Das Thema Risikomanagement ist in Zeiten der Corona Krise besonders aktuell und relevant. Ich muss allerdings gestehen, dass ich dazu ein sehr ambivalentes Verhältnis habe.
Einerseits halte ich dieses Thema für sehr wichtig, habe mich auch schon mehrmals in diesem Blog mit diesem Thema beschäftigt. Im folgenden Text gibt es dazu Links an der entsprechenden Stelle. Andererseits halte ich das, was ich in Projekten, jedenfalls in meinem Erfahrungsbereich, unter dem Titel Risikomanagement erlebt habe, für verzichtbar und in weiten Teilen für eine Zeitverschwendung.
Risikomanagement – Die Standards
Das Risikomanagement beinhaltet lt. ISO21500 folgende Prozesse:
- Ermitteln der Risiken
- Risikobewertung
- Risikobehandlung
- Risikocontrolling.
PMI definiert Risikomanagement im PMBOK 
1) Risk Management Planning: Es wird festgelegt, wie das Risikomanagement im konkreten Projekt organisiert wird.
2) Risk Identification: Beim Projektstart und dann als regelmäßig wiederholter Prozess im weiteren Verlauf des Projektes werden Risiken identifiziert. Wie oft und wer daran beteiligt ist, muss im Planungsprozess definiert werden.
3) Qualitative Risk Analysis: Die identifizierten Risiken werden hinsichtlich ihrer Eintrittswahrscheinlichkeit (Probability) und ihrer Auswirkung (Impact) bewertet. So können sie Risikoklassen zugeordnet werden, die Entwicklung der einzelnen Risiken kann im Längsschnitt verfolgt werden.
4) Quantitative Risk Analysis: Eine quantitative Risikoanalyse wird in der Regel nur bei hoch priorisierten Risiken durchgeführt. Es werden idealerweise monetäre Größenordnungen ermittelt. Die Logik ist ähnlich jener, mit der ein Versicherungsunternehmen die Versicherbarkeit eines Risikos und die dafür erforderliche Prämie ermittelt.
5) Risk Response Planning: Geeignete Gegenmaßnahmen werden definiert für den Fall, dass ein Risiko schlagend wird, es also zum Problem wird. Es kann auch entschieden werden, dass ein Risiko in Kauf genommen werden muss, ohne dass man Gegenmaßnahmen mit hinreichender Wirksamkeit definieren kann.
6) Risk Monitoring and Control: Das Risikomanagement ist ein kontinuierlicher Prozess über den gesamten Projektlebenszyklus hinweg. Potenzielle oder eingetretene Risiken sollten laufend idenfiziert und proaktiv auf Grundlage des „Risk Response Planning“ gelöst werden.
Soweit so gut, das sind logische, wenn auch sehr generische Vorgänge. Man kann wenig dagegen sagen, es hat aber auch keinen hohen Erkenntniswert. Ich habe in meiner Praxis regelmäßig erlebt, dass als Ergebnis der Risikoidentifikation eine lange Liste von sehr konkreten, allerdings relativ trivialen Risiken vorlag. Die dazu erarbeiteten Kategorisierungen, Quantifizierungen und Maßnahmenpläne waren von geringer Relevanz für die weitere Projektarbeit. Ich habe auch nie erlebt, dass bei Auftreten von Problemen jemand diese Dokumente zur Hand genommen und daraus die zu setzenden Maßnahmen abgeleitet hätte.
