauteile ECSS-Q-70 Raumfahrtproduktsicherung Materialien, mechanische Teile und Prozesse ECSS-Q-80 Raumfahrtproduktsicherung Softwareproduktsicherung ECSS-P-001 Glossar. 5

14 6

15 3 Begriffe und Abkürzungen 3.1 Begriffe In dieser Norm gelten neben den Begriffen nach ECSS-P-001 folgende Begriffe: Annahme eines Risikos Entscheidung, die Folgen der Verwirklichung eines Risikoszenarios zu tragen. ANMERKUNG 1: ANMERKUNG 2: Ein Risiko ist annehmbar, wenn dessen Größe kleiner als ein bestimmter Schwellenwert ist, wie er im Grundkonzept des jeweiligen Projekt- Risikomanagements festgelegt ist. Im Sinne des Risikomanagements kann die Annahme eines Risikos bedeuten, dass die Existenz und Größe eines Risikos hingenommen wird, auch wenn das Risiko nicht beseitigt ist Risikoberichterstattung sämtliche für das Risikomanagement notwendigen Angaben und Daten, die einem Entscheidungsträger zur Verfügung gestellt werden Risikoindex Punktwertung zur Größenbemessung eines Risikos. Es ist eine Kombination aus der Eintrittswahrscheinlichkeit und der Schwere der Folgen eines Risikos, wobei Maßeinheiten für Wahrscheinlichkeit und Schweregrad verwendet werden Einzelrisiko Risiko, das in einem Projekt als abgegrenzt erkannt, bewertet und verringert wird Risikomanagement entsprechend der festgelegten Risikomanagementpolitik eines Projekts durchgeführte systematische und iterative Optimierung der Projektressourcen Grundkonzept zum Risikomanagement beschreibt die Einstellung der Organisation in Bezug auf Risiken, ihre Möglichkeiten zur Durchführung des Risikomanagements, welche Risiken ihr akzeptabel erscheinen und stellt die wesentlichen Anforderungen an den Risikomanagementplan auf Risikomanagementprozess sämtliche Aktivitäten hinsichtlich der Erkennung, Bewertung, Verringerung und Akzeptanz von Risiken im Rahmen eines Projekts Gesamtrisiko Risiko, das sich für ein bestimmtes Projekt aus der Bewertung der Gesamtheit der Einzelrisiken und deren gegenseitiger Beeinflussung ergibt. ANMERKUNG: Das Gesamtrisiko kann als Kombination einer qualitativen und quantitativen Bewertung angegeben werden Risikoreduzierung Durchführung von Maßnahmen zur Verringerung der Wahrscheinlichkeit oder der Schwere der Folgen eines Risikos. ANMERKUNG: Vorbeugende Maßnahmen richten sich auf die Beseitigung von Ursachen einer Problemsituation, während sich Abhilfemaßnahmen darauf richten, die Ausweitung der Ursache auf die Folgen zu verhindern, die Schwere der Folgen zu vermindern oder die Eintrittswahrscheinlichkeit zu verringern. 7

16 Restrisiko Risiko, das nach der Umsetzung aller Maßnahmen zur Risikoreduzierung verbleibt Beseitigtes Risiko Risiko, das akzeptabel gemacht wurde Risiko unerwünschte Situation oder Umstand mit einer bestimmten Eintrittswahrscheinlichkeit sowie möglichen negativen Folgen für ein Projekt. ANMERKUNG: Risiken entstehen aus Unsicherheit in der Vorhersage oder in der Steuerung von Ereignissen, sind projektinhärent und können jederzeit während des Lebenszyklus des Projekts auftreten. Eine Verringerung dieser Unsicherheiten vermindert auch das Risiko Risikoszenario Reihenfolge oder Kombination von Ereignissen, die von einer Ursache zu einer unerwünschten Folge führt. ANMERKUNG: Die Ursache kann ein einzelnes Ereignis oder etwas sein, was ein verborgenes Problem zum Vorschein bringt Risikoentwicklung Evolution von Risiken während des gesamten Lebenszyklus eines Projekts Nicht beseitigtes Risiko Ein Risiko, für das Risikominderungsversuche nicht möglich sind oder deren Wirkung nicht nachgewiesen werden kann oder sich als unwirksam herausgestellt haben; ein Risiko, das unannehmbar bleibt. 3.2 Abkürzungen In dieser Norm wird folgende Abkürzung verwendet. Abkürzung IEC Bedeutung Internationale Elektrotechnische Kommission. 8

