Zum Inhalt

Risikomanagement

Nachdem das Projekt finanziell abgesichert wurde, rückt nun die Unsicherheit in den Fokus: Projekte sind per Definition komplexe und in der Regel einmalige Vorhaben. Häufig ist unklar, welche Mittel genau zum Ziel führen, oder es müssen bekannte Ansätze in neuer Form kombiniert werden – und das stets unter veränderlichen Rahmenbedingungen. Genau daraus ergibt sich ihr innovativer Charakter, der Projekte deutlich unsicherer macht als einfache Routinetätigkeiten. Um diese Unsicherheiten zu minimieren, begleitet das Risikomanagement den gesamten Projektlebenszyklus. Ziel ist es, Risiken strukturiert zu identifizieren, zu analysieren, zu bewerten und zu steuern, sodass eine technisch saubere, termingerechte, rechtlich abgesicherte und wirtschaftlich erfolgreiche Umsetzung gewährleistet wird.

Kurzum: Risikomanagement ist der systematische Prozess, mit dem Sie Ihr Projekt absichern – gegen alle Ereignisse oder Situationen mit ungewissem Ausgang, die den Projekterfolg – sei es in Bezug auf das Gesamtprojekt, einzelne Ziele oder Arbeitsergebnisse – gefährden können. Welche Typen von Risiken Ihnen in die Quere kommen können und wie Sie ihnen Schritt für Schritt begegnen, zeigt das nächste Kapitel. Denn: Vorausschauendes Handeln ist die beste Grundlage für erfolgreiche Projekte.

Arten von Risiken

Risiken bedeuten zunächst einmal Unsicherheit, mit der Sie sich aber keineswegs abfinden müssen. Bringen Sie nur etwas System in die Sache, so dass gar nicht erst das Gefühl aufkommen kann, von allen Seiten umzingelt zu sein:

Externe Risiken

Externe Risiken liegen außerhalb des Projekts und somit nicht im direkten Einflussbereichs des Projektteams. Sie ergeben sich aus Veränderungen im rechtlichen, wirtschaftlichen oder gesellschaftlichen Umfeld. So können beispielsweise neu erlassene Gesetze zum Umweltschutz bei Ihrem Bauprojekt zu erheblichen Mehrkosten oder Verzögerungen führen. Da externe Risiken nicht aktiv gesteuert werden können, sind hier vorausschauende Analysen entscheidend.

Interne Risiken

Im Gegensatz zu den externen haben interne Risiken ihren Ursprung innerhalb des Projekts oder der Organisation – somit kann das Team hier aktiv eingreifen und gegensteuern. Sie betreffen häufig die Verfügbarkeit von Ressourcen oder aber auch die interne Kommunikation. Schlagen zum Beispiel Absprachen zwischen Teilprojekten fehl, können daraus sowohl finanzielle als auch terminliche Probleme erwachsen.

Operative Risiken

Operative Risiken sind kurzfristige, intern gelagerte Unsicherheiten, die das projektbezogene Tagesgeschäft betreffen und sich auf Termine, Kosten oder die Leistung auswirken können, jedoch den Gesamterfolg des Projekts nicht gefährden. Darunter fallen zum Beispiel Workshops oder Meetings, die verschoben werden müssen, wodurch sich einzelne Arbeitspakete leicht verzögern können.

Strategische Risiken

Strategische Risiken erwachsen aus den strategischen Entscheidung des Managements – wie der Einsatz neuer Technologien oder die Erschließung neuer Märkte – und sind somit langfristiger Natur. Da sie das Potenzial haben, sich zu kritischen Erfolgsfaktoren zu entwickeln, sollten diese im Zentrum der Aufmerksamkeit stehen.

Vertragliche Risiken

Diese Risiken entstehen durch unklare oder ungünstige Vertragsklauseln mit Lieferanten, Partnern oder Kunden. Sie können rechtliche oder finanzielle Folgen haben und lassen sich durch sorgfältige Vertragsgestaltung weitgehend vermeiden.

Technische Risiken

Technische Risiken betreffen die Machbarkeit und Umsetzung geplanter Lösungen und spielen daher insbesondere in innovativen Projekten eine große Rolle. Denn sowohl fehlende Expertise als auch technische Fehler bei Software oder Maschinen können die Realisierung eines Projekts erheblich erschweren.

