Methoden der projektorientierten Risikoanalyse

4.1.1. RES

Zuerst wird ein sogenannter

RES (risk estimate of the situation)

 erstellt. Die Bezeichnung ist ein wenig verwirrend, da die zweite Phase der Risikoanalyse, die Risikoberechnung, als risk estimation bezeichnet wird. Das Ziel dieses Schrittes ist es, die folgenden vier Projektelemente eindeutig zu identifizieren:

 Projektziele

 Strategie

 Taktiken

 Mittel, um die Projektziele zu erreichen

Es kann natürlich nicht sichergestellt werden, dass die Projektziele messbar und kontrollierbar sind (zumal die Risikoanalyse dann hinfällig würde). Es sollte jedoch sichergestellt werden, dass wenigstens zwei alternative Strategien und/oder Taktiken zum Erreichen der Projektziele existieren. Identifiziert werden müssen außerdem die Beziehungen, in denen die Mittel zu den Projektzielen stehen. Alle diese Elemente sollten im Projektplan klar formuliert werden. Die

Projektziele

 sind die sogenannten Erfolgskriterien des Projekts. Solche Erfolgskriterien können z.B. sein:

 Profit maximieren

 Kosten minimieren

 Verlustrisiko minimieren

 Umsätze maximieren

 Schwankungen minimieren

 vorteilhaftes Image erreichen

 Qualität maximieren

 Wachstumsrate maximieren

 Firmenansehen maximieren

Projektziele lassen sich am besten identifizieren, indem man fragt: "Woran erkenne ich, dass ich fertig bin?" Die Projektziele sollten in irgendeiner Form nach Prioritäten sortiert werden. Die Messbarkeit der Projektziele ist nicht nur notwendig für die Festlegung von Strategie und Taktiken, sondern auch zur Überwachung des Projekts und damit zur rechtzeitigen Erkennung von auftretenden Schwierigkeiten. Die besten Projektziele sind "binärer" Natur – entweder sie werden erreicht oder nicht.

Die

Strategie

 ist eine Sammlung grober Richtlinien, unter denen die Projektziele erreicht werden sollen. Charette nennt als Beispiel den Golfsport. Die Strategie wäre es beispielsweise, mit möglichst wenigen Schlägen den Golfplatz zu durchlaufen. Strategien bestehen gewöhnlich aus vier Komponenten:

 der technischen Komponente

 der operationalen Komponente

 der logistischen Komponente

 der sozialen Komponente

Alle diese Komponenten müssen berücksichtigt werden bei der Entwicklung einer Strategie. Nicht jede Strategie ist die beste zum Erreichen jedes Ziels, aber eine Strategie sollte möglichst einfach gehalten werden. Eine Strategie ändert sich nicht, solange sich die Projektziele nicht ändern, ist also nicht zeitabhängig.

Die

Taktiken

 sind die operationalen Elemente einer Strategie. Taktiken legen fest, wie unter bestimmten Situationen die Projektziele erreicht werden können. Beim Golf sind also beispielsweise die Taktiken, in welcher Situation welcher Schläger und welcher Schlag benutzt werden. Taktiken ändern sich nach der Situation, sind also zeitabhängig. Die Taktiken hängen natürlich von den zur Verfügung stehenden

Mitteln

 ab, deren Beschränkungen bekannt sein müssen, um eine Taktik zu implementieren.

4.1.2. Gewinnung von Informationen über die relevanten Risiken

Nun wird versucht, Informationen über diejenigen Risiken zu erhalten, die von Bedeutung für das Projekt sind. Mögliche Informationsquellen können beispielsweise sein (vgl. Charette ):

 überlieferte Kenntnisse, Weisheiten

 Analogien zu bekannten Fällen

 einheitliche gemeinsame Einschätzungen

 Ergebnisse von Experimenten und Tests

 Überprüfung unerwarteter Erscheinungen

4.1.3. Kategorien der Risiken

Anhand der Ergebnisse aus den ersten Schritten wird nun versucht, die Risiken nach verschiedenen Kriterien zu kategorisieren, z.B. nach Art des Risikos:

 Risiken, die von der Technik abhängen

 Risiken, die vom Zeitplan abhängen

 Risiken, die von Kosten abhängig sind

 Risiken, die vom Einsatz bzw. einer Taktik abhängig sind

 Risiken, die von Unterstützung abhängig sind

Eher zweifelhaft ist dagegen die häufig vorkommende Einteilung in bekannte, vorhersehbare, unidentifizierbare, unbekannte oder unbeobachtbare Risiken, da diese Bezeichnungen nicht eindeutig sind.

Hier kommen die in der Praxis häufig angewandten Risikochecklisten zum Einsatz, die auf empirischer Basis entstehen, d.h. auf der Grundlage einer systematischen Analyse vergleichbarer, abgeschlossener Vorhaben (nach Franke in ). Risikochecklisten ermöglichen eine Strukturierung des Problems und erleichtern das Auffinden von Risiken, die mit detaillierteren Aspekten des Projekts verbunden sind. Wenngleich methodisch bislang unbefriedigend, findet die Entwicklung und Anwendung von Risikochecklisten in der Praxis zunehmende Verbreitung. Die folgende Abbildung zeigt an einem vereinfachten Beispiel die Struktur einer Risikocheckliste nach Fürnrohr und Franke (in ):

Ein weiteres geeignetes Hilfsmittel sind die sogenannten

Stakeholderlisten

. Als

Stakeholder

 bezeichnet man Personen, Firmen, Gruppierungen und öffentliche Institutionen, die in irgendeiner Weise direkt oder indirekt einen Einfluss auf die Durchführung des geplanten Projekts haben könnten. Wideman unterscheidet folgende Gruppen von Stakeholdern:

 solche, die in direkter Beziehung zum Projekt stehen, wie Lieferanten, Auftraggeber bzw. Konsument und Projektmanager

 solche, die einen Einfluss haben auf die physikalischen, infrastrukturellen, technologischen, kommerziellen/finanziellen/sozioökonomischen oder politisch/rechtlichen Bedingungen

 solche, die in einer hierarchisch übergeordneten Beziehung zum Projekt stehen, wie staatliche Organe auf lokaler, regionaler und nationaler Ebene

 solche Personen, Gruppen oder Vereinigungen, die ein berechtigtes Interesse haben, wobei mitunter der Bezug zum Projekt fehlt, es aber als Gelegenheit erachten, um eigene Ziele zu verfolgen

Stakeholder lassen sich beispielsweise in folgende Kategorien unterteilen:

 solche, die kontrollierbar sind

 solche, die beeinflussbar sind

 solche, für die man Verständnis aufbringen muss

Unter Umständen stößt man dabei auch auf Stakeholder, die das Projekt zum Scheitern bringen können, ohne dass man etwas dagegen unternehmen kann. Diese Gruppe kann nur identifiziert werden, aber es kann im Rahmen des Risikomanagements keine geeignete Maßnahme getroffen werden, um diese Risiken auszuschalten.

Um ein Beispiel zu bringen, welche Gruppen im Extremfall als Stakeholder zu berücksichtigen sind, kann es beispielsweise bei einem geplanten Staudamm dazu kommen, dass eine gefährdete Tier- oder Pflanzenart, die durch den Bau des Staudamms bedroht würde, zum Stakeholder wird und unter Umständen das Projekt scheitern lassen kann, auch wenn diese Gruppe ihre Rechte nicht selbst vertreten kann.

Nach Fürnrohr verschafft "das systematische Erfassen von Stakeholdern und deren Beziehungen zum geplanten Projekt dem Management zusätzliche Transparenz über potentielle Risiken. Dieses gilt im Besonderen für Vorhaben mit Auswirkungen auf den sensiblen Bereich Umweltschutz."

Stakeholderlisten sind ein wesentlicher Bestandteil der Methode SIAM, die im dritten Teil der vorliegenden Arbeit vorgestellt wird. Siehe hierzu auch Neumann oder Abonyi .