17 4 Verfahrensweise des Risikomanagements 4.1 Das Konzept des Risikomanagements Risikomanagement ist ein systematischer und iterativer Prozess zur Optimierung der Ressourcen entsprechend der festgelegten Risikomanagementpolitik für ein Projekt. Es ist in sämtliche Projektbereiche durch festgelegte Aufgabenstellungen und Verantwortlichkeiten für die täglichen Aktivitäten integriert. Das Risikomanagement hat für Führungskräfte und Techniker bei der Betrachtung des Risikos im Managementund Engineeringbereich sowie bei der Beurteilung während des gesamten Lebenszyklus des Projekts eine unterstützende Funktion. Zur Steigerung des Gesamtnutzens wird es umfassend angewendet in Bereichen wie z.b.: Design, Bau, Prüfung, Betrieb, Instandhaltung und Entsorgung inklusive deren Schnittstellen; Überwachung der Risikofolgen; Management, Kosten, Zeitplanung. Das Risikomanagement steigert den Wert von Daten, die routinemäßig entwickelt, gepflegt und berichtet werden. 4.2 Der Risikomanagementprozess Es wird das gesamte Risikospektrum einer Bewertung unterzogen. Trade-Offs werden bezüglich unterschiedlicher und häufig konkurrierender Ziele vergleichend bewertet. Unerwünschte Ereignisse werden bezüglich Schweregrad und Eintrittswahrscheinlichkeit bewertet. Die Bewertung von Alternativen zur Risikominderung wird wiederholt durchgeführt und die Ergebnisse hinsichtlich Leistung und Risikoentwicklung werden dazu verwendet, vorhandene Ressourcen optimal einzusetzen. Im Risikomanagementprozess werden verfügbare Informationen zu Risiken gewonnen und strukturiert, um sowohl die Risikoberichterstattung wie auch der Führung die Entscheidungsfindung zu erleichtern. Die Ergebnisse der Risikobewertung und -reduzierung sowie Restrisiken werden dem Projektteam zur Information und Auswertung übermittelt. 4.3 Projektbezogene Anwendung des Risikomanagements Das Risikomanagement erfordert Engagement bei allen Beteiligten und die Festlegung klarer Verantwortlichkeiten und Kompetenzen auf allen Ebenen. Die Verantwortung für die Anwendung des Risikomanagements liegt beim Projektmanagement, das auch eine einheitliche Vorgehensweise in sämtlichen Projektbereichen sicherstellt. Das Risikomanagement ist ein ständiger iterativer Prozess. Es ist integraler Teil der Projektdurchführung und in die bestehenden Managementstrukturen und -abläufe eingebettet, deren bewährte Elemente es sich weitgehend zunutze macht. 4.4 Dokumentation Der Risikomanagementprozess wird dokumentiert, um die Regeln des Risikomanagements festzulegen und sicherzustellen, dass diese verstanden, implementiert und eingehalten werden und auf den Ursprung und die Grundprinzipien aller während der Projektlebensdauer getroffenen risikobezogenen Entscheidungen rückverfolgbar sind. 9

18 10

19 5 Risikomanagementprozess 5.1 Überblick Der iterative vierstufige Risikomanagementprozess eines Projekts wird in Bild 1 dargestellt; die Aufgaben, die auf jeder dieser Stufen zu erledigen sind, werden in Bild 2 angegeben. Stufe 1 umfasst die Festlegung von Risikomanagementpolitik (Aufgabe 1) und Risikomanagementplan (Aufgabe 2) und steht am Beginn eines Projekts. Die Umsetzung des Risikomanagementprozesses erfolgt in einer Reihe von "Risikomanagementzyklen" innerhalb der Projektdauer und umfasst die Stufen 2 bis 4, die wiederum in sieben Aufgaben (3 bis 9) unterteilt werden. Die in dem Bild dem "Risikomanagementprozess" zugeordnete Periode schließt sämtliche Projektphasen des betreffenden Projekts nach ECSS-M-30 ein. Die Häufigkeit und die Projektereignisse, zu denen ein Risikomanagementzyklus stattfinden soll (als Beispiel sind auf Bild 1 jeweils nur drei dargestellt), sind abhängig von den Bedingungen und der Komplexität des Projekts und in der Stufe 1 festzulegen. Zusätzliche Zyklen sind vorzusehen, wenn es hinsichtlich der Projektgrundlagen z. B. zu Änderungen in Zeitplan, der Verfahren, Technologie und Leistung gemessen am Basisplan des Projekts - kommt. In jeder Phase des Projekts gehört die Behandlung von Risiken zu den Aufgaben des Projektmanagements. 11

20 Bild 1: Stufen und Zyklen im Risikomanagementprozess Bild 2: Zu den Stufen des Risikomanagementprozesses gehörende Aufgaben im Risikomanagementzyklus 12

