2. Agenda
I Einleitung
I Grundlagen
• Begriffe des Risikomanagements
• Risikomanagementprozess
Identifikation
Analyse
Steuerung / Maßnahmen
Kontrolle
I Erfolgreiches Risikomanagement
I Fragen und Antworten
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 2
7. Was ist ein Risiko?
Ein Risiko ist ein Ereignis, von dem
nicht sicher bekannt ist, ob es
eintreten und/oder in welcher
genauen Höhe es einen Schaden
verursachen wird.
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 7
8. Risikomanagement
I Risikomanagement
• Ist die bewusste und proaktive Steuerung und
Absicherung von Projektrisiken
• bedeutet
zu wissen, was schief laufen kann
zu wissen was es für das Projekt bedeutet wenn
etwas schief läuft
einen Plan zu haben wenn etwas Schief läuft
Risiken unter Kontrolle zu halten
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 8
9. Risikomanagementprozess
Kontrolle Identifikation
Kontroll Identifik Kontroll Identifik Kontroll Identifik Kontroll Identifik
e ation e ation e ation e ation
Steueru Analys Steueru Analys Steueru Analys Steueru Analys
ng e ng e ng e ng e
Initialisierung Steuerung
Planung Analyse
Durchführung Abschluss
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 9
10. Risikokategorien
I Technische
I Betriebswirtschaftliche
I Personelle
I Projektumfeld
I Organisatorische
I Projektplanung
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 10
12. Risiken identifizieren
I Ziel: Liste aller möglichen Projektrisiken
I Erfahrungen aus vorherigen Projekten
I Interviews
I Fragebogen
I Checklisten
I Kreativitätstechniken
• Brainstorming
• Mindmapping
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 12
16. Risikobewertung
Skala der Verzögerun Kostenüberl Steigerung Einfluss auf
Risikomatri g der auf im der die
x Projektlaufz Projektbudg Folgekosten Zufriedenhe
eit in et in Euro bei Einsatz it der
Prozent von neuer Benutzer
Software
1 – sehr Bis zu 5% Bis zu 5 % 1–2% Sehr Gering
niedrig
2 - niedrig 6 – 10 % 6 – 10 % 3–4% Eher Gering
3 - mittel 11 – 30 % 11 – 30 % 5–6% Mittel
4 - hoch 31 – 80 % 31 – 80 % 7–8% Hoch
5 – sehr > 80 % > 80 % >8% Sehr Hoch
hoch
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 16
17. Risikobewertung am Beispiel „Anforderungsänderung“
I Warum besteht das Risiko?
• Veränderte Zielsetzung
• Mangelndes Anforderungsmanagement
I Wie wahrscheinlich ist das Risiko?
• Eintrittswahrscheinlichkeit W (1-5) : sehr hoch (5)
• Schadensauswirkung A (1-5): hoch (4)
I Risikofaktor R
• W (4) * S (4) = 20
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 17
18. Risiken identifizieren
Aufteilung in drei Gefahrenbereiche
• Akzeptanzbereich
• Kritischer Bereich
• Gefahrenbereich
Fokussierung auf die wichtigen Risiken
Quelle: http://www.itseccity.de
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 18
19. Weitere Projektrisiken
I Anforderungsänderung W (5) S (4) R (20)
I Einsatz neuer Technologien W (4) S (5) R (20)
I Starre Architektur W (3) S (5) R (15)
I Implementierung ohne Entwurf W (4) S (4) R (16)
I Unmotivierte Mitarbeiter W (3) S (5) R (15)
I Mitarbeiterfluktuation W (2) S (4) R (8)
I Unzureichende Reviews W (3) S (4) R (12)
I Machtkämpfe W (1) S (2) R (2)
I Programmierrichtlinien W (3) S (2) R (6)
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 19
20. Risikomatrix - ausgefüllt
5,0
Anforderungsänderung
Einsatz neuer
4,0 Technologien
Starre Architektur
Implementierung ohne
Schadenshöhe
3,0
Entwurf
Unmotivierte Mitarbeiter
2,0 Mitarbeiterfluktuation
Unzureichende Review
1,0
Machtkämpfe
Programmierrichtlinien
0,0
0 1 2 3 4 5
Risikowahrscheinlichkeit
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 20
21. Maßnahmen
I Wie gehen wir mit den Risiken um?
