Samstag, 23. April 2011

Risiko in Projekten / Projektrisikomanagement

Wenn nach der ISO 31000:2009 gilt:

"Risiko ist die Wirkung von Ungewissheit auf Ziele."

Dann sind Risiken verbunden mit den Projektzielen.

Die klassischen drei Dimensionen der Projektziele sind:
  • Leistung
  • Termin
  • Kosten
Entsprechend gibt es:
  • Risiken, welche die Leistungen beeinflussen ( ... was?
  • Risiken, welche die Termine beeinflussen ( ... wann? )
  • Risiken, welche die Kosten beeinflussen ( ... wieviel? )
Diese drei Risikodimensionen sind in allen großen und kleinen Projekten zu managen. Sie sind nicht voneinander unabhängig. Sie sind - insbesondere bei großen Projekten - schwierig zu ermitteln. Über sie kann endlos diskutiert werden.
(sh. z.B. Großprojekte, wie Stuttgart 21. Scherzhafte Frage: "Hat Heiner Geißler jemals über Normen und Standards des Projektrisikomanagements gesprochen?" Ernsthafte Antwort: "Soviel zur Bedeutung von Normen zu Risikomanagement in Projekten!").

Ein Vorgehen nach Normen für Risikomanagement (z. B.: ISO 31000:2009) und für Risikomanagement in Projekten (z. B.: DIN IEC 62198:2002) ist hilfreich, oder kann hilfreich sein. Insbesondere wenn das Risikomanagement für Projekte in das unternehmensweite Risikomanagement integriert ist.

Ein Vorgehen nach Praktiken ( ... die keine Normen sind ... ) des Projektrisikomanagements ist hilfreich, oder kann hilfreich sein. Ich denke da an Praktiken des missionarischen US-amerikanischen PMI oder an Praktiken des betulichen deutschen GPM. Ich mache keines Aussage darüber, welche der Praktiken "besser" ist.

Donnerstag, 14. April 2011

IEC / ISO 31010:2009 - Risk Assessment Techniques

Die Norm beschreibt Techniken der Risikobeurteilung. Sie ist für mich unvollständig und durcheinander!

Diese Norm ist kein Werkzeuggebinde und kein Schweizermesser für Risikomanagement, sondern ein Wühltisch für Techniken, die man auch im Risikomanagement einsetzen kann (Ich sage bewusst nicht: "nutzen kann".). Weder die textliche Aufarbeitung noch die graphische Gestaltung sind aus einem Guss. Die Techniken sind in unterschiedlicher Tiefe beschrieben: Eine Anwendung der Technik in der Praxis ist mit der Darstellung zumeist nicht möglich. Die Techniken sind in verschiedener Weise bebildert: Eine Übertragung der Technik auf konkrete Fälle ist schwierig.
Zudem beschränkt sich diese Norm auf Techniken der Risikobeurteilung / Risk Assessment nach Kapitel 5.4 der Norm ISO 31000:2009. Wo sind die Techniken der Risikobewältigung / Risk Treatment nach Kapitel 5.5 der Norm ISO 31000:2009?

Es ist zuwenig, wenn FMEA (Abschnitt B.13) nur oberflächlich beschrieben wird.
Es ist zuwenig, wenn die klassische Risikomatrix (Abschnitt B.29) dürftig bebildert wird.
Es nett (was ist nicht alles nett :-), wenn die Einsatzbereiche von Monte Carlo (Abschnitt B.25) skizziert werden.
Es ist gefährlich, wenn nicht klar wird, ob mit Risk Indices (Abschnitt B.28) nun Kennzahlen gemeint sind oder nicht.
Bleibt der Trost, dass Brainstorming beschrieben ist (Abschnitt B.1) und man mit dieser Anleitung das Gehirn über diese Norm stürmen lassen kann.

Etwas Verständnis für die Unzulänglichkeiten dieser Norm habe ich durchaus: Es ist sehr schwer, generische Techniken für Risikomanagement zu beschreiben, wenn die aktuellen Risiken, die zu Schäden "materialisiert" sind, so verschieden sind, wie die folgenden Beispiele:
  • Verlust und Schaden aus spekulativem Finanzgeschäft
  • Verlust und Schaden infolge von Fehlern und mangelnder Qualität
  • Verlust und Schaden aus Ereignissen infolge von Naturgefahren
  • Verlust und Schaden infolge von Vorspiegelung falscher Tatsachen
u.v.a.m.