21 5.2 Stufen und Aufgaben des Risikomanagements Stufe 1: Festlegen der Anforderungen zur Durchführung des Risikomanagements Zweck Auslösung des Risikomanagementprozesses durch Festlegen der Risikomanagementpolitik und Vorbereitung des Risikomanagementplans für ein Projekt Aufgabe 1: Festlegen der Risikomanagementpolitik Diese Aufgabe umfasst: a) Festlegung der Ressourcen, die Einfluss auf Risiken haben; b) Festlegung der Projektziele und Vorgaben für Projektressourcen; c) Beschreibung der Strategie zur Behandlung von Risiken wie Festlegen der Risikoabgrenzung und aufteilung zwischen Kunde und Lieferant; d) Klassifizierung von Risiken entsprechend den Projektanforderungen; e) Klassifizierung der Risiken nach Kategorien auf der Basis von Schweregrad der Folgen und Eintrittswahrscheinlichkeit in Bezug auf die Projektressourcen (siehe Bilder 3 und 4 1) ); f) Festlegung eines Risikoindexsystems zur Kennzeichnung der Höhen der Risiken bei verschiedenen Risikoszenarien (siehe Bild 5 2) ); Kategorie Schweregrad Schweregrad der Folgen und Einfluss auf die Kosten 5 Katastrophal Führt zum Abbruch des Projekts 4 Kritisch Anstieg der Projektkosten um mehr als... % * ) 3 Schwerwiegend Anstieg der Projektkosten um mehr als... % * ) 2 Bedeutend Anstieg der Projektkosten um mehr als... % * ) 1 Vernachlässigbar Minimal oder ohne Einfluss * ) Wert noch festzulegen Bild 3: Beispiel für eine Klassifizierung von Risiken nach dem Schweregrad der Folgen 1) 2) In den Bildern werden fünf Kategorien nur beispielhaft verwendet; d. h. eine höhere oder geringere Anzahl von Kategorien ist möglich. Bei der Klassifizierung von Risiken nach ihrer Größe werden die Farben Rot, Gelb und Grün nur beispielhaft verwendet. Andere Kriterien für die Klassifizierung sind möglich. 13

22 Kategorie Wahrscheinlichkeit Eintrittswahrscheinlichkeit 5 Sehr hoch Tritt mit Sicherheit auf (einmal oder mehrmals je Projekt) 4 Hoch Wird häufig auftreten (etwa bei einem von 10 Projekten) 3 Mittel Wird gelegentlich auftreten (etwa bei einem von 100 Projekten) 2 Gering Wird selten auftreten (etwa bei einem von Projekten) 1 Sehr gering Wird fast nie auftreten (bei einem von oder mehr Projekten) Bild 4: Beispiel für eine Klassifizierung von Risiken nach Eintrittswahrscheinlichkeit g) Festlegung der Kriterien zur Bestimmung von Maßnahmen, die bei Risiken mit unterschiedlicher Höhen einzuleiten sind, sowie den zugehörigen Entscheidungsebenen im Rahmen der Projekt-struktur (siehe Bild 6) 3 ; h) Festlegung von Kriterien für die Annahme von Einzelrisiken; i) Festlegung eines Verfahrens zur Klassifizierung und zum Vergleich von Risiken; j) Festlegung eines Verfahrens zur Bestimmung des Gesamtrisikos; k) Festlegung der Kriterien für die Annahme des Gesamtrisikos; l) Festlegung der Strategie und der Informationsmittel (Formate) für die Berichterstattung an die Entscheidungsträger und für die Risikoüberwachung; m) Beschreibung der Abläufe beim Review, der Entscheidungsfindung und der Projektdurchführung hinsichtlich des Risikomanagements. Wahrscheinlichkeit Risikoindex: Schweregrad über Wahrscheinlichkeit Schweregrad Rot Gelb Grün Bild 5: Beispiel für das Risikoindexsystem 3) Im Bild ist die Klassifizierung nach Risikogröße und Vertretbarkeit und vorgeschlagenen Maßnahmen nur beispielhaft dargestellt. Abweichende projektbezogene Definitionen sind möglich. 14

23 Risikoindex Risikohöhe Empfohlene Maßnahmen R 20 Sehr hohes Risiko Nicht vertretbares Risiko: Einführung neuer Abläufe oder Änderung der Projektgrundlage Erfordert Aufmerksamkeit des Projektmanagements auf der entsprechenden Managementebene nach Risikomanagementplan 15 R < 20 Hohes Risiko Nicht vertretbares Risiko: siehe oben. 10 R < 15 Mittleres Risiko Nicht vertretbares Risiko: aktive Leitung, Änderungen im Ablauf oder der Projektgrundlagen Erfordert Information auf der entsprechenden Managementebene nach Risikomanagementplan 4 < R < 10 Geringes Risiko Vertretbares Risiko: Steuerung, Überwachung Erfordert Einbindung des Managements auf der Ebene des jeweiligen Arbeitspakets R 4 Sehr geringes Risiko Vertretbares Risiko: siehe oben. Bild 6: Beispiel für eine Klassifizierung von Risiken nach ihrer Höhe und empfohlene Maßnahmen Aufgabe 2: Aufstellen des Risikomanagementplans Der Risikomanagementplan enthält im Allgemeinen folgende Angaben: a) Beschreibung der Organisation des Risikomanagements für das Projekt; b) Zusammenfassende Angaben zur Risikomanagementpolitik; c) Dokumentation und Konzeption für die Überwachung im Risikomanagement; d) Umfang des Risikomanagements während der Projektdauer Stufe 2: Festlegen und Bewerten der Risiken Zweck Identifikation der Risikoszenarien und auf den Ergebnissen der Stufe 1 beruhende anschließende Bestimmung der Größe von Einzelrisiken sowie deren Einstufung unter Rückgriff auf die Daten aus allen Projektbereichen (leitungsbezogen, programmatisch und technisch) Aufgabe 3: Festlegen der Risikoszenarien Diese Aufgabe umfasst: a) Identifikation der Risikoszenarien, einschließlich Ursachen und Folgen, entsprechend der Risikomanagementpolitik; b) Festlegung der Mittel zur Früherkennung von unerwünschten Ereignissen, um eine Ausweitung der Folgen zu verhindern; c) Identifikation der risikobehafteten Projektziele Aufgabe 4: Bewerten der Risiken Diese Aufgabe umfasst: a) Bestimmung des Schweregrads der Folgen für jedes Risikoszenario; b) Bestimmung der Wahrscheinlichkeit des Auftretens für jedes Risikoszenario; c) Bestimmung der Höhe des Risikos für jedes Risikoszenario; d) Nutzung verfügbarer Informationsquellen und Anwendung geeigneter Methoden zur Unter-stützung des Bewertungsprozesses; e) Bestimmung des Risikoindex für jedes Risikoszenario; f) Bestimmung des Gesamtprojektrisikos durch Bewertung der festgestellten Einzelrisiken, deren Größe und Wechselwirkungen und deren Einfluss auf das Projekt. 15

