Zusammenfassung
Risikomanagement ist der systematische Umgang mit Unsicherheiten in einem Projekt. Es umfasst vier Kernschritte: Risiken identifizieren, bewerten, Maßnahmen planen und überwachen. Ziel ist es, negative Auswirkungen auf Zeit, Kosten und Qualität zu minimieren – und gleichzeitig Chancen zu nutzen. Dieser Leitfaden erklärt den gesamten Risikomanagement-Prozess praxisnah und zeigt, wie Sie ihn in Ihren Projekten einsetzen.
Was ist Risikomanagement im Projektmanagement?
Ein Pilot, der ein Flugzeug über den Atlantik steuert, weiß nicht immer sicher, wie sich das Wetter auf der Route und am Zielflughafen während des Flugs entwickeln wird. Es gibt Flüge mit ruhiger Atmosphäre und klarer Sicht, und es gibt solche, auf denen sich Gewitterzellen auftürmen, Turbulenzen das Flugzeug durchrütteln oder Nebel am Zielflughafen eine Umleitung auf einen anderen Landeort erfordert.
Ein guter Pilot fürchtet das schlechte Wetter nicht – aber er bereitet sich darauf vor. Er studiert die Wetterkarten, prüft seine Treibstoffreserve und kennt die Ausweichrouten.
Risikomanagement im Projektmanagement funktioniert nach demselben Prinzip. Es ist der systematische Prozess, mit dem ein Projektteam potenzielle Gefahren frühzeitig erkennt, ihre Auswirkungen einschätzt und geeignete Maßnahmen ergreift – bevor aus einer Möglichkeit ein Problem wird.
Ein Risiko ist dabei nichts anderes als ein unsicheres Ereignis, das – sollte es eintreten – positive oder negative Auswirkungen auf die Projektziele haben kann. Risiken betreffen typischerweise die drei Eckpfeiler des magischen Dreiecks: Zeit, Kosten und Leistungsumfang.
Risikomanagement ist kein einmaliger Schritt zum Projektbeginn. Es begleitet das Projekt von der ersten Projektphase bis zum Abschluss. Es ist ein fortlaufender Prozess, der regelmäßig überprüft und angepasst werden muss.
Der Risikomanagement-Prozess
Der Risikomanagement-Prozess ist ein wiederkehrender Kreislauf aus vier Schritten, der das Projekt über die gesamte Laufzeit begleitet. Mit jedem Durchlauf werden Risiken präziser bewertet und Maßnahmen an die aktuelle Situation angepasst.
1. Risiken identifizieren
Der erste Schritt ist zugleich der wichtigste: Sie müssen wissen, was Ihnen begegnen könnte. Das klingt offensichtlich, wird in der Praxis aber erstaunlich oft vernachlässigt. Viele Teams stürzen sich in die Arbeit und hoffen, dass schon alles gut gehen wird. Hoffnung ist jedoch keine Strategie.
Für die Identifikation von Projektrisiken gibt es bewährte Methoden:
- Brainstorming im Team: Die Menschen, die das Projekt umsetzen, kennen die Gefahren am besten. Schaffen Sie einen Raum, in dem Bedenken willkommen sind – nicht als Zeichen von Schwäche, sondern als Zeichen von Professionalität.
- Checklisten aus früheren Projekten: Jedes abgeschlossene Projekt hinterlässt Wissen. Nutzen Sie es. Welche Risiken sind in der Vergangenheit eingetreten? Welche wurden übersehen?
- SWOT-Analyse: Die systematische Betrachtung von Stärken, Schwächen, Chancen und Bedrohungen liefert wertvolle Hinweise auf potenzielle Risiken.
- Expertenbefragung: Fragen Sie Menschen, die ähnliche Projekte bereits durchgeführt haben. Deren Erfahrung ist Gold wert.
- Umfeldanalyse: Betrachten Sie das Projektumfeld – technologische Veränderungen, regulatorische Anforderungen, Marktentwicklungen. Risiken kommen nicht nur von innen.