Montag, 11. April 2011

Risikomatrix - Ikone des Risikomanagements / Produkt aus dem Risikomanagementprozess

Sie hat es auf die Titelseiten von Monographien gebracht. Sie ziert Logos von spezialisierten Beratungsgesellschaften. Sie ist eine Berichtsform aus praktisch jeder Risikomanagementsoftware - was auch immer Risikomanagementsoftware ist. Sie wird von internationalen Normen (IEC / ISO 31010:2009) als Werkzeug und Methode - kritiklos - empfohlen. Die zweidimensionale Risikomatrix. Sie ist Programm und (Zwischen)- "Produkt" eines Risikomanagements zugleich. Sie ist das Ergebnis des Prozesschritts "Risiken bewerten" des Risikomanagementprozesses.

Ihr liegt das Verständnis zugrunde, Risiko kann in zwei Komponenten (Wirkungsausmass und Eintrittswahrscheinlichkeit oder Häufigkeit eines Ereignisses) zerlegt werden. Ihr liegt das Verständnis zugrunde ihre beiden Komponenten miteinander kombiniert - der Einfachheit halber miteinander multipliziert - ergeben wieder Risiko. (Ob das uneingeschränkt richtig ist oder ob es immer sinnvoll - was nichts mit richtig zu tun hat -  ist, klammere ich hier bewusst aus.)

Sie gibt es halb-quantitativ mit Bewertungen durch Worte entlang der beiden Koordinidatenachsen. Sie gibt es voll-quantitativ mit Bewertungen durch Zahlen in bester Kennzahlenmanier entlang der beiden Koordinatenachsen. Und natürlich können diese Achsen in jeder Manier von linear bis logarithmisch skaliert werden.

Sie schlägt mit ihrer Verwandtschaft zur dreidimensionalen FMEA-Matrix eine Brücke zwischen Risiko- und Qualitätsmanagement, die sehr hilfreich für das Verständnis ist.

Sie kann spielen, und tut das auch sogar in einigen der großen DAX-Unternehmen, die zentrale Rolle in der Kommunikation und in der Dokumentation von Risiken in der Praxis des Betriebs von Risikomanagement.

Ich halte mal positiv fest: An der Risikomatrix lässt sich wirklich gut über Risiko reden. Das ist nie falsch.

Dienstag, 5. April 2011

ISO 31000 - Umsetzung durch Integration; Nachweis der Umsetzung durch Zertifizierung - Zertifikat / Testierung - Testat


ISBN  3-8169-3062-4



























Ich hatte einige Anfragen zu den Themen Integration und Zertifizierung von Risikomanagement nach der ISO 31000:2009. Als eine erste Referenz kann ich auf mein aktuelles Buch verweisen, welches neben diese Themen - ergänzend zu einen Durchgang durch alle fünf Normkapitel - anspricht.

Daneben verweise ich auf einige der vorausgegangenen Posts, in denen schon "sehr viel" drin steht.

Freitag, 1. April 2011

Gewissheit über die Ungewissheit oder Gewissheit ?

Risiko ist ein Merkmal von Systemen, welches die Ungewissheit ihres Zustands in der Zukunft beschreibt. Risikomanagement sind Aktivitäten, die Risiken verändern. Der minimale generische Risikomanagementprozess hat drei Schritte:

1. Risiko definieren und identifizieren.
2. Risiko beurteilen.
3. Risiko steuern.

Der Schritt 1 identifiziert und schafft Zusammenhänge.
Der Schritt 2 schafft (mehr oder weniger) Gewissheit über die Ungewissheit.
Der Schritt 3 schafft (bei Erfolg) (mehr oder weniger) Gewissheit.

Der Risikomanagementprozess nach der Norm ISO 31000:2009 macht im Kern nichts anderes als diese drei Schritte und bringt eine Peripherie von Kommunikation, Dokumentation, Überwachung, Überprüfung, usw. mit.