• Akzeptieren
• Vermeiden
• Minimieren
• Verlagerung
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 21
22. Risikobeschreibung „Anforderungsänderung“
• Aus vorherigen Projekten ist bekannt dass es zur
Änderungen von Anforderungen zur Projektlaufzeit
kommen kann die oft auf eine geänderte Zielsetzung
zurückzuführen ist und besonders stark den
Projekterfolg bedrohen.
• Das Risiko beeinträchtigt sowohl Zeit- als auch
Budgetrahmen in vielfacher Weise.
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 22
23. Indikatoren „Anforderungsänderung“
I Keine klare Zieldefinition – SMART
• Spezifisch, Messbar, Akzeptiert, Realisierbar,
Terminierbar
I Der Benutzer wird nicht in die Aufnahme der funktionalen
Anforderungen eingebunden
I Während der Laufzeit kommen neue Anspruchsgruppen
hinzu die neue Anforderungen stellen
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 23
24. Maßnahmen „Anforderungsänderung“
I Changemanagement
• Wer, Wie, Was
I Anforderungsmanagement
• Priorisierung des Nutzens
I Stakeholdermanagement
• Pflege der Beziehungen zu den Anspruchsgruppen
I Inkrementelle und iteratives Vorgehensmodell
• SCRUM, XP
I Vertragsgestaltung
I Projektplan
• Puffer für Resourcen einplanen
I Kommunikation
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 24
26. Risikosteuerung
I Wer soll die Maßnahmen umsetzen und überwachen?
• Das Projektteam, der Teamleiter, Projektleiter, Scrum
Master, Product Owner ...
I Fragen
• Treten die Indikatoren ein?
• Werden die Maßnahmen umgesetzt?
• Verändert sich das Risiko?
• Löst das Risiko ein weiteres Risiko aus?
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 26
27. I Maßnahmentabelle
Risiko Wahrsch. Schaden Maßnahmen Verantwortlicher
Anforderungen Sehr Hoch Agile, Change Mngmt. PL, Team
ändern sich hoch
Einsatz neuer Hoch Sehr Schulung, Management,
Technologien Hoch Expertenteam Team
Mitarbeitermotivation Gering Mittel Bier, Pizza, Gehalt+ Management
Mitarbeiterfluktuation Gering Hoch Mitarbeitermotivation Management
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 27
29. Risikocontrolling
I Ziel: Kontrolle der Umsetzung der Risikoplanung
I Frühwarnsystem einrichten:
• Feststellung aufgrund welcher Anzeichen, Symptome
und Ereignisse Gefahren und Risiken frühzeitig
erkannt werden
• Beachtung der schwachen Signale: Drohunge,
Flurfunk, Krankheitsquote
I Reviews
I Feedback
I Retrospektive
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 29
30. Risikomangement - Zusammenfassung
Kontrolle Identifikation
Steuerung Analyse
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 30
31. Risikokommunikation und Kultur
I Risikobewusstsein und –Verantwortung verteilen
I Fördern einer offener Risikokommunikation
I Lernen von Anderen
I Risikomanagementprozess anpassen – Tailoring
I Evolutionsprinzip: Lerne aus Fehler
I Risikomanagement handelt von Menschen
I Risikomanagement è Kommunikation à Erfolg
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 31
32. Risikokommunikation und Kultur
I Risikobewusstsein und –Verantwortung verteilen
I Fördern einer offener Risikokommunikation
I Lernen von Anderen
I Risikomanagementprozess anpassen – Tailoring
I Evolutionsprinzip: Lerne aus Fehler
I Risikomanagement handelt von Menschen
I Risikomanagement è Kommunikation à Erfolg
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 32
33. 5 Stufen der Unwissenheit
Quelle: Philip G. Armour
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 33
34. Risikokommunikation und Kultur
I Risikobewusstsein und –Verantwortung verteilen
I Fördern einer offener Risikokommunikation
I Lernen von Anderen
I Risikomanagementprozess anpassen – Tailoring
I Evolutionsprinzip: Lerne aus Fehler