Das Ergebnis dieses Schritts ist eine Risikoliste – eine Sammlung aller identifizierten Risiken, zunächst unbewertet und ungefiltert. Besser eine zu lange Liste als eine zu kurze.
2. Risiken bewerten
Nicht jedes Risiko wiegt gleich schwer. Ein leichter Regen verzögert den Bau um einen Tag. Ein Erdbeben stoppt ihn für Monate. Die Bewertung von Risiken gibt Ihnen die Grundlage, um Prioritäten zu setzen und Ihre begrenzten Ressourcen dort einzusetzen, wo sie den größten Nutzen bringen.
Die Bewertung erfolgt anhand zweier Dimensionen:
- Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass das Risiko eintritt? (z.B. sehr gering (1), gering (2), mittel (5), hoch (8), sehr hoch(10))
- Auswirkung: Wie schwerwiegend wären die Folgen für das Projekt? (z.B. unbedeutend (1), gering (2), mittel (5), schwer (8), katastrophal (10))
Aus dem Produkt beider Werte ergibt sich die Risikoprioritätszahl (RPZ). Sie bestimmt, welche Risiken sofortige Aufmerksamkeit verdienen und welche man beobachten kann.
RPZ = Eintrittswahrscheinlichkeit x Auswirkung
Es gibt zwei Bewertungsansätze:
Die qualitative Bewertung arbeitet mit Kategorien (hoch/mittel/niedrig) und eignet sich besonders für frühe Projektphasen, in denen noch wenige Daten vorliegen. Die quantitative Bewertung verwendet konkrete Zahlen – etwa Eintrittswahrscheinlichkeiten in Prozent oder Index und geschätzte Schadenshöhen in Euro oder Index. Sie ist genauer, erfordert aber mehr Aufwand und Daten.
Für das obige Beispiel könnte die RPZ zwischen 1 und 100 liegen. Kleine Zahlen deuten auf ein geringes Risiko hin. Um die Risiken mit großen Werten sollte man sich intensiv kümmern.
3. Risikomatrix erstellen
Die Risikomatrix macht das Ergebnis der Bewertung sichtbar. Sie ist eine zweidimensionale Darstellung, in der jedes Risiko nach Eintrittswahrscheinlichkeit und Auswirkung positioniert wird.
Eine typische 5×5-Risikomatrix sieht so aus:
| Unbedeutend | Gering | Mittel | Schwer | Katastrophal | |
|---|---|---|---|---|---|
| Sehr hoch | Mittel | Hoch | Kritisch | Kritisch | Kritisch |
| Hoch | Niedrig | Mittel | Hoch | Kritisch | Kritisch |
| Mittel | Niedrig | Niedrig | Mittel | Hoch | Kritisch |
| Gering | Sehr niedrig | Niedrig | Niedrig | Mittel | Hoch |
| Sehr gering | Sehr niedrig | Sehr niedrig | Niedrig | Niedrig | Mittel |
Zeilen = Eintrittswahrscheinlichkeit, Spalten = Auswirkung
Die Farbcodierung macht auf einen Blick klar, wo Handlungsbedarf besteht. Risiken im roten Bereich verlangen sofortige Maßnahmen. Im gelben Bereich sollte man Maßnahmen planen. Im grünen Bereich genügt es, die Risiken zu beobachten.
4. Maßnahmen planen und umsetzen
Jetzt wird es konkret. Für jedes relevante Risiko brauchen Sie eine Strategie. Es gibt vier grundlegende Risikomaßnahmen:
Vermeiden bedeutet, das Risiko vollständig zu eliminieren – etwa durch Änderung des Projektumfangs, Wahl einer anderen Technologie oder Verzicht auf einen risikobehafteten Lieferanten. Das ist die wirksamste Strategie, aber nicht immer möglich.
