Wenn Risikomanagement so wichtig ist: Warum wird es dann so selten gemacht?

Gut, so sollte ich das nicht stehen lassen; ich kenne Firmen, die das Risikomanagement sehr ernst nehmen und es auch ordentlich umsetzen. Aber nach meiner Beobachtung überwiegen folgende Fälle:

Wenn Risikomanagement so wichtig ist: Warum wird es dann so selten gemacht?

Gut, so sollte ich das nicht stehen lassen; ich kenne Firmen, die das Risikomanagement sehr ernst nehmen und es auch ordentlich umsetzen. Aber nach meiner Beobachtung überwiegen folgende Fälle:

  • Risikomanagement wird gar nicht gemacht.
  • Es gibt dazu in größeren Unternehmen ein Kapitel in einem Firmenhandbuch, aber die Beschreibung ist lückenhaft, und ein Sinn, der über bloße Informationspflichten hinausführt, ist nicht erkennbar.
  • Einzelne Bereiche oder Abteilungen dieser Unternehmen setzen die Vorschriften nicht um.
  • Es gibt keine Lessons Learned, auf die beim Start eines neuen Projekts zurückgegriffen wird.

Aber so gut wie immer steht dem die Forderung des Managements gegenüber, es mögen doch bitte alle das Risikomanagement ernst nehmen, weil es eine sehr hohe Bedeutung für die Firma habe. Angesichts dieser kognitiven Dissonanz stelle ich also die Frage anders:

Wenn Risikomanagement so wichtig ist: warum wird es dann so selten vernünftig gemacht?

Ich sehe dafür verschiedene Gründe:

  1. Der Mensch mag keine Unsicherheit. Wir haben alle den Schreibtisch voll mit zu erledigenden Aufgaben und Problemen, die unbedingt gelöst werden müssen. Warum sich also mit Ereignissen beschäftigen, die eventuell gar nicht eintreten?
  2. Wir ersetzen gern Planungssicherheit durch das Prinzip Hoffnung. Risikomanagement kostet Zeit und Geld. Wenn aber das Projekt erfolgreich abgeschlossen wurde, und es ist kein Risiko zum Problem geworden, dann sehen wir dem Ergebnis nicht mehr an, ob Risikomanagement überhaupt gemacht wurde. D. h. es ist in diesem Fall keine Wertschöpfung erkennbar. Ähnlich ist es übrigens beim Qualitätsmanagement.
  3. Wenn wir es mit Risiken zu tun haben, die so selten sind, dass wir ihr Eintreten oder Nicht-Eintreten nicht statistisch auswerten können, werden wir nie erfahren, wie gut unser Risikomanagement war. Denn die Wirklichkeit kennt nur Wahrscheinlichkeiten von 0% oder 100%; wie gut war also unsere Einschätzung von z.B. 40%? Und ob wir die richtigen Gegenmaßnahmen ergriffen haben, wissen wir nur, wenn das Risiko tatsächlich zum Problem wird. Andernfalls haben wir vielleicht zu viel getan…
  4. Im Vergleich damit ist Projektmanagement herrlich eindeutig. Wenn wir die Anforderungen der Stakeholder an Produkt und Projekt zu 100% erfüllen, dann wissen wir, dass wir das Projekt gut genug geleitet haben. Und im Umkehrschluss: sind wir schlechte Projektmanager, werden wir die (hohen) Anforderungen verfehlen. Also können wir unsere eigene Performance mit dem Projektergebnis in Verbindung bringen. Das können wir als Risikomanager in der Regel nicht.
  5. Und neben all diesen Gründen habe ich noch einen besonders perfiden Verdacht: Könnte es sein, dass die Regelwerke, die uns in den Schwierigkeiten des Risikomanagements Führung und Anleitung geben sollen, nicht in jedem Fall sinnvoll und zielführend sind? Dazu gehören: gesetzliche Vorschriften, PM-Standards, sowie die daraus abgeleiteten Passagen in Firmenhandbüchern.

Weniger Gedanken machen über Ursachen und Wahrscheinlichkeiten

Hinweise darauf gibt N.N. Taleb in seinen Büchern (Der schwarze Schwan, Antifragilität). Mit der ihm eigenen Rigorosität empfiehlt er (sinngemäß – ich erlaube mir eine freie Formulierung), das herkömmliche Risikomanagement „in die Tonne zu treten“. Ihm läge die Annahme von „Kasino-Risiken“ zugrunde, die mit dem Verhalten realer Risiken in einer realen Welt nichts zu tun hätten.

