Risiken erkennen und bewerten
Identifizierung spezifischer Ziele
In der Praxis lassen sich nicht alle möglichen Einflüsse auf ein IT-Vorhaben, beispielsweise ein Entwicklungsprojekt oder den Betrieb eines IT-Systems, permanent kontrollieren. Um Kontrollaktivitäten auf das Wesentliche einschränken zu können ist es zwingend erforderlich, die Ziele zu kennen, die mit dem Vorhaben verfolgt werden. Bei größeren Vorhaben ist das Management von Chancen und Risiken in der Regel nur dann ökonomisch machbar, wenn es sich auf möglichst wenig Ziele fokussieren lässt.
Ziele, die mit einem IT-Vorhaben verfolgt werden, lassen sich häufig in die folgenden allgemeinen Kategorien einordnen:
•Zeit, genauer die Einhaltung vereinbarter Termine
•die Einhaltung eines Budgets oder die Erfüllung konkreter Gewinnerwartungen
•Qualität, genauer die Einhaltung bestimmter Qualitätsmerkmale
Dabei ist die Betrachtung eines Oberbegriffs wie Zeit, Budgeteinhaltung oder Qualität in der Praxis ein zu pauschales Ziel. Termine lassen sich datieren, Gewinnerwartungen quantifizieren. Qualität kann in einzelne Qualitätsmerkmale unterteilt werden. Eine praxisnahe Orientierung für statische Eigenschaften eines IT-Systems (die Produktqualität) wie auch für Aspekte seiner Nutzung (die Nutzungsqualität) gibt die Norm ISO/IEC 25010 [ISO/IEC 25010 2011]. Die verschiedenen in der Norm definierten Qualitätsmerkmale eines IT-Systems sind, ergänzt um zusätzliche Merkmale der Prozess- und der Dienstleistungsqualität, in den Abbildungen 3 bis 5 dargestellt – ohne Anspruch auf Vollständigkeit. Jedes dieser Merkmale kann ein Ziel sein, das mit einem IT-Vorhaben verfolgt wird und eine so große Bedeutung hat, dass Einflüsse auf die Zielerreichung einer besonderen Kontrolle unterzogen werden müssen.
Abbildung 3: Qualitätsmerkmale (Top-Level)
Abbildung 4: Qualitätsmerkmale und Untermerkmale (Teil 1)
Abbildung 5: Qualitätsmerkmale und Untermerkmale (Teil 2)
Eine ähnliche Empfehlung kann hinsichtlich der Zielkategorie Informationssicherheit gegeben werden. Für diesen Bereich gibt der Standard ISO/IEC 27001 [ISO/IEC 27001 2015] eine gute Orientierung hinsichtlich möglicher Ziele:
Abbildung 6: Ziele der Informationssicherheit
Neben der Identifizierung eines Ziels (genau genommen handelt es sich dabei nur um den Ziel-Typ) ist noch seine spezifische Ausprägung im jeweiligen IT-Vorhaben zu betrachten. Nachfolgend sind drei Beispiele aus der Praxis aufgeführt (Platzhalter für vorhabenspezifische Daten sind in geschweiften Klammern angegeben):
•Ziel: „Vereinbarter Termin“ ➜ Spezifische Ausprägung (Beispiel): „Liefertermin für {Artefakt} am {Lieferdatum}“
•Ziel: „Funktionstauglichkeit“ ➜ Spezifische Ausprägung (Beispiel): „Einhaltung der funktionalen Anforderungen aus {direkter Verweis auf das Fachkonzept bzw. das Pflichtenheft}“
•Ziel: „Effizienz bzw. Belastbarkeit/ Leistungsfähigkeit“ ➜ Spezifische Ausprägung (Beispiel): „Einhaltung der Lastparameter aus {direkter Verweis auf die Anforderungsspezifikation bzw. das Lastenheft}“
Durch eine solche Präzisierung des Ziel-Typs in Richtung der für das Vorhaben spezifischen Ausprägung ergibt sich ein spezifisches Ziel.
Häufig beobachtet man, dass Organisationen ihre spezifischen Ziele planen, umsetzen, kontrollieren und steuern, dabei jedoch die Betrachtung von Einflüssen, welche die Zielerreichung gefährden oder begünstigen können, vernachlässigen. Analog dem Beispiel aus der Einleitung haben sie nur starr den direkten Weg zum Ziel im Blick und verlieren Einflüsse aus den Augen, die sie vom direkten Weg abbringen können.