24 5.2.3 Stufe 3: Entscheidung und Ausführung Zweck Analyse der Akzeptanz von Risiken und der Optionen zur Risikoreduzierung entsprechend der Risikomanagementpolitik sowie Bestimmung der geeigneten Strategie zur Risikoreduzierung Aufgabe 5: Entscheiden über die Akzeptanz von Risiken Diese Aufgabe umfasst: a) Anwendung der Kriterien für die Akzeptanz von Risiken; b) Festlegung der Risiken, die akzeptabel sind und solcher, die zu vermindern sind und Bestimmung der Entscheidungsebene; c) Bei akzeptablen Risiken weiter bei Stufe 4; bei nicht akzeptablen Risiken wird mit der Aufgabe 6 fortgefahren Aufgabe 6: Reduzieren der Risiken Diese Aufgabe umfasst: a) Festlegung möglicher Maßnahmen zu Vorbeugung und Abhilfe für jedes nicht akzeptable Risiko; b) Bestimmung des Erfolgs oder Mißerfolgs bei der Risikoreduzierung und Festlegung von Überprüfungskriterien; c) Bestimmung des Risikoreduzierungspotentials jeder Maßnahme in Verbindung mit der Optimierung vorhandener Projektressourcen; d) Auswahl der am besten geeigneten Maßnahme zur Risikoreduzierung und Entscheidung hinsichtlich Prioritäten bei der Umsetzung auf der zuständigen Entscheidungsebene entsprechend dem Risikomanagementplan; e) Überprüfung der Risikoreduzierung; f) Ermittlung der Risiken, die sich nicht bis auf ein akzeptables Maß verringern lassen und Weiterleiten der entsprechenden Informationen an die zuständige Managementebene zur Entscheidungsfindung; g) Festlegung der verringerten Risiken, bei denen sich die Reduzierung nicht überprüfen lässt; h) Festlegung des Risikoreduzierungspotentials aller getroffenen Maßnahmen in Bezug auf das Gesamtrisiko; i) Erfassung aller erfolgreich verringerten Risiken sowie nicht verringerter Risiken in getrennter Darstellung. Im letzteren Fall wird die Unterlage der zuständigen Managementebene zur Entscheidung vorgelegt Aufgabe 7: Empfehlen der Akzeptanz Diese Aufgabe umfasst: a) Festlegung von Entscheidungsalternativen für die Akzeptanz von Risiken; b) Annahme akzeptabler und beseitigter Risiken; c) Darstellung nicht beseitigter Risiken, für die weitere Maßnahmen einzuleiten sind Stufe 4: Überwachung und Annahme von Risiken sowie Berichterstattung Zweck Verfolgung, Überwachung, Aktualisierung, wiederholtes Erörtern sowie Berichterstattung von Risiken und schließlich die Annahme von Risiken Aufgabe 8: Überwachen von Risiken und Berichterstattung Diese Aufgabe umfasst: a) Regelmäßige Bewertung und regelmäßiges Review sämtlicher festgestellter Risiken und Aktualisierung der Ergebnisse nach jeder Iteration des Risikomanagementprozesses; b) Feststellung von Veränderungen in Bezug auf bestehende Risiken und Veranlassung weiterer Risikoanalysen zur Verringerung von Unsicherheiten; c) Überprüfung der Durchführung und die Wirkung einer Risikoreduzierung; 16

25 d) Darstellung der Risikoentwicklung im Verlauf des Projekts mittels genauer Bestimmung von Änderungen der Risikohöhe während der Projektdurchführung; Ein Beispiel für die Entwicklung technischer Risiken, die einen Hauptanteil am Gesamtrisiko am ersten Meilenstein des Projekts tragen, zeigt Bild 7 4). Mit S1, S2 und S3 werden drei Risikoszenarien bezeichnet. e) Berichterstattung über die Risiken und die Risikoentwicklung an die zuständige Managementebene; f) Einführung eines Systems zur Warnung vor neuen Risiken. Bild 7: Beispiel für die Darstellung der Risikoentwicklung Aufgabe 9: Risiken zur Akzeptanz vorlegen Diese Aufgabe umfasst: a) Informationen über Risiken an die zuständige Managementebene zur formellen Risikoakzeptanz weiterleiten; b) Rücksprung zur Aufgabe 6 bei nicht akzeptierten Risiken. 4) In diesem Beispiel zeigt die Entwicklung von "S1", dass sich der Risikotrend trotz aller Bemühungen zur Risikoreduzierung vor einer Verbesserung verschlechtern kann. 17

