Als Projektleiter, Manager oder Risikoverantwortlicher bzw. deren Berater bist Du mit folgenden Fragen konfrontiert:

  • Welche Risiken müssen wir im Projekt aktiv überwachen und durch konkrete Maßnahmen eindämmen?
  • Welchen Risiken ist unser Unternehmen, Bereich, Abteilung etc. in welcher Höhe ausgesetzt?
  • Worin bestehen die Ursachen und Auswirkungen für ein spezifisches Risiko?

Unterstützung findest Du in der Risikomatrix und dem Verfahren der Risikoanalyse.


Überblick

Ergebnis: Mit Zielen verbundenen Risiken und Ursachen identifiziert und Gegenmaßnahmen aufgesetzt

Teilnehmer: mind. 1 Person

Dauer: mind. 30 Minuten (je Ziele und Themengebiet)

Utensilien: Notebook & Internetanschluss

Zweck

Mit einer Risikoanalyse machst Du...

  • Risiken als potentielle negative Ereignisse bzgl. der Erreichung von Zielen sowie
  • Ursachen und Auswirkungen der Risiken

transparent. Zudem setzt Du mit dem Verfahren gezielt Linderungsmaßnahmen auf. Diese mildern entweder ein Risiko ab oder eliminieren es vollständig.

Das Risikomanagement - die Analyse und das Kontrollieren von Risiken - gehört als fester Bestandteil zur Leitung eines Projektes. Aber auch im Linienbetrieb im Unternehmen wird mit Risiken hantiert, denke nur an den Brandschutz oder die Ersthelfervorschriften bei Dir im Büro.



Beratungskompetenz demokratisiert - der Consulting Methodenkoffer!

  • Problemlösungs-Knowhow digital und überall abrufbar
  • Über 190 erprobte Methoden und nützliche Vorlagen
  • Kompakt erklärt, einfach anzupassen und sofort umsetzbar
  • Monatlich neue Methoden, Live Webinare und Updates

Aufbau

Eine Risikoanalyse zerfällt in zwei Teile. Zu Beginn steht die Identifikation und Bewertung der Risiken, anschließend fokussierst Du auf das Aufsetzen von Linderungsmaßnahmen. Nachfolgend die wichtigsten Begriffe.

Risiko

Unterscheide bei einem Risiko zwischen Ursache, Risiko und Auswirkung.

Risikoanalyse
Struktur und Elemente eines Risikos
  • Die Ursache (auch Risikoquelle) ist ein existierender Umstand bzw. ein sicher eintretendes Ereignis. Eine Ursache kann zu einem Risiko führen, muss aber nicht. Typische Ursachen sind Schwachstellen (z.B. menschliche Fehlhandlung, technisches Versagen) und Bedrohungen (z.B. vorsätzliche Angriffe, katastrophale Naturereignisse).
  • Das Risiko ist ein Ereignis mit negativen Auswirkungen bzgl. der Erreichung eines definierten Ziels. Es handelt sich um ein Problem, welches noch nicht eingetreten ist, aber sich mit einer gewissen Eintrittswahrscheinlichkeit ereignen könnte.
  • Die Auswirkung (auch Risikofolge) ist eine negative Konsequenz beim tatsächlichen Eintritt eines Risikos. Es handelt sich um einen mehr oder weniger großen menschlichen, finanziellen, rechtlichen, wirtschaftlichen, technischen etc. Schaden, der durch das Risiko verursacht wird.

Risiken, ihre Ursachen und Auswirkungen hältst Du am besten systematisch in einer Risikotabelle (auch Risikoübersicht) fest. Ergänze jedes aufgelistete Risiko durch eine eindeutige ID, sowie bei Bedarf einen Verantwortlichen sowie typische Indikatoren des Auftretens.

Externe Risiken sind solche, deren Ursache außerhalb des eigenen Wirkungsbereiches wie dem Projekt oder dem Unternehmen liegen. Bei interne Risiken findest Du die Gründe innerhalb des Bereichs. Im Regelfall lassen sich Risiken nicht zu einem Gesamtrisiko addieren. Nutze zur Risikoaggregation weiterführende Verfahren wie beispielsweise die Monte-Carlo-Simulation.

