Post on 30-Jan-2016
description
1Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Baustein 23:
Qualitative Risikoanalyse
2Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Inhalte des Bausteins
Qualitative Risikoanalyse: Charakterisierung Qualitative Risikoanalyse: Überblick Input Werkzeuge und Techniken Ergebnisse Graphische Darstellungen Top-Ten Risiken von Software-Entwicklungsprojekten Empfehlungen zur qualitativen Risikoanalyse Übung 3: Qualitative Risikoanalyse
3Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Qualitative Risikoanalyse: Charakterisierung
Qualitative Risikoanalyse besteht darin, die Auswirkungen und die Wahrscheinlichkeit der identifizierten Risiken abzuschätzen.In diesem Prozess werden den Risiken Prioritäten zugeordnet entsprechend ihrer möglichen Auswirkung auf die Projektziele.
Qualitative Risikoanalyse sollte mehr als einmal während der Laufzeit des Projekts durchgeführt werden, um mögliche Veränderungen zu erfassen.
Qualitative Risikoanalyse kann zu weiteren Analysen im Prozess „Quantitative Risikoanalyse“ führen oder direkt zum Prozess „Entwickeln von Maßnahmen“.
4Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Qualitative Risikoanalyse: Überblick
Input: Risiko-Management-Plan Identifizierte mögliche Risiken Projektstatus Projekttyp Skalen zur Bewertung von Wahrscheinlichkeit und Auswirkungen
Werkzeuge und Techniken: Risikowahrscheinlichkeit und -auswirkungen Wahrscheinlichkeits-/Auswirkungs-Bewertungsmatrix Analyse von Risikoauslösern (Trigger) Analyse der Annahmen Expertenschätzungen S:PRIME Assessment
Ergebnisse: Liste der priorisierten Risiken Liste der Risiken, die weiter analysiert werden müssen Auslöser (Symptome) für hohe oder mittlere Risiken Graphische Darstellung der Risiken
5Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Input: Projektstatus, Projekttyp
Projektstatus: Die Unsicherheit eines Risikos hängt oft davon ab, in welcher
Phase sich das Projekt befindet. In den frühen Phasen des Projekts werden viele Risiken noch
nicht sichtbar geworden sein, das Design ist noch nicht ausgereift und Änderungen werden wahrscheinlich sein.
Es ist deshalb wahrscheinlich dass weitere Risiken entdeckt werden.
Projekttyp: Standardprojekte oder Projekte eines bekannten Typs sind
einfacher hinsichtlich ihrer Risiken zu bewerten als sehr komplexe Projekte oder Projekte, in denen State of the Art Technology benutzt wird oder in denen etwas erstmalig zur Anwendung kommt.
6Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Input: Skalen zur Bewertung von Wahrscheinlichkeit und Auswirkungen
Hier ist es nicht sinnvoll, zu genau sein zu wollen. Es wird in der Regel wohl kaum möglich sein zu entscheiden, ob ein Risiko eine Eintrittswahrscheinlichkeit von 80% oder 85% oder 90% hat.
Ebenso wird es im Allgemeinen sehr schwer sein, die genauen finanziellen Auswirkungen eines Risikos abzuschätzen, ohne unverhältnismäßig viel Aufwand zu treiben.
Deshalb werden folgende Skalen verwendet: Auswirkung: Katastrophal, kritisch, marginal, vernachlässigbar Wahrscheinlichkeit: Sehr wahrscheinlich = 0,9, wahrscheinlich
= 0,5, unwahrscheinlich = 0,1.
7Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Werkzeuge und Techniken: Wahrschein-lichkeits- Auswirkungsbewertungs Matrix
Die Risikowahrscheinlichkeit ist die Wahrscheinlichkeit, dass ein Risiko eintreten wird. Die Risikoauswirkung ist der Effekt, den das Risiko auf die Ziele des Projekts haben würde.
