Unmögliche Risiken? Vogel legt Cern lahm!

Der Zürcher Tagesanzeiger vom 9. November 2009 liefert wieder einmal eine interessante Schlagzeile: Vogel legt Cern lahm! Das hochkomplexe Cern erlitt durch einen sehr simplen Zwischenfall einen Kurzschluss.

"Von einem Vogel fallengelassene Brotkrümel haben beim Teilchenbeschleuniger des Cern in Genf einen Kurzschluss ausgelöst. Der Vorfall ereignete sich bereits am Dienstag vergangener Woche, wie das Cern am Montag mitteilte. Die Baguettekrümel verursachten den Kurzschluss demnach bei einer externen elektrischen Anlage, die Teile des Large-Hadron-Collider (LHC) mit Strom versorgt. Wegen des Kurzschlusses sei auch ein Teil des Kühlsystems des LHC unterbrochen worden, sagte eine Cern-Sprecherin. Dadurch sei es zu einer leichten Erwärmung von der absoluten Tiefsttemperatur (minus 273 Grad Celsius) auf minus 268 Grad Celsius gekommen. Wenige Stunden nach dem Vorfall habe sich die Lage aber wieder normalisiert, die Störung sei nicht gravierend gewesen."

Was heisst hier nicht gravierend? Es hätte ja vielleicht auch schlimmer kommen können! Lassen Sie Ihre Projektmitarbeiter bei der Risiko-Identifikation beim Brainstorming auch utopische oder komische Risiken vorschlagen, wie zum Beispiel: "Von einem Vogel fallengelassene Brotkrümel könnten beim Teilchenbeschleuniger einen Kurzschluss auslösen". Solche Risiken stossen mindestens zum Nachdenken an und vielleicht sind sie ja doch nicht so utopisch?

Risikomanagement - The Good, the Bad and the Ugly

Im Blog von Herding Cats hat der Post vom 11. Oktober den Titel "Risk Management- The Good, the Bad and the Ugly". Darin sind die 16 Top-Gründe beschrieben warum Projekte scheitern. Diese will ich Ihnen nicht vorenthalten.Vermutlich kommen Ihnen einige Punkte dieser Liste bekannt vor:

1. Missverständnisse bei den Anforderungen
2. Scheitern beim Managen der Benutzererwartungen
3. Unklarheiten/Missverständnisse bei den Projektzielen/Projektumfang
4. Schleichender Funktionszuwachs (Scope creep)
5. Mangel an klar zugewiesenen Vollzeit Projektressourcen
6. Schlechte Schätzungen
7. Mangel an eingefrohrenen Anforderungen
8. Ungenügendes Managen von Projektänderungen
9. Mangel an Top-Management Support
10. Keine oder ungenügende Projektplanung
11. Mangel an qualifiziertem und verfügbarem Personal
12. Ungenügende Projektmanagement-Kenntnisse
13. Ungenügende Definition von Rollen und Verantwortlichkeiten
14. Nicht identifizieren aller Stakeholder
15. Ändernder Projektumfang/Projektziele
16. Schlechtes Risikomanagement

Die oben genannten 16 Punkte sind keine Risiken, sondern Tatsachen, die in Ihrem Projekt vielleicht auch vorkommen. Wenn Sie mit diesen Tatsachen konfrontiert sind, so sollten Sie die möglichen Risiken und Auswirkungen für Ihr Projekt bestimmen. Wenn Sie dem letzten Punkt ihre spezielle Aufmerksamkeit widmen dann werden Sie nicht so schnell von "unerwarteten" Problemen überrascht.

Risikoreviews/Risikomanagementaudits

Reviews und Audits sind zwei wichtige Qualitätssicherungsmassnahmen im Projektumfeld. Oft werden diese beiden Methoden jedoch im gleichen Zusammenhang genannt. Deshalb finde ich es sinnvoll diese zwei verwandten Methoden kurz zu beschreiben und die Unterschiede in der Anwendung zu zeigen.

