Gliederungsansatz operativer Risiken
Unter den Risiken im unternehmerischen Umfeld nehmen die IT-Risiken eine exponierte Stellung ein, da die Abhängigkeit von der elektronischen Datenverarbeitung immer weiter zunimmt. Viele Unternehmen, insbesondere im Bereich des E-Business, sind bereits heute vollständig von der Verfügbarkeit und Funktionsfähigkeit ihrer Datenverarbeitung abhängig. Nicht rechtzeitig erkannte und bewältigte Risiken können die erfolgreiche Entwicklung oder sogar den Bestand eines Unternehmens gefährden. Aktiengesellschaften sind bereits durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aufgefordert, ein Überwachungssystem einzurichten, um solche "den Fortbestand der Gesellschaft gefährdende Entwicklungen" frühzeitig zu erkennen (§ 91 Abs. 2 AktG).
Um IT-Risiken erfolgreich zu bewältigen, ist eine differenzierte Betrachtung der IT-Risiken erforderlich. Der hier gewählte Ansatz unterscheidet sechs Risikokategorien:
Jede Risikokategorie gliedert sich wiederum in einzelne Risikobereiche. So fallen in die Risikokategorie "Änderungen" neben dem "Projektmanagement" insbesondere auch das "Change Management" bei der Einführung neuer Technologien oder der Implementation neuer Prozesse. Ein effizientes Risikomanagement muss auf der Ebene der einzelnen Risikobereiche stattfinden, da nur dort die konkreten Risiken zu erfassen und bewerten sind.
Gliederungsansatz operativer Risiken
Risiko-Manager vernachlässigen oftmals sträflich den Risikobereich "Projektmanagement", obwohl die Abwicklung von Projektaufgaben stets mit einem erheblichen unternehmerischen Risiko verbunden ist. Projektfehlläufer, so genannte "Run-Away-Projekte" führen möglicherweise dazu, dass Unternehmen ihre Geschäftsstrategie nicht erfolgreich umsetzen können und in der Folge, ihre Geschäftsziele nicht oder nur teilweise erreichen.
Allein US-Unternehmen investieren jedes Jahr unvorstellbare 250 Milliarden Dollar in IT-Projekte. Der technologische Wandel und der zunehmende Wettbewerb erfordern, permanent Änderungen an den bestehenden IT- und Kommunikationssystemen vorzunehmen. Ein erfolgreiches Unternehmen muss daher in der Lage sein, Projekte professionell durchzuführen, um neue Produkte und Dienstleistungen zeitgerecht und in hoher Qualität einzuführen.
Die Bedeutung dieses Risikobereiches unterstreicht auch eine erstaunlich hohe Anzahl von Projekten, die misslingen oder erhebliche Zeit- und Budgetüberschreitungen aufweisen: Eine KPMG-Studie [1] zu diesem Thema ergab, dass 45 % der betrachteten IT-Projekte von 1450 öffentlichen und privaten Unternehmen scheiterten, da sie nicht den geplanten Nutzen erbringen konnten. Zusätzlich haben 87 % der untersuchten Projekte den Zeitrahmen um mehr als dreißig Prozent und 56 % in der gleichen Größenordnung das geplante Budget überschritten. Die Einführung eines professionellem Risikomangements hilft, solche Fehlentwicklungen in der Regel rechtzeitig zu erkennen und zu bewältigen.
Risikomanagement-Prozess
Um die Risiken eines Projektes frühzeitig zu erkennen und zu bekämpfen, sollte man schon bei Projekt-Initiierung ein Risikomanagement einrichten. Der Prozess des Risikomanagements auf Projektebene lässt sich dabei in die folgenden vier Phasen gliedern:
Herzstück eines effizienten Risikomanagements von IT-Projekten ist das systematische Sichtbarmachen der inhärenten Projektrisiken und das Beurteilen der vorhandenen Projektkontrollen. Inhärente sind solche Risiken, die in einem Prozess grundsätzlich existieren, also bevor Kontrollen eingerichtet werden. Diese inhärenten Risiken hängen unter anderem von der Art des Geschäftes, des Industriezweiges und der eingesetzten Technologie ab. Die systematische Identifikation der inhärenten Projektrisiken sollte auf einem Risikokatalog basieren, der die Erfahrungen aus vielen Projekten zusammenfasst.
