Baustein RM-24: Quantitative Risikoanalyse

23
1 Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber Baustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001 DKR Unternehmensberatung Baustein RM-24: Quantitative Risikoanalyse

description

Baustein RM-24: Quantitative Risikoanalyse. Inhalte des Bausteins. Quantitative Risikoanalyse: Charakterisierung Wichtiger Kommentar Quantitative Risikoanalyse: Überblick Input Werkzeuge und Techniken Ergebnisse Empfehlungen für die quantitative Risikoanalyse Übung 4: Bewerten von Risiken. - PowerPoint PPT Presentation

Transcript of Baustein RM-24: Quantitative Risikoanalyse

Page 1: Baustein RM-24: Quantitative Risikoanalyse

1Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Baustein RM-24:

Quantitative Risikoanalyse

Page 2: Baustein RM-24: Quantitative Risikoanalyse

2Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Inhalte des Bausteins

Quantitative Risikoanalyse: Charakterisierung Wichtiger Kommentar Quantitative Risikoanalyse: Überblick Input Werkzeuge und Techniken Ergebnisse Empfehlungen für die quantitative Risikoanalyse Übung 4: Bewerten von Risiken

Page 3: Baustein RM-24: Quantitative Risikoanalyse

3Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Quantitative Risikoanalyse: Charakterisierung

Ziel der Quantitativen Risikoanalyse ist einerseits, die Wahrscheinlichkeit der zu untersuchenden Risiken und ihre Auswirkungen auf die Projektziele numerisch abzuschätzen sowie andererseits das Gesamt-Projektrisiko abzuschätzen. Hierbei werden Methoden wie z. B. Monte Carlo Simulation und Entscheidungsanalyse benutzt, um: Die Wahrscheinlichkeit abzuschätzen, ein bestimmtes Projektziel zu

erreichen Die Risikoaussetzung des Projekts zu quantifizieren und den Umfang

der Kosten- und Zeitpuffer zu bestimmen, die möglicherweise gebraucht werden

Risiken zu identifizieren, die höchste Aufmerksamkeit erfordern aufgrund ihres relativ hohen Anteils an den Gesamt-Projektrisiken

Realistische und erreichbare Kosten-, Zeitplan- und Projektinhaltsziele zu identifizieren.

Page 4: Baustein RM-24: Quantitative Risikoanalyse

4Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Wichtiger Kommentar

Die mathematischen Methoden, die in diesem Abschnitt verwendet werden, können ein falsches Gefühl der Sicherheit und Zuverlässigkeit der Ergebnisse aufkommen lassen.

Jedoch gilt auch hier - wie fast überall - das Gesetz: Garbage in - garbage out.

Die besten Methoden helfen nicht dabei, unzuverlässige Daten in zuverlässige umzuwandeln. Und die meisten der Daten, mit denen wir es hier zu tun haben - Schätzungen oder Vermutungen - sind unzuverlässig.

Page 5: Baustein RM-24: Quantitative Risikoanalyse

5Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Quantitative Risikoanalyse: Überblick

Input: Risiko-Management-Plan Identifizierte und priorisierte mögliche Risiken Liste der Risiken, die weiter analysiert werden müssen Andere Planungsergebnisse (Projektstrukturplan mit detaillierten Zeit- und

Kostenschätzungen, Modelle (Prototypen) der technischen Ziele des Projekts)

Werkzeuge und Techniken: Interviews Risikoaussetzung Statistische Summierung Sensitivitätsanalyse Entscheidungsbaumanalyse Simulation Expertenurteil S:PRIME Methode liefert quantifizierte Risikoschätzungen für alle prozessabhängigen

Risiken)

Ergebnisse: Liste der priorisierten und quantifizierten Risiken Wahrscheinlichkeitsanalyse des Projekts Wahrscheinlichkeit, die Kosten- und Zeitplanziele zu erreichen

Page 6: Baustein RM-24: Quantitative Risikoanalyse

6Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Input: Kostenschätzungen

Kostenschätzungen sind quantitative Bewertungen der wahrscheinlichen Ressourcen, die zur Durchführung der Projektaktivitäten benötigt werden. Sie können grob oder detailliert durchgeführt werden.

Kostenschätzungen sind erforderlich für alle Ressourcen, die dem Projekt in Rechnung gestellt werden, z. B. Arbeitszeit, Material, Maschinenzeit.

Kostenschätzungen werden gewöhnlich in Einheiten einer Währung ausgedrückt, um die Vergleichbarkeit innerhalb und zwischen Projekten zu ermöglichen.