Häufig werden Risiken auch nach ihren Ursachen klassifiziert, z.B.:

 Informationsmangel

 Mangel an Kontrolle

 Zeitmangel

Die Identifizierung und Klassifikation von Risiken ist die Voraussetzung für die Behandlung verschiedener Risikokategorien im Rahmen des Risikomanagements. Nach Franke (in ) können so unter anderem folgende Maßnahmen getroffen werden:

 Bestimmte Risiken können durch geeignete Projektverträge ausgeschlossen werden. Um die Projektabwicklung beeinflussende Risiken auszuschließen, bietet sich als einziges Instrument eine vertragliche Lösung an.

 Erfahrungsgemäß lassen sich bestimmte Projektrisiken im Vertrag ausschließen bzw. auf Dritte abwälzen.

 Einige Risiken können vernachlässigt werden, weil sich ihr Auftreten als zu unwahrscheinlich oder die Folgen als akzeptabel herausgestellt haben.

 Gegen einige der verbleibenden, nicht ausschließbaren Risiken kann man sich eventuell versichern, wobei der kostenmäßige Umfang dieser Risiken gegen die Kosten der Versicherungsprämie im Rahmen einer Kosten-Nutzen-Analyse abzuwägen ist.

 Außerdem kann das Risiko in der Regel durch Revision der ursprünglichen Planung reduziert werden.

 Es werden kalkulatorische Risikovorsorgen gebildet. Unter diesem Punkt werden jene Risiken subsummiert, die weder auszuschließen noch versicherbar sind. Es sind die Risiken, die bewusst eingegangen und somit verkraftet werden müssen.

Nachdem alle Risiken identifiziert und in Kategorien zusammengefasst worden sind, werden nun in der Phase der Risikobewertung die Wahrscheinlichkeiten ermittelt, mit denen gewisse Risiken auftreten können, sowie der mit ihnen verbundene zu erwartende Schaden.

4.2. Risikobewertung

Nachdem alle mit einem Projekt verbundenen Risiken identifiziert und kategorisiert und ihre Beziehungen und Abhängigkeiten untereinander analysiert sind, soweit das in dieser Phase möglich ist, kann man darangehen, diese Risiken zu bewerten.

Die Phase der

Risikobewertung (risk estimation)

 beinhaltet zwei wesentliche Aufgabenbereiche: Zum einen sind die Eintrittswahrscheinlichkeiten der in der Risikoidentifikation erfassten potentiellen Risiken zu ermitteln; zum anderen sind deren Auswirkungen auf die Projektziele (Leistung, Termine und Kosten) zu bestimmen. Die Risikobewertung ist nicht klar von der Risikoidentifikation zu trennen, denn die Einteilung der Risiken in einzelne Kategorien ist bereits eine Form der Bewertung.

Der Bereich der Risikobewertung wird in vielen Quellen als risk evaluation bezeichnet, während andere Ansätze damit die Phase der Risikoverdichtung meinen (in der vorliegenden Arbeit werden jedenfalls risk evaluation und Risikoverarbeitung gleichgesetzt). In weiteren Ansätzen wird risk evaluation sogar als Oberbegriff für Risikomanagement und Risikoanalyse benutzt (z.B. Curling in )!

Nach Imboden erfüllt "die Quantifizierung der Risikopotentiale eines Vorhabens damit auch die Funktion einer Risikoselektion, indem darüber befunden wird, welche Risikofaktoren weitere Aufmerksamkeit – und gegebenenfalls in welcher Reihenfolge – verdienen."

Die Bezeichnung Risikobewertung ist nicht eindeutig, denn sie kann einerseits meinen, dass etwas, dessen Größe nicht exakt bekannt ist, sorgfältig berechnet wird, andererseits kann damit eine grobe Approximation gemeint sein, die unter Umständen nicht mehr ist als eine Schätzung. Natürlich wäre in jedem Fall eine exakte Berechnung wünschenswert, doch meist sind die dazu notwendigen Daten nicht zu bekommen – es sei denn, man hat Aladins Wunderlampe zur Hand.

