Projektrisikomanagement umfasst die möglichst vollständige Identifikation und Bewertung von Projektrisiken sowie die Ergreifung entsprechender Maßnahmen zur Reduktion derselben. Projektrisiken umfassen alle potenziellen Abweichungen hinsichtlich Zeit- und Budgeteinhaltung des Projekts sowie bezüglich Qualität und geplanter Funktionalitäten der Software.
Risikomanagement in Softwareprojekten
Das Projektrisikomanagement stellt ein strukturiertes System bereit, das die Risiken eines Projektes kontrollierbar macht, sodass diese während des gesamten Projektverlaufs überschaubar und kalkulierbar bleiben [Wiegers 2007]. Projektrisiken stellen potenzielle Abweichungen entlang der Zieldimensionen Budget- und Zeiteinhaltung sowie Qualität und Funktionsumfang der resultierenden Software dar und lassen sich durch Eintrittswahrscheinlichkeit und Abweichungshöhe beschreiben. In der Praxis werden dabei meist nur negative Abweichungspotenziale betrachtet.
Die Fortschrittsüberwachung von Softwareprojekten gestaltet sich aufgrund der Immaterialität von Software besonders schwierig. Auch die kreativen Anteile in der Softwareentwicklung führen dazu, dass Softwareprojekte trotz ihres Umfangs oft ohne ausreichende Kontrollen ablaufen. Typische Risikotreiber sind folglich unzureichende Dokumentationen und fehlerhafte Versionierungen, die zu Quellcodeverlusten, redundanten Implementierungen und der Einbindung entwicklungstechnisch veralteter Module führen [Gaulke 2001]. Auch die Abhängigkeit vom Auftraggeber, der häufig vorab nur unzureichende Anforderungen spezifiziert und diese während des Projektverlaufs immer weiter detailliert und erweitert, stellt einen bedeutsamen Risikotreiber dar.
Viele Risikofaktoren, die später zu großen Schäden führen können, lassen sich schon bei Projektbeginn erkennen [GPM 2004]. Hierfür ist eine detaillierte Analyse der Projektstruktur und der Rahmenbedingungen notwendig (Projektgröße/-komplexität, Abhängigkeiten von externen Dienstleistern, Auftraggebern usw.). Methodische Hilfestellung bieten neben den Vorgehensmodellen zur Softwareentwicklung bspw. Simulationsansätze, die auf einer historischen Datenbasis vergleichbarer Projekte die Schätzung von Wahrscheinlichkeiten für das Nichterreichen von Projektzielen ermöglichen. Mit Hilfe mathematischer Optimierungsansätze lässt sich dann die risikoreduzierende Wirkung verschiedener Managementmaßnahmen evaluieren [Wack 2006].
Üblicherweise wird im Projektrisikomanagement zwischen Risikobewertung und -kontrolle unterschieden, wobei sich erstere in Risikoidentifikation, -analyse und -priorisierung untergliedert, während die Risikokontrolle die Risikoplanung, -behandlung und -überwachung umfasst [Boehm 1991].
Die Softwareprojektziele stehen konfliktär zueinander, weswegen das Projektrisikomanagement nur innerhalb des Gesamtprojektmanagements effektiv agieren kann. So erfordert die Beschleunigung eines verspäteten Projekts eine Kostenerhöhung oder Reduktion des Softwarefunktionsumfangs. Das Risikomanagement kann hier notwendige Entscheidungen nur vorbereiten; getroffen werden sie jedoch durch Projektleitung/Auftraggeber [Ahrendts, Marton 2008].
Die mit risikoreduzierenden Maßnahmen einhergehenden Kosten müssen gegen die Vorteile der Risikoreduktion abgewogen werden. So muss bspw. bei der Bereitstellung von Sicherheitsreserven zur Vermeidung von Ressourcenengpässen kalkuliert werden, ob diese Maßnahme nicht schwerer wiegt als ein möglicher Projektverzug.
Empirische Ergebnisse: Die SUCCESS-Studie 2006 hat für den deutschen Softwaremarkt gezeigt, dass das Projektergebnis unabhängig davon ist, ob Projektrisikomanagement betrieben wird oder nicht [Buschermöhle, Eekhoff, Josko 2006]. Gründe dafür können sein, dass Projektrisikomanagement häufig nur formell und zu Beginn eines Projekts betrieben wird (bspw. um den Anforderungen eines Vorgehensmodells zu genügen), und dass effektives Risikomanagement eine detaillierte und breite historische Datenbasis benötigt, um Risiken hinsichtlich Schadensausmaß und Eintrittswahrscheinlichkeit tatsächlich präzise abschätzen zu können. Diese Datenbasis liegt jedoch nur selten vor und lässt sich aufgrund des hohen Innovationscharakters von Software meist auch nur unzureichend auf ein neues Projekt übertragen. Ein weiterer Grund ist das Problem der Einbeziehung der Auftraggeber und zukünftigen Anwender, die häufig ihre Anforderungen vorab nur unzureichend spezifizieren, diese aber im Projektverlauf immer weiter ergänzen. Damit übereinstimmend weist Jones [1994] die Interaktion mit dem Auftraggeber auch als den bedeutendsten Projektrisikofaktor nach. Ein weiteres Problem ist das sog. “escalation of commitment”-Phänomen, welches beschreibt, dass Projektverantwortliche auch an dann an der Fortführung von Projekten festhalten, wenn sich deren Versagen abzeichnet [Keil, Mann, Rai 2000].
Literatur
Ahrendts, Fabian ; Marton, Anita: IT-Risikomanagement leben! Wirkungsvolle Umsetzung für Projekte in der Softwareentwicklung. Heidelberg u.a. : Springer,2008.
Boehm, Barry W.: Risk Management Practices: The Six Basic Steps. In: Boehm, Barry W. (Hrsg.): Software Risk Management. New York : IEEE Press, 1991, pp. 115-147.
Buschermöhle, Ralf ; Eekhoff, Heike ; Josko, Bernhard: SUCCESS – Erfolgs- und Misserfolgsfaktoren bei der Durchführung von Hard- und Softwareentwicklungsprojekten in Deutschland. Studienreport, Oldenburg, 2006. http://subs.emis.de/LNI/Proceedings/Proceedings93/GI-Proceedings-93-42.pdf(Download am 30.08.2011).
GPM (Deutsche Gesellschaft für Projektmanagement e.V.): Projektmanagement-Fachmann. 8. Auflage. Eschborn : RKW-Verlag, 2004.
Gaulke, Markus: Risikomanagement bei Softwareentwicklung und -einführung. In: KES – Zeitschrift für Kommunikations- und EDV-Sicherheit (2001) Nr. 4, S. 40-42.
Jones, Capers: Assessment and Control of Software Risks. Yourdon Press Computing Series, Englewood Cliffs, NJ : Prentice Hall, 1994.
Keil, Mark ; Mann, Joan ; Rai, Arun: Why Software Projects Escalate: An Empirical Analysis and Test of Four Theoretical Models 24(2000) Nr. 4, S. 631–664.
Wack, Jessica: Risikomanagement für IT-Projekte. Wiesbaden : Deutscher Universitäts-Verlag, 2006.
Wiegers, Karl. E.: Practical Project Initiation: A Handbook with Tools. Redmond, WA : Microsoft Press, 2007. (Chapter 6 „Know your Enemy: Introduction to Risk Management”, ursprünglich veröffentlicht in: Software Development 6(1998) Nr.10, S. 38–42).