I Risikomanagement handelt von Menschen
I Risikomanagement è Kommunikation à Erfolg
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 34
35. Risikokommunikation und Kultur
I Risikobewusstsein und –Verantwortung verteilen
I Fördern einer offener Risikokommunikation
I Lernen von Anderen
I Risikomanagementprozess anpassen – Tailoring
I Evolutionsprinzip: Lerne aus Fehler
I Risikomanagement handelt von Menschen
I Risikomanagement è Kommunikation à Erfolg
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 35
36. Risikokommunikation und Kultur
I Risikobewusstsein und –Verantwortung verteilen
I Fördern einer offener Risikokommunikation
I Lernen von Anderen
I Risikomanagementprozess anpassen – Tailoring
I Evolutionsprinzip: Lerne aus Fehler
I Risikomanagement handelt von Menschen
I Risikomanagement è Kommunikation à Erfolg
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 36
37. Risikokommunikation und Kultur
I Risikobewusstsein und –Verantwortung verteilen
I Fördern einer offener Risikokommunikation
I Lernen von Anderen
I Risikomanagementprozess anpassen – Tailoring
I Evolutionsprinzip: Lerne aus Fehler
I Risikomanagement handelt von Menschen
I Risikomanagement è Kommunikation à Erfolg
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 37
38. Risikokommunikation und Kultur
I Risikobewusstsein und –Verantwortung verteilen
I Fördern einer offener Risikokommunikation
I Lernen von Anderen
I Risikomanagementprozess anpassen – Tailoring
I Evolutionsprinzip: Lerne aus Fehler
I Risikomanagement handelt von Menschen
I Risikomanagement è Kommunikation à Erfolg
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 38
39. Risikokommunikation und Kultur
I Risikobewusstsein und –Verantwortung verteilen
I Fördern einer offener Risikokommunikation
I Lernen von Anderen
I Risikomanagementprozess anpassen – Tailoring
I Evolutionsprinzip: Lerne aus Fehler
I Risikomanagement handelt von Menschen
I Risikomanagement è Kommunikation à Erfolg
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 39
40. Interessen-Analyse
Stakeholdermanagement - Interessenanalyse
- Ziel: Potentielle Widerstände geistig vorwegnehmen
+ Liste der vom Projekt Betroffenen erstellen
+ Analyse: Mit welchen Widerständen ist von wem zu rechnen?
+ Operative Maßnahmen festlegen
Projekt- erwartete erwartete präventive
Betroffene Unterstützung Widerstände Maßnahmen
Anwender- Interesse an
- -
gruppe 1 neuer Lösung
Anwender- kein Interesse Projektmarketing
gruppe 2 - an Umstellung Info-Veranstaltung
Herrn NN ins Projekt auf-
Fachabteilung Aufgaben von Herrn
1 - NN werden tangiert
nehmen oder andere
Einbeziehungsmöglichkeit
Einen Vertreter der Abteilung
Fachabteilung Angst vor hoher
2 - zeitlicher Belastung
in den Lenkungsaus-
schuss aufnehmen
... ... ... ...
WS 2010 Projektmanagement - Prof. Dr. Thomas Städter 92
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 40
41. RASCI Chart
I Responsible – Wer ist verantwortlich
I Approved – Wer hat es abgesegnet
I Supports – Wer setzt es um
I Consults – Wer hilft bei der Umsetzung „Experte“
I Informed – Wer muss benachrichtigt werden
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 41
43. Vielen Dank für die Aufmerksamkeit
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 43
44. Diskussion
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 44
45. Quellen und Literaturangaben
I W./Ruf, T./Fittkau (2007):
Ganzheitliches IT-Projektmanagement
Oldenbourg 2007, ISBN 978-3-486-58567-4
I F./Ahrendts, A./Marton (2008):
IT-Risikomanagement leben!
Springer Verlag 2008, ISBN 978-3-540-30024-3
I P. Mangold
IT-Projektmanagment kompakt
Spektrum Verlag 2009, ISBN 978-3-8274-1937-8
IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 45