Vermindern reduziert entweder die Eintrittswahrscheinlichkeit oder die Auswirkung des Risikos. Beispiel: Sie führen zusätzliche Qualitätsprüfungen ein, um das Risiko von Produktfehlern zu senken. Oder Sie bauen einen zeitlichen Puffer in den Projektplan ein, um Verzögerungen abzufedern.
Übertragen verlagert das Risiko auf eine andere Partei – zum Beispiel durch Versicherungen, Verträge mit Festpreisgarantie oder die Beauftragung spezialisierter Dienstleister. Das Risiko verschwindet dadurch nicht, aber die finanziellen Folgen tragen andere.
Akzeptieren ist die bewusste Entscheidung, ein Risiko hinzunehmen. Das kann passiv geschehen (wir nehmen es hin, wenn es eintritt) oder aktiv (wir legen einen Notfallplan bereit). Diese Strategie eignet sich für Risiken mit geringer Priorität oder für solche, bei denen die Gegenmaßnahmen teurer wären als der potenzielle Schaden.
Für jedes Risiko sollten Sie festlegen:
- Welche Strategie verfolgt wird
- Welche konkreten Maßnahmen ergriffen werden
- Wer dafür verantwortlich ist (der sogenannte Risikoeigner)
- Bis wann die Maßnahme umgesetzt sein muss
Das Risikoregister
Das Risikoregister ist das zentrale Dokument des Risikomanagements. Es sammelt alle identifizierten Risiken mit ihren Bewertungen, Maßnahmen und Verantwortlichkeiten an einem Ort.
Ein gutes Risikoregister enthält für jedes Risiko mindestens:
- Risiko-ID: Eine eindeutige Kennung
- Beschreibung: Was könnte passieren?
- Kategorie: Technisch, organisatorisch, extern, finanziell
- Eintrittswahrscheinlichkeit: Auf einer definierten Skala
- Auswirkung: Auf einer definierten Skala
- Risikopriorität: Berechnet aus Wahrscheinlichkeit × Auswirkung
- Strategie: Vermeiden, vermindern, übertragen oder akzeptieren
- Maßnahmen: Konkrete Gegenmaßnahmen
- Risikoeigner: Die verantwortliche Person
- Status: Offen, in Bearbeitung, geschlossen, eingetreten
Das Risikoregister ist ein lebendes Dokument. Es wird in jeder Projektstatusbesprechung aktualisiert, neue Risiken werden ergänzt, erledigte gestrichen und Bewertungen angepasst. Ein Risikoregister, das in einer Schublade verstaubt, ist wertlos.
Risikomanagement in der Praxis
Theorie ist gut. Aber wie sieht Risikomanagement im Projektalltag aus? Schauen wir auf die typischen Risiken, die in Projekten immer wieder auftauchen.
Typische Projektrisiken
Scope Creep – die schleichende Ausweitung des Projektumfangs – ist einer der häufigsten Projektrisiken. Neue Anforderungen kommen hinzu, ohne dass Budget oder Zeitplan angepasst werden. Ein klar definierter Projekt-Scope und ein formaler Änderungsprozess sind die wirksamsten Gegenmaßnahmen.
Ressourcenengpässe entstehen, wenn Schlüsselpersonen das Projekt verlassen, krank werden oder in mehreren Projekten gleichzeitig gebunden sind. Gegenmaßnahme: Wissenstransfer sicherstellen, Stellvertreterregelungen etablieren und keine kritischen Abhängigkeiten von Einzelpersonen schaffen.
Technische Risiken treten auf, wenn neue Technologien eingesetzt werden, Schnittstellen nicht wie erwartet funktionieren oder die Komplexität unterschätzt wird. Frühzeitige Prototypen, Proof-of-Concepts und technische Reviews helfen, diese Risiken zu beherrschen.
Externe Abhängigkeiten – etwa von Lieferanten, Behörden oder Partnerunternehmen – liegen außerhalb der direkten Kontrolle des Projektteams. Hier helfen vertragliche Absicherungen, alternative Lieferanten und ausreichend Pufferzeit.
