Risikomanagement ist ein Management Prozess, welcher aus den Aufgaben Identifikation, Analyse, Planung, Kontrolle, Steuerung und Kommunikation von Risiken besteht [4].
Risiko ist dabei definiert als „die Wahrscheinlichkeit des Eintretens eines unerwünschten Ereignisses in einem bestimmten Zeitraum und der mit dem Ereignis verbundene Schaden, also Eintrittswahrscheinlichkeit mal Schadenshöhe des Ereignisses“ [13].
Risiko und Risikomanagement besitzen nach Schmidt 2009 drei Aspekte:
Auf die Zukunft gerichtete Betrachtung: Risikomanagement soll Informationen liefern, welche Gefahrensituationen in der Zukunft möglich und welche Entscheidungen und Handlungen daher in der Gegenwart notwendig sind.
Unsicherheit: Der Ausgang der Situation ist ungewiss, im Risikomanagement arbeitet man mit Wahrscheinlichkeiten, Erfahrungen und Schätzungen.
Möglichkeit eines Schadens: Das Hauptaugenmerk im Risikomanagement liegt auf Ereignissen, die Schaden hervorrufen können.
Unternehmerisches Handeln ohne das Eingehen von Risiken ist nicht möglich. „Das Eingehen von Risiken ermöglicht erst das Erreichen von Zielen, daher bedeutet ein Risiko immer auch eine Chance“ [14]. Carl Amery, deutscher Schriftsteller und Publizist, meinte „Risiko ist die Bugwelle des Erfolgs“.
Entsprechend ist das Ziel des Risikomanagements nicht die Vermeidung jeglichen Risikos, sondern „die Risikosituation so zu steuern, dass sie sich innerhalb eines definierten Bereiches bewegt“ [14]. Dieser Bereich wird „Risikokorridor“ genannt und wird bestimmt vom möglichen Gesamtschaden aller Risiken auf der einen und den Kosten für die Maßnahmen für Risikovermeidung und Minderung auf der anderen Seite. Es ist also zu entscheiden, ob ein möglicher Schaden die Kosten für die Vermeidung des Risikos rechtfertigt. Entsprechend dieser Abschätzung wird es immer Risiken geben, die nicht behandelt werden, da die Kosten für die Maßnahmen den möglichen Schaden übersteigen würden. Die Summe aller nicht behandelten Risiken nennt man „Restrisiko“ [14]
Es gibt viele Studien, die sich mit den am häufigsten auftretenden Risiken in der Softwareentwicklung beschäftigen. Die wohl bekannteste und am öftesten zitierte Risikoliste ist die Liste der „Top 10 Software Risk Items“ von Barry Boehm [10]:
Tabelle 1 - Top 10 Risiken nach Boehm [10]. (Übersetzung aus dem Englischen vom Autor)
Aus der Liste von Boehm ist bereits ersichtlich, dass viele Risiken keine technischen Probleme beschreiben, sondern soziale und organisatorische.
Ein ähnliches Bild wie Boehm zeichnen Wallace, Keil & Rai 2004 in ihrem Modell der Risikodimensionen. Sie teilen dazu Risiken in drei große Subsysteme ein [15]:
Risiken des sozialen Subsystems
Risiken des technischen Subsystems
Projektmanagement Risiken
Das soziale Subsystem betrachtet die Softwareerstellung als Prozess, der in einen sozialen Kontext eingebettet ist. Aus diesem Kontext ergeben sich Risiken wie Widerstand der Endanwender gegen das neue Softwaresystem, das Abziehen von Ressourcen durch das Management aus politischen Gründen oder zwischenmenschliche Konflikte im Team [15].
Das technische Subsystem betrachtet den Teil der Softwareentwicklung, der sich mit der Erstellung komplexer technischer Artefakte und Dokumente beschäftigt. Aus diesem Subsystem erwachsen Risiken wie hoher Aufwand durch nachträgliche Änderungen an den Anforderungen, Performanceprobleme zur Laufzeit und Ähnliches [15].
Projektmanagement Risiken sind sämtliche Risiken, die sich aus der Planung und Führung des Projektes ergeben. Dies können zum einen Zeitüberschreitungen durch falsche Aufwandsschätzungen und mangelndes Projektcontrolling sein, oder auch Themen wie fehlendes Know-How im Projektteam [15].