Risikomatrix (Risikoportfolio)

Die Eintrittswahrscheinlichkeit und das Schadensausmaß verschiedener Risiken lassen sich übersichtlich in einer Risikomatrix darstellen. Mit einen Blick auf dieses Risikoportfolio erfährt ein Leser, ob es sich um ein kritisches, teilweises kritisches oder unkritisches Risiko handelt. Nachfolgende Abbildung illustriert das Konzept. Ein Risiko notierst Du dabei auf einer Karte. Bei Wahrscheinlichkeiten und Ausmaß unterscheidet die Matrix zwischen den drei diskreten Größen gering, mittel und hoch. Die Farben visualisieren die Kritikalität.

Risikoanalyse
Einordnung der Risiken in eine Risikomatrix

Eine gute Risikomatrix enthält neben einem Titel, ebenfalls die verantwortlichen Autoren sowie das Datum der Risikoanalyse als Meta-Information.

Linderungsmaßnahme (Gegenmaßnahme, Mitigationsmaßnahmen, Risikostrategien)

Erkannte Risiken sind immer behandelbar, lassen sich durch Maßnahmen eindämmen oder ganz abstellen. Das Spektrum der Risikoreduktionen reicht von kleinen Aufgaben bis zu großen Projekten, umfasst sowohl kleinen Änderung in den Gewohnheiten als auch die komplette Anpassung der Prozessabläufe.

Präventive Maßnahmen zielen auf die Ursache eines Risikos. Vorbeugend initiiert sorgen sie dafür, dass die Eintrittswahrscheinlichkeit sinkt und unter Umständen auch das Schadensausmaß abgemildert wird. Eine typische präventive Maßnahme ist der Aufbau von zeitlichen, finanziellen, personellen, geographischen etc. Puffern.

Im Gegensatz initiierst Du korrektive (auch reaktive) Maßnahmen erst bei Eintritt des Risikos. Du adressierst nun die Risikoauswirkungen, reduzierst also das Schadensausmaß. In Praxis triffst Du oft einen Mix aus präventiven und reaktiven Maßnahmen an.

Neben der Linderung eines Risikos kannst Du Dich entschließen, dass Risiko komplett zu übertragen. Die Auswirkungen und manchmal auch die Prävention eines transferierten Risikos übernimmt dann ein Dritter. Das Geschäftsmodell von Versicherungen basiert auf diesem Prinzip der Risikodelegation. Für eine wiederkehrende Provision kommt die Assekuranz für Deinen verlagerten Schaden (anteilig) auf.

Oft auch eine Alternative ist die komplette Risikovermeidung. Bei dieser unterlässt Du risikobehaftete Situation bzw. verzichtest Du den mit dem Risiko verbundenen Sachverhalt. Möglicherweise nutzt Du einen Ersatz, welcher die gleiche Aufgabe erfüllt bzw. das Ziel ähnlich gut erreicht.

Als letzte Option bietet sich Dir immer das Restrisiko zu tragen. Speziell wenn eine Reduktion, Übertragung oder Vermeidung gegenüber dem potentiellen Schaden zu kostspielig ausfällt, solltest Du eine Risikoübernahme in Erwägung ziehen und das Risiko akzeptieren.

Die Menge an Maßnahmen und Entscheidungen kannst Du als Risikostrategie bezeichnen. Mit dieser betrachtest Du ausschließlich bekannte Risiken.


Anwendung

Auch wenn oft vieles wichtiger erscheint: Lanciere die Risikoanalyse direkt zu Beginn (D)eines Projektes. So bleibst Du beim Eintritt eines Risikos im Fahrersitz, agierst, statt zu reagieren. Nachfolgend ein mögliches Vorgehen in einem Risiko Assessment Workshop.

  • 1

    Risiken identifizieren

    Zunächst fertigst Du eine Liste von praktisch relevanten Risiken an. Als Grundlage dafür solltest Du
    - die Ziele (Projekt, Abteilung etc.),
    - das Umfeld (Gesetze, Trends, Wettbewerb etc.),
    - die Stakeholder (Nutzer, Sponsor, Nachbarabteilung etc.),
    - die Arbeitsergebnisse (Systemschnittstellen, Prozessdokumentation, IT-System etc.),
    - das Projekt (Terminplan, Aufgabenliste, Team etc.) und
    - Schnittstellen (Nachbarabteilung, Systemschnittstellen etc.)
    heranziehen.
    Je mehr Erfahrung und Kenntnisse Du von der Themenstellung hast, je leichter sollte Dir die Risikoidentifikation fallen.