Andere Messwerte, wie z. B. Mitarbeiterstunden, können benutzt werden, wenn dadurch nicht die Unterscheidung zwischen unterschiedlich teuren Ressourcen unmöglich wird (z. B. Eigen- und Fremdarbeiter).

Page 7: Baustein RM-24: Quantitative Risikoanalyse

7Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Input: Schätzungen der Durchführungszeit von Aktivitäten

Schätzungen der Durchführungszeit von Aktivitäten sind quantitative Bewertungen der Anzahl von Arbeitsperioden (z. B. Stunden, Tage, Wochen oder Monate), die benötigt werden, um eine bestimmte Aktivität zu vollenden.

Schätzungen der Durchführungsdauer sollten idealerweise Hinweise auf die mögliche Streubreite der Ergebnisse enthalten, z. B. : 2 Wochen + - 2 Tage, um festzustellen, dass die Aktivität

mindestens 8 und nicht länger als 12 Tage dauern wird 15% Wahrscheinlichkeit, dass die Dauer größer als 3 Wochen

sein wird, um eine hohe Wahrscheinlichkeit - 85% - auszudrücken, dass die Aktivität 3 Wochen oder weniger dauern wird.

Page 8: Baustein RM-24: Quantitative Risikoanalyse

8Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Werkzeuge und Techniken: Interviews

Interviewtechniken werden benutzt, um die Wahrscheinlichkeit und die Auswirkungen von Risiken auf die Projektziele zu quantifizieren. Ein Risikointerview mit am Projekt interessierten Personen (z. B. Lenkungsausschuss) und Fach-Experten wird oft der erste Schritt zur Quantifizierung von Risiken sein. Die benötigten Informationen hängen von der Art der Wahrscheinlichkeitsverteilung ab, die zugrunde gelegt wird. Benutzt man beispielsweise eine Dreiecksverteilung, wird man

optimistische Schätzungen (unterer Wert), pessimistische Schätzungen (oberer Wert) und das wahrscheinlichste Ergebnis (Mittelwert) ermitteln.

Benutzt man eine Normalverteilung, wird man den Mittelwert und die Standardabweichung ermitteln.

Ein wichtiger Punkt des Risikointerviews ist, die Gründe für die angenommene Streubreite der Werte zu dokumentieren, denn dies kann dabei helfen, adäquate Maßnahmen zur Risikomilderung bzw. -vermeidung zu definieren.

Page 9: Baustein RM-24: Quantitative Risikoanalyse

9Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Werkzeuge und Techniken: Berechnung der Risikoaussetzung

Die Risikoaussetzung hängt vom potentiellen Geldverlust ab. Da Schätzungen gewöhnlich ungenau sind, empfiehlt es, vom größten möglichen Verlust (pessimistische Schätzung) pro Risikofaktor auszugehen. Alternativ können Sie auch den wahrscheinlichsten Wert nehmen, haben dann aber weniger Sicherheit.

Die Risikoaussetzung ist das Produkt aus Risikowert und Risikoeintrittswahrscheinlichkeit.

Bei der Berechnung muss die relative Bedeutung des Risikos berücksichtigt werden. Ein kleines Risiko mit einer hohen Eintrittswahrscheinlichkeit kann ganz andere Auswirkungen haben, als ein großes Risiko mit einer kleinen Eintrittswahrscheinlichkeit. Z. B. ist ein relativ wahrscheinlicher Verlust von 100 00 Euro einem großen Unternehmen ziemlich egal, bei einem kleinen kann es das Aus bedeuten, weshalb in diesem Falle auch bei einer geringeren Eintrittswahrscheinlichkeit Vorkehrungen getroffen werden müssen.

Page 10: Baustein RM-24: Quantitative Risikoanalyse

10Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Werkzeuge und Techniken: Statistische Summierung

Statistische Methoden können dazu benutzt werden, ein Intervall zu berechnen, innerhalb dessen die Gesamt-Projektkosten wahrscheinlich liegen werden

Das Intervall kann als Grundlage für die Risikobewertung alternativer Projektbudgets bzw. alternativer Angebotspreise benutzt werden.

Die Folgefolie zeigt die eine Dreiecksverteilung, die für das Beispiel zu Grunde gelegt wurde. Da es in der Regel wahrscheinlicher ist, dass ein Projekt länger als kürzer dauert, empfiehlt es sich,eine nach links verschobene Verteilung anzunehmen (gepunktete Kurve)

Berechnet werden aus den Schätzwerten: Mittelwert, Standardabweichung und Varianz

Page 11: Baustein RM-24: Quantitative Risikoanalyse

11Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Beispiel: Dreiecksverteilung

Mittelwert = (a+m+b)/3 Varianz = [(b-a)2 + (m-a)(m-b)]/18 Standardabweichung = Wurzel aus der Varianz

5%

10%

15%

20%

5 10 15 20

Projektdauerin Monaten

Wahrscheinlichkeit

a = untere Grenzem = Mittelpunktb = obere Grenze

Page 12: Baustein RM-24: Quantitative Risikoanalyse

12Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Beispiel: Wahrscheinliche Aktivitätsdauer

Aussage der Rechnung: Die Projektlaufzeit liegt wahrscheinlichzwischen 246+22,7 = 268,7 und 246-22,7 = 223,3 Tagen.