Risikoreviews

Mit jedem Tag des Projektes ändert sich die Umwelt des Projektes. Man lernt dazu und wird schlauer (hoffentlich!). Dieses neue Wissen muss in die Risikomanagement-Aktivitäten einfliessen. Deshalb sollten periodisch ausführliche Risikoreviews mit dem Projektteam durchgeführt werden, zum Beispiel monatlich oder bei kurzen, komplexen Projekten nach Abschluss einer Projektphase, oder alle 2 Wochen.

Risikoreviews sind eine periodische Massnahme des Projektleiters, die folgende Ziele verfolgen:

• Überprüfen der bestehenden Risiken und Chancen: Stimmt die Beschreibung und Bewertung noch? Fallen Risiken weg?
• Suchen von neuen Risiken und Chancen in Teamarbeit aufgrund neuer Kenntnisse.
• Überprüfen, ob sich Restrisiken (Risiken ohne Massnahmen) verändert haben und neu Massnahmen notwendig sind.
• Überprüfen, ob die definierten Massnahmen noch gültig sind, ob sie eingeleitet sind und auch wirken.
• Anpassen von Massnahmen aufgrund neuer Kenntnisse, unter anderem auch, um deren Wirkung noch zu erhöhen.
• Überprüfen, ob die Risikomanagement-Aktivitäten effektiv sind oder ob Anpassungen am Vorgehen notwendig sind.

Besonders der Punkt der neuen Risiken darf nicht vernachlässigt werden. Neue Risiken können zum Beispiel aus Projektänderungen oder aus Änderungen der Umwelt entstehen. Auch ein Blick auf zurzeit laufende oder zukünftige Aktivitäten könnten Hinweise auf neue Risiken liefern. Jegliche Änderungen von Risiken benötigen eine neue qualitative und/oder quantitative Risikoanalyse und eventuell eine neue Priorisierung der Risiken. Wichtig ist, dass Risikoreviews kein Ersatz sind für den Tagesordnungspunkt „Risiken“ bei den wöchentlichen Projektstatussitzungen. Planen Sie Risikoreviews fix im Projektplan ein, damit sie "nicht vergessen" gehen.

Risikomanagementaudits

Risikomanagementaudits sind eine Qualitätssicherungsmassnahme des Project Management Offices (PMO) oder der internen Revision. Bei Risikomanagementaudits überprüfen Auditoren, ob der definierte Risikomanagementprozess für Projekte mit den geforderten Aktivitäten eingehalten wird. Wichtige Punkte dabei sind:

• Kontinuität der Risikomanagement-Aktivitäten
• Verwendete Methoden zur Risikoidentifikation
• Qualität der gefunden Risiken: Wurden z.B. statt Risiken nur Tatsachen oder aktuelle Probleme identifiziert?
• Welche Parteien wurden in die Risikoidentifikation involviert?
• Qualität der Auswertung und Dokumentation der Risiken
• Kommunikation der Risiken
• Wirksamkeit der Massnahmenüberwachung und -umsetzung

Die 10 wichtigsten Punkte im Projekt-Risikomanagement

Wenn Sie mein Buch über Projekt-Risikomanagement gelesen haben dann werden Sie vielleicht denken: „Wenn ich das alles machen muss was da drin steht, dann wird mein Projekt ja nie fertig!“ Damit haben Sie vielleicht recht. Ich empfehle Ihnen soviel zu machen und soviel Zeit aufzuwenden, wie es für Ihr Projekt sinnvoll ist. Aber die folgenden 10 wichtigsten Punkte lege ich Ihnen wärmstens ans Herz, diese ernst zu nehmen.

