Reviews und Audits sind zwei wichtige Qualitätssicherungsmassnahmen im Projektumfeld. Oft werden diese beiden Methoden jedoch im gleichen Zusammenhang genannt. Deshalb finde ich es sinnvoll diese zwei verwandten Methoden kurz zu beschreiben und die Unterschiede in der Anwendung zu zeigen.
Risikoreviews
Mit jedem Tag des Projektes ändert sich die Umwelt des Projektes. Man lernt dazu und wird schlauer (hoffentlich!). Dieses neue Wissen muss in die Risikomanagement-Aktivitäten einfliessen. Deshalb sollten periodisch ausführliche Risikoreviews mit dem Projektteam durchgeführt werden, zum Beispiel monatlich oder bei kurzen, komplexen Projekten nach Abschluss einer Projektphase, oder alle 2 Wochen.
Risikoreviews sind eine periodische Massnahme des Projektleiters, die folgende Ziele verfolgen:
- Überprüfen der bestehenden Risiken und Chancen: Stimmt die Beschreibung und Bewertung noch? Fallen Risiken weg?
- Suchen von neuen Risiken und Chancen in Teamarbeit aufgrund neuer Kenntnisse.
- Überprüfen, ob sich Restrisiken (Risiken ohne Massnahmen) verändert haben und neu Massnahmen notwendig sind.
- Überprüfen, ob die definierten Massnahmen noch gültig sind, ob sie eingeleitet sind und auch wirken.
- Anpassen von Massnahmen aufgrund neuer Kenntnisse, unter anderem auch, um deren Wirkung noch zu erhöhen.
- Überprüfen, ob die Risikomanagement-Aktivitäten effektiv sind oder ob Anpassungen am Vorgehen notwendig sind.
Besonders der Punkt der neuen Risiken darf nicht vernachlässigt werden. Neue Risiken können zum Beispiel aus Projektänderungen oder aus Änderungen der Umwelt entstehen. Auch ein Blick auf zurzeit laufende oder zukünftige Aktivitäten könnten Hinweise auf neue Risiken liefern. Jegliche Änderungen von Risiken benötigen eine neue qualitative und/oder quantitative Risikoanalyse und eventuell eine neue Priorisierung der Risiken. Wichtig ist, dass Risikoreviews kein Ersatz sind für den Tagesordnungspunkt „Risiken“ bei den wöchentlichen Projektstatussitzungen. Planen Sie Risikoreviews fix im Projektplan ein, damit sie "nicht vergessen" gehen.
Risikomanagementaudits
Risikomanagementaudits sind eine Qualitätssicherungsmassnahme des Project Management Offices (PMO) oder der internen Revision. Bei Risikomanagementaudits überprüfen Auditoren, ob der definierte Risikomanagementprozess für Projekte mit den geforderten Aktivitäten eingehalten wird. Wichtige Punkte dabei sind:
- Kontinuität der Risikomanagement-Aktivitäten
- Verwendete Methoden zur Risikoidentifikation
- Qualität der gefunden Risiken: Wurden z.B. statt Risiken nur Tatsachen oder aktuelle Probleme identifiziert?
- Welche Parteien wurden in die Risikoidentifikation involviert?
- Qualität der Auswertung und Dokumentation der Risiken
- Kommunikation der Risiken
- Wirksamkeit der Massnahmenüberwachung und -umsetzung