Seine Empfehlung ist, dass wir uns nicht so viele Gedanken über Ursache und Wahrscheinlichkeiten von Risiken machen sollten (genau das fordern ja alle gebräuchlichen Risikomanagement-Prozesse); die Welt sei viel zu kompliziert (bzw. komplex/chaotisch/evolutionär), als dass wir damit Erfolg haben könnten. Stattdessen sollten wir uns darauf konzentrieren, wie wir besser mit unerwarteten Vorkommnissen leben oder sogar davon profitieren könnten.

Wie viel Risikomanagement brauchen wir?

Und ich denke, daran ist viel Wahres (ca. 73%; als geschulter Projektmanager kann ich’s nicht lassen). Damit die Vorschriften zum Risikomanagement sinnvoll mit Leben erfüllt werden, sollten Unternehmen nicht einfach die sklavische Abarbeitung von vorgegebenen Prozessen fordern (soweit nicht gesetzlich vorgeschrieben), sondern in Zusammenarbeit mit ihren Projektmanagern die relevanten Fragen beantworten:

Wie groß ist unsere Risikotoleranz tatsächlich? Brauchen wir das „klassische“ Risikomanagement wirklich, und wenn ja, wie viel davon? Haben wir es überhaupt mit Kasino-Risiken zu tun, oder tobt in unseren Projekten das unberechenbare Leben? Und schließlich: können wir uns so aufstellen, dass uns etwaige Risiken nicht mehr so weh tun?

So kämen wir vielleicht ein klein wenig weiter weg vom selbstreferentiellen Ausfüllen großer Excel-Sheets, hin zu sinnvollen Überlegungen und Maßnahmen, die es wert sind, als Lessons Learned für die Weiterentwicklung des Unternehmens genutzt zu werden.

Unsere Abos: für jeden Bedarf das passende Abonnement

 

Das projektmagazin - unverzichtbares Nachschlagewerk und Inspirationsquelle für alle,
die in Projekten arbeiten. Ihre Vorteile auf einen Blick

Image
Wissensplattform

Zugriff auf die größte deutschsprachige Wissensplattform
für Projektmanagement  (>1.800 Artikeln und Tipps)

Image
Praxisbezogene Beiträge

Praxisbezogene Beiträge
Fachautoren schreiben aus der Praxis für die Praxis.

Image
Tools

Werkzeuge (Tools)
z.B. Checklisten und Vorlagen, Methoden mit Schritt-für-Schritt-Anleitung.

Image
Glossar

Umfangreiches Projektmanagement-Glossar
über 1.000 Fachbegriffen (deutsch/englisch)

Image
Blogbeiträge

Blogbeiträge, Themenspecials, Bücher, Stellenangebote etc.
rund um das Thema Projektmanagement

Alle Kommentare (7)

Guest

Schöner Artikel. Dieses Thema wir viel diskutiert und ist sehr interessant. Eine Analyse der Risikoberichte durch Accenture (Unternehmensberatung) hat gezeigt, dass die Unternehmen ein ähnliches Verständnis von dem haben, was Risikomanagement bedeutet. Ihre Berichterstattung, ihren Risikobericht und mit ihm das Enterprise Risk Management wähnen einige Unternehmen bereits als ausgereift. Doch nach wie vor bleibt viel Potential auf der Strecke. [Quelle: http://www.finance-magazin.de/risiko-it/risikomanagement/risikomanagement-ist-ein-datenthema/ ] Hier wurde auch der Begriff „Hoffnung“ angesprochen. Vielen Unternehmen den mal finanziell schlecht geht hoffen oft auf bessere Zeiten. Doch mein Prof sagt immer „Hoffnung ist tötlich“ und da hat er auch vollkommen recht. Denn die Risiken müssen im Unternehmen immer bekannt sein, damit im Fall der Fälle schnell eingegriffen werden und entgegengelenkt werden kann. Gruß, W.

 

Guest

Danke für den Link; sehr interessant! Dass gutes Risikomanagement datengetrieben ist, denke ich auch. Allerdings sollten wir auch den Kopf mehr benutzen und vor dem Einspielen der Daten die Risikoprozesse selber hinterfragen ...

