IT-Projektmanagement 6.5 Risikomanagement Masterstudiengang Prof. Dr. Walter Ruf 1.

IT-Projektmanagement

6.5 Risikomanagement

Masterstudiengang

Prof. Dr. Walter Ruf

1

http://www.oldenbourg-wissenschaftsverlag.de/olb/de/1.c.325875.de





1. Begriff

• Unter Risiko versteht man im betrieblichen Bereich die Gefahr, „dass Ereignisse oder Handlungen ein Unternehmen daran hindern, seine Ziele zu erreichen bzw. seine Strategien erfolgreich umzusetzen.“ (Gaulke, M.: Risikomanagement in IT-Projekten, Oldenbourg 2004, S. 3)

• Allgemein:– Gefahr einer ungünstigen Entwicklung

• Projektrisiko– „Unwägbarkeiten des technischen und/oder wirtschaftlichen

Projekterfolges.“

2




Risikomanagement

• „Risikomanagement ist die systematische Anwendung von Managementgrundsätzen, -verfahren und -praktiken zur Festlegung des Kontextes, Identifizierung, Analyse, Bewertung, Beurteilung, Steuerung/Bewältigung, Überwachung und Kommunikation von Risiken derart, dass Organisationen auf wirtschaftliche Weise Verluste minimieren und Chancen optimieren können.“ (DIN 62198)

• Risikomanagement beinhaltet– die Identifikation und Analyse von Risiken,– die Beurteilung und Einschätzung von Risiken,– die Entwicklung von Strategien im Umgang mit Risiken sowie– die Kontrolle und Überwachung der Risiken.

3




Ziele beim Risikomanagement

Projekte ohne Risiken gibt es nicht!

Ziele:– Risiken erkennen– Risikobereiche positiv beeinflussen– Auswirkungen von Risiken minimieren

4




Risikomanagement in der Praxis

• Untersuchung von Hindel et al (2004):– Bei Projekten, die außer Kontrolle geraten waren wurde

festgestellt, dass:• 55% hatten gar kein Risikomanagement• 38% betrieben nur ein halbherziges Risikomanagement• 7% konnten nicht sagen, ob ein Risikomanagement überhaupt

gemacht wurde.• Untersuchung von Rezagholi bei Projekten zur

Softwareentwicklung:– 53% hatten kein Risikomanagement– 38% verfügten ansatzweise über ein Risikomanagement– In 9% war ein systematisches Risikomanagement vorhanden.

5




Warum nimmt die Bedeutung von Risikomanagement zu?

• KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich)

„§ 91 (2) Der Vorstand hat geeignete Maßnahmen zutreffen, insbesondere ein Überwachungssystem einzurichten,damit den Fortbestand der Gesellschaftgefährdende Entwicklungen früh erkannt werden.“http://www.gesetze-im-internet.de/aktg/

• KonTraG gilt – prinzipiell für Aktiengesellschaften und große Unternehmen.

(Teil vom AktG)– zu den großen U. zählen

» Bilanzsumme: > 3,44 Mio. €; Umsatz > 6,87 Mio. € » Mitarbeiter > 50 (2 von 3 Kriterien müssen erfüllt sein.) vgl. Versteegen

(Hrsg.: Risikomanagement in IT-Projekten, S. 5)

• Releasezyklen werden kürzer• Haftungsrecht wird strenger• enger werdende Budgets

6




2. Risikofaktoren in IT-Projekten (1)

• Technische Risiken– Hardwareausfall– erstmaliger Einsatz von Tools, Hard- und Softwarekomponenten– fehlerhafte Verwendung von Entwicklungstools– mangelhafte Integration in das IT-Produktumfeld– fehlerhafte Einschätzung in der künftigen Technologieentwicklung

• Finanzielle Risiken– zu geringe Ressourcenausstattung– nicht einzuhaltende Terminvorgaben– Prognosefehler bei der Schätzung des Ressourcenverbrauchs– unrealistische Budgets

7




Risikofaktoren in IT-Projekten (2)

• Personelle Risiken– mangelnde Qualifikation der IT-Projektmitarbeiter– unerfahrene IT-Projektmitarbeiter– unerfahrener IT-Projektleiter– mangelnde Kooperationsbereitschaft der IT-Projektmitarbeiter– …

8

Im Jahr 2012 betrug der Krankenstand in deutschen Unternehmen 3,6%. Dies entspricht 13,2 Fehltage pro Versicherten.