Analyse der Einflussgrößen
Sind die spezifischen Ziele eines IT-Vorhabens identifiziert, ist der nächste Schritt - für jedes dieser Ziele - eine Analyse der Einflüsse auf die Zielerreichung. Ist eine Einflussgröße in der Lage, die Zielerreichung zu gefährden, bezeichnet man sie als ein Risiko. Kann sie demgegenüber das Erreichen eines Ziels begünstigen, so spricht man von einer Chance. Auch wenn der Begriff Risikomanagement weit verbreitet ist, so geht es dabei stets um beides: das Vermeiden von Bedrohungen und das Fördern von Chancen.
Ein Hilfsmittel zur Visualisierung der maßgeblichen Einflussgrößen auf ein Ziel ist das Ursache-Wirkungs-Diagramm. Abbildung 7 zeigt den prinzipiellen Aufbau eines für Zwecke der Risikoanalyse gegenüber dem Standard modifizierten Diagramms. Seine Basis ist ein horizontaler, nach rechts gerichteter Pfeil, an dessen Spitze das Ziel steht, das mit einem Vorhaben erreicht werden soll. Schräg auf diesen Pfeil stoßen Pfeile der Haupteinflussgrößen. Ein Pfeil in Richtung des Zielpfeils hat die Bedeutung „trägt zur Zielerreichung bei“. Auf die Pfeile der Haupteinflussgrößen stoßen nun Pfeile aller Einflüsse, die eine Auswirkung auf die Zielerreichung in diesem Bereich haben. Ein Pfeil, der in Richtung des Ziels zeigt, steht für eine Chance, ein Pfeil, der davon weg gerichtet ist, steht für eine Bedrohung bzw. ein Risiko.
Abbildung 7: Ursache-Wirkungs-Diagramm (Prinzip)
Abbildung 8 zeigt das Beispiel eines Ursache-Wirkungs-Diagramms für das Ziel eines IT-Projekts, den vereinbarten Liefertermin für ein bestimmtes Artefakt, beispielsweise das nächste Release einer Anwendung, einzuhalten. Auf die Termineinhaltung haben (ohne Anspruch auf Vollständigkeit) das Anforderungsmanagement, die Spezifikation, das Entwicklungsteam und die QS-Prozesse entscheidenden Einfluss. Charakteristisch für eine solche Betrachtung ist, dass es selten gelingt, alle möglichen Einflussgrößen zu identifizieren und darzustellen, durch einen solchen Anspruch jedoch auch der Aufwand zum Risikomanagement unverhältnismäßig steigen würde. Empfehlenswert ist eine Fokussierung auf solche Einflussgrößen, die besonders kritisch erscheinen und auf die das Vorhaben bzw. seine Verantwortlichen selbst einwirken können.
Abbildung 8: Ursache-Wirkungs-Diagramm (Beispiel 1)
Das Diagramm in Abbildung 8 zeigt, dass schon im Bereich des Anforderungsmanagements konkurrierende, widersprüchliche Anforderungen den vereinbarten Termin gefährden können. In diesem Fallbeispiel wurden weitere Risiken in diesem Bereich als so unwahrscheinlich eingestuft, dass sie nicht aufgeführt sind. Dies bedeutet keinesfalls, dass es in diesem Kontext keine weiteren Bedrohungen gibt. Ändert sich die Bedrohungslage oder die eigene Einschätzung, könnte es bei einer späteren Analyse erforderlich werden, zusätzliche Risiken in die Betrachtung aufzunehmen, beispielsweise „Anzahl der Anforderungen ist für den Zeitraum bis zum Liefertermin zu groß“.
Abbildung 8 zeigt ferner, dass der Liefertermin auch durch einen unerwartet hohen Spezifikationsaufwand, durch eine zu geringe Produktivität, Ausbildungsdefizite oder zu wenig Erfahrung des Entwicklungsteams bzw. durch einen unerwartet hohen Aufwand für funktionale Tests gefährdet werden kann. Aus Sicht der Ersteller dieser Analyse sind dies die wesentlichen Einflüsse auf das Erreichen des spezifischen Ziels.
Abbildung 9: Ursache-Wirkungs-Diagramm (Beispiel 2)
Abbildungen 9 und 10 zeigen ähnliche Ursache-Wirkungs-Diagramme für andere Ziele des IT-Projekts. Dabei geht es um die Funktionstauglichkeit und die Belastbarkeit/ Leistungsfähigkeit des zu erstellenden Systems – jeweils mit Bezug zu präzise beschriebenen und vereinbarten Anforderungen. Auch die in den Diagrammen angegebenen Einflussgrößen sind nicht als allgemeine Einflüsse zu verstehen, sondern es sind die für das betrachtete IT-Vorhaben konkreten Einflussgrößen gemeint, d.h. das in genau diesem Projekt praktizierte Anforderungsmanagement, das dort eingesetzte Entwicklungsteam, die Spezifikation des geplanten Systems und die in genau diesem Vorhaben geplanten QS-Prozesse...