  • 2

    Risiken bewerten

    Anschließend widmest Du Dich der Risikoquantifizierung. Dazu arbeitest Du für jedes Risiko die Eintrittswahrscheinlichkeit (in Prozent) und die negativen Auswirkungen (in Euro) heraus.
    Beziehe für die Bewertung die Stakeholder ein. Diese wissen am besten, wie hoch die Wahrscheinlichkeit für ein spezifisches Risiko ist bzw. welche Folgen mit dessen Eintritt in ihrer Fachdomäne einhergehen. Notfalls kannst Du auch mit einer qualitativen Einschätzung (Gering, Mittel, Hoch etc.) arbeiten.
    Berechne schließlich den Risikowert aus dem Produkt zwischen Eintrittswahrscheinlichkeit und Auswirkung. Je höher der Risikowert, desto relevanter das Risiko.

  • 3

    Maßnahmen aufsetzen

    Im dritten Schritt definierst Du Maßnahmen, um ein Risiko zu lindern. Beginne mit den Top-Risiken, also solche Ereignisse, welche häufig eintreten können und hohe negative Auswirkungen haben.
    Wäge unbedingt Kosten und Nutzen ab. Risiken mit niedriger Eintrittswahrscheinlichkeit und geringem Schaden bedürfen keiner umfassenden Linderungsstrategie.
    Verteile die Umsetzung von Maßnahmen. Es gilt: mein Ziel, mein Risiko, meine Maßnahme(n). Personen verantwortlich für das Ziel sind für die Risikolinderung zuständig.

  • 4

    Risiken überwachen

    Der letzte Schritt besteht in einem stetigen Monitoring der Risiken.
    - Wie oft tritt ein negatives Ereignis tatsächlich ein?
    - Wie wirksam senken die Gegenmaßnahmen das Schadensausmaß?
    - Welche alternativen Techniken existieren inzwischen um ein Risiko zu reduzieren?
    - Welche zusätzlichen Risiken sind durch neue Entwicklungen eingetreten?
    Das Management von Risiken ist keine Eintagsfliege. Führe die Analyse im festen Rhythmus durch.

Das Managen von Risiken endet nie. Im Laufe der Zeit können neue Risiken entstehen, bestehende können sich abschwächen oder ganz verschwinden. Führe daher in Abständen die Risikoanalyse erneut durch. Bleibe wachsam.


Beispiele

Risiken beim Freiklettern

Stelle Dir vor Du bist Freiklettern. Ohne künstliche Hilfsmittel hängst Du am Felsen (Ursache). Ein falscher Tritt, ein lockerer Griff, eine kleine Unachtsamkeit - das alles kann zum Absturz führen (Risiko). Die Auswirkungen? Je nachdem, wie hoch Du bereits geklettert bist - mehr oder weniger gravierend.

Als präventive Maßnahme könntest Du trainieren, die Wahrscheinlichkeit (und damit das Risiko) abzustürzen würden sinken. Ebenfalls präventiv wäre der Einsatz eines Kletterseils. Stürzt Du ab, sind die Auswirkungen nicht lebensbedrohlich. Schließlich könntest Du als korrektive Maßnahme Deine Kletterfreunde bitten, bei Deinem Absturz schnellstmöglich Hilfe zu holen. Sicher - Theorie und Praxis gehen manchmal etwas auseinander.

Risikoanalyse
Beispiel für eine Risikoanalyse im Freiklettern festgehalten in eine Risikotabelle

Risiken im Consulting

Als Unternehmensberater setzt Du Dich kontinuierlich Risiken aus, oft im Zuge der Projektarbeit. Aber auch bei der Kundenakquise, in der Bewerbungsphase, während der Dienstreise etc. gilt: Du setzt etwas auf Spiel, mit der Hoffnung auf einen positiven Ausgang, aber auch gleichzeitig mit dem Wissen, dass die Dinge schieflaufen können.