26 18

27 6 Durchführung des Risikomanagements 6.1 Allgemeines a) Das Risikomanagement wird innerhalb der herkömmlichen Strukturen des Projektmanagements durchgeführt, wodurch sich Risiken systematisch identifizieren, bewerten und verfolgen lassen. b) Risikomanagement ist eine Teamaufgabe, wobei innerhalb der Projektorganisation die Aufgaben und Kompetenzen denjenigen Funktionen und Personen zugewiesen werden, die das umfangreichste Fachwissen in Bezug auf das jeweilige Risiko haben. c) Die Ergebnisse des Risikomanagements finden Berücksichtigung im routinemäßigen Projektmanagementprozess und bei Entscheidungen hinsichtlich der Entwicklung von weiteren Projektgrundlagen. d) Das Risikomanagement stützt sich so weit wie möglich auf die vorhandene Dokumentation. 6.2 Zuständigkeiten Der Risikomanagementplan beschreibt Zuständigkeiten hinsichtlich des Risikomanagements im Rahmen der Projektorganisation. Dabei ist wie folgt vorzugehen: a) Der Projektmanager ist der Koordinator für die Funktionen im Risikomanagement hinsichtlich aller betroffenen Projektbereiche. Er trägt die Gesamtverantwortung für das Risikomanagement innerhalb eines Projekts und berichtet der übergeordneten Ebene in der Projekthierarchie über die Arbeitsergebnisse. Der Projektmanager legt fest, wer innerhalb des Projekts für die Überwachung der Risiken in den einzelnen Bereichen zuständig ist und wie die Kommunikations-, Informationsund Berichtskanäle verlaufen und wie Verantwortlichkeiten in Bezug auf das Risikomanagement verteilt sind. b) Unter Aufsicht des Projektmanagers ist jeder Projektbereich, wie Technik, Software, Überwachung, Terminverfolgung, für die Behandlung der Risiken, die von ihm ausgehen oder die ihm zur Bearbeitung zugewiesenen wurden, zuständig. c) Risiken werden formell von der nächsthöheren Ebene in der Projekthierarchie akzeptiert. 6.3 Betrachtungen zum Projektlebenszyklus Das Risikomanagement zieht sich nach ECSS-M-30 durch alle Projektphasen. Es umfasst: a) Studien zur Durchführbarkeit von Projekten, Betrachtung der vorhandenen Ressourcen und Analysen (z. B. bezüglich Entwicklung, Produktion, Sicherheit, Zuverlässigkeit, Betrieb). b) Zuweisung von Aufgaben, Personal und Ressourcen entsprechend der Risikoklassifizierung. c) Entwicklung des technischen Konzepts durch iterative Risikobewertung. d) Beurteilung der Auswirkungen von Veränderungen im Projektablauf auf die Risikoentwicklung. e) Betrachtung der Entwicklung, Bewertung, Annahme und Durchführung des Projekts mittels Risikoanalyse und Festlegen von Korrekturmaßnahmen. f) Beurteilung des Gesamtrisikostatus der Projekte im Rahmen von Reviews. 19

28 6.4 Sichtbarkeit von Risiken und Entscheidungsfindung a) Managementprozesse und der Informationsfluss innerhalb einer Projektorganisation stellen einen hohen Grad der Sichtbarkeit vorhandener Risiken sicher. Angaben über Risiken einschließlich eines Systems zur Warnung vor neuen Risiken werden an das Management zur Unterstützung bei der Entscheidungsfindung weitergeleitet. b) Um Risiken schneller zu erkennen, eine schnelle Entscheidungsfindung zu ermöglichen und um sicherzustellen, dass der Risikostatus regelmäßig an die zuständige Managementebene sowie an alle Beteiligten gemeldet wird, die von den Risikofolgen betroffen sind, werden Maßnahmepläne erstellt, in denen die nicht erfassten Risikofaktoren aufgeführt sind, deren Höhe das in der Risikomanagementpolitik festgelegte Maß für das Projekt übersteigt. c) Informationen über sämtliche festgestellten Risiken und deren Behandlung werden aufgezeichnet. 6.5 Dokumentation a) Pflege der Dokumente des Risikomanagements, damit jeder Schritt des Risikomanagementprozesses einschließlich der wichtigsten Ergebnisse und Entscheidungen nachvollziehbar und begründbar ist. b) Der Risikomanagementprozess stützt sich weitgehend auf die vorliegenden Projektdaten, wobei die für das Risikomanagement erstellte Dokumentation Informationen über projektspezifische Risikomanagementpolitik, Zielsetzung und Anwendungsbereich, Risikomanagementplan, festgestellte Risikoszenarien, Eintrittswahrscheinlichkeit von Ereignissen, Risikofolgen, Entscheidungen, Aufzeichnungen über Maßnahmen zur Risikoreduzierung und überprüfung, Angaben zu Risikotrends und zur Risikoannahme enthält. c) Die mit der Tätigkeit im Rahmen des Risikomanagements zusammenhängenden Daten werden in einer Datenbank gespeichert, in der alle für die Durchführung des Risikomanagements erforderlichen Daten enthalten sind und die die Entwicklung der Risiken während der Projektlaufzeit dokumentiert. Die Datenbank ist ein lebendes Dokument, das ständig aktualisiert wird. Entsprechend den Vorgaben im Risikomanagementplan werden Auszüge aus der Datenbank bei Projektberatungen oder Reviews und zu Meilensteinen präsentiert. Risiken, die Schlussfolgerungen für die Zukunft ( lessons learned ) erlauben, werden besonders gekennzeichnet. Die Datenbank ist den Beteiligten nach Bedarf zugänglich. d) Mustervordrucke für die Beschreibung und die Klassifizierung von Risiken sind in Anhang A dieser Norm enthalten. 20