 

Guest

Vielen Dank für diesen Beitrag, hier wird ein sehr wichtiges und meiner bescheidenen Erfahrung nach in vielen Projekten oft vernachlässigtes oder gar nicht erst praktiziertes Thema angesprochen. Allerdings wird mir hier sowohl im Beitrag als auch in den Folgekommentaren zu wenig differenziert zwischen Unternehmensrisikomannagemen auf der einen und Projekt-Risikománagement auf der anderen Seite. Sicherlich gibt es hier Überschneidungen, aber mMn ist Risikomanagement im Projekt doch noch ein bisschen was anderes. Bspw. ist der Artikel auf den hier im Kommentar verwiesen wird sicher spannend, auf Projektrisikomanagement aber höchstens eingeschränkt adaptierbar. Gut finde ich die Darstellung der Gründe (um nicht zu sagen "Ausreden" :) )wieso das Risikomanagement oft gar nicht oder zumindest nicht mit der nötigen Konsequenz verfolgt wird. just my 2 Cents ... :)

 

Guest

Das Phänomen im Projektgeschäft ist ja auch, dass Risiken sehr oft mit bereits eingetretenen Problemen verwechselt werden. Da brennt die Hütte schon lichterloh, das Thema findet sich aber mehr oder weniger kleinlaut im Risikoregister. 90% Eintrittswahrscheinlichkeit lassen immer noch ein wenig Raum zur Hoffnung... Wenn sich aber alle Probleme im Risikoregister finden, ist das Risikoregister kein Register mehr, sondern die Brandherdeinsatzleitung. Und wenn sich dann tatsächlich mal ein echtes Risiko einschleicht, dann geht das in der Gesellschaft der Brandherde völlig unter. Ich zitiere einen Projektleiter, der einmal zu mir sagte: "Wir haben hier mit ganz anderen Risiken zu kämpfen... Mit Pillepalle, die vielleicht gar nicht kommt, können wir uns im Risikomanagement nicht abgeben" Risiken schreien nicht, rufen nicht an, schreiben keine dringenden Mails. Das sind meist alles schon Probleme.

 

Ihre Beobachtung stimmt. Deshalb empfehle ich auch, wenn das Risikomanagement mit einer Risikoliste beginnt, gleich ein zweites Blatt Papier danebenzulegen, um parallel eine Problemliste zu erstellen. Das macht die Unterscheidung leichter. Zudem braucht man zur Bekämpfung von Risiken andere Maßnahmen als zur Bekämpfung von Problemen.

 

Peter
Jetter

Danke. Sehe ich ähnlich. Kosten/Nutzen von "klassischem" Risikomanagement ist in komplexen Umgebungen schlechter als in Umfeldern, die weniger Beziehungsdichte, Non-Linearität, Emergenz etc aufweisen; so wie es vielleicht noch vor 15 Jahren häufig war. Risikomanagement erscheint mir jedenfalls häufig recht ineffektiv: Trotz RM schlagen viele Ereignisse negativ aufs Ergebnis durch. Anhand eines kleinen Projekts habe Mal versucht möglichst viele relevante Risiken zu erfassen. Ergebnis: Die Kosten, um die Risiken zu managen(auf akzeptiertes Niveau zu senken), überstiegen das Projektgesamtbudget um Faktor 5. Ich bin seit vielen Jahren davon überzeugt, das es mehr Sinn macht stattdessen vorwiegend in Resilience und Adaptionsfähigkeit zu investieren (nachweisen kann ich das einem Controller allerdings auch nicht) Schwarz/Weiss-Malerei scheint mir selten der besten Ansatz. Oft ist es eine Frage der Balance; den optimalen Mix an Maßnahmen zu finden. Last not least müssen wir Kosten rechtfertigen. Aber lässt es sich unbestreitbar nachweisen, dass ein Risiko nur deswegen nicht eingetreten ist, weil ich in entsprechende Maßnahmen investiert habe? Oder waren meine Maßnahmen zum Fenster rausgeschmissen, weil das Risiko auch ohne die Maßnahmen nicht eingetreten wäre? In meiner Erfahrung kann jeder Controller RM-Investitionen begründet bezweifeln. Heutzutage werden in der Regel die 100% SICHER eingesparten Investionskosten gegenüber dem UNSICHEREN Nutzen eines verringerten Risikos bevorzugt.

 

@PJ: Freut mich, dass Sie mit "Resilienz und Adaptionsfähigkeit" in meine Kerbe hauen ... Gegenüber den Controllern ist allerdings auch schon klassisches RM hilfreich, nämlich die quantitative Analyse: wenn die geplanten Gegenmaßnahmen mehr kosten, als der Erwartungswert des Risikos beträgt, dann sollte man aus wirtschaftlichen Gründen darauf verzichten. Und dieses Argument wird gern gehört ...