Vor- & Nachteile

Pro

  • Die Risikoanalyse sorgt für ein einheitliches Verständnis - neudeutsch Mindset - über die Risiken. Die Planungssicherheit und damit Erfolgswahrscheinlichkeiten eines Vorhabens steigen.
  • Bei jedem mittleren bzw. großen Projekt kommst Du um eine Risikoanalyse nicht herum. Zu viel steht auf dem Spiel. Die Aktivität und ihre Ergebnisse werden einfach eingefordert.
  • Eine Risikoanalyse verhindert, dass Du Risiken instinktiv behandelst und womöglich blauäugig scheiterst. Auch wenn ein Risiko eintritt, kannst Du Außenstehenden durch die Risikobewertung nachweisen, dass Du im Vorfeld alles in Deiner Macht stehende für eine Abmilderung unternommen hast. Realismus und Vorbereitung, statt Wunschdenken und unangebrachter Optimismus.

Contra

  • Insbesondere die Bewertung eines Risikos, daher die Bemessung der Eintrittswahrscheinlichkeit und die Bezifferung der Auswirkungen, gestaltet sich teilweise wie das Lesen im Kaffeesatz. Betrachte eine Dir vorlegte Risikoanalyse mit Vorsicht und hinterfrage die Parameter.
  • Auch bei kleinen kurzlaufenden Ein-Personen-Projekten mit eindeutigen Ergebnis schießt Du mit einer umfassenden Risikoanalyse über das Ziel hinaus.
  • Speziell in verkopften Projekten kann die Risikoanalyse zur akademischen Fingerübung ausarten. Verlasse Dich hier lieber auf Deine pragmatische Einschätzung der am häufigsten vorkommenden Top-5 Risiken.
  • Die Risikoanalyse und Maßnahmenumsetzung ist eine stetige Aufgabe und verursacht damit auch stetig Aufwände.

Praxistipps

  • Tipp 1 - Klarheit in den Begriffen haben

    Risiko ≠ Ursache ≠ Unsicherheit ≠ Problem.

    Vertausche ein Risiko (mögliches Ereignis) nicht mit einer Ursache (eingetretenes Ereignis). So sind Budgetrestriktionen, Zeitprobleme und Ressourcenknappheit typische Ursachen in einem Beratungsprojekt, die zum Eintritt von Risiken führen können. Nutze Methoden wie die Five-Why Fragetechnik, den Issue Tree oder das Ishikawa Diagramm und fördere die wahre Ursachen zu Tage.

    Differenziere zudem zwischen Risiko und Unsicherheit. Unsicherheiten sind mögliche Ereignisse ohne Bezug zu Deinen Zielen. Ob sie eintreten oder nicht, ist Dir letztlich egal. Techniken wie das Zieldiagramm, OKR oder die SMART Formel helfen Dir, relevante Ziele zu bestimmen.

    Last but not least ist ein Problem ein eingetretenes Risiko. Nutze die Problemskizze, die Problembeschreibung, das TOSCA Framework oder die Nyaka Methode um Probleme zu spezifizieren.

  • Tipp 2 - Top-5 Risiken überwachen

    Gerade bei ‚Mission-critical‘ Projekten, mit begrenztem Budget, einem ambitionierten Zeitplan, chronisch knappen Ressourcen und einer hohen Aufmerksamkeit des Managements, solltest Du unbedingt die kritischsten Top 5 Risiken identifizieren, qualitativ bewerten, kommunizieren, kontinuierlich überwachen und Gegenmaßnahmen aufsetzen. Hilfreich sind folgende Fragen:

    • Welchen Risiken sind wir bei diesem Projekt ausgesetzt?
    • Wie sähe das ungünstigste Szenario aus?
    • Wie würde sich dieses Szenario zeitlich, finanziell, sozial etc. auswirken?
    • Was können wir tun, um das Risiko zu senken oder Belastbarkeit zu stärken?

    Tritt dann ein antizipiertes Risiko ein, kannst Du mit hoher Sicherheit vorhersagen, ob dies eine Verspätung, Budgetüberziehung und/oder Qualitätsdefizite nach sich ziehen wird.

  • Tipp 3 - Risiken mit Augenmaß lindern

    Auch beim Risikomanagement gilt das Pareto Prinzip: 20 Prozent der Risiken treten zu 80 Prozent ein. Konzentriere Dich auf diese Top-Risiken. Nicht immer sind zudem die (meist günstigen) präventiven den (meist teuren) korrektiven Maßnahmen vorzuziehen.