1. Schulen Sie zu Beginn des Projektes das Projektteam im Risikomanagement.
2. Involvieren Sie das ganze Projektteam in das Risikomanagement.
3. Führen Sie den Risikomanagement-Prozess nicht nur einmal durch, sondern periodisch.
4. Beschreiben Sie die Risiken im Ursache/Risiko/Auswirkung Format.
5. Versuchen Sie auch Chancen zu identifizieren.
6. Verwenden Sie verschiedene Methoden für die Risikoanalyse, wie Brainstorming-Sessions, Interviews und Checklisten.
7. Beschreiben Sie Risiken und Massnahmen detailliert
8. Überwachen Sie die Risiken und Massnahmen periodisch – am besten wöchentlich an Projektstatus-Meetings und führen Sie periodisch Risikoreviews durch.
9. Konzentrieren Sie sich auf die Top-5 Risiken. Verwenden Sie 70% der Zeit für die Top-5 Risiken und 30% der Zeit für die anderen 30, 40 oder 100 Risiken.
10. Sie müssen nicht viel Zeit für das Risikomanagement aufwenden, aber machen Sie es seriös und aus Überzeugung.

Es sind nur 10 Punkte – und sie geben auch ein wenig Arbeit. Aber ich verspreche Ihnen es wird sich lohnen!

Mit "Hot Standby" jedes Risiko ausschalten?

„Hot Standby“ ist eine Massnahme bei technischen Risiken, die man vorwiegend bei IT-Systemen antrifft, die hoch verfügbar sein müssen. Hierzu wird einer technische Anlage, deren Ausfallrisiko reduziert werden soll, ein zweites, redundantes, simultan betriebenes System vorgehalten, das exakt die gleichen Daten enthält. Dies kann z.B. eine gespiegelte Festplatte beim zentralen Server oder ein zweiter Generator bei einem Kernkraftwerk sein. Wichtigstes Kriterium bei dieser Methode ist die Umschaltzeit von der ausgefallenen Komponente auf die Ersatzkomponente.

Hot Standby ist die einfachste, aber auch teuerste Massnahme, um das Ausfallrisiko von kritischen Komponenten einer technischen Anlage oder z.B. von Engpassressourcen auf dem kritischen Pfad zu minimieren.
Beim „Warm Standby“ wird das zweite, redundante System in regelmässigen Intervallen auf den neuesten Datenstand gebracht, was bedeutet, dass es Zeiten gibt an denen die Systeme nicht auf dem gleichen Datenstand sind.
Beim "Cold Standby" wird das zweite System nur gestartet oder in Betrieb gesetzt wenn das erste System ausfällt. Das Standby-Stystem erhält in grösseren Zeitabständen regelmässig Backups. Dies bringt natürlich eine gewisse Ausfallzeit des Systems mit sich. Cold Standby wird für nicht kritische Anwendungen benutzt oder wenn Datenänderungen auf dem Hauptsystem unregelmässig stattfinden. Dies ist natürlich einiges günstiger als Hot oder Warm Standby.

Lieber auf der sicheren Seite sein als später bereuen?

Projektteams müssen bei der Massnahmenplanung entscheiden ob für Risiken Massnahmen definiert werden sollen oder nicht. Dies ist besonders eine Herausforderung wenn es um „nicht alltägliche Risiken“ geht, die bis jetzt in keinem anderen Projekt vorgekommen sind und deshalb noch keine Erfahrung dazu vorhanden sind. Die Auswirkung eines solchen Risikos zu bestimmen ist für das Projektteam meistens irgendwie möglich, aber die Eintrittswahrscheinlichkeit, das ist oft ein Ding der Unmöglichkeit. Dazu fehlen meistens die Erfahrung und das Wissen. Dies ist dann natürliche keine gute Vorraussetzung, wenn es dann zu beurteilen gibt, ob für das Risiko Massnahmen definiert werden sollen und was diese kosten dürfen. Oft lässt man sich dann von der bedrohlichen Auswirkung blenden und die meist sehr kleine und ungewisse Eintrittswahrscheinlichkeit tritt dann in den Hintergrund. Unter dieser Vorraussetzung wird dann übervorsorglich trotzdem eine Massnahme definiert, die viel Geld und Zeit kostet – für ein Risiko, dass mit grosser Wahrscheinlichkeit nie zu einem Problem wird. Im Englischen gibt es dazu ein passendes Sprichwort: „Better safe than sorry“. Man will lieber auf der sicheren Seite sein, als später etwas bereuen.