Abhängigkeit als Risiko

Viele Risiken entstehen erst durch Abhängigkeiten zu anderen Projekten, Abteilungen oder externen Partnern. Veränderungen an diesen Schnittstellen können direkte Auswirkungen auf den eigenen Projektverlauf haben. Steht bei einem Zulieferer also aufgrund von Streiks oder auch technischen Problemen das Band still, kann dieser ein zugesagtes Bauteil womöglich nur mit Verzögerung liefern – in der Folge geht auch bei Ihrem Projekt in der Zwischenzeit nichts voran.

Risikomanagement: Der Prozess

Der Prozess des Risikomanagements vollzieht sich in einem klar strukturierten Ablauf, der sich in vier aufeinander aufbauende Teilschritte gliedern lässt: Am Beginn steht die Identifikation der Risiken, ohne die kein weiterer Schritt möglich wäre. Daran schließt sich die Analyse und Bewertung an, in deren Rahmen die erkannten Risiken hinsichtlich Eintrittswahrscheinlichkeit und möglicher Auswirkungen systematisch eingeordnet werden. Auf dieser Grundlage werden anschließend konkrete Steuerungsmaßnahmen entwickelt, um den identifizierten Risiken wirksam zu begegnen. Den Abschluss bildet die fortlaufende Überwachung und Kontrolle, die sicherstellt, dass Risiken nicht nur einmalig betrachtet, sondern während des gesamten Projektverlaufs konsequent beobachtet und bei veränderten Rahmenbedingungen neu bewertet werden.

Risikoidentifikation

Die Grundlage für den gesamten Prozess des Risikomanagements bildet die möglichst umfassende Identifikation potenzieller Risiken. Denn nur wenn es gelingt, ein Risiko als solches zu erkennen, kann es in der Folge auch bewertet, gesteuert und kontrolliert werden.

Entsprechend sollte die Risikoidentifikation strukturiert erfolgen. Anstatt ungeordnet alles festzuhalten, was spontan in den Sinn kommt, sollten Sie zunächst geeignete Risikokategorien definieren, anhand derer das Projekt gezielt abgeklopft werden kann. Auf diese Weise entsteht ein klarer Rahmen, der die Vollständigkeit der Erfassung erhöht und zugleich Überschneidungen reduziert. Als Orientierung können dabei die eingangs vorgestellten Risikoarten dienen, aber auch die Betrachtung des Projektumfelds mittels der bereits vorgestellten POSTUR-Analyse kann hier wertvolle Impulse liefern.

Nicht vernachlässigen sollten Sie zudem Wechselwirkungen. Denn ein Risiko kann mehrere Bereiche gleichzeitig betreffen oder gar durch seine Verknüpfungen mit weiteren Risiken verstärkt werden. Stellen Sie sich nur einmal vor, ein dringend benötigtes Bauteil kann aufgrund technischer Probleme eines Zulieferers nicht rechtzeitig geliefert werden. Dadurch gerät Ihr gesamtes Bauprojekt in Verzug und die Frist zur Fertigstellung kann nicht eingehalten werden. Sie sind dann erheblichen Vertragsstrafen ausgesetzt. Zudem schleichen sich bei Arbeiten unter Zeitdruck vermehrt Fehler ein. Am Ende ist nicht nur der Fertigstellungstermin in Gefahr, sondern auch die Qualität Ihres Bauvorhabens leidet unter der Verkettung der Risiken.

Die Risikoidentifikation ist zudem kein einmaliger Schritt, sondern sollte immer dann erneut durchgeführt werden, wenn sich die Rahmenbedingungen Ihres Projekts verändert haben. Für die praktische Umsetzung stehen Ihnen dabei unterschiedliche Techniken zur Verfügung:

  • Gerade am Anfang eines neuen Projekts kann es hilfreich sein, auf Lessons-learned-Checklisten zurückzugreifen, die auf den Erfahrungen bereits abgeschlossener Projekte basieren und somit mögliche Risikofelder aufzeigen. Allerdings sollten weder Sie noch der Risikomanager diese Checklisten im Alleingang bearbeiten! Binden sie stattdessen das gesamte Projektteam ein und profitieren Sie so vom kollektiven Wissen aller Beteiligten. Denn je mehr Abteilungen sie einbeziehen, desto umfassender und differenzierter werden sich die Risiken erfassen lassen.
  • Die Arbeit mit Checklisten lässt sich durch die Methode des Brainstormings ergänzen: In einem offenen Austausch von Ideen können innerhalb kürzester Zeit zahlreiche Risiken erkannt werden, die ohne den gegenseitigen Input womöglich unentdeckt geblieben wären. Jedoch empfiehlt es sich nicht, Brainstorming als einzige Methode einzusetzen, da es durch entstehende Gruppendynamiken auch zu voreiligen Schlüssen und damit zu Fehleinschätzungen kommen kann.
  • Um noch detailliertere Einblicke zu gewinnen, bieten sich Interviews mit Stakeholdern und Experten aus unterschiedlichen Fachbereichen an, da diese Gruppen abhängig von ihrem Standpunkt und ihren Prioritäten noch einmal ganz andere Sichtweisen einbringen können. Insbesondere dann, wenn Personen aus unterschiedlichen Bereichen getrennt voneinander befragt werden, können diese ihre Einschätzungen frei äußern, wodurch sich ein noch umfassenderes Bild ergeben kann.
  • Besonders umfassend ist schließlich ein Risikoworkshop, der sowohl zu Beginn des Projekts – beispielsweise in Kombination mit dem Kick-Off-Meeting – als auch in späteren Phasen durchgeführt werden sollte. Besonders sinnvoll ist ein Risikoworkshop immer dann, wenn die Organisation es entweder versäumt hat, Checklisten auf der Basis bereits abgeschlossener Projekte zu erstellen oder auch, wenn Ihr Projekt einen hohen Grad an Neuartigkeit aufweist, so dass nicht die Möglichkeit besteht, auf vorhandenes Wissen zurückzugreifen. Am Anfang des Workshops sollten Sie zunächst das Projekt vorstellen und im Zuge dessen auch die wesentlichen Dokumente wie den Projektstrukturplan, den Phasenplan oder auch die Spezifikation als Diskussionsgrundlage zur Verfügung stellen. Anschließend werden die Teilnehmende des Workshops dazu aufgefordert, mögliche Risiken auf kleinen Kärtchen zu notieren – es findet also eine Art Brainstorming statt. Die Ideen werden gesammelt, diskutiert und in einem nächsten Schritt – der im Folgenden noch genauer erläutert wird – nach Eintrittswahrscheinlichkeit, möglichem Schadensausmaß und erforderlichen Gegenmaßnahmen bewertet, stets unter Einbezug von Erfahrungswissen und unterschiedlichen Perspektiven.

Risikoanalyse und Risikobewertung

Nachdem die potenziellen Risiken möglichst umfassend identifiziert worden sind, schließt sich als nächster Schritt die Risikoanalyse und -bewertung an. Hierbei sollen sowohl die positiven als auch negativen Auswirkungen der erkannten Risiken erfasst werden, um anschließend die Eintrittswahrscheinlichkeit dieser Auswirkungen sowie die Wirksamkeit möglicher Gegenmaßnahmen zu beurteilen. Erst durch diese systematische Analyse wird es möglich, Risiken nicht nur zu beschreiben, sondern auch in ihrer Tragweite zu verstehen und zu priorisieren. Für die Analyse stehen grundsätzlich zwei methodische Ansätze zur Verfügung:

  • Qualitative Analyse: Hierbei werden Risiken in einfach gehaltenen Kategorien – etwa gering, mittel oder hoch – eingeordnet. Dieses Verfahren bietet den Vorteil einer schnellen und übersichtlichen Einschätzung, verzichtet jedoch auf exakte Zahlenwerte.
  • Quantitative Analyse: Im Gegensatz dazu wird bei der quantitativen Analyse mit konkreten Berechnungen gearbeitet. Hierbei fließen Zahlen, Wahrscheinlichkeiten und finanzielle Größen ein, die eine präzisere Grundlage für Entscheidungen schaffen.

