Blog | Projektmanagement

Potenzielle Risiken überwachen oder: „Mit Allem rechnen!“

Der PmBok Guide ist   Basis der PMP Prüfung und widmet dem Wissensgebiet "Risikomanagment" 6 Prozesse und 45 DIN A4 Seiten. Neuerdings im PmBok Guide 6th sogar 7 Prozesse.

Bei der Überwachung von Risiken geht es nicht um eine Problemlösung. Es geht um die Sammlung von Daten und Indikatoren, die einen Risikoeintritt erkennbar machen, oder auch Risiken in Ihrer Wertigkeit auf oder abqualifizieren.

Die Problemlösung wird im Rahmen der Planung der Risikobewältigungsmaßnahmen vorweggenommen. Wurden Risiken nicht erkannt, was nicht heißt das es sich um ein „Unknown Unknown“ (Risiken, die nicht identifizierbar und bewertbar sind) handelt, existieren keine Bewältigungsmaßnahmen. Auch kann es sein, dass die Bewältigungsmaßnahmen für ein Risiko nicht greifen. In beiden Fällen spricht man in diesemKarikatur: Ein Projektmanager wir vom Sponsor zurech gewiesen, wegen seiner negativen Sichtweise Kontext von „Krisenmanagement“. Risikomanagement agiert antizipierend, Krisenmanagement reagiert nach Eintritt einer Bedrohung.

Das größte, realistische Risiko für mittlere bis kleine Unternehmen, das allerdings dann i.d.R. Projektübergreifend stattfindet, ist ein IT Systemausfall. Natürlich wäre der Gau eines nahe gelegenen Atomkraftwerks ein noch größeres Desaster, liegt aber gegenüber dem IT Systemausfall Ausfall von der Eintrittswahrscheinlichkeit her, immer noch extrem weiter im grünen Bereich.

Warum wähle ich gerade dieses Beispiel? Es geht im Folgenden nicht darum IT Risikomanagement zu betreiben. Falls Sie aus der IT kommen, hat dieses Beispiel für Sie einen zusätzlichen Nutzen.

Nein, es geht darum, deutlich zu machen, wie komplex Risiko  Identifizierung und die damit verbundene Überwachung sein kann. Für kein anderes Risiko dieser „Auswirkungskategorie“, existieren ähnlich viele auslösende Risiken oder sonstige Trigger, wie für einen IT Systemausfall. Von daher soll anhand dieses Beispiels aufgezeigt werden, in wie viele Richtungen die Überwachung „denken“ muss, letztendlich schon festgelegt im Rahmen der Risikoidentifizierung.

IT Systemausfall

Der IT Systemausfall ist häufig ein Komplementär Risiko. Ein anderes Risiko muss eintreten, damit der IT Systemausfall eintritt. Ein Tsunami bspw. wäre ein typisches Komplementär Risiko, wenn es durch ein Erdbeben ausgelöst wird. Anders ist ein Tsunami kaum denkbar. Vielleicht noch der Abbruch riesiger Eisberge. Der einzig denkbare Fall für einen IT Systemausfall, kein Komplementär Risiko oder durch einen Trigger ausgelöstes Risiko zu sein, wäre eine immanent oder originär auftretende Problematik, bspw. ein Anwendungsrisiko, Bereitstellungsrisiko oder Integritätsrisiko. Für den Ausfall einer IT Landschaft existieren aber viele externe Risiken oder andersartige Trigger:

  • Eine Brandkatstrophe würde vor Ort die IT zerstören. Nicht nur das Feuer selbst, auch Ruß kann Schaden anrichten. Projekte würden je nach Ausmaß erheblich verzögert oder, falls es Kundenprojekte mit Terminzwang sind, durch den Betriebsausfall sogar abgebrochen. Neue Projekte würden nicht gestartet. Kunden wandern ab.
  • IT Systemausfälle durch Hacker waren schon immer ein Risiko, heute sollte die Eintrittswahrscheinlichkeit aber im roten Bereich liegen. Hacker Angriffe sind heutzutage sogar ein Problem für Großunternehmen. Wobei Hacker Angriffe nicht unbedingt direkte Risiken für Projekte darstellen, eher für das Unternehmen selbst. Viele Hacker Angriffe fallen sogar gar nicht auf.
  • Die Mitarbeiter der IT selbst bilden ein Risiko durch nicht autorisierte Handlungen oder fehlender Kompetenz. Externe Mitarbeiter können Daten entwenden und Mitwettbewerbern zuspielen, auch als „Vertraulichkeitsrisiken“ bezeichnet.
  • Das Fehlen redundante Server Systeme, die Daten des Projekts oder Unternehmens an anderer Stelle  sichern würden. Hier handelt es sich um einen Fakt als Auslöser, kein Risiko. Für Großunternehmen ist das in der Regel kein Problem, da Daten teilweise sogar über Kontinente hinweg redundant gesichert werden.
  • Technische Entwicklungen stellen Risiken dar. Entscheidungen für eine Investition in eine IT Technologie, die sich nicht durchsetzt, kann erhebliche Risiken bergen. Wir investieren in eine PM Software, die durch unsere Kundenklientel nicht genutzt wird.
  • Speziell auf Projekte bezogen, können fehlende Sicherheitsmaßnahmen für den Zugriff auf sicherheitsrelevante Daten Risiken erzeugen. Wobei die Ursache selbst kein Risiko darstellt, sondern einen Fakt.
  • Ersatznetzwerke die die alte Technologie ablösen soll, stellen Risiken dar.

Nun, durch das Beispiel wird deutlich, dass ein Risiko aus unterschiedlichsten Perspektiven beurteilt werden muss und die Überwachung sich auf diese Ursachen und Möglichkeiten konzentrieren muss. Nun ist die Möglichkeit eines Brandes sehr gering. Trotzdem – in dem Fall auf der Unternehmensebene – muss darüber nachgedacht werden, „was wäre wenn“?

Das gilt auch für jedes Projekt!

Renee Ossowski, PMP

Bleiben Sie auf dem Laufenden, bestellen Sie unseren Newsletter: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Sie erreichen uns jetzt auch in Facebook: https://www.facebook.com/Habitualisierung/

Die SONOXO Akademie GmbH Salzburg und die SONOXO GmbH Berlin sind Schwesterfirmen, die es sich zum Ziel gesetzt haben, durch Erfahrungen aus der Praxis sowie Entwicklungen von Curricula, sich gegenseitig zu befruchten. Kein klassisches Trainingsunternehmen zu sein - diese Philosophie kommt unseren Teilnehmern sehr zu Gute.

 

Geben Sie uns Ihr Feedback! Bitte melden Sie sich an, um einen Kommentar zu posten!