Page 13: Baustein RM-24: Quantitative Risikoanalyse

13Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Werkzeuge und Techniken: Sensitivitätsanalyse

Die Sensitivitätsanalyse hilft dabei zu bestimmen, welche Risiken den größten möglichen Einfluss auf das Projekt haben.

Sie analysiert das Ausmaß, in welchen die Unsicherheit jedes Projektelements die von ihm beeinflussten Projektziele beeinträchtigt, wenn dabei alle anderen unsicheren Elemente als sicher angenommen werden.

Page 14: Baustein RM-24: Quantitative Risikoanalyse

14Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Werkzeuge und Techniken: Entscheidungsbaumanalyse

Eine Entscheidungsanalyse wird gewöhnlich in Form eines Entscheidungsbaums strukturiert. Ein Entscheidungsbaum ist ein Diagramm, das die

Entscheidungen in ihrer Abfolge darstellt, wobei bei jedem Schritt zwischen verschiedenen Alternativen mit i. a. unterschiedlichen Konsequenzen gewählt werden kann.

Der Entscheidungsbaum enthält Wahrscheinlichkeiten der Risiken und die Kosten oder Erträge jedes logischen Pfads von Ereignissen und zukünftigen Entscheidungen.

Durch berechnen des Entscheidungsbaums ergibt sich, welche Entscheidungen den größten erwarteten Nutzen für den Entscheider bringen würden.

Die Anwendung setzt voraus, dass für alle nachfolgenden Entscheidungen Konsequenzen, Kosten, Erträge und Wahrscheinlichkeiten geschätzt werden (d.h. in der Regel ist dies sehr aufwendig).

Page 15: Baustein RM-24: Quantitative Risikoanalyse

15Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Beispiel:Entscheidungsbaum

Die Zweige des Baums sind entweder Entscheidungen (Rechtecke) oder Risikoereignisse (Kreise).

EMV = Risikoaussetzung (Expected Monetary Value) des Ergebnisses = Risikohöhe x RisikowahrscheinlichkeitEMV einer Entscheidung = Summe der EMV aller Ergebnisse, die sich aus dieser Entscheidung herleitenDer aggressive Zeitplan hat einen EMV von $ 4000 und wird deshalb dem konservativen mit einem EMV von $ 1000 vorgezogen.

Page 16: Baustein RM-24: Quantitative Risikoanalyse

16Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Werkzeuge und Techniken: Simulation

Eine Projektsimulation benutzt ein Modell, das die auf der detaillierten Ebene spezifizierten Unsicherheiten umsetzt in den möglichen Einfluss auf die Ziele des Projekts.

Projektsimulationen benutzen üblicherweise die Monte Carlo Methode (Verwendung von Zufallszahlen), d.h. das Projekt wird mehrere Male „ausgeführt“, wobei die geschätzten Werte von zufallszahlen überlagert werden, um Variationen der Dauer oder der

Kosten durch unvorhergesehene Ereignisse zu simulieren. Als Ergebnis erhält man eine statistische Verteilung der berechneten Ergebnisse (s. nächste Folie) Für eine Kostensimulation kann man als Modell den Projektstrukturplan

nehmen. Für eine Zeitplansimulation eignete sich ein Netzplan des Projekts, der

mit einer PDM Methode erstellt wurde (Precedence Diagramming Method - Precedence Diagramms sind Netzpläne, wo die Aktivität auf den Knoten gelegt wird und die Pfeile zwischen den Knoten die Abhängigkeiten und die Reihenfolge, in der die Aktivitäten ausgeführt werden, anzeigen, Beispiele CPM, PERT).

Page 17: Baustein RM-24: Quantitative Risikoanalyse

17Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Beispiel einer Monte Carlo Simulation für einen Projektablauf

Tage nach Projektstart

Ku

mu

lati

ve W

ah

rsch

ein

lich

keit

Die S-Kurve zeigt die kumulative Wahrscheinlichkeit, dass das Projekt zu einer bestimmten Zeit fertig wird. Beispielsweise gibt es eine Wahrscheinlichkeit von 50 %, dass das Projekt innerhalb von 145 Tagen fertig sein wird. Ende Daten, die mehr links liegen, sind mit einem höheren Risiko verbunden, mehr rechts liegende Daten mit einem niedrigerem Risiko.

