Risikoreviews und Risikomanagementaudits – was ist der Unterschied?

Risikoreviews und Risikomanagement-Audits sind zwei wichtige Aktiviäten bei Projekten. Oft werden diese beiden Methoden jedoch im gleichen Zusammenhang genannt. Viele Projektbeteiligte wissen jedoch nicht was der Unterschied zwischen diesen zwei Methoden ist. Wissen Sie es?
Nachfolgend beschreibe ich Ihnen hier diese beiden Methoden und zeige Ihnen wie Sie diese anwenden.

Risikoreviews

Sie und ihr Team haben sich mit der Risikoidentifizierung, der Risikoanalyse und Maßnahmenplanung viel Mühe gegeben und eine Liste mit wirklich relevanten Risiken zusammengetragen. Gratuliere, wirklich gut gemacht! Risikomanagement ist aber keine einmalige Angelegenheit, sondern ein kontinuierlicher Prozess, denn die Welt sieht nach kurzer Zeit schon wieder etwas anders aus. Diese neuen Umstände, Veränderungen und das neue Wissen müssen Sie wieder in die Risikomanagement-Aktivitäten einfließen lassen.

Ihre Risikoliste ist schnell veraltet. Gewisse Risiken lösen sich mit der Zeit in Luft auf (hoffentlich), einige treten leider ein, und bei den anderen Risiken verändern sich die Eintrittswahrscheinlichkeit, Auswirkung usw. Deshalb müssen Sie von Zeit zu Zeit einen Blick auf Ihre Risikoliste werfen und die Risiken neu beurteilen. Die machen Sie mit Risikoreviews. Wie oft sollten Sie diese durchführen? Ich empfehle Ihnen sich für diese Tätigkeit ca. alle 2-4 Wochen, abhängig von der Projektdauer, eine Stunde Zeit zu reservieren. An dieser Risikoreview-Sitzung sollte wenn möglich das ganze Projektteam teilnehmen – falls es nicht zu groß ist. Bei grossen Projekten kann es das Projektkernteam sein.

Die Welt sieht nach 2 Wochen schon wieder anders aus. Diese neuen Umstände und das neue Wissen müssen wieder in die Risikomanagement-Aktivitäten einfließen.

So führen Sie ein Risiko-Review durch

Die Risikoliste, die Sie Ihrem Team aushändigen, sollte so sortiert sein, dass zuoberst die Risiken mit dem Status „Neu“ stehen. Diese wurden seit dem letzten Risikoreview neu identifiziert und wurden bis jetzt noch nicht gemeinsam angeschaut. Diese Risiken müssen Sie deshalb vor allen Anderen detailliert anschauen.

1. Zuerst die neuen Risiken:

  1. Fragen Sie das Projektteam, ob noch Risiken bekannt sind, die auf der Liste fehlen
  2. Überprüfen Sie, ob die Risiken verständlich beschrieben sind
  3. Definieren/überprüfen Sie Eintrittswahrscheinlichkeit und Auswirkung
  4. Definieren/überprüfen Sie die Maßnahmen
  5. Definieren Sie für jedes Risiko einen Risikoverantwortlichen, der das Risiko und die Maßnahme überwacht
  6. Ändern Sie den Status von “Neu” zu “Offen”

2. Dann die offenen Risiken (sortiert nach Risikowert*, größter Wert zuoberst)

  1. Überprüfen Sie, ob die Risiken immer noch relevant und up-to-date sind
  2. Überprüfen Sie die Eintrittswahrscheinlichkeit und Auswirkung
  3. Überprüfen Sie mit dem Risikoverantwortlichen den Status des Risikos und der Maßnahmen
  4. Überprüfen Sie, ob die Maßnahmen immer noch gültig/relevant sind
  5. Ändern Sie den Risikostatus von “Offen” nach “Geschlossen” wenn das Risiko nicht mehr existiert

(* Risikowert = Eintrittswahrscheinlichkeit x Auswirkung)

Besonders der Punkt der neuen Risiken darf nicht vernachlässigt werden. Neue Risiken können jederzeit entstehen, innerhalb des Projektes oder aus dem Projektumfeld. Auch einen Blick auf zurzeit laufende oder zukünftige Aktivitäten könnten Hinweise auf neue Risiken liefern.