In Ermangelung statistischer Daten erfolgt die Risikobewertung normalerweise durch Expertenbefragung. Die Quantifizierung von Projektrisiken ist folglich ein höchst subjektiver Vorgang, der auf Intuition, dem Fachwissen und den Erfahrungen der Befragten aufbaut. Zur Vermeidung von Verzerrungen wurden verschiedene Befragungstechniken entwickelt wie beispielsweise die

Delphi-Methode

.

Nach Charette müssen während der Risikobewertung folgende vier Aufgaben erfüllt werden: Zuerst müssen die Variablen bestimmt werden, die das System beschreiben. Dieses verlangt natürlich eine einheitliche Bewertungsbasis. Die Konsequenzen, die ein auftretendes Ereignis nach sich ziehen kann, müssen bestimmt werden. Aktionen verursachen Reaktionen, die erkannt werden müssen. Die Größe der einzelnen Risiken muss bestimmt werden, wozu die zuvor erstellte einheitliche Bewertungsbasis benutzt wird. Es sind also alle Faktoren, die die Eintrittswahrscheinlichkeit eines Risikos verringern oder erhöhen, sowie die Härte einer negativen Folge bei Eintreten eines Risikos berücksichtigt. Der vierte Punkt ist die Beseitigung von Überraschungen (surprise elimination). Indem alle Risiken mit ihren Eintrittswahrscheinlichkeiten und negativen Folgen erkannt werden, werden zukünftige böse Überraschungen vermieden.

In Anlehnung an Charette lässt sich die Risikobewertung in folgende vier Abschnitte gliedern:

4.2.1. Einheitliche Bewertungsbasis

Nach Franke (in ) müssen die Risiken eines Projekts "eine einheitliche Bewertungsbasis haben, die zwangsläufig auf einem Kostenansatz basiert, d.h. die Bewertung erfolgt in Geldeinheiten. Denn alle Risiken aus den Bereichen Termine, Arbeitsfortschritt, Technik, Qualität und dem kaufmännischen Bereich werden letztendlich kostenmäßige Auswirkungen auf die definierten Projektziele haben. Basierend auf einer einheitlichen Bewertungsbasis wird die kostenmäßige Bewertung von Risiken durch eine Expertenbefragung und deren EDV-gestützte Auswertung erreicht."

Diese Behauptung von Franke ist mit Vorsicht zu genießen, denn die Bewertungsbasis ist mit Sicherheit von den Projektzielen abhängig. Bei Projekten, deren Priorität eindeutig auf dem Fertigstellungstermin liegt, ist ein Kostenansatz ziemlich verfehlt. Als Beispiel denke man an die Stadien in Italien, die bis zum Beginn der Fußballweltmeisterschaft fertiggestellt werden mussten, koste es, was es wolle.

Rein formal gesehen heißt Bewertung die Zuordnung von Zahlenwerten zu Objekten nach irgendeiner Regel. Da die identifizierten Risiken gewöhnlich von verschiedenen Typen sind, ist es nicht einfach, eine einheitliche Bewertungsbasis zu finden, deren Genauigkeit mit den Anforderungen von Risikobewertung und anschließender Risikoverdichtung übereinstimmt. Charette führt einige unterschiedliche Bewertungsmöglichkeiten an:

Der einfachste Maßstab, den man benutzen kann, ist der

 nominelle Maßstab (nominal scale / identity-taxonomy scale)

. Die Ereignisse werden nur aufgezählt. Die Risiken werden anhand einer oder mehrere Eigenschaften unterschieden. Solche Maßstäbe wurden bereits beim Kategorisieren der Risiken während der Risikoidentifikation benutzt. Man benutzt diese Maßstäbe, wenn man die Verflechtungen eines Risikos nicht vollständig kennt, d.h. wenn man seine Zusammenhänge mit anderen, besser bekannten Risiken nicht kennt.