29 7 Anforderungen an das Risikomanagement 7.1 Allgemeines Die Anforderungen in diesem Abschnitt sind numeriert. Sie setzen sich jeweils aus dem eigentlichen Text der Anforderung, einer Erläuterung mit einer Angabe zur Zielsetzung und dem erwarteten Ergebnis zusammen. 7.2 Anforderungen an den Risikomanagementprozess Die Grundlage für das Risikomanagement sind ein vierstufiger Prozess mit neun Aufgaben, wie sie in den Bildern 1 und 2 dieses Dokuments dargestellt sind. Am Beginn eines Projekts muss die Formulierung der Risikomanagementpolitik stehen. ZIEL: Entwicklung einer Risikomanagementpolitik, die: Kundenanforderungen befriedigt; alle Projektbereiche, wie Management, Technik, Output, Termin und Kosten erfasst; die gegebenen Projektressourcen wie Zeitvorgaben, Kosten, Leistung und Aufwand berücksichtigt; die Risiken klassifiziert, um bestimmte Maßnahmen und Entscheidungen beim Umgang mit Einzel- und Gesamtrisiken zu ermöglichen; Anforderungen an das Risikomanagement festlegt Jeder Lieferant muss einen Risikomanagementplan erstellen. ERWARTETES ERGEBNIS: Risikomanagementpolitik, Methoden und Strukturen als Teil des Risikomanagementplans. ZIEL: Zusammenstellung aller Elemente in einem Dokument, die zur Durchführung eines angemessenen Risikomanagements für alle Projektbereiche, die Organisation und das Management erforderlich sind und dabei gleichzeitig die Kundenwünsche befriedigen. ERWARTETES ERGEBNIS: Risikomanagementplan. 21

30 7.2.3 Es sind Risikoszenarien zu identifizieren. ZIEL: Identifikation von Risikoszenarien in strukturierter Weise für alle Bereiche (wie Management, Technik, Software, Prüfung, Betrieb) unter Verwendung von Informationsquellen wie: frühere Analysen, Erfahrungen und historische Daten; Expertenrunden und Erfahrungsdaten; Datenextrapolation; Simulationen, Prüfdaten und Prüfmodelle; detaillierte Sicherheits- und Zuverlässigkeitsanalysen (siehe ECSS-Q-30 und ECSS-Q-40); Analyse aller organisatorischen Strukturen und Arbeitsebenen; Vergleich von Zielen und Plänen; Analyse der Projektressourcen; Analyse des Lieferantenkreises; Analyse empfohlener Änderungen; Prüfergebnisse; Nichtkonformitätsberichte Die Risikoszenarien müssen bewertet werden. ERWARTETES ERGEBNIS: Verzeichnisse von Risikoszenarien. ZIEL: Erleichterung des Verstehens und der Vergleichbarkeit festgestellter Risikoszenarien, unter Verwendung des Klassifizierungsschemas und -verfahrens, die in der Risikomanagementpolitik festgelegt sind. ERWARTETES ERGEBNIS: Klassifizierungssystem für die Wertigkeit der Risikoszenarien und Übersicht über das Gesamtrisiko Die Risikoszenarien müssen hinsichtlich ihrer Akzeptanz analysiert werden. ANMERKUNG: Im Sinne des Risikomanagements kann die Akzeptanz eines Risikos bedeuten, dass obwohl das Risiko nicht eliminiert ist - dessen Existenz und Höhe eingeräumt und hingenommen werden. ZIEL: Ermittlung von akzeptablen Risiken, die nicht gemindert werden müssen, sowie von nicht akzeptablen Risiken, die zu mindern sind. ERWARTETES ERGEBNIS: Aufstellung der festgestellten akzeptablen und nicht akzeptablen Risiken. 22