Auswirkung
Wahrschein-lichkeit Sehr
wahrscheinlichUn-
wahrscheinlichWahrscheinlich
Katastrophal
Marginal
Vernach-lässigbar
Kritisch
6 Hoch
5 Hoch
5 Hoch 4 Mittel
4 Mittel
4 Mittel
3 Mittel
3 Mittel
3 Mittel
2 Niedrig
2 Niedrig
1 Niedrig
8Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Beispiel: Bewertung von Risiken
Kategorie
Komponente
Performanz KostenWartung
Katastrophal
Marginal
Vernach-lässigbar
Kritisch
Zeitplan
Performanznicht erreichbar
Performanzstark beeinträchtigt
Performanzetwas beeinträchtigt
Performanzkaumk beeinträchtigt
Software nicht wartbar
Erhebliche Verzöge-rungen bei Software-
änderungen
Geringe Verzöge-rungen bei Software-
änderungen
Wartung ist umständlich
Budget wird erheblichüberzogen (>50%)
Budget wird deutlichüberzogen (~30%)
Budget wirdüberzogen (~10%)
Budgetpolsterwerden aufgezehrt
Meilenstein nicht erreichbar
Meilenstein erheblich verzögert(>30% Zeitverzug)
Meilenstein verzögert
(>10% Zeitverzug)
Pufferzeiten - nichtauf dem kritischen
Pfad- werden aufgezehrt
9Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Werkzeuge und Techniken: Analyse von Risikoauslösern
Risikosymptome, manchmal auch Auslöser (Trigger) genannt, sind indirekte Manifestationen wirklicher Risikoereignisse.
Beispielsweise kann eine schlechte Arbeitsmoral im Projekt ein frühes Warnzeichen dafür sein, dass das Projekt vermutlich nicht rechtzeitig fertig wird.
Kostenüberschreitungen bei frühen Aktivitäten können ein Hinweis darauf sein, dass die Schätzung des Aufwands schlecht durchgeführt wurde.
Analysieren Sie deshalb alle Risiken, die mit „hoch“ oder „mittel“ in der Matrix bewertet wurden und versuchen Sie, Symptome zu identifizieren.
10Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Werkzeuge und Techniken: Expertenschätzungen
Das Urteil von Experten kann oft alternativ oder zusätzlich zu formalen Methoden angewandt werden.
Beispielsweise könnten Experten die Eintrittswahrscheinlichkeit der Risikoereignisse mit „sehr wahrscheinlich“, „wahrscheinlich“ oder „unwahrscheinlich“ und die Bedeutung mit „katastrophal“, „kritisch“, „marginal“ oder „vernachlässigbar“ bewerten.
Expertenschätzungen sind oft sehr gut. Nachteilig aber ist, dass nicht nachvollziehbar ist, wie
der Experte zu seinem Urteil gekommen ist und dass sich dieses Wissen nicht auf Andere übertragen lässt.
11Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Ergebnisse
Liste der priorisierten Risiken: Die Risiken können nach Rangfolge (hoch, mittel, niedrig) oder
danach priorisiert werden wie eilig es ist, Maßnahmen zu ergreifen.
Liste von Risiken, die weitere Analyse erfordern: Risiken, die als „hoch“ oder „mittel“ eingestuft wurden, sind
erste Kandidaten für eine quantitative Risikoanalyse.
Symptome: Symptome für Risiken mit den Bewertungen „hoch“ und „mittel“
Graphische Darstellung von Risiken: Es gibt verschiedene Methoden, Risiken darzustellen (z. B.
Radar-Diagramm oder Pareto-Diagramm) s. Folgefolien.
12Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Graphische Darstellung: Radar-Diagramm
5
10
15
20
25
Entwicklungsprozeß
Konfigurationsmanagem ent
Effektivität der Komm unikationm it Anwendern
Qualitätssicherungsprozeß
Beziehungen zu Anw endernZugriff auf GUI Standards
Fehlertoleranz
Codierungsprozeß
Dokum entation derCodierung
Design Dokumentation
Zugriff auf Entwicklungs-standards
Anw enderakzeptanz
Code Reviews
Zugriff auf unterstützendeDokum entation
Zugriff auf Anw ender-dokumentation
Abhängigkeit vontechn. Spezialisten
13Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Graphische Darstellung: Pareto-Diagramm
En
twic
klu
ng
sp
roze
ß
Ko
nfi
gu
rati
on
sman
age
men
t
Qu
alit
ätss
ich
eru
ng
sp
roze
ß
Be
zieh
un
gen
zu
An
wen
der
n
Zu
gri
ff a
uf
An
wen
der
-d
ok
um
enta
tio
n
Co
die
run
gs
pro
zeß
Do
kum
enta
tio
n d
er
Co
die
run
g
An
we
nd
erak
zep
tan
z
Co
de
Re
vie
ws
Zu
gri
ff a
uf
En
twic
klu
ng
s-st
and
ard
s
De
sig
n D
ok
um
enta
tio
n
Zu
gri
ff a
uf
un
ters
tütz
end
e D
ok
um
enta
tio
n
Feh
lert
ole
ran
z
Zu
gri
ff a
uf
GU
I Sta
nd
ard
s
Eff
ekti
vit
ät d
er K
om
mu
nik
atio
n
mit
An
wen
der
n
Ab
hän
gig
keit
vo
n t
ech
nis
che
nS
pe
zial
iste
n
0
5
10
15
20
25
Zu
geh
öri
ge
s g
ew
ich
tete
s R
isik
o
R isikofaktoren
GewichteteBewertung
14Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Beispiele: Top Ten Risiken von Software-Entwicklungsprojekten
1. Personelle Defizite 2. Unrealistische Termin- und Kostenvorgaben 3. Entwicklung von falschen Funktionen und Eigenschaften 4. Entwicklung der falschen Benutzerschnittstelle 5. Vergolden (über das Ziel hinaus schießen) 6. Kontinuierliche Anforderungsänderungen 7. Defizite bei extern gelieferten Komponenten 8. Defizite bei extern erledigten Aufträgen 9. Defizite in der Echtzeitleistung 10. Überforderung der Software-Technik
Quelle: H. Balzert, Lehrbuch der Software-Technik, Spektrum 1998
15Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Empfehlungen zur qualitativen Risikoanalyse
Projekttyp 1: Wählen Sie alle Risiken mit der Bewertung „hoch“ oder „mittel“ für die
weitere Analyse aus (max 20). Analysieren und dokumentieren Sie Symptome für alle ausgewählten Risiken.
Projekttyp 2: Wählen Sie alle Risiken mit der Bewertung „hoch“ oder „mittel“ für die
weitere Analyse aus (max 15). Analysieren und dokumentieren Sie Symptome für alle ausgewählten Risiken.
Projekttyp 3: Wählen Sie alle Risiken mit der Bewertung „hoch“ oder „mittel“ (max 10)
aus gehen sofort zum Prozess „Entwickeln von Maßnahmen“. Analysieren und dokumentieren Sie Symptome für die ausgewählten Risiken.
Projekttyp 4: Wählen Sie alle Risiken mit der Bewertung „hoch“ aus (max 5) und
gehen direkt zum Prozess „Entwickeln von Maßnahmen“. Analysieren und dokumentieren Sie Symptome für alle ausgewählten Risiken.
16Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Übung 3: Qualitative Risikoanalyse
Nehmen Sie die in Übung 2 erstellte Risikoliste und bewerten Sie alle Risiken hinsichtlich Wahrscheinlichkeit des Auftretens und Auswirkungen.
Ermitteln Sie dann an Hand der Wahrscheinlichkeits-Auswirkungsmatrix die Top Ten Risiken Ihres Projekts.
Ermitteln Sie mögliche Symptome für die Top Ten Risiken.
Präsentieren Sie das Ergebnis vor der Gruppe Bewahren Sie die Ergebnisse für eine spätere Übung
auf.
Arbeit in Teams von 3 - 5 Personen
Dauer 45 Minuten
17Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-23 Qualitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Diskussion
Qualitative Risikoanalyse