Die drei Subsysteme beeinflussen einander gegenseitig, innerhalb der drei Subsysteme definieren Wallace, Keil & Rai 2004 sechs Risikodimensionen (siehe Abbildung 5 und Tabelle 2 auf der nächsten Seite):
Abbildung 5 - Projektsubsysteme und Risikodimensionen nach Wallace, Keil & Rai [15]
(Übersetzung aus dem Englischen vom Autor)
Tabelle 2 - Die sechs Risikodimensionen nach Wallace, Keil & Rai 2004
(Übersetzung aus dem Englischen vom Autor)
Eine weitere sehr umfassende Quelle zu Risiken in der Softwareentwicklung ist die Risikotaxonomie von Carr et al. vom Software Engineering Institute (SEI) der Carnegie Mellon University [9].
Die Risiken sind dabei in drei Klassen zusammengefasst, die aus mehreren Elementen bestehen, für die wiederum verschiedene Attribute definiert sind. Auf jeder dieser Ebenen gibt es Fragen, die als Impuls für das Auffinden von Risiken dienen sollen. In Abbildung 6 ist die Hierarchie aus Klassen, Elementen und Attributen dargestellt [9]:
Abbildung 6 - Dreistufige Risikoklassifizierung in Klassen, Elemente und Attribute nach Carr et al. 1993 (Übersetzung aus dem Englischen vom Autor)
Basierend auf diesem Klassifizierungsschema wurde vom SEI ein Fragebogen entwickelt, der als Input für ein semistrukturiertes Brainstorming dient, in dem Risiken eines Projektes identifiziert werden sollen. Dieser Fragebogen wird gemeinsam mit anderen Methoden der Risikoidentifikation in Kapitel „2.1.4.1 Risikoidentifikation“ genauer beschrieben.
Risikomanagement ist ein kontinuierlicher Prozess, in dem laufend Risiken identifiziert und analysiert, Maßnahmen geplant und ausgeführt, sowie Risiken überwacht und gesteuert werden müssen. In allen Schritten ist Kommunikation ein zentraler Bestandteil [4]. Der kontinuierliche Risikomanagement Kreislauf ist in Abbildung 7 (nächste Seite) dargestellt.
Abbildung 7 – Risikomanagement als kontinuierlicher Prozess aus Identifizieren > Analysieren > Planen > Überwachen > Steuern und Kommunizieren nach Higuera & Haimes 1996
(Übersetzung aus dem Englischen vom Autor)
Risikomanagement ist ein Prozess, der die gesamte Projektlaufzeit über auszuführen ist. Ständig können Risiken entstehen, bestehende Risiken sich in ihren Auswirkungen oder in ihrer Eintrittswahrscheinlichkeit ändern oder Risiken wegfallen.
Nyfiord & Kajko-Mattsson 2008 fügen den oben beschriebenen fünf Prozessschritten zwei weitere hinzu, nämlich „Risikoausscheidung“ und eine „Risiko Post-Mortem Analyse“. In der Risikoausscheidung werden Risiken explizit und kontrolliert als nicht mehr relevant aus der Betrachtung ausgeschieden. Im Risiko Post-Mortem werden Erkenntnisse und Lessons Learned aus dem bisherigen Risikomanagement erarbeitet und sofort in den Prozesszyklus integriert:
Abbildung 8 - Risikomanagementprozess nach Nyfjord & Kajko-Mattsson 2008 mit den zusätzlichen Schritten Risikoausscheidung und Risiko Post-Mortem Analyse
(Übersetzung aus dem Englischen vom Autor)
Im folgenden Abschnitt werden die Teilaufgaben des Risikomanagements beschrieben.
2.1.4.1 Risikoidentifikation
Carr et al. definiert die Risikoidentifikation folgendermaßen: „Bevor Risiken behandelt werden können, müssen sie identifiziert werden. Die Identifikation bringt Risiken an die Oberfläche, bevor sie zu Problemen werden und das Projekt negativ beeinflussen“ [9].
In diesem ersten Schritt im Risikomanagement werden Risiken auf strukturierte Art identifiziert und beschrieben. Es wird dabei davon ausgegangen, dass den einzelnen Projektteammitgliedern die meisten Risiken bekannt sind, oder zumindest erahnt, aber nicht explizit kommuniziert werden [9]. Die in der Literatur am häufigsten zu findenden Methoden zur Risikoidentifikation sind Checklisten, Fragebögen und Brainstorming.
In der Methode des Software Engineering Institutes der Carnegie Mellon University wird ein mehrstufiger Fragebogen mit knapp 200 Fragen als Hilfestellung für ein Brainstorming verwendet („SEI Risk-Taxonomy“). Es wird bei dieser Methode also nicht primär ein Fragebogen ausgefüllt, sondern die Fragen dienen als Denkanstoß, um...