Auf Grundlage der Analyseergebnisse erfolgt die eigentliche Bewertung der Risiken. Diese kann in unterschiedlicher Form vorgenommen werden:

  • Monetäre Bewertung: Eine Methode der Quantifizierung von Risiken ist die monetäre Bewertung. Dabei wird der potenzielle finanzielle Schaden ermittelt, der einer Organisation im Falle des Risikoeintritts entstehen würde. Beispielhaft lässt sich fragen, welche Vertragsstrafe zu zahlen wäre, wenn sich der Projektabschluss um mehrere Wochen verzögert, oder wie sich eine verspätete Markteinführung auf die erwartete Gewinnspanne auswirken würde. Solche Überlegungen übersetzen die abstrakte Gefahr in greifbare wirtschaftliche Konsequenzen und erleichtern damit die Gewichtung der Risiken.
  • Bewertung der Wahrscheinlichkeit: Neben der finanziellen Dimension spielt auch die Eintrittswahrscheinlichkeit eine zentrale Rolle. Sie beschreibt, wie wahrscheinlich es ist, dass ein bestimmtes Risikoereignis tatsächlich eintritt. Da es sich hierbei in den meisten Fällen um eine subjektive Einschätzung handelt, wird die Wahrscheinlichkeit typischerweise auf einer Skala von 0 % bis 100 % angegeben. Ein Wert von 0 % bedeutet, dass das Risiko mit Sicherheit nicht eintreten wird, während 100 % einem sicheren Eintritt gleichkommen und somit per Definition kein Risiko mehr vorliegt, denn in diesem Fall handelt es sich schlicht um eine Gewissheit.

Erst die Kombination beider Größen – der Eintrittswahrscheinlichkeit und der potenziellen Auswirkungen – erlaubt eine umfassende Bewertung. Mathematisch lässt sich dieser Zusammenhang in folgender Formel darstellen:

Risikowert = Wahrscheinlichkeit des Eintretens (%) × Auswirkung im Eintrittsfall (CHF)

Mit Hilfe dieses Risikowerts können Risiken miteinander verglichen, priorisiert und gezielt gesteuert werden. Dadurch entsteht ein belastbares Fundament für die anschließende Planung von Maßnahmen, die entweder die Eintrittswahrscheinlichkeit und/oder die Auswirkungen einer Bedrohung verringern.

Risikosteuerung

Nachdem alle Risiken identifiziert, analysiert und bewertet worden sind, folgt die Phase der Risikosteuerung. Es werden nun konkrete Strategien entwickelt, mit denen Risiken vermieden, reduziert, vermindert, übertragen oder – falls sinnvoll – akzeptiert werden können. Welche Strategie dabei gewählt wird, hängt unmittelbar von den Ergebnissen der vorangegangenen Bewertung ab: Ein Risiko mit hohem Schadenspotenzial erfordert in der Regel andere Maßnahmen als ein Risiko mit geringer Tragweite.

Zur Steuerung stehen unterschiedliche Ansätze zur Verfügung:

  • Risikovermeidung: Hierbei wird angestrebt, das Risiko vollständig auszuschließen, indem riskante Aktivitäten von vornherein vermieden oder durch risikoärmere Alternativen ersetzt werden. So kann es sinnvoll sein, ein Projektziel anzupassen, den Zeitplan zu verändern oder auf besonders unsichere Technologien zu verzichten. Die Risikovermeidung gilt als die konsequenteste, aber auch einschränkenste Form des Umgangs mit Risiken, da sie unter Umständen erhebliche Veränderungen im Projekt erfordert.
  • Risikoreduktion: Unter Risikoreduktion versteht man Maßnahmen, die darauf abzielen, die Eintrittswahrscheinlichkeit eines Risikos zu verringern. Beispiele hierfür sind zusätzliche Qualitätssicherungsmaßnahmen, eine detailliertere Projektplanung oder die Einführung von Frühwarnsystemen, die rechtzeitig auf sich abzeichnende Probleme hinweisen. Ziel ist es , das Risiko nicht völlig auszuschalten, wohl aber die Wahrscheinlichkeit seines Eintritts zu reduzieren.
  • Risikominderung: Anders als bei der Reduktion steht hier nicht die Eintrittswahrscheinlichkeit, sondern die Schwere der Auswirkungen im Fokus. Sollte das Risiko eintreten, sollen vorbereitete Maßnahmen die Folgen abmildern. Dies geschieht etwa durch Notfallpläne, redundante Systeme oder durch die Bereitstellung von Reserven, die im Ernstfall rasch aktiviert werden können.
  • Risikotransfer: Eine weitere Strategie besteht darin, das Risiko ganz oder teilweise auf Dritte zu übertragen. Dies geschieht beispielsweise durch Versicherungen, die bestimmte Schadensfälle abdecken, oder durch die Auslagerung risikobehafteter Aufgaben an externe Dienstleister, die über entsprechende Expertise verfügen und zugleich die Haftung übernehmen. Durch den Transfer verschiebt sich die Verantwortung, das Risiko selbst bleibt jedoch bestehen.
  • Risikoakzeptanz: Nicht jedes Risiko rechtfertigt aufwendige Maßnahmen. Wenn die Eintrittswahrscheinlichkeit gering ist oder die Kosten der Gegenmaßnahmen den möglichen Schaden übersteigen, kann es sinnvoll sein, das Risiko bewusst in Kauf zu nehmen. Allerdings bedeutet dies nicht, das Risiko gänzlich aus dem Blick zu verlieren. Vielmehr empfiehlt es sich, ein Monitoring einzurichten und reaktive Maßnahmen vorzubereiten, um im Ernstfall schnell handeln zu können.