Risikomanagement – die Lehren aus Corona
Was lernen wir aus dem bisherigen Verlauf der Corona Krise für das Risikomanagement? Wenn das Problem groß genug ist, dann ändern sich die Logiken, in denen agiert wird. Der Wiener Stadtrat für Gesundheit Peter Hacker im Interview mit dem Falter sagt das ganz klar: „Es gibt keine Bedienungsanleitung, wie man durch die Krise kommt, sehr wohl aber eine Organisationsfestlegung. In der Krise geht die Organisation weg von der Matrixstruktur hin zu einer in letzter Konsequenz militärischen Ordnung.“
Wir erleben auch, wie die Maastricht-Kriterien ausgesetzt werden. Aus der Budgetdisziplin der deutschen und österreichischen Bundesregierung wird ein: „Koste es, was es wolle“ (oder auch: „Whatever it takes“). Niemand hätte das vorweg in einem „Risk Response Planning“ von den Verantwortlichen schriftlich zugesagt bekommen. Das gilt auch für alle möglichen Maßnahmen, die jetzt gesetzt wurden und noch gesetzt werden. All das zeigt deutlich, wo die Grenzen der Vorausplanung liegen. Das gilt nicht nur in der Politik, sondern auch im Projektmanagement.
Augen zu und durch?
Wir sollten uns bewusst sein, dass die Risiko-Identifikation nur einen beschränkten Ausschnitt der tatsächlich möglichen Herausforderungen abbildet. Das ist kein Zufall, sondern eine Gesetzmäßigkeit. Ein Teil davon ist Verdrängung, als Bürger der Stadt Sigmund Freuds kenne ich mich damit aus.
Tom DeMarco und Timothy Lister haben das in ihrem höchst lesenswerten Buch zum Risikomanagement als allgemeines Phänomen beschrieben: „Leute, die sich auf den Blödsinn einlassen, Risiken zu ignorieren, gehen wählerisch vor. Typischerweise werden all die kleineren Risiken (diejenigen, die sich hoffentlich durch geschicktes Management abfangen lassen) peinlich genau aufgelistet, analysiert und überwacht. Nur die wirklich bösen Risiken werden ignoriert“. Mehr dazu hier.
Es ist allerdings nicht immer und nicht nur ein vermeidbarer Fehler. Die wirklich essentiellen Risiken zeichnen sich ja gerade dadurch aus, dass sie schwer vorhersehbar sind. Wer hätte sich noch vor einem Monat vorstellen können, was in der Welt und insbesondere in Europa passiert und was es an Maßnahmen gibt, um die Ausbreitung des Corona Virus zu stoppen.
Das richtige Verhältnis von Planung und Improvisation finden
Vor Jahren hat mich Jörg Finsinger, Professor für Finanzwissenschaften in Wien, mit seiner Warnung aufgerüttelt: „Je genauer du geplant hast, umso wuchtiger trifft dich der Zufall“.
Anders formuliert: Eine sehr genaue Planung führt oft dazu, dass man einen Tunnelblick bekommt. Man glaubt, alles vorhergesehen zu haben. In einer Analyse industrieller Großprojekte hat ein norwegisches Autorenteam kritisch angemerkt, dass klassisches Projektmanagement sich zu sehr auf das Einhalten eines Planes reduziert: „Depending on the nature of the strategy, project control may be reduced to the classical perspective which ensures the work scope is either carried out on time and within budget or is expanded to include requirements related to operability and business value“. Mehr dazu und die Quelle in einem anderen Blogbeitrag hier.
Es ist bemerkenswert, dass die Standish Group, deren Chaos-Report seit 1994 jährlich die Erfolgs- bzw. Misserfolgsquote von IT-Projekten darstellt, ihre Kriterien des Scheiterns 2015 angepasst hat. Die Kriterien OnBudget, OnTime und OnTarget wurden ersetzt durch Valuable, OnGoal und Satifsfactory. Damit sollte vermieden werden, dass Projekte negativ bewertet werden, deren Zielsetzung sich im Verlauf des Projektes weiter entwickelt hat. Das ist bei allen Projekten regelmäßig der Fall. Auch bei kleineren Projekten.