    Gelegentlich sind die (wiederkehrende) Kosten für eine vorbeugende Aktivität einfach zu hoch bzw. ist die Eintrittswahrscheinlichkeit des Risikos zu gering. Häufiger als angenommen ist es wirtschaftlicher, ein Risiko bewusst einzugehen.

  • Tipp 4 - Von Erfahrungen Anderer profitieren

    Gerade als junger Projektmitarbeiter bzw. Neuling in der Domäne fehlt Dir oft die Erfahrung zentrale Risiken zu erkennen und zu bewerten. Die Gefahr besteht, wichtige Risiken nicht zu identifizieren und zu behandeln.

    Beziehe daher Deine Seniorkollegen, Deine Partner und gerne auch den Kunden sowie aktuelle Studien mit ein.

    • Wo sehen die gestandenen Experten die größten Risiken?
    • Was kann getrost außer Acht gelassen werden, da es in vergleichbaren Fällen nie schief ging?
    • Welche Linderungstechnik hat sich in der Vergangenheit als praktikabel und wirksam erwiesen?
    • Welche Risiken nennt die Literatur als typisch?

    Besonders wertvoll sind Ratschläge von Personen, die vor einem ähnlichen Projekt standen wie Du, zu denen sich damit eine Analogie herstellen lässt. Nutze auch Sekundärliteratur, die typische Fallstricke und Stolpersteine in ähnlich gelagerten Vorhaben diskutiert.

  • Tipp 5 - Für Top-Risiken einen Plan B entwickeln

    Entwickle für besonders heikle Risiken einen Plan B. Bei diesem handelt es sich zum einen um präventive Maßnahmen, welche die Risikoauswirkungen abmildern.

    Klassisches Beispiel ist der Regenschirm. Einmal eingepackt, spannst Du diesem bei schlechten Wetter einfach auf und gelangst weiterhin halbwegs trocken zum Ziel.

    Zum anderen handelt es sich beim Plan B um vorbereitete reaktive Maßnahmen, die eingeleitet werden, sobald das Risiko eingetreten ist.

    Typischer Vertreter ist der Notfallplan bei Gebäudebränden. Im Rahmen von turnusmäßigen Feuerübungen trainierst Du und Deine Kollegen im Vorfeld das Verhalten bei einem Brandausbruch.

  • Tipp 6 - Risiken mittels Stresstest aufspüren

    Eine besonders wirksame Methode Risiken aufzuspüren ist der Stresstest. Versetze Dich dazu in die zukünftige Situation, dem Zeitpunkt nach dem Projektende. Stelle in diesem Soll-Zustand die Frage:

    • Was ist schief gelaufen?

    Gehe vom schlimmsten Fall aus – dem Worst-Case.

    Sammle alle Fehlstände, Unglücke und Nachteile ein. Leite anschließend realistische Maßnahmen ab und arbeite diese in Deinen Projektplan ein.

    Der Vorteil dieser Rückbetrachtung: Du argumentierst vollständig aus der Perspektive der Zukunft. Ein kritisches Beurteilen fällt deutlich leichter als im Konjunktiv zu argumentieren.

  • Tipp 7 - Kriterien für Risikohöhe heranziehen

    Zur Bewertung der Risikohöhe geeignet sind zu Papier gebrachte Bewertungsmaßstäbe. Dies sind Zustandsbeschreibungen, die Dir helfen den Schaden bzw. die Eintrittswahrscheinlichkeit eines Risikos nachvollziehbar und strukturiert einzuordnen.

    Beispielsweise sind typische Kriterien für den Schaden bei Projekten der Zeitverzug, die Budgetüberziehung bzw. das Qualitätsdefizit.

    Bei der Bewertung der Eintrittwahrscheinlichkeit empfiehlt sich hingegen die Risiken übergreifend zu betrachten. Stelle dazu eine Rangliste der Risiken auf beginnend mit dem höchstwahrscheinlichsten. Führe alternativ einen Paarweisen Vergleich zwischen den Risiken durch und beurteile dann die Eintrittswahrscheinlichkeit erneut.