• Produktrisiken– zu hohe Komplexität des Endproduktes– fehlerhafte Projektstrukturierung– Fehler bei der Bildung von Arbeitspaketen– fehlerhafte Funktionen– Design- und Implementierungsfehler– zeitaufwändige Fehlerbehebung

• Organisatorische Risiken / Prozessrisiken– Qualitätsmängel im Endprodukt– mangelnde Unterstützung durch die Fachabteilungen– fehlerhafte Zuliefererprodukte

• Managementrisiken– unklare Projektziele– unklarer Projektantrag– unklarer Projektauftrag– Prognosefehler bei der Schätzung von Projektzeiten

9





• Risiken im Anwendungsumfeld– unklare und unvollständige Benutzerwünsche– Widerstände bei den Betroffenen– behördliche Widerstände– politische Risiken– Risiken durch Wettbewerber

10




Risiken bestehen aus 3 Komponenten

1. aus einem Ereignis, das zum Risikoeintritt führt.2. aus einer Wahrscheinlichkeit mit der das Risiko eintritt3. aus einer Auswirkung, die dieses Ereignis mit sich

bringt

11




Einfluss des Risikomanagements

12

Definition Planung Realisierung Abschluss

Uns

iche

rhei

t

Zeitlicher Projektverlauf

Auf

wan

d / K

oste

n

Einfluss von Risikomanagement nimmt ab

Eintrittswahrscheinlichkeit

Aufwand zur Behebung eines Risikos




4 Stufen (Prozessschritte) des Risikomanagements

13




1. Identifikation von Risiken

• möglichst vollständige Erfassung von zu erwartenden Risiken

• proaktive Erfassung von Risiken• Maßnahmen:

– Risikoworkshop– Fragebogen zur Risikoerfassung

• Praxistipp:

14

Beispiel für ein mögliches Vorgehen:1. Erstellen eines Fragebogens zur Sammlung einer ersten Auswahl bereits

erkannter Risiken.

2. Dokumentation der erfassten Risiken und Kategorisierung der Ergebnisse.

3. Ergänzen der Ergebnisse um weitere Haupteinflussgrößen.

4. Durchführung eines Workshops unter Verwendung einer Kreativitätsmethode (z.B. Brainstorming). Als Basis dienen die bereits festgestellten Risiken, deren Kategorien und die hinzugefügten Haupteinflussfaktoren.




Risikoidentifizierung

• Risikoidentifizierung während der gesamten Projektlaufzeit– In der Initialisierungsphase

• Vor der Angebotserstellung– Budget vorhanden? Stellenwert des Projektes für den Kunden? …

• Während der Auftragsklärung– Wirtschaftliche Situation des Auftraggebers?– Einzusetzende Technologien

– …

15

Initiali-sierung Definition Planung Steuerung Abschluss

Risikoidentifizierung




Risikokatalog

16




2. Analyse und Bewertung von Risiken (1)

• Kategorisierung der Ergebnisse aus der Identifikation von Risiken• ggf. Bewertung von Risiken mit Eintrittswahrscheinlichkeiten• Fragen im Rahmen der Risikoanalyse und Bewertung

17

Schwellwert und Trigger,ab denen das Risiko als

eingetreten gilt Auswirkung

bei Eintritt desRisikos

Priorität des Risikosim Verhältnis zuanderen Risiken

Auswirkungen beiEintritt auf dasGesamtprojekt

Zeitfenster, in demdas Risiko

eintreten kann

Frequenz, mitder das Risikoeintreten kann

Wahrscheinlichkeit,mit der das Risiko

eintritt




Analyse und Bewertung von Risiken (2)

• Hinweis zur Durchführung:– Risikobeurteilung durch ein Formular

18

Risiko: Ausfall des HauptrechnersEintrittswahrscheinlichkeit (p) für das Risiko

Niedrig p = 0,2

Auswirkung auf die Bestimmungsgrößen des Projektes:Bestimmungsgröße Risikoklasse pLeistung / Funktionalität Niedrig 0,0Ressourcen Mittel 0,25Projektdauer Hoch 0,55Qualität Niedrig 0,0Schadenshöhe 85.000Risikowert (A) = Eintrittswahrscheinlichkeit * Schadenshöhe

17.000

Gegenmaßnahme: Aufbau eines Parallelsystems




Bestimmung von Risikoklassen

• Beispiel für die Zuordnung einer Riskoklasse aufgrund von Eintrittswahrscheinlichkeiten

19

Wahrscheinlichkeit für das Eintreten des Risikos

Risikoklasse Eintrittswahrscheinlichkeit Wahrscheinlichkeit (p)

Sehr Hoch Über 80% 0,75 – 1,0

Hoch 51% – 80 % 0,51 – 0,74

Mittel 20% – 50% 0,25 – 0,5

Niedrig Unter 20% 0,0 – 0,24




„The Seven Keys to Success“ (IBM)

1. Sind alle Projektziele klar definiert und beschrieben?2. Ist der Mehrwert für den Auftraggeber deutlich

herausgearbeitet?3. Unterstützen alle Projektbeteiligten das Projekt?4. Sind alle Risiken bekannt und unter ständiger

Kontrolle?5. Sind der Aufwand und der Projektablauf kalkulierbar?6. Ist das Projektteam motiviert und leistungsfähig?7. Ist für die Leistungserbringer ein Mehrwert

vorhanden?

20




Risikowert

• Eintrittswahrscheinlichkeit und Schadenshöhe können von den am Projekt beteiligten Personen geschätzt werden.