Ein etwas komplizierterer Maßstab ist der

Ordnungsmaßstab (ordinal scale / order-risk scale)

. Die Risiken werden nach irgendeinem Kriterium geordnet. Bezüglich dieses Kriteriums wird nur unterschieden, ob ein Risiko größer als, kleiner als oder gleich einem anderen Risiko ist, aber nicht, um wieviel größer oder kleiner es ist. Das Kriterium kann subjektiv oder objektiv sein, solange es durchgehend benutzt wird. Beispielsweise lassen sich politische Risiken auf diese Weise ordnen (politisch selbstmörderisch, gleichgültig oder vorteilhaft).

Eine weitere Möglichkeit ist ein

Kardinalmaßstab (cardinal scale / interval scale).

 Jetzt werden die Risiken nicht nur nach Kriterien geordnet, sondern auch die Differenzen explizit berechnet. Eine solche Skala bewegt sich gewöhnlich zwischen einem Anfangs- und einem Endpunkt. Ein einfaches Beispiel wäre ein Thermometer.

Die letzte Möglichkeit ist ein

Verhältnismaßstab (ratio scale / zero reference scale).

 Auch hier werden die Risiken geordnet und die Differenzen berechnet, aber der Maßstab beginnt an einem einheitlichen Beziehungspunkt. Ein Verhältnismaßstab ist also nichts anderes als ein Kardinalmaßstab, dessen Anfangs- oder Endpunkt sich an einer geeigneten physikalischen Grenze orientiert. Da diese Maßstäbe für kosten-, zeit- und leistungsbedingte Risiken am besten geeignet sind, werden sie im Folgenden ausschließlich verwendet.

Ein weiterer Bewertungsmaßstab ist die Zuordnung von Wahrscheinlichkeiten. Im Rahmen der Risikoanalyse kommt dieser Methode die größte Bedeutung zu, wie man später noch sehen wird.

4.2.2. Zuordnung von Informationsquellen und Bewertungsmaßstäben

Je komplexer ein gewählter Bewertungsmaßstab ist, desto genauer und verständlicher kann ein Risiko bewertet werden. Da die Informationen über die einzelnen Risiken auf unterschiedliche Weise gewonnen wurden, müssen unter Umständen auch verschiedene Maßstäbe benutzt werden. Informationen können auf drei verschiedene Arten vorliegen (vgl. u.a. Charette ):

Informationen können einfach in "erzählerischer" Form

(narrative information)

 vorliegen, d.h. sie enthalten keinerlei qualitative oder quantitative Aussagen über die betreffenden Risiken. Daraus ergibt sich automatisch, dass entweder nominelle oder Ordnungsmaßstäbe benötigt werden.

Qualitative Informationen (qualitative information)

 werden gewöhnlich durch geordnete Bewertungssysteme dargestellt, beispielsweise eine Skala, in der Risiken als hoch oder niedrig oder zwischen irgendwelchen Grenzen liegend angegeben werden. Die Darstellung kann auch anschaulich mittels Farben dargestellt werden. Ein Problem, dass auch die Benutzung von Kardinal- oder Verhältnismaßstäben verhindert, ist die Tatsache, dass die zur Beschreibung benutzten Worte unpräzise sind, wie z.B.:

Unter solchen Begriffen und Formulierungen verstehen verschiedene Personen möglicherweise nicht genau dasselbe. Es ist einsichtig, dass dieses Problem zu Fehlentscheidungen wegen falscher Annahmen führen kann bzw. schon oft geführt hat.

Quantitative Informationen (quantitative information)

 werden gewöhnlich nach Kardinal- oder Verhältnismaßstäben bewertet, wobei im wesentlichen Eintrittswahrscheinlichkeiten zum Tragen kommen. Mit anderen Worten, es werden explizit Zahlen benutzt. Hier ist jedoch Vorsicht geboten, denn Wahrscheinlichkeiten sind keine genauen Berechnungen, sondern nur Annahmen. Zahlen können irreführend und Statistiken voller