  • Tipp 8 - Sachverhalt exakt scopen

    Eine Risikoanalyse kostet (wiederkehrend) Zeit und Geld. Um den Aufwand erträglich zu halten und die Dauer zu minimieren, solltest Du zu Beginn peinlich genau den Scope fixieren.

    • Welche Ziele gilt es für die Risikolinderungsmaßnahmen zu betrachten?
    • Welche Prozesse sind Bestandteil der Risikoanalyse?
    • Für welche IT-Systeme müssen die Sicherheitsrisiken bewertet werden?

    Präzisiere haargenau die Ziele, den Sachverhalt und sein Umfeld.

  • Tipp 9 - Risikomanagement kontinuierlich verbessern

    Führe zum Projektende eine Lessons Learned Sitzung durch und betrachte in dieser ebenfalls das angewendete Risikomanagement. Hilfreich sind folgende Reflexionsfragen:

    • Welche aufgetretenen Probleme hätten durch Risikomanagement reduziert werden können?
    • Welche Probleme sind aufgrund unseres Risikomanagements erst gar nicht entstanden?
    • Welche Risikomanagementmaßnahme war im Nachhinein überflüssig, zum Zeitpunkt der Entscheidung jedoch richtig?

    Optimiere mit den Erkenntnissen Dein Risikomanagement für das Folgevorhaben.

  • Lesetipp

    Ein etwas anderen Zugang zum Thema Risikoanalyse verschaffst Du Dir mit dem Buch Bärentango: Mit Risikomanagement Projekte zum Erfolg führen*. Auch wenn das Werk von Tom DeMarco bereits einige Jahre auf dem Buckel hat, so erklärt es doch alle wichtigen Konzepte auf eine lesenswerte Art.


Ursprung

Vom Griechischen übersetzt bedeutet Risiko so viel wie 'Klippe' oder 'Gefahr'. Auch in der deutschen Umgangssprache ist der Begriff Risiko negativ behaftet. Alltagsfloskeln wie "Ein Risiko eingehen.", "Volles Risiko fahren!" oder "No Risk, no fun!" zeigen den hohen Stellenwert, den Risiken und ihre Beherrschung für Menschen im beruflichen und privaten einnehmen.

Dabei sind Risken etwas ganz natürliches. Sie gehören zu jeder Aktivität, jedem Projekt, jedem Unternehmen.

Die Risikoanalyse ist ein fester Bestandteil der Geschäftswelt. Versicherungen leben von der Bewertung und vom Tragen von Risiken. Auch für Banken ist die Risikobeurteilung ihrer Engagements eine tragende Säule im Geschäftsmodell.


Bonusmaterial

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

PMBackstage: Folge 14 - Risiken im Projekt managen (6,5 min)- Risikomanagement erklärt am Beispiel 'Streichen des Gartenzauns'

"Wenn die Dinge unter Kontrolle scheinen, bist Du einfach nur nicht schnell genug."

- Mario Andretti, US-amerikanischer Automobilrennfahrer

"Was schief gehen kann, geht schief."

Edward A. Murphy, US-amerikanischer Ingenieur

PDFDrucken

Du möchtest Consulting Methodenkompetenz als Buch?

  • 24 erprobte Consulting Tools auf > 200 Seiten
  • Mein Erfahrungswissen als eBook und Print
  • Kompakt erklärt und einfach umsetzbar
  • An einer Stelle direkt zum Nachschlagen
  • Bereits über 4.000 zufriedene Leser



    2 replies to "Die Risikoanalyse – relevante Gefahren erkennen & eindämmen"

    • Steve Zollner

      Vielen Dank für den informativen Artikel.

      Ich hab dazu noch eine kleine Anmerkung:
      Das Beispiel ist etwas inkonsistent. Sie schreiben, beim Free-Solo-Klettern ist man ohne Sicherungstechnik unterwegs. Bei den Auswirkungen des Risikos Absturz steht aber, dass man ins Kletterseil fällt Das passt nicht zusammen.

      • Dr. Christopher Schulz

        Hallo Steve,
        danke für Dein Feedback und den Hinweis. Ist korrigiert – beim Freiklettern bist Du mit einem Seil unterwegs. Christopher

Gib ein Kommentar

Your email address will not be published.