• Praxistipp:– Vorgabe von Skalen (z.B. 1 – 5)– Schadenshöhe: 1 = niedriger Schaden; 2 = geringer Schaden;

… 5 sehr hoher Schaden– Eintrittswahrscheinlichkeit: 0 = sehr unwahrscheinlich; 1 =

unwahrscheinlich; … 5 sehr wahrscheinlich

21

Risikowert = Eintrittswahrscheinlichkeit * Schadenshöhe




Bew

erte

ter R

isik

okat

alog

22




Risikoportfolio

• Mapping von Wahrscheinlichkeit und Schadenshöhe• „Faustformel“:

IT-Risiken und ihre Komplexität zu verstehen ist der erste Schritt zur Vermeidung derselben.

23

Dringend Maximal

Dringend

Dringend

DringendDringend

Dringend

Maximal

Maximal

Relevant

Niedrig Relevant Relevant

RelevantRelevant Dringend

Sehr hoch

Hoch

Mittel

Niedrig

Sehr hochHochMittelNiedrigWahrscheinlichkeit

Schadenshöhe




3. Risiko-Reaktionsplanung

24

Risiken ver-

meiden

Risiken akzep-tieren

Risiken übertra-

gen

Risiken versicherrn

Risiken ein-

grenzen




Priorisierter Risikokatalog

25




Risiken vermeiden

• Definition von Prozessen und Strategien zur Risikovermeidung

• Risiken, die nicht identifiziert und analysiert wurden, können nicht gesteuert werden!

• Beispiele für Maßnahmen:– Erwerb von Produkten bei „sicheren“ Lieferanten– Vertragsprüfung durch Juristen– Zusammenarbeit mit bewährten Outsourcingpartnern– Einsatz von Entwicklern mit Erfahrung in besonders kritischen

Prozessschritten– Einrichtung einer Firewall– verstärkter Einsatz von Standardsoftware– Erhöhung der Ausfallsicherheit von IT-Systemen (z.B.

Spiegelserver)

26




Risiken vermeiden

27




Risiken akzeptieren

• Folgende Gründe können für die Akzeptanz von Risiken sprechen:1. Die Konsequenzen sind so gering, dass der Aufwand den

Nutzen übersteigt.2. Das Verhältnis von Eintrittswahrscheinlichkeit zu Auswirkung

ist sehr klein.3. Es gibt keine andere Alternative. Die Auswirkungen müssen

getragen werden.

28




Risiken übertragen

• Outsourcing von bestimmten Produktteile an Dritte. – Risiken werden vertraglich übertragen– Nutzung von strategischen Partnerschaften

• Beispiele– Übertragung von Risiken an Unterauftragnehmer– Vereinbarung von Haftungsausschlüssen (Anpassung von

AGBs)– Installation von Servern mit Glasfaserverbindungen durch

Partnerunternehmen

29




Risiken eingrenzen

Risiken können eingegrenzt werden: 1. indem die Wahrscheinlichkeit des Eintritts oder die

Auswirkung nach Eintritt reduziert wird.2. indem bereits frühzeitig Aktionen eingeleitet werden,

die bei Eintritt des Risikos ergriffen werden. Beispiel:SituationDas Risiko für den Ausfall eines wichtigen Mitarbeiters wurde sehr hoch priorisiert. Die Kenntnisse des Mitarbeiters sind in dem Unternehmen einmalig. Die Tätigkeiten und Aufgabenpakete des Mitarbeiters liegen mehrfach auf dem kritischen Pfad. Der Mitarbeiter ist zusätzlich ein begeisterter Skifahrer.Risikobegrenzunga) Eine sofortige Aktion für das Eindämmen der Auswirkungen wäre, einen Mitarbeiter zu schulen und beide Mitarbeiter ab sofort gemeinsam einzusetzen. b) Ein Plan, der bei Eintritt des Ereignisses greift, wäre zum jetzigen Zeitpunkt die Vorbereitung für den Einsatz eines externen Dienstleisters durchzuführen und entsprechende Anforderungs- und Auftragsprofile zu erstellen.

30




Risiken versichern

• Versicherungen im Hardwarebereich– Elektroniksachversicherungen (Schwachstromversicherung)– Datenträgerversicherungen

• SpezialversicherungenBeispiel: Von der Gothaer wird beispielsweise eine umfangreiche Versicherung angeboten, die auch den Ausfall von Hard- und Software (inkl. Webseiten bei Providern), insbesondere durch menschliche oder technische Ursachen wie Bedienungsfehler, Vandalismus, Hackerattacken usw. abdeckt

PraxistipBerücksichtigung von Sicherheitsreserven bei der

Projektkalkulation.

31




4. R

isik

en ü

berw

ache

n un

d R

eakt

ione

n au

slös

en

32



Prof. Dr. Walter Ruf 33



Date post:	06-Apr-2016
Category:	Documents
Upload:	angelika-hofmann
View:	212 times
Download:	0 times

IT-Projektmanagement 6.5 Risikomanagement Masterstudiengang Prof. Dr. Walter Ruf 1.

Documents