|
Diese Einführung beschränkt sich allzu sehr auf die handwerklich-technische Seite des Risikomanagements; sie unterbelichtet sowohl die psychologischen und politischen Barrieren als auch die Bedeutung des klaren, unvoreingenommenen Denkens.
Welch ein Kontrast zu dem mitreißenden, geradezu begeisternden "Bärentango" von Tom DeMarco und Timothy Lister! Die beiden Projektmanagement-Trainer und -Berater Horst Harrant und Angela Hemmrich konzentrieren sich in ihrer stocknüchternen Einführung in das Risikomanagement auf die handwerklich-technische Seite (und die dafür erforderlichen Formulare). Jene psychologische wie auch politische Aspekte, an denen das Risikomanagement in der Realität häufig scheitert, ignorieren sie weitestgehend. Damit erwecken sie den – meines Erachtens gefährlich falschen – Eindruck, als sei professionelles Risikomanagement in erster Linie eine Frage der handwerklich sauberen Ausführung. Diese Verengung aber trägt den Keim des Scheiterns in sich.
Denn der größte Feind eines guten Risikomanagements ist nicht die mangelnde Beherrschung der Methoden und auch nicht die fehlende Sorgfalt beim Ausfüllen der Formulare, sondern die Angst, dass das Risikomanagement einige Eckpunkte der Projektplanung in Frage stellen könnte – insbesondere den zugesagten Fertigstellungstermin und den vorgegebenen Kostenrahmen. Um sich selbst und anderen nicht eingestehen zu müssen, dass die gesamte Planung auf einer ziemlich unwahrscheinlichen Verkettung glücklicher Umstände basiert, betreibt man in vielen Fällen entweder gar kein Risikomanagement (Methode: "Es wird schon irgendwie gut gehen!") oder macht eine Pro-forma-Übung daraus, die sich auf einige relativ ungefährliche Nebenrisiken beschränkt. Doch wenn man die wirklich schwerwiegenden Risiken nicht wahrhaben will, kann man handwerklich noch so sorgfältig weitermachen – dann das gesamte Risikomanagement ist sein Geld nicht wert.
Einsteigern würde ich dieses Buch daher nicht empfehlen – es würde sie unweigerlich auf eine falsche Fährte locken und sie den zu erwartenden Widerständen gegen ein ehrliches Risikomanagement unvorbereitet aussetzen. Leser hingegen, die sich der Ausblendung der psychologischen und politischen Hindernisse bewusst sind und daraus keine falschen Schlüsse ziehen, können das Buch als brauchbare handwerkliche Ergänzung zu "Bärentango" nutzen.
Harrant und Hemmrich unterscheiden fünf Schritte des Risikomanagements, nämlich (1) Risikoidentifizierung, (2) Risikoanalyse, (3) Risikobewertung und -priorisierung, (4) Maßnahmenentwicklung und (5) Risikocontrolling. Diese fünf Schritten folgt auch in der Gliederung ihres Buches, wobei im 8. Kapitel etwas außerhalb der Systematik zusätzlich das Thema "Change Request und Claim Management" behandelt wird. Das 9. Kapitel stellt dann noch anhand eines Fallbeispiels den Ablauf eines Risikomanagement-Prozesses dar. Der umfangreiche Anhang besteht aus drei Teilen: einem generischen "Risikomanagement Plan" (mit dem ich ziemlich wenig anfangen konnte), einem Abschnitt "Vertragsformulierungen" (ein gewagter Ausflug auf juristisches Terrain) und einem Glossar.
Die Empfehlungen, die die beiden Projektmanagement-Trainer in ihrem Buch geben, sind von sehr unterschiedlicher Qualität. Zum Teil sind es wirklich nützliche praktische Tipps, vor allem für Leser, die noch wenig Risikomanagement-Erfahrung haben, wie zum Beispiel der Hinweis, mit der Planung und Analyse von Projektrisiken möglichst frühzeitig zu beginnen. Zum Teil sind es aber auch ziemlich unergiebige Gemeinplätze wie "Wägen Sie die Risiken und Chancen in Ihren Projekten gegeneinander ab und beurteilen Sie deren Einfluss auf die Projektziele. Bedenken Sie, dass in jedem Risiko eine Chance steckt, aber auch in jeder Chance ein Risiko." (S. 9)
Immer wieder beeindruckt und befremdet mich die Dokumenten- und Listengläubigkeit der Autoren. So behaupten sie im 2. Kapitel: "Eine bewährte Methode zu Beginn des Projekts ist die Erstellung eines Risikomanagement-Plans, der die durchzuführenden Tätigkeiten beschreibt sowie Methoden und Richtlinien zur Risikoidentifizierung und Bewertung enthält. Der Risikomanagement-Plan enthält jedoch keine detaillierten Projektrisiken. Diese sind in den Risikolisten erfasst." (S. 15) Es folgt eine Liste von 10 Gliederungspunkten, die in dem Risikomanagement-Plan abgehandelt werden sollen. Wenn man sie, wie im Anhang beschrieben, ausarbeitet, entsteht in Summe eine Art Grundsatzpapier zum Risikomanagement. Leider bleibt offen, worin der Nutzen des getriebenen Aufwands besteht.