Ist „lieber auf der sicheren Seite sein als später bereuen“ bei Projekten wirklich die richtige Vorgehensweise? Mit ein paar einfachen Schritten können Sie vorbeugen „übervorsorglich“ zu werden. Zum Beispiel sollten Sie sicherstellen, dass Ihr Risikomanagement-Prozess die Eintrittswahrscheinlichkeit realistisch bewertet und die Auswirkung richtig einschätzt. Dann sollten Sie bedenken, dass der schlimmste Fall so gut wie nie eintritt, und dass es vielleicht besser wäre, Massnahmen für die höchstwahrscheinliche Auswirkung zu definieren. Auch sollten Sie sich an das Konzept der „Risiko-Effizienz“ gewöhnen, d.h. abwägen des Risikos zu dessen Nutzen und akzeptieren, dass es notwendig ist, gewisse Risiken einzugehen. Schlussendlich sollten Sie überprüfen ob Ihre Risikokommunikation wirkungsvoll ist. Wissen Ihre Stakeholder, welche Risiken Ihr Projekt eingeht, was deren Eintrittswahrscheinlichkeit und Auswirkung ist, was für Massnahmen getroffen wurden und wo man auf Massnahmen bewusst verzichtet hat?

“Better safe than sorry” hört sich nach einer guten Strategie an. Aber hier besteht die Gefahr der Übertreibung, die Gefahr zu vorsichtig und zu fürsorglich zu werden. Das hält Sie dann davon ab gewisse Risiken einzugehen, was Sie dann behindert voranzukommen, Innovationen entstehen zu lassen und somit erfolgreich zu sein. Deshalb verbannen Sie das „Vorsorgeprinzip“ von Ihren Projekten und verwenden Sie den Risikomanagement-Prozess dazu, so „safe“ wie möglich zu bleiben, damit Sie keinen Grund haben „sorry“ sagen zu müssen.

Wie viel Risikomanagement ist genug?

Wie viel Zeit und Geld sollten Sie in das Risikomanagement investieren? Diese Fragen stellen sich viele Projektleiter. Viele machen Risikomanagement weil es vorgeschrieben wird, und halten sich an das Notwendigste, obwohl sie eigentlich nicht viel Nutzen darin sehen. Viele "reifere" Projektleiter sind überzeugt, sich mit Risikomanagement viele Probleme und Ärger vom Hals zu halten.
Der sinnvolle Aufwand für das Risikomanagement ist von verschiedenen Kriterien abhängig, wie zum Beispiel von der Projektgrösse, der Komplexität oder Neuartigkeit des Projektgegenstandes. Das heisst, je grösser und komplexer ein Projekt ist, desto mehr Aufwand sollten Sie für das Risikomanagement aufwenden. Der Aufwand für das Projektrisikomanagement wird auch automatisch grösser, wenn Sie kritische Termine einhalten müssen, hohe Konventionalstrafen drohen, oder wenn Sie strenge Sicherheitsstandards einhalten müssen. Aber auch wenn das Überleben Ihres Geschäftsbereiches oder Unternehmens vom Projekt abhängen, werden Sie sich mehr um Risiken kümmern.
Gemäss einer Untersuchung von Steve McConnell (Software Project Survival Guide)verwendet das durchschnittliche Softwareprojekt praktisch keinen Aufwand für die Reduktion der Risiken. Als Konsequenz wird ein hoher Risikolevel einfach so akzeptiert. Schon ein wenig mehr Einsatz des Risikomanagements würde einen signifikanten Nutzen bedeuten. Gemäss McConnell kann man bei einem Einsatz von ca. 5% des Projektbudgets und bei einer guten Vorgehensweise von einem „seriösen“ Risikomanagement reden. Damit erhält, nach seiner Ansicht, ein Projekt eine 50 bis 75%-ige Chance in der geplanten Zeit und im Budget fertig zu werden. In der Abbildung erkennen Sie diesen Sachverhalt deutlich.
Einige Projekte müssen die Risiken weiter reduzieren und werden deshalb mit dem Aufwand gemäss Abbildung weiter nach rechts rutschen. Hier handelt es sich nach McConnell um die „Mission Critical Projects“, die unter keinen Umständen länger dauern dürfen. Wenn diese länger dauern drohen zum Beispiel horrende Vertragsstrafen oder es treten kritische Zustände ein, welche das Unternehmen oder Personen gefährden könnte. Bei solchen Projekten sollten Sie einiges mehr als 5% des Projektbudgets für das Risikomanagement verwenden. Es ist jedoch nicht sinnvoll, übermässig viel Aufwand in das Risikomanagement zu stecken. Je mehr Sie in der Abbildung nach rechts gehen, desto grösser wird der Overhead und die Kurve beginnt zu kippen. Das heisst, Ihr aufgebauter Overhead wird selbst zum Risiko, welches die Chance wieder reduziert, das Projekt zeitgerecht und im Budget zu beenden. Zuviel und zuwenig Risikomanagement kostet unnötig Geld!

