it risikomanagement

© 2010 Mayflower GmbH

IT-Risikomanagement Einführung und Methoden

Don Bosco van Hoi I 27 Januar 2011

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 2

I  Einleitung I  Grundlagen

•  Begriffe des Risikomanagements •  Risikomanagementprozess -  Identifikation -  Analyse -  Steuerung / Maßnahmen -  Kontrolle

I  Erfolgreiches Risikomanagement I  Fragen und Antworten

Agenda

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 3

Was ist Risikomanagement?

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 4

Was ist ein Risiko?

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 5

Was wird heute passieren?

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 6

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 7

Was ist ein Risiko?

Ein Risiko ist ein Ereignis, von dem nicht sicher bekannt ist, ob es eintreten und/oder in welcher

genauen Höhe es einen Schaden verursachen wird.

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 8

I  Risikomanagement •  Ist die bewusste und proaktive Steuerung und

Absicherung von Projektrisiken •  bedeutet -  zu wissen, was schief laufen kann -  zu wissen was es für das Projekt bedeutet wenn

etwas schief läuft -  einen Plan zu haben wenn etwas Schief läuft -  Risiken unter Kontrolle zu halten

Risikomanagement

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 9

Risikomanagementprozess

Identifikation

Analyse Steuerung

Kontrolle

Initialisierung Planung Durchführung Abschluss

Identifikation

Analyse

Steuerung

Kontrolle

Identifikation

Analyse

Steuerung

Kontrolle

Identifikation

Analyse

Steuerung

Kontrolle

Identifikation

Analyse

Steuerung

Kontrolle

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 10

I  Technische I  Betriebswirtschaftliche I  Personelle I  Projektumfeld I  Organisatorische I  Projektplanung

Risikokategorien

© 2010 Mayflower GmbH

Risiken identifizieren

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 12

I  Ziel: Liste aller möglichen Projektrisiken I  Erfahrungen aus vorherigen Projekten I  Interviews I  Fragebogen I  Checklisten I  Kreativitätstechniken

•  Brainstorming •  Mindmapping

Risiken identifizieren

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 13

© 2010 Mayflower GmbH

Risiken analysieren

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 15

I  Eintrittswahrscheinlichkeit I  Schadenshöhe I  Risikofaktor = Eintrittswahrscheinlichkeit * Schadenshöhe

Risiko

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 16

Skala der Risikomatrix

Verzögerung der Projektlaufzeit in Prozent

Kostenüberlauf im Projektbudget in Euro

Steigerung der Folgekosten bei Einsatz von neuer Software

Einfluss auf die Zufriedenheit der Benutzer

1 – sehr niedrig

Bis zu 5% Bis zu 5 % 1 – 2 % Sehr Gering

2 - niedrig 6 – 10 % 6 – 10 %

3 – 4 % Eher Gering

3 - mittel 11 – 30 % 11 – 30 %

5 – 6 % Mittel

4 - hoch 31 – 80 % 31 – 80 % 7 – 8 % Hoch 5 – sehr hoch

> 80 % > 80 %

> 8 % Sehr Hoch

Risikobewertung

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 17

I  Warum besteht das Risiko? •  Veränderte Zielsetzung •  Mangelndes Anforderungsmanagement

I  Wie wahrscheinlich ist das Risiko? •  Eintrittswahrscheinlichkeit W (1-5) : sehr hoch (5) •  Schadensauswirkung A (1-5): hoch (4)

I  Risikofaktor R •  W (4) * S (4) = 20

Risikobewertung am Beispiel „Anforderungsänderung“

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 18

Risiken identifizieren

Aufteilung in drei Gefahrenbereiche •  Akzeptanzbereich •  Kritischer Bereich •  Gefahrenbereich

Fokussierung auf die wichtigen Risiken

Quelle: http://www.itseccity.de

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 19

I  Anforderungsänderung W (5) S (4) R (20) I  Einsatz neuer Technologien W (4) S (5) R (20) I  Starre Architektur W (3) S (5) R (15) I  Implementierung ohne Entwurf W (4) S (4) R (16) I  Unmotivierte Mitarbeiter W (3) S (5) R (15) I  Mitarbeiterfluktuation W (2) S (4) R (8) I  Unzureichende Reviews W (3) S (4) R (12) I  Machtkämpfe W (1) S (2) R (2) I  Programmierrichtlinien W (3) S (2) R (6)

Weitere Projektrisiken

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 20

Risikomatrix - ausgefüllt

0,0

1,0

2,0

3,0

4,0

5,0

0 1 2 3 4 5

Scha

dens

höhe

Risikowahrscheinlichkeit

Anforderungsänderung

Einsatz neuer Technologien

Starre Architektur

Implementierung ohne Entwurf

Unmotivierte Mitarbeiter

Mitarbeiterfluktuation

Unzureichende Review

Machtkämpfe

Programmierrichtlinien

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 21

I  Wie gehen wir mit den Risiken um? •  Akzeptieren •  Vermeiden •  Minimieren •  Verlagerung

Maßnahmen

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 22

•  Aus vorherigen Projekten ist bekannt dass es zur Änderungen von Anforderungen zur Projektlaufzeit kommen kann die oft auf eine geänderte Zielsetzung zurückzuführen ist und besonders stark den Projekterfolg bedrohen.