Kommunikationsprobleme klingen harmlos, können aber verheerende Folgen haben. Wenn Stakeholder nicht informiert sind, Entscheidungen verschleppt werden oder Missverständnisse entstehen, geraten selbst gut geplante Projekte ins Schlingern.
Beispiel: IT-Migrationsprojekt
Ein Unternehmen migriert sein ERP-System auf eine neue Plattform. Das Projektteam identifiziert folgende Top-5-Risiken:
| Risiko | Wahrscheinlichkeit | Auswirkung | Strategie | Maßnahme |
|---|---|---|---|---|
| Datenverlust bei Migration | Mittel | Katastrophal | Vermindern | Vollständiges Backup vor Migration, Testmigration auf Staging-System |
| Schlüsselentwickler verlässt Projekt | Gering | Schwer | Vermindern | Dokumentation, Pair Programming, Stellvertreter benennen |
| Schnittstelle zu Drittsystem inkompatibel | Hoch | Schwer | Vermeiden | Frühzeitiger Integrationstest in Sprint 2 |
| Schulungszeit für Endanwender reicht nicht | Mittel | Mittel | Vermindern | Schulungskonzept erweitern, E-Learning-Module erstellen |
| Go-Live-Termin kollidiert mit Geschäftsjahr-Abschluss | Hoch | Hoch | Vermeiden | Go-Live um 4 Wochen vorziehen |
Dieses Beispiel zeigt: Risikomanagement muss nicht kompliziert sein. Eine einfache Tabelle mit klaren Verantwortlichkeiten reicht oft aus, um die größten Gefahren im Griff zu behalten. Den gesamten Prozess von der Risikoliste bis zu dokumentierten Maßnahmen an einem durchgängigen Projekt zeigt unser Risikomanagement-Beispiel (CRM-Einführung).
Chancenmanagement – die andere Seite der Medaille
Risikomanagement wird oft ausschließlich mit Bedrohungen und Gefahren assoziiert. Dabei haben Unsicherheiten auch eine positive Seite: Chancen. Das Chancenmanagement wendet dieselben Methoden an – nur mit umgekehrtem Vorzeichen. Oft sind die Chancen der Grund dafür, die damit verbundenen Risiken einzugehen.
No Risk, no fun.
Statt Risiken zu vermeiden, geht es darum, positive Unsicherheiten aktiv zu nutzen:
- Ausnutzen: Bedingungen schaffen, damit die Chance sicher eintritt
- Verstärken: Die Eintrittswahrscheinlichkeit oder den positiven Effekt erhöhen
- Teilen: Die Chance mit einem Partner teilen, der sie besser nutzen kann
- Akzeptieren: Die Chance mitnehmen, falls sie eintritt, aber keine aktiven Maßnahmen ergreifen
Ein Beispiel: Ihr Projekt könnte schneller fertig werden als geplant, weil ein neues Tool auf den Markt kommt, das die Entwicklung beschleunigt. Die Chance zu verstärken bedeutet, das Tool frühzeitig zu evaluieren und gegebenenfalls einzusetzen.
Ein reifes Risikomanagement betrachtet immer beide Seiten – die Bedrohungen und die Chancen. Denn wer nur auf die Gefahren schaut, verpasst die Gelegenheiten.
Tipps für erfolgreiches Risikomanagement
Nach vielen Jahren Erfahrung in der Projektarbeit gibt es einige Grundsätze, die sich bewährt haben:
-
Beginnen Sie früh. Risikomanagement startet nicht in der Durchführung, sondern in der Projektplanung. Je früher Sie Risiken erkennen, desto günstiger sind die Gegenmaßnahmen.
-
Beziehen Sie das Team ein. Risiken erkennt man nicht am Schreibtisch. Das gesamte Projektteam – und idealerweise auch wichtige Stakeholder laut Stakeholderanalyse – sollte an der Risikoidentifikation beteiligt sein.