Jegliche Änderungen von Risiken benötigen eine neue qualitative und/oder quantitative Risikoanalyse und eventuell eine neue Priorisierung der Risiken. Wichtig ist, dass Risikoreviews kein Ersatz sind für den Tagesordnungspunkt „Risiken“ bei den wöchentlichen Projektstatussitzungen. Planen Sie Risikoreviews fix im Projektkalender ein, damit sie “nicht vergessen” gehen.

Eine Stunde für ein Risikoreview von 30-40 Risiken sollte mehr als genügen. Wir nehmen uns meistens nur 30 Minuten Zeit dafür. Diskutieren Sie nicht lange herum. Sollen Sie sich nicht einig werden so entscheidet der Projektleiter. Wenn die Zeit für die letzten Risiken nicht mehr ausreicht ist dies kein Unglück, denn bei diesen handelt es sich dann eh um die kleinsten Risiken. Sie sollten aber mindestens nächstes Mal drankommen.

Risikomanagementaudits

Risikomanagementaudits sind eine Qualitätssicherungsmaßnahme des Project Management Offices (PMO) oder der internen Revision, bei internen Projekten. Bei externen Projekten überprüfen Sie als Auftraggeber, ob Ihr externer Auftragnehmer das Risikomanagement im Griff hat. Eine solche Maßnahme sollte vertraglich abgemacht werden und lohnt sich nur bei sehr großen Projekten.

Bei Risikomanagementaudits überprüfen Auditoren, ob der definierte Risikomanagementprozess für Projekte mit den geforderten Aktivitäten eingehalten wird. Wichtige Punkte dabei sind:

  • Kontinuität der Risikomanagement-Aktivitäten
  • Verwendete Methoden zur Risikoidentifikation
  • Qualität der gefunden Risiken: Wurden z.B. statt Risiken nur Tatsachen oder aktuelle Probleme identifiziert?
  • Welche Parteien wurden in die Risikoidentifikation involviert?
  • Qualität der Auswertung und Dokumentation der Risiken
  • Kommunikation der Risiken
  • Wirksamkeit der Maßnahmenüberwachung und -umsetzung

Risikomanagementaudits sollten theoretisch bei allen Projekten des Projektportfolios einmal ausgeführt werden. Das wäre natürlich viel zu aufwändig! Deshalb werden sich die Auditoren auf eine kleine Auswahl von Projekten beschränken. Hauptfokus sollten die wichtigsten, größten und strategischen Projekte sein.

Risikomanagementaudits geben den Projektteams ein klares Zeichen: Das Thema wird im Unternehmen ernst genommen. “Mein Projekt könnte der nächste Kandidat sein”. Deshalb sollte auch ab und zu ein nicht strategisches, kleineres Projekt geprüft werden. Machen aber Sie solche Audits nicht zu aufwändig, den es wird damit kein Kundennutzen generiert.

Risikomanagement-Audits fördern die Risikomanagement-Kultur im Unternehmen.

Wenn ein Unternehmen Risikomanagementaudits einführt, so fördert das automatisch die Einhaltung der Risikomanagementvorgaben. Gleichzeitig steigert dies die Risikomanagement-Kultur im Unternehmen.

Machen Sie Sie Risikomanagement aus Überzeugung

Risikomanagement-Audits sind keine zwingende Maßnahme in der Projektorganisation, Risikoreviews hingegen schon. Wer seine Risiken nicht im Griff hat und kontinuierlich reviewt wird oft von vielen “unerwarteten” Problemen überrascht. Mein Tipp: Machen Sie Risikomanagement aus Überzeugung!

Was haben Sie für Erfahrungen mit Risikoreviews und Risikomanagement-Audits gemacht? Ich freue mich auf Ihren Kommentar zu diesem Beitrag.

Wollen Sie mehr über das Risikomanagement bei Projekten erfahren? Meine Bücher über Projekt-Risikomanagement bringen Sie einen wichtigen Schritt weiter!Risikomanagement-Buch

Kennen Sie jemanden, den dieser Beitrag auch interessieren könnte? Dann leiten Sie ihn einfach weiter oder teilen ihn. Danke!

Posted in Risikomanagement.

Leave a Reply

Your email address will not be published. Required fields are marked *