•  Das Risiko beeinträchtigt sowohl Zeit- als auch Budgetrahmen in vielfacher Weise.

Risikobeschreibung „Anforderungsänderung“

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 23

I  Keine klare Zieldefinition – SMART •  Spezifisch, Messbar, Akzeptiert, Realisierbar,

Terminierbar I  Der Benutzer wird nicht in die Aufnahme der funktionalen

Anforderungen eingebunden I  Während der Laufzeit kommen neue Anspruchsgruppen

hinzu die neue Anforderungen stellen

Indikatoren „Anforderungsänderung“

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 24

I  Changemanagement •  Wer, Wie, Was

I  Anforderungsmanagement •  Priorisierung des Nutzens

I  Stakeholdermanagement •  Pflege der Beziehungen zu den Anspruchsgruppen

I  Inkrementelle und iteratives Vorgehensmodell •  SCRUM, XP

I  Vertragsgestaltung I  Projektplan

•  Puffer für Resourcen einplanen I  Kommunikation

Maßnahmen „Anforderungsänderung“

© 2010 Mayflower GmbH

Risiken steuern

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 26

I  Wer soll die Maßnahmen umsetzen und überwachen? •  Das Projektteam, der Teamleiter, Projektleiter, Scrum

Master, Product Owner ... I  Fragen

•  Treten die Indikatoren ein? •  Werden die Maßnahmen umgesetzt? •  Verändert sich das Risiko? •  Löst das Risiko ein weiteres Risiko aus?

Risikosteuerung

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 27

I  Maßnahmentabelle

Risiko Wahrsch. Schaden Maßnahmen Verantwortlicher

Anforderungen ändern sich

Sehr hoch

Hoch Agile, Change Mngmt. PL, Team

Einsatz neuer Technologien

Hoch Sehr Hoch

Schulung, Expertenteam

Management, Team

Mitarbeitermotivation Gering Mittel Bier, Pizza, Gehalt+ Management

Mitarbeiterfluktuation Gering Hoch Mitarbeitermotivation Management

© 2010 Mayflower GmbH

Risiken kontrollieren

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 29

I  Ziel: Kontrolle der Umsetzung der Risikoplanung I  Frühwarnsystem einrichten:

•  Feststellung aufgrund welcher Anzeichen, Symptome und Ereignisse Gefahren und Risiken frühzeitig erkannt werden

•  Beachtung der schwachen Signale: Drohunge, Flurfunk, Krankheitsquote

I  Reviews I  Feedback I  Retrospektive

Risikocontrolling

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 30

Risikomangement - Zusammenfassung

Identifikation

Analyse Steuerung

Kontrolle

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 31

I  Risikobewusstsein und –Verantwortung verteilen I  Fördern einer offener Risikokommunikation I  Lernen von Anderen I  Risikomanagementprozess anpassen – Tailoring I  Evolutionsprinzip: Lerne aus Fehler I  Risikomanagement handelt von Menschen I  Risikomanagement è Kommunikation à Erfolg

Risikokommunikation und Kultur

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 32

I  Risikobewusstsein und –Verantwortung verteilen I  Fördern einer offener Risikokommunikation I  Lernen von Anderen I  Risikomanagementprozess anpassen – Tailoring I  Evolutionsprinzip: Lerne aus Fehler I  Risikomanagement handelt von Menschen I  Risikomanagement è Kommunikation à Erfolg

Risikokommunikation und Kultur

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 33

5 Stufen der Unwissenheit

Quelle: Philip G. Armour

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 34

I  Risikobewusstsein und –Verantwortung verteilen I  Fördern einer offener Risikokommunikation I  Lernen von Anderen I  Risikomanagementprozess anpassen – Tailoring I  Evolutionsprinzip: Lerne aus Fehler I  Risikomanagement handelt von Menschen I  Risikomanagement è Kommunikation à Erfolg

Risikokommunikation und Kultur

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 35

I  Risikobewusstsein und –Verantwortung verteilen I  Fördern einer offener Risikokommunikation I  Lernen von Anderen I  Risikomanagementprozess anpassen – Tailoring I  Evolutionsprinzip: Lerne aus Fehler I  Risikomanagement handelt von Menschen I  Risikomanagement è Kommunikation à Erfolg

