PROJEKTMANAGEMENT AKTUELL
pm
2941-0878
2941-0886
UVK Verlag Tübingen
61
2004
152
GPM Deutsche Gesellschaft für Projektmanagement e. V.Risikomanagement in IT-Projekten
61
2004
Heinz Schelle
Versteegen, G. (Hrsg.): Risikomanagement in IT-Projekten. Gefahren rechtzeitig erkennen und meistern. Mit Beiträgen von M. Dietrich, H. Reckert, K. Salomon und G. Versteegen. Springer-Verlag, Berlin-Heidelberg 2003, ISBN 3-540-44175-1, 295 S., EUR 44,95
pm1520037
36 WISSEN 37 Buchbesprechung Risikomanagement in IT-Projekten Versteegen, G. (Hrsg.): Risikomanagement in IT-Projekten. Gefahren rechtzeitig erkennen und meistern. Mit Beiträgen von M. Dietrich, H. Reckert, K. Salomon und G. Versteegen. Springer-Verlag, Berlin-Heidelberg 2003, ISBN 3-540-44175-1, 295 S., EUR 44,95 A lle Autoren kommen aus der Praxis. Dies merkt man dem Werk auch an. Von den Büchern, die zum Risikomanagement in Projekten bisher geschrieben wurden, ist dies aus meiner Sicht die Publikation, die der Praxis am nächsten steht. Viele wertvolle Hinweise der Verfasser, die aus eigenen leidvollen Projekterfahrungen stammen, warten nur darauf, gelesen und befolgt zu werden. Meine ursprüngliche Haltung „Schon wieder eine Publikation zu Risikomanagement in Projekten“ und „Was kann man denn da noch Neues bieten? “ musste ich nach der Lektüre der ersten 100 Seiten schnell revidieren. Versteegen und sein Team haben eindrucksvoll gezeigt, dass die Thematik noch nicht ausgeschöpft ist. Einige Inhalte, die nachstehend aufgeführt sind, haben mir besonders gut gefallen, weil ich sie in dieser Klarheit noch nirgends gelesen habe. Risikotypen in der Informationstechnologie: Hier werden nicht nur kaufmännische, technische, terminliche, „politische“ und Ressourcenrisiken unterschieden, sondern auch die Beziehungen zwischen ihnen sehr gut herausgearbeitet. Risikoidentifizierung: Versteegen begnügt sich hier nicht mit der üblichen, überall in der Literatur zu findenden Darstellung, sondern differenziert nach Projektphasen, in denen die Risiken aufzuspüren sind, eine, wie sich schnell zeigt, sehr fruchtbare Sichtweise. Risikoanalyse und Risikobewertung: In diesem Kapitel überraschte mich die Feststellung (S. 106): „Es muss aber bereits hier festgehalten werden, dass fast alle Aktivitäten des Risikomanagements problemlos ohne eine quantitative Analyse auskommen.“ Wie wahr, kann man da nur sagen. Allerdings werden anschließend dann trotzdem Bewertungsmaßstäbe und Größen (Impact = Auswirkung und Wahrscheinlichkeit) diskutiert und als Grundlagen für die Priorisierung verwendet. Auf der Bewertung der Risiken baut dann die Risikomatrix auf, die sich aus den Elementen Risikoklassen und Risikowahrscheinlichkeitsklassen zusammensetzt. Risikoklassen beschreiben die Auswirkungen des Eintretens eines Risikos. Z. B. wird Risikoklasse A so definiert: „Sofortiger Abruch des gerade laufenden Projekts“. Und die niedrigste Risikoklasse E: „Geringfügiger Mehraufwand innerhalb einer Iteration des Projekts“. Daneben werden spezifische Risikoklassen bei internen Projekten und bei der Produktentwicklung bestimmt. Ein Beispiel für Risikoklasse A bei internen Projekten: „Während der Entwicklung … bringt ein externer Anbieter eine vergleichbare Software als Standardprodukt auf den Markt.“ Risikowahrscheinlichkeitsklassen bestimmen die Wahrscheinlichkeit des Eintretens eines Risikos. Auch hier ein Beispiel: Risikowahrscheinlichkeitsklasse 1 bedeutet: „Das Eintreten des Risikos ist durchaus wahrscheinlich.“ Die identifizierten Risiken eines Projekts lassen sich dann in einer zweidimensionalen Darstellung nach Auswirkung und Wahrscheinlichkeit des Eintritts klassifizieren und priorisieren. Wichtig erscheinen mir hier vor allem die Ausführungen zur ständigen Risikoüberwachung während des Projekts, eine nicht nur nach meiner Vermutung höchst selten geübte Praxis, und zur Rolle des Projektmanagements beim Risikomanagement. Im Gegensatz zu anderen Publikationen wird auch sehr ausführlich auf Strategien des Risikomanagements eingegangen. Auch die Bedeutung, die Risikomanagement in Prozessmodellen zukommt, wird an den Beispielen V-Modell, Rational Unified Process und Microsoft Solution Framework detailliert dargestellt. Leider fehlt hier allerdings eine Berücksichtigung des Risikomanagements in Reifegradmodellen wie CMM, SPICE und BOOTSTRAP. Sehr lobenswert finde ich, dass die Autoren die sonst allgemein weitgehend ignorierte Akzeptanzproblematik und den Einfluss der Unternehmenskultur nicht unterschätzen und eine „No-blame-Atmosphäre“ in der Organisation fordern. Dem folgenden Satz, der allerdings sehr schwer zu befolgen ist, kann man nur zustimmen: „Das Unternehmen muss die Philosophie verfolgen, dass Fehler dazu da sind, dass man aus ihnen lernt, und nicht, dass man für sie bestraft wird.“ Bemerkenswert realistisch sind am Schluss die Ausführungen zur Verbindung von Risiko- und Wissensmanagement. Schließlich sind auch die Bemerkungen zur Toolunterstützung von wohltuender Nüchternheit. Es wird nicht nur zutreffend gesagt, dass Tools gerade beim Risikomanagement eine völlig untergeordnete Rolle spielen, sondern auch empfohlen, zunächst einmal Standardsoftware wie Word und Excel zu nutzen. Zusammenfassende Bewertung: Ein sehr empfehlenswertes Werk aus der Praxis für die Praxis. Heinz Schelle, Oberau aktuell projekt M A N A G E M E NT 2/ 20 0 4 projekt M A N A G E M E NT 2/ 20 0 4 aktuell