Wenn Projektrisiken nach Projektabschluss eintreten

Das Projekt wurde erfolgreich beendet und das Produkt ist seit ein paar Monaten in Betrieb. Dem Unternehmen wurde gestern mitgeteilt, dass sich ein Nutzer des Produktes verletzt habe. Es wird auch festgestellt, dass die Verkaufszahlen viel tiefer sind als vorhergesagt. Vermutlich hat sich das Projektteam nur auf die Risiken während der Projektdauer konzentriert und nicht auch auf das das, was nach Projektabschluss mit dem Produkt passieren könnte. Sie finden das gehört nicht zum Risikomanagement? Ich finde schon!
Wie folgende Abbildung zeigt, legt das Projektteam den Fokus fast immer nur auf die Projektabwicklungsrisiken: Zeit, Kosten, Qualität und Leistung. Die Systemrisiken des erstellten Produktes in Bezug zum Unternehmen, den Kunden/Anwendern und der Gesellschaft werden oft ausgeblendet. Die Systemrisiken liegen dabei im Bereich Wirtschaftlichkeit, Akzeptanz, Sicherheit.





Abbildung: Projektabwicklungsrisiken und Systemrisiken haben einen anderen Fokus

Risiken nicht nur für die Projektdauer suchen

Abhängig von Art und Inhalt eines Projektes müssen oft sehr weit reichende Risiken in Betracht gezogen werden. In manchen Fällen bis zur Ausserdienststellung eines Projektergebnisses. Die Risikobetrachtung geht dann über den Rahmen der Projektdauer hinaus bis in das gesellschaftliche Umfeld und in den nachoperativen Zeitraum, etwa bis zum Abbruch oder der Beseitigung von Schadensfolgen oder Altlasten. Die Verantwortung des Projektleiters kann damit weitaus grösser werden, bzw. wirkt in die Verantwortungssphäre der Unternehmensleitung hinein. Die Wirtschaftlichkeit des Projektes reicht als alleiniger Wertmassstab damit nicht mehr aus. Es ist die Gesamtheit der möglichen Folgerisiken und der daraus möglichen Schäden zu bedenken, die sich unter anderem auf das Unternehmensimageauswirken können. Dazu gehören:

• der langfristige Kunden- und Unternehmenserfolg
• die Sicherheit für Betreiber und Umgebung
• die soziale und biologische Umweltverträglichkeit

Risiken eindeutig und klar formulieren

Risiken beschreiben ist gar nicht so einfach. Aber wenn Sie einige wichtige Punkte beachten, dann trägt Ihr Einsatz bald Früchte. Als ersten Schritt müssen Sie zuerst einmal potentielle Risiken identifizieren. Dafür gibt es verschiedene Methoden wie Brainstorming, Experten-Interviews, Checklisten usw. Wenn Sie dann Risiken entdeckt haben, geht es darum, diese korrekt zu formulieren. Dies scheint zwar banal. In der Praxis sieht man aber viele ungenau formulierte Risiken, die nichts aussagen, bei denen niemand so genau versteht, was damit gemeint ist. Je genauer und konkreter Sie Ihre Risiken formulieren, desto konkreter können Sie die Massnahmen dafür definieren und desto wirkungsvoller ist Ihr Risikomanagement. Nur wenn Sie die Risiken systematisch und sorgfältig formulieren, können Sie sicherstellen:

• dass jeder versteht, um was für ein Risiko es sich konkret handelt
• dass das identifizierte Risiko als relevant akzeptiert wird
• dass die richtigen Massnahmen ergriffen werden

Eine Beschreibung auf zu hoher Ebene wie zum Beispiel: "Etwas Unerwartetes könnte während der Projektdauer geschehen", ist natürlich nicht brauchbar, da keine sinnvollen Massnahmen auf dieser hohen Ebene möglich sind. Eine zu grosse Detailfreude ist hingegen ebenfalls nicht sinnvoll.
Risiken werden auch sehr oft mit Tatsachen oder aktuellen Problemen verwechselt, aber auch oft mit Ursachen, aus denen Risiken entstehen. Um Risiken eindeutig und konkret zu definieren sollten Sie das "Ursache – Risiko – Auswirkung" Format benutzen. Mit diesem Format müssen Sie sich ein wenig mehr anstrengen bei der Definition von Risiken. Es hilft Ihnen jedoch, sich intensiver mit den Risiken auseinander zu setzen und Risiken eindeutig von Ursachen und Auswirkungen zu trennen.

„Als Folge von (definitiver Ursache) kann (unsicheres Ereignis/Risiko) auftreten, welches (die Auswirkung) auslösen kann."

Wenn Sie so vorgehen wird Ihr Risikomanagement einiges wirkungsvoller!

Neues Buch: Risikomanagement für Projekte

Jetzt ist es fertig und seit 15. Januar im Buchhandel! "Risikomanagement für Projekte" ist ein Buch das speziell für Projektleiter geschrieben wurde. Dieses Wissen benötigen Projektleiter damit Sie Ihre Risiken im Griff behalten und 90% aller potentiellen Projektprobleme eliminieren bevor sie eintreten.

Hier finden Sie das Inhaltsverzeichnis und ein Auszug aus dem Buch.

Wer tiefer in das Thema einsteigen will kauft das Buch "Projekt-Risikomanagement- Mit wirkungsvollem Risikomanagement sicher zum Projekterfolg". Hier erfahren Sie mehr Details und finden zusätzliche Themen wie z.B. Projekt-Risikomanagement einführen, Projektrisikomangement auditieren, spezielle Risikomangement-Methoden, Risikomanagement im Projektportfolio, mehr Checklisten usw.

Ich wünsche Ihnen viel Erfolg bei Ihren Projekten, aber verlassen Sie sich nicht darauf!

Es kann noch schlimmer kommen als es Ihnen die grössen Pessimisten ausgemalt haben!

Es kommt nicht oft vor und es ist auch kein Black Swan. Aber nicht selten haben renomierte Pessimisten doch recht. Nur dieses mal haben auch die grössten Pessimisten untertrieben und wurden von der Gewalt der Ereignisse selber überrascht.
Die derzeitge brutale Finanzkrise die sich seit Mitte 2008 über uns hermacht und die Wirtschaftswelt vermutlich massgeblich verändern wird, wurde von einigen grossen Denkern wie Paul Krugman (The Return of Depression Economics and the Crisis of 2008) George Soros (The New Paradigm for Financial Markets: : The Credit Crisis of 2008 and What It Means) oder James Puplava schon vor einigen Jahren vorausgesagt haben. Sie wurden oft belächelt und verspotet - so etwas könne nie und nimmer passieren! Ihr Timing war vielleicht mehrere Monate daneben aber Ihre Prognosen sind sind noch schlimmer eingetroffen als sie es vorausgesagt haben und Sie selbst wurden von der Gewalt und Geschindigkeit der Ereignisse überrascht.