Page 18: Baustein RM-24: Quantitative Risikoanalyse

18Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Werkzeuge und Techniken: Expertenurteil

Das Urteil von Experten kann oft alternativ oder zusätzlich zu formalen Methoden angewandt werden.

Beispielsweise könnten Experten die Eintrittswahrscheinlichkeit der Risikoereignisse mit „hoch“, „mittel“ oder „niedrig“ bewerten und die Bedeutung mit „sehr groß“, „mittel“ oder „gering“.

Expertenschätzungen sind oft sehr gut. Nachteilig aber ist, dass nicht nachvollziehbar ist, wie

der Experte zu seinem Urteil gekommen ist und dass sich dieses Wissen nicht auf Andere übertragen lässt.

Page 19: Baustein RM-24: Quantitative Risikoanalyse

19Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Ergebnisse

Liste der priorisierten und quantifizierten Risiken Die Liste enthält diejenigen Risiken, die die größte Bedrohung

für das Projekt darstellen mit ihren Auswirkungen

Wahrscheinlichkeitsanalyse des Projekts Prognosen des voraussichtlichen Projektzeitplans und der

Kosten (potentielle Endtermine einzelner Phasen und Aktivitäten bzw. Kosten in Verbindung mit ihren Konfidenzintervallen)

Wahrscheinlichkeit, die Kosten und Zeitplanziele zu erreichen Wahrscheinlichkeit, dass das Projekt seine Ziele erreicht mit

dem zur Zeit aktuellen Plan und unter den zur Zeit bekannten Risiken.

Page 20: Baustein RM-24: Quantitative Risikoanalyse

20Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Empfehlungen für die quantitative Risikoanalyse (1)

In IT Anwenderprojekten wird es normalerweise nicht notwendig sein, komplexe statistische Methoden anzuwenden, da die Projektgröße im Vergleich zu anderen Projekten (z. B. Bau einer neuen Fabrik, Entwicklung eines neuen Betriebssystems) moderat sein wird.

Wenn statistische Methoden angewandt werden, sollte man die Dreiecksverteilung verwenden, die gut zum normalen Denken des Managers passt: schlimmstes Ergebnis bestes Ergebnis wahrscheinliches Ergebnis.

Page 21: Baustein RM-24: Quantitative Risikoanalyse

21Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Empfehlungen für die quantitative Risikoanalyse

Projekttyp 1: Analysieren Sie die ausgewählten Risiken (max 15) unter

Benutzung einer Dreiecksverteilung. Schätzen Sie finanziellen Verlust, falls das Risiko eintritt. Berechnen Sie die Risikoaussetzung.

Benutzen Sie den Projektstrukturplan mit geschätzter Zeitdauer und Kosten der Aktivitäten als Input für die Simulation. Berechnen Sie die Wahrscheinlichkeit, die Kosten und Zeitplanziele zu erreichen.

Dies betrifft auch die in der S:PRIME Methode ermittelten Risiken, denn die obigen Ergebnisse werden vom S:PRIME Verfahren nicht geliefert.

Identifizieren Sie die Eigentümer der Hauptrisiken und ihre Risikotoleranz.

Projekttyp 2: wie Projekttyp1 aber nur für die 10 wichtigsten Risiken Projekttyp 3 und 4: keine quantitative Risikoanalyse erforderlich.

Page 22: Baustein RM-24: Quantitative Risikoanalyse

22Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Übung 4: Bewerten von Risiken

Nehmen Sie die Liste der Top Ten Risiken aus Übung 3 und versuchen Sie folgendes: Bewerten Sie den finanziellen Verlust für das Unternehmen für

jedes Risiko, das eintritt. Berechnen Sie die Risikoaussetzung (sehr wahrscheinlich =

0,9, wahrscheinlich = 0,5, unwahrscheinlich = 0,1) Berechnen Sie das Gesamtrisiko des Projekts Für wie sicher halten Sie Ihre Ergebnisse? Lohnt es sich überhaupt, das Projekt durchzuführen

(vergleichen Sie den potentiellen Nutzen mit den Realisierungskosten und den Kosten der möglichen Risiken)?

Präsentieren Sie das Ergebnis vor der Gruppe

Arbeit in Teams von 3 - 5 Personen

Dauer 30 Minuten

Page 23: Baustein RM-24: Quantitative Risikoanalyse

23Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001

DKR Unternehmensberatung

Diskussion

Quantitative Risikoanalyse