Gliederung im Project Risk Review
Ein solcher Risikokatalog kann beispielsweise als Risiko-Checkliste (Project Risk Review) aufgebaut sein, die neben Risiken beim "Projektmanagement" die inhärenten Risiken in den kritischen Projektbereichen "Business Fokus", "Geschäftsprozesse", "Mitarbeiter", "Technologie" und "Daten" analysiert. Die Risikofaktoren lassen sich zum Beispiel im Projektbereich "Projektmanagement" anhand der folgenden Leitfragen analysieren:
Dabei sollte man jeden Fragebereich durch Unteraspekte und Beispiele weiter erläutern. Für jede Leitfrage ist am Ende das inhärente Risiko auf einer dreistufigen Skala (hoch, mittel, niedrig) zu bewerten. Um eine einheitliche Risikoeinschätzung zu gewährleisten, empfiehlt sich, für die einzelnen Risikoeinschätzungen jeweils Beispiele aufzuführen.
Zur Bewertung der Projektrisiken müssen die Kontrollen in den definierten kritischen Projektbereichen aufgenommen und deren Effektivität beurteilt werden. Kritische Projektbereiche mit hohem inhärenten Risiko bedürfen natürlich einer intensiveren Begutachtung der Kontrollen als Risikobereiche mit niedrigem inhärenten Risiko.
Auch die Erfassung und Beurteilung der Kontrollen sollte systematisch erfolgen, um am Ende zu einer qualifizierten Bewertung der vorhandenen Projektrisiken zu gelangen. Die Kontrollen beginnen beim Project Risk Review beispielsweise im Projektbereich "Geschäftsprozesse" mit den folgenden Leitfragen:
Die Kontrollfragen decken umfangreiche Kontrollaspekte ab und erfordern daher ebenfalls eine weitere Detaillierung durch Unteraspekte. Einige Kontrollen betreffen spätere Projektphasen und lassen sich erst dann abschließend bewerten. In früheren Projektphasen kann daher nur festgestellt werden, ob entsprechende Kontrollmaßnahmen im Projekt vorgesehen sind.
Für jede Kontrollfrage muss am Ende die Effektivität des Kontrollbereiches auf einer dreistufigen Skala (hoch, mittel, niedrig) bewertet werden. Um eine einheitliche Bewertung zu gewährleisten, sind für die einzelnen Kontrollbereiche wiederum jeweils Beispiele aufzuführen. Die Gegenüberstellung von bewerteten inhärenten Risiken und existierenden Kontrollen ermöglicht eine Ermittlung des vorhandenen Projektrisikos für jeden der sechs Projektbereiche.
Auf Basis der ermittelten Projektrisiken können in dieser Phase des Risikomanagement-Prozesses gezielt Maßnahmen zur Risikominimierung festgelegt werden. Dabei müssen die Risikokonsequenzen häufig mit den Projektverantwortlichen diskutiert und gegebenenfalls beziffert werden, um aus wirtschaftlicher Sicht vernünftige Maßnahmen festlegen zu können. Hilfreich bei der Priorisierung ist die Bildung eines Risiko-Faktors, der ein Produkt aus Risikoeinschätzungen für die Eintrittswahrscheinlichkeit und für die Auswirkung/Schadenshöhe darstellt (z. B. jeweils 1 = gering bis 5 = sehr hoch).
Bei der Festlegung der Maßnahmen sollte man sich an der Risikoreduktions-Treppe orientieren, die aus den folgenden abgestuften Maßnahmen-Typen besteht:
Bei der Risikobekämpfung hilft ein systematischer Maßnahmenplan. Dabei hat es sich bewährt, für die einzelne Risiken einen "Risiko-Eigentümer" (Risk Owner) festzulegen, der für die Umsetzung der jeweiligen Maßnahmen und damit für die Bewältigung des Risikos verantwortlich zeichnet.
Risikovermeidungstreppe
Eine einmalige Risikoaufnahme des Projektes stellt jedoch kein ausreichendes Risikomanagement dar. Vielmehr sollte man die Beurteilung der Risiken und Kontrollen in regelmäßigen Abständen aktualisieren und gegebenenfalls weitere Maßnahmen definieren und verwirklichen. Weiterhin ist es die Aufgabe des Risiko-Managers, die Projektbeteiligten in einem Risikobericht regelmäßig über der Status der akuten und potenziellen Projektrisiken zu informieren. Als einfaches, aber effizientes Tool zur Risikoverfolgung hat sich eine Datenbank erwiesen, die sowohl Risiko-Eigentümer als auch der Risiko-Manager benutzen. Darin dokumentieren die Beteiligten alle Risiken mit Risiko-Faktor und -Eigentümer sowie die festgelegten Maßnahmen und deren Status.
Die Erfahrung zeigt weiterin, dass das Risikomanagement nicht unter der alleinigen Kontrolle des Projektleiters stehen sollte. Vielmehr sollte ein unabhängiges Projektkontrollgremium nicht nur den Status des Projektes und die weitere Planung überwachen, sondern auch regelmäßig den Status der Projektrisiken einfordern.
Markus Gaulke ist Senior Manager im Bereich Information Risk Management der KPMG in Frankfurt.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 5/2000, Seite 66