31 7.2.6 Risiken sind entsprechend der Risikomanagementpolitik zu mindern. ZIEL: Reduzierung nicht akzeptabler Risiken auf ein akzeptables Maß, indem Methoden angewendet werden, die auf eine Verringerung der Wahrscheinlichkeit des Auftretens oder des Schweregrades bestimmter Risikoszenarien oder die Verringerung der Unsicherheit hinsichtlich der Risikodaten gerichtet sind, unter Anwendung folgender Maßnahmen: Modifizierung der Anforderungen oder des Vertrages; Änderung des Designs, der Projektgrundlage oder der -struktur; Einführung einer Fehlertoleranz nach ECSS-Q-Dokumenten (als Beispiel); Anschaffung zusätzlicher Mittel oder Umleitung von Mitteln; Erhöhung der Anzahl von Prüfungen und Analysen. ERWARTETES ERGEBNIS: Aufstellung beseitigter Risiken und nicht beseitigter Risiken Unter Berücksichtigung der Maßnahmen zur Risikoreduzierung ist das Gesamtrisiko zu bestimmen In geeigneten Fällen sind Wahlmöglichkeiten hinsichtlich der Akzeptanz beseitigter und akzeptabler Risiken sowie des Gesamtrisikos zu bestimmen und der im Risikomanagementplan festgelegten Managementebene zur Entscheidung vorzulegen. ZIEL: Bestimmen und Umsetzen geeigneter Wahlmöglichkeiten bei der Beseitigung von Risiken Nichtbeseitigte Risiken müssen der im Risikomanagementplan festgelegten Managementebene zur weiteren Entscheidung vorgelegt werden. ZIEL: Herbeiführen von Entscheidungen zu nicht beseitigten Risiken auf der im Risikomanagementplan festgelegten Managementebene. ERWARTETES ERGEBNIS: Aufzeichnungen über Entscheidungen Risiken müssen überwacht, in Berichten aufgezeichnet und die Ergebnisse dargelegt werden. ZIEL: Sicherstellung einer vollständigen und systematischen Überwachung von Aktivitäten im Rahmen des Risikomanagements. ERWARTETES ERGEBNIS: Risikotrenddiagramme, Risikolisten und aufzeichnungen, Risikomanagementdateien, Risikowarnsystem Restrisiken müssen am Ende des Risikomanagementzyklus der im Risikomanagementplan festgelegten Managementebene zur Annahme vorgelegt werden. ZIEL: Formale Annahme von Restrisiken auf der entsprechenden Managementebene. 23

32 7.3 Anforderungen an die Implementierung des Risikomanagements Das Risikomanagement muss auf jeder Ebene des Kunden-/Lieferanten-Netzwerks zum Einsatz kommen Das Risikomanagement muss unter Nutzung der bestehenden Projektorganisation kosteneffektiv eingesetzt werden. ZIEL: Aufstellung einer einheitlichen, in die Projektorganisation eingebundenen Risikomanagementstruktur, mit der Absicht, Nutzen zu erzielen, der die Kosten für das Risikomanagement überwiegt Der Risikomanagementprozess muss überwacht werden. ERWARTETES ERGEBNIS: Risikomanagementfähige Projektorganisation, Risikomanagementablaufpläne und -verfahren Gesammelte Erfahrungen müssen in den Risikomanagementprozess eingehen Verbesserungen des Risikomanagementprozesses sind im Zuge des Projektablaufs umzusetzen. ZIEL: Verbesserung des Risikomanagementprozesses. 24

33 Anhang A (informativ) Vordrucke zur Ermittlung des Risikoindex und zur Risikoklassifizierung 25

34 RISIKOINDEX (BEISPIEL) Projekt: Organisation: Quelle: Datum: WBS Ref.: Überwacht von: Ausgabe: Unterstützt von: RISIKOSZENARIO UND -GRÖßE Nr. Bezeichnung des Risikoszenarios: Ursache und Folge: Schweregrad (S) Eintrittswahrscheinlichkeit (L) Risikoindex ROT GELB GRÜN Risikobereich Vernachlässigbar Bedeutend Schwerwiegend Kritisch Katastrophal Sehr gering Gering Mittel Hoch Sehr hoch (R = S L) (*) (*) (*) (**) ENTSCHEIDUNGEN UND MAßNAHMEN ZU RISIKOREDUZIERUNG Risiko: j Risikoreduzierung. j Maßnahmen zur Risikoreduzierung: Mittel zur Überwachung: Erwartete Risikoreduzierung (Schweregrad, Eintrittswahrscheinlichkeit, Risikoindex) Maßnahme: Status: Zustimmung durch Projektmanagement: Rang: Name: Unterschrift: Datum: Anmerkungen: (*) Entsprechenden Wert für "R" (Risikoindex) gemäß den in der Risikomanagementpolitik festgelegten Kriterien eintragen. (**) Bezeichnung des Risikobereichs (z. B. technisch, Kosten oder Termine). 26

35 KLASSIFIZIERUNG VON RISIKEN (Beispiel) Projekt: Organisation: Rang Nr. Bezeichnung des Risikoszenarios Rot Gelb Grün Risikobereich (*) (*) (*) (**) Anmerkungen (**) Bezeichnung des Risikobereichs (z. B. technisch, Kosten oder Zeitplan). Datum: Ausgabe: Maßnahmen und Status 27