-
Halten Sie es einfach. Ein Risikoregister mit 200 Einträgen, das niemand pflegt, ist wertlos. Konzentrieren Sie sich auf die 10 bis 20 wichtigsten Risiken und managen Sie diese konsequent.
-
Aktualisieren Sie regelmäßig. Risiken verändern sich im Projektverlauf. Neue kommen hinzu, alte verschwinden. Machen Sie die Risikobesprechung zum festen Bestandteil Ihrer Statusmeetings.
-
Schaffen Sie eine offene Kultur. In manchen Organisationen gilt es als Schwäche, Risiken zu benennen. Das Gegenteil ist der Fall. Wer Risiken offen anspricht, handelt verantwortungsvoll. Fördern Sie dieses Verhalten aktiv.
-
Dokumentieren Sie Lessons Learned. Wenn ein Risiko eintritt – oder gerade nicht eintritt – halten Sie fest, warum. Dieses Wissen ist unbezahlbar für zukünftige Projekte.
-
Nutzen Sie das Risikomanagement als Steuerungsinstrument. Die Ergebnisse fließen direkt in die Projektsteuerung ein. Risiken mit hoher Priorität können Planänderungen, Budgetanpassungen oder Scope-Entscheidungen auslösen.
Häufig gestellte Fragen
Risikomanagement ist der systematische Prozess, potenzielle Risiken in einem Projekt zu identifizieren, zu bewerten und durch geeignete Maßnahmen zu steuern. Ziel ist es, negative Auswirkungen auf die Projektziele (Zeit, Kosten, Qualität) zu minimieren und positive Chancen zu nutzen.
Der Prozess besteht aus vier Kernschritten, die sich zyklisch wiederholen: 1. Risiken identifizieren, 2. Risiken bewerten (nach Eintrittswahrscheinlichkeit und Auswirkung), 3. Maßnahmen planen (Vermeiden, Vermindern, Übertragen oder Akzeptieren), 4. Risiken überwachen und den Prozess wiederholen.
Eine Risikomatrix ist eine zweidimensionale Darstellung, in der Risiken nach Eintrittswahrscheinlichkeit (y-Achse) und Auswirkung (x-Achse) eingeordnet werden. Die resultierende Farbcodierung (grün, gelb, rot) zeigt auf einen Blick, welche Risiken die höchste Priorität haben.
Häufige Projektrisiken sind
- Terminrisiken: Wenn Zeit zur Unsicherheit wird (unrealistische Planung, fehlende Puffer).
- Scope-Risiken (Projektumfang): Wenn das Projekt „wächst“ (unklare Anforderungen, ständige Änderunge (Scope Creep)).
- Kommunikationsrisiken: Wenn Informationen verloren gehen (schlechte Kommunikation).
- Technische Risiken: Wenn Technologie nicht wie erwartet funktioniert.
- Organisationsrisiken: Wenn Strukturen nicht tragen (unklare Rollen, fehlende Entscheidungen).
- Qualitätsrisiken: Wenn das Ergebnis nicht den Erwartungen entspricht.
- Externe Risiken: Wenn die Welt sich einmischt (Marktveränderungen, gesetzliche Vorgaben).
- Chancen (positive Risiken): Nicht jedes Risiko ist negativ.
Ein Risiko ist ein unsicheres zukünftiges Ereignis, das eintreten könnte. Ein Problem ist ein Risiko, das bereits eingetreten ist. Risikomanagement befasst sich mit der Vorbeugung; Problemmanagement mit der Reaktion auf eingetretene Ereignisse.
Jörg Friedrich
Senior Advisor
Jörg Friedrich ist der ursprüngliche Autor der Projektmanagement-Software Allegra und begleitet die Entwicklung bis heute. Er hat viele Jahre Industrieerfahrung als Projekt- und Abteilungsleiter. Er ist darüber hinaus als Professor in der Fakultät Informatik und Informationstechnik an der Hochschule Esslingen tätig.