Risikomanagement erfordert Investition in die Leistungsfähigkeit des Teams
Was ist meiner Erfahrung und Meinung nach der entscheidende Ansatz für ein wirksames Risikomanagement? Es geht darum, die Leistungsfähigkeit des Projektes, des Projektteams, der Projektorganisation beim Umgang mit Risiken und Problemen zu erhöhen. Je mehr Reserven es in einem Projekt gibt, umso mehr Risiken kann man abfangen, umso mehr Probleme kann man lösen.
Risikoregister sind etwas Statisches, sie schreiben das Wissen über die Risiken zu jeweils einem Zeitpunkt. Es geht aber darum, die Prozesse und Ressourcen eines Projektes so zu optimieren, das Risiken möglichst nicht schlagend werden. Wenn doch, dann muss die Fähigkeit gegeben sein, die Probleme zu lösen. Entscheidend dafür sind die Soft-Facts, insgesamt also die Projektkultur. Wenn schon in der laufenden Arbeit eines Projektes Konflikte auf der Tagesordnung stehen, wenn eine Kultur der Schuldzuweisung, des Abwälzens von Verantwortung etc. etabliert ist, wird dieses Projekt bei tatsächlich auftretenden Problemen früh einknicken. Umgekehrt: Je positiver die Projektkultur ausgeprägt ist im Sinne einer Hochleistungsorganisation, umso mehr wird dieses Projekt schaffen und überstehen.
Erfolgsfaktor Stakeholdermanagement
Andererseits muss uns klar sein: Es gibt für jedes auch noch so leistungsfähige Projekt eine Grenze der Belastbarkeit. Man kann diese nicht unendlich erhöhen. Wenn diese Grenze überschritten wird, kommt es darauf an, wie gut das Stakeholder Management funktioniert hat. Sind die entscheidenden Stakeholder bereit und in der Lage, auf unvorhergesehene Situationen rasch und kompetent zu reagieren?
Risikomanagement muss ein dynamischer Prozess sein. Es kann nicht eine Bestandsaufnahme in Form von Listen sein. Es muss dort ansetzen, wo tatsächlich im Projekt gearbeitet und entschieden wird.
Risikomanagement in agilen Projekten
Interessant ist, dass im Reference Guide von SAFe das Stichwort Risikomanagement zwar vorkommt, dort jedoch am ausführlichsten mit dem Thema „Agile Kontrakte“ verbunden ist. Dort wird eine gemeinsame Übernahme der Risikobewältigung als Vertragsgrundlage vorgeschlagen. Vor dem Versuch, Risiken auf einen der Projektbeteiligten abzuwälzen, wird gewarnt. Das kann man als generelle Empfehlung sehen.
In der Projektarbeit ist im Modell von SAFe die Einschätzung von Risiken ein Teil des PI-Plannings. Dort müssen von jedem Teilnehmer in einer bestimmten Phase des Workshops die Risiken genannt werden, die das Erreichen der Ziele gefährden könnten. Allerdings nennen hier jene die Risiken, die auch für deren Bewältigung verantwortlich sein werden. Und es ist ein interaktiver Prozess, keine Auflistung. Das Ergebnis dieses Arbeitsschrittes ist eine eventuelle Anpassung der Planung, so dass am Ende alle der Meinung sind, man könne unter den gegebenen Umständen die definierten Ziele tatsächlich erreichen.
Mein Resümée
Insgesamt lernen wir also aus den aktuellen Erfahrungen einer weltweiten Krisensituation, dass es auf Faktoren wie Leistungsfähigkeit, Organisationskultur und Resilienz ankommt. Risikolisten und vorweg definierte Maßnahmen zur Bewältigung dieser Risiken helfen in der akuten Problemsituation wenig. Diese zu erstellen ist allerdings ein durchaus sinnvolles Element zum Aufbau einer krisenresistenten Projektkultur. Auch hier gilt: Der Weg ist das Ziel.
In einem aktuellen Podcast habe ich einige meiner Projekterfahrungen zum Thema Risikomanagement aufgearbeitet.