Die Maßnahmenplanung bildet den Abschluss der Risikosteuerung. Für alle Risiken mit hohem Risikowert und folglich hoher Priorität werden detaillierte Handlungspläne erstellt, die klare Verantwortlichkeiten, Abläufe und Ressourcen festlegen. Auf diese Weise wird sichergestellt, dass das Projektteam im Bedarfsfall nicht improvisieren muss, sondern auf erprobte Vorgehensweisen zurückgreifen kann. Damit trägt die Risikosteuerung entscheidend zur Stabilität und Resilienz des Projekts bei.

Risikoüberwachung und Kontrolle

Die Risikoüberwachung und -kontrolle ist der letzte und zugleich fortlaufende Schritt des Risikomanagements. Ziel ist es, die identifizierten Risiken im Verlauf des Projekts regelmäßig zu überprüfen und sicherzustellen, dass sie unter Kontrolle bleiben. Denn Risiken verändern sich im Laufe der Zeit: Neue Gefahren können entstehen, während bestehende an Bedeutung verlieren oder durch bereits eingeleitete Maßnahmen abgemildert werden.

Sobald Anzeichen dafür erkennbar sind, dass ein Risiko tatsächlich einzutreten droht, müssen die zuvor definierten Gegenmaßnahmen unverzüglich aktiviert werden. Ebenso wichtig ist es, deren Wirksamkeit kontinuierlich zu überprüfen. Nur wenn die Maßnahmen nachweislich den gewünschten Effekt erzielen, erfüllen sie ihren Zweck. Andernfalls sind sie anzupassen oder durch alternative Vorgehensweisen zu ersetzen.

Da Risikomanagement kein einmaliger Vorgang, sondern ein permanenter Prozess ist, bedarf es klarer Verantwortlichkeiten. Es empfiehlt sich, konkrete Personen zu benennen, die sowohl die Überwachung übernehmen als auch im Bedarfsfall die Umsetzung von Maßnahmen sicherstellen. Dabei ist es von Vorteil, wenn diese Verantwortlichen in engem Zusammenhang mit den jeweiligen Risikobereichen stehen, da sie die Auswirkungen am besten einschätzen und notwendige Entscheidungen am schnellsten treffen können.

Durch diese konsequente Überwachung und Kontrolle wird gewährleistet, dass Risiken nicht nur theoretisch, sondern auch praktisch beherrscht werden – und das Projekt selbst unter unsicheren Rahmenbedingungen auf einem stabilen Kurs bleibt.

Ein wirksames Risikomanagement hilft dabei, Unsicherheiten zu erkennen und zu steuern. Um Risiken jedoch auch praktisch beherrschbar zu machen, sind klare Strukturen notwendig. Erst wenn Zuständigkeiten, Entscheidungswege und Kommunikationslinien eindeutig geregelt sind, kann ein Projektteam schnell und wirksam reagieren. Die nächste Frage lautet daher: Wie muss ein Projekt organisiert sein, damit Planung, Steuerung und Zusammenarbeit reibungslos funktionieren? Genau damit beschäftigt sich das folgende Kapitel zur Projektorganisation.