36 28

37 Anhang B (informativ) Bedeutung von ECSS-Normen im Risikomanagementprozess B.1 Allgemeines Auch andere ECSS-Normen enthalten Anforderungen zum Risikomanagementprozess. Die wesentlichen Themen der Normen der Ebene 1 und 2 sind nachfolgend aufgeführt. B.2 ECSS-M-Normen ECSS-M-00: Dieses Dokument, ECSS-M-00-03, enthält erweiterte Anforderungen an das Risikomanagement nach ECSS-M-00. ECSS-M-10, ECSS-M-20: Die Einteilung des Projekts in technische und leitungsbezogene Elemente erlaubt das Erkennen und Zuordnen von risikobehafteten Elementen oder Aufgaben zu Risiken sowie der betroffenen Schnittstellen. ECSS-M-30: Die Einteilung eines Projekts in Phasen mit Reviews bei kritischen Projektstufen liefert wichtige Gelegenheiten für die Überprüfung ermittelter Risiken und späteren Bewertung neuer Risikoszenarien, die sich mit Fortschreiten des Projekts ergeben, wobei die für das Projekt aufgestellten Grundsätze für die Risikobewertung zur Anwendung kommen. ECSS-M-40, ECSS-M-50: Das Konfigurations- und Informations-/Dokumentationsmangement stellt sicher, dass alle wichtigen Aufzeichnungen und Daten für den Risikomanagementprozess systematisch bereitgestellt und überwacht werden. ECSS-M-60: Durch die Überwachung der Zeitpläne und der Kosten des Projekts wird sichergestellt, dass Abweichungen mit Einfluss auf festgestellte Risiken entdeckt und korrigiert werden oder dass Risiken unter Berücksichtigung dieser Abweichungen neu bewertet werden. ECSS-M-70: Die Analyse der Logistik leistet einen Beitrag zum Risikomanagement, indem sie Daten bereitstellt, die der Bewertung von durch Betrieb, Instandhaltung und Entsorgung der Projekthardware und software beeinflussten Risiken zugrunde liegen. B.3 ECSS-Q-Normen ECSS-Q-00: Die Kontrollprozesse für die Produktsicherung sind ein Teil des Risikomanagements. ECSS-Q-20: Die Überwachung der Produktqualität stellt sicher, dass die vom Risikomanagement betroffenen Produkte auf Einhaltung der entsprechenden Spezifikationen geprüft werden. ECSS-Q-30, ECSS-Q-40: Zuverlässigkeits- und sicherheitsbezogene Maßnahmen werden dort angewendet, wo Risiken mit Gesichtspunkten der Zuverlässigkeit und Sicherheit in Zusammenhang stehen. ECSS-Q-60, ECSS-Q-70: Die Auswahl von EEE-Bauelementen, Material, mechanischen Teilen und Prozessen beeinflusst die Funktion und die Zuverlässigkeit des Designs und hat deshalb Auswirkungen auf Risiken. ECSS-Q-80: Die einwandfreie Funktion der Software hat einen Einfluss auf die mit der Systemfunktion verbundenen Risiken. 29

38 B.4 ECSS-E-Normen ECSS-E-00, ECSS-E-10: Die Engineering- und Systemengineeringprozesse erlauben eine Strukturierung der Engineeringmaßnahmen in handhabbare und steuerbare Einheiten und ermöglichen einen Nachweis der Erfüllung der technischen Anforderungen des Kunden. Sie sind wesentlich für das Erkennen und die Bewertung technischer Risiken und die Überprüfung risikobezogener Anforderungen. ECSS-E-20 bis ECSS-E-70: Das Design von elektrischen, elektronischen und mechanischen Systemen, sowie Kommunikations-, Überwachungs- und Bodenunterstützungssystemen und der zugehörigen Software sowie der Gesamtsystemsoftware hat Einfluss auf die mit der Systemfunktion verbundenen Risiken. 30

39 Verbesserungsvorschlag für ECSS-Dokument 1. Nummer des Dokuments ECSS-M-00-03A 2. Datum des Dokuments 3. Titel des Dokuments Risikomanagement 4. Empfohlene Verbesserung: (Abschnitte/Unterabschnitte angeben und geänderten Text und/oder geänderte grafische Darstellung aufnehmen, gegebenenfalls weitere Seiten ergänzen) 5. Begründung 6. Antragsteller Name: Adresse: 8. Zu senden an ECSS-Sekretariat Name: W. Kriedte ESA-TOS/QR Organisation: Telefon: Telefax: Adresse: ESTEC, P.O. Box AG Noordwijk Niederlande 7. Datum der Vorlage: Tel.: Fax: Werner.Kriedte@esa.int Anmerkung: Der Antragsteller sollte Angaben zu den Punkten 4, 5, 6 und 7 machen. Die englische Fassung dieses Formulars ist erhältlich als Word- und Wordperfect-Vordruck im Internet unter 31