Risikokommunikation und Kultur

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 36

I  Risikobewusstsein und –Verantwortung verteilen I  Fördern einer offener Risikokommunikation I  Lernen von Anderen I  Risikomanagementprozess anpassen – Tailoring I  Evolutionsprinzip: Lerne aus Fehler I  Risikomanagement handelt von Menschen I  Risikomanagement è Kommunikation à Erfolg

Risikokommunikation und Kultur

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 37

I  Risikobewusstsein und –Verantwortung verteilen I  Fördern einer offener Risikokommunikation I  Lernen von Anderen I  Risikomanagementprozess anpassen – Tailoring I  Evolutionsprinzip: Lerne aus Fehler I  Risikomanagement handelt von Menschen I  Risikomanagement è Kommunikation à Erfolg

Risikokommunikation und Kultur

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 38

I  Risikobewusstsein und –Verantwortung verteilen I  Fördern einer offener Risikokommunikation I  Lernen von Anderen I  Risikomanagementprozess anpassen – Tailoring I  Evolutionsprinzip: Lerne aus Fehler I  Risikomanagement handelt von Menschen I  Risikomanagement è Kommunikation à Erfolg

Risikokommunikation und Kultur

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 39

I  Risikobewusstsein und –Verantwortung verteilen I  Fördern einer offener Risikokommunikation I  Lernen von Anderen I  Risikomanagementprozess anpassen – Tailoring I  Evolutionsprinzip: Lerne aus Fehler I  Risikomanagement handelt von Menschen I  Risikomanagement è Kommunikation à Erfolg

Risikokommunikation und Kultur

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 40

Projektmanagement 46

Beispiel: Geschäftsumfeld

-  Geschäftsumfeld analysieren +  Marktsituation: Aktuell und Trends +  Wettbewerbsbetrachtung: Aktuell und Trends +  Wertschöpfungskette +  Sonstige Einflüsse (gesetzliche, technische und soziale

Rahmenbedingungen) -  Anforderungen an die notwendigen Veränderungen

+  Antwort auf Wettbewerb und Trends im Markt +  Veränderungspotential im Unternehmen +  Alternative Strategien zur Ertragssteigerung +  Empfohlene Veränderungsprozesse +  Begründung für die Vorschläge und die Vorgehensweise

91 Projektmanagement - Prof. Dr. Thomas Städter WS 2010

Interessen-Analyse

-  Ziel: Potentielle Widerstände geistig vorwegnehmen +  Liste der vom Projekt Betroffenen erstellen +  Analyse: Mit welchen Widerständen ist von wem zu rechnen? +  Operative Maßnahmen festlegen

92 Projektmanagement - Prof. Dr. Thomas Städter WS 2010

Projekt-Betroffene

erwarteteUnterstützung

erwarteteWiderstände

präventiveMaßnahmen

Anwender-gruppe 1

Interesse an neuer Lösung

- -

Anwender-gruppe 2 - kein Interesse

an UmstellungProjektmarketing

Info-Veranstaltung

Fachabteilung1 - Aufgaben von Herrn

NN werden tangiert

Herrn NN ins Projekt auf-nehmen oder andere

Einbeziehungsmöglichkeit

Fachabteilung2 - Angst vor hoher

zeitlicher Belastung

Einen Vertreter der Abteilung in den Lenkungsaus-schuss aufnehmen

... ... ... ...

Stakeholdermanagement - Interessenanalyse

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 41

I  Responsible – Wer ist verantwortlich I  Approved – Wer hat es abgesegnet I  Supports – Wer setzt es um I  Consults – Wer hilft bei der Umsetzung „Experte“ I  Informed – Wer muss benachrichtigt werden

RASCI Chart

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 42

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 43

Vielen Dank für die Aufmerksamkeit

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 44

Diskussion

IT-Risikomanagement I Mayflower GmbH I Januar 27, 2011 I 45

I  W./Ruf, T./Fittkau (2007): Ganzheitliches IT-Projektmanagement Oldenbourg 2007, ISBN 978-3-486-58567-4

I  F./Ahrendts, A./Marton (2008): IT-Risikomanagement leben! Springer Verlag 2008, ISBN 978-3-540-30024-3

I  P. Mangold IT-Projektmanagment kompakt Spektrum Verlag 2009, ISBN 978-3-8274-1937-8

Quellen und Literaturangaben

© 2010 Mayflower GmbH

Don Bosco van Hoi donbosco.vanhoi@mayflower.de Mayflower GmbH Mannhardtstrasse 6 80538 München

Vielen Dank für Ihre Aufmerksamkeit!