Im gleichen Kapitel zählen Harrant und Hemmrich 15 "Quellen für Projektrisiken und Chancen" auf (beginnend mit "Projektziele / Projektanforderungen / Ausschreibungen und Anforderungen / Angebote / Verträge"); unmittelbar danach folgen 13 "Ursachen für Projektrisiken", wobei unklar bleibt, wo sie eigentlich den Unterschied zwischen "Quellen" und "Ursachen" sehen, zumal etliche Punkte leicht modifiziert in beiden Listen auftauchen (wie zum Beispiel "Nicht eindeutige Projektanforderungen / 'Schwammige' Verträge"; S. 10 f.). Es scheint, als ob die Autoren bei allem Fleiß und Engagement zu wenig mit dem Kopf ihrer Leser gedacht und sich zu selten die Frage gestellt haben: Was genau soll ein angehender Risikomanager damit anfangen? Inwiefern hilft ihm das weiter? Wie wohltuend handfest und pragmatisch im Vergleich dazu DeMarcos und Listers Hinweis auf die Wiederholung der immer gleichen Fehler: "Das Problem von gestern ist das Risiko von heute." (Bärentango, S. 60)
Im gleichen Stil geht es weiter. Im Kapitel 3 "Projektrisiken und Chancen identifizieren" wollen sie vermitteln, was für Risikoarten und Chancen es gibt. Zu diesem Zweck zählen sie 11 "fachlich-technische Projektrisiken" (beginnend mit "Nichterfüllung der Projektanforderungen / Leistungsmerkmale werden falsch interpretiert / Schnittstellenprobleme"), 12 "Planungsrisiken" und 22 "Organisatorische Risiken" auf (S. 17 ff.), nur um dann festzustellen: "Sie können natürlich auch andere Unterteilungen vornehmen, z.B. nach Projektphasen" (es folgen weitere 7 Punkte) "oder nach Teilbereichen / Arbeitspaketen" (noch einmal 11 Punkte). Spätestens hier dürfte der Punkt erreicht sein, wo bei Neulingen Panik aufsteigt: "Erstens kann ich mir das nicht alles merken, und zweitens kann ich nichts damit anfangen!" Kleiner Trost: Ich auch nicht.
Deutlich nützlicher ist, was die beiden über die "Vorgehensweise zur Risikoidentifizierung" schreiben: "Führen Sie Risikoanalysen immer im Team durch, um die dafür notwendigen Kompetenzen sowie das Fachwissen und die Erfahrung aus unterschiedlichen Gebieten punktuell zusammenzubringen und substanzielle Ergebnisse zu erzielen." (S. 20) Richtig auch ihr Hinweis: "Es gibt zur Identifizierung von Projektrisiken keine mathematischen Methoden!" (S. 22) Deshalb schlagen sie eine ganze Reihe unterschiedlicher Verfahren zur Risikoidentifizierung vor, vom Brainstorming über das Studium ähnlicher Projekte bis zu einer SWOT-Analyse. Bei Projekten für externe Auftraggeber ist auch die Analyse und Gestaltung von Verträgen, die sie im 4. Kapitel behandeln, für das Risikomanagement von großer Bedeutung.
Ausführlich befassen sich Harrant und Hemmrich im 5. Kapitel mit der Analyse, Bewertung und Priorisierung von Risiken. Der etwas irritierende Punkt Priorisierung – erfahrungsgemäß halten sich Risiken nicht an Priorisierungen, sondern priorisieren sich gewissermaßen selbst – entpuppt sich dabei als die Entscheidung, welche Risiken ignoriert und welche mit besonderer Aufmerksamkeit beobachtet werden sollen. Ausführlich stellen die Autoren in diesem Abschnitt auch ihr Risikoanalyse-Formular vor, das den Leser ab diesen Zeitpunkt begleitet (bzw. verfolgt).
Im 6. Kapitel "Risikomaßnahmen planen und umsetzen" erliegen sie dann wieder einmal ihrer unglücklichen Liebe zu Listen: Ziemlich wahllos zählen sie eingangs rund 30 mögliche Maßnahmen auf, die von "angemessene und eindeutige Vertragsformulierungen" über "Versicherungen" bis zu "vertrauensvolle Atmosphäre im Team schaffen" reichen (S. 61). Mir fehlt jede Vorstellung, was man damit als Leser anfangen soll. Dann unterscheiden sie vier verschiedene Risikostrategien, nämlich Risiken vermeiden, transferieren, vermindern und tragen. Doch sind sie gerade bei diesem zentralen Punkt gedanklich weit weniger klar als DeMarco und Lister. So sind die Dinge, die sie unter "Vermeiden" aufzählen, zum Großteil Strategien der Risikoverminderung: "Machbarkeitsstudien / Alternativlösungen / Kommunikationswege definieren / Qualifizierte Mitarbeiter einsetzen / Externe Expertise einschalten" (S. 63) Und das, was sie heldenhaft "Risiken tragen" nennen, ist nichts anderes als die – durchaus zulässige – Entscheidung, es bei einzelnen Risiken darauf ankommen zu lassen, also bewusst keine Risikovorsorge zu betreiben.
Insgesamt vermitteln Harrant und Hemmrich den Eindruck, dass sie an vielen kritischen Stellen das Heil nicht in glasklarem Denken, sondern in der Einhaltung formaler Prozeduren suchen – ein Ansatz, vor dem ich nur warnen kann. Dennoch bietet das Buch Einsteigern etliche Anregungen und methodische Hinweise – unter der Bedingung, dass sie es kritisch lesen und nicht blind alles glauben, was da gedruckt steht.
|
