Risiko-Management im agilen Kontext

Produktentwicklungen mit agilen Methoden profitieren, wenn die Beteiligten sich um die mit der Entwicklung verbundenen Risiken kümmern. Dies ist einfach umzusetzen und kann auch als Experiment ausprobiert werden.

Zum Beispiel betreibt jeder Risiko-Management, der nach einer Wettervorhersage mit hoher Regenwahrscheinlichkeit einen Regenschirm einpackt. Umso erstaunlicher ist es, dass viele im Berufsleben auf dieses nützliche Instrument verzichten.

Einführung

Woran denkst du, wenn du das Wort „Risiko“ hörst oder liest? Die Wahrscheinlichkeit ist hoch, dass du an etwas „Negatives“ gedacht hast.

Interessanterweise sind die typischen Definitionen des Begriffs im Sinne des Risiko-Managements so allgemein, dass darunter sowohl Bedrohungen (negative Risiken, im Englischen „Threats“) als auch Möglichkeiten (positive Risiken, im Englischen Opportunities) fallen:

  • Die ISO-Norm 31000 spricht vom „Effekt von Unsicherheit auf Ziele“ („effect of uncertainty on objectives“)
  • David Hillson (der sogenannte „Risk Doctor“) verwendet „uncertainty that matters“, also in etwa „Unsicherheit auf die es ankommt“.

Beide Definitionen beinhalten also Unsicherheit und das diese relevant sein muss. Es gibt schließlich unendlich viele Unsicherheiten, die für dein Ziel keine Rolle spielen.

Der Fokus auf Bedrohungen lässt sich aus evolutionsbiologischer Sicht erklären, da die Vermeidung von Bedrohungen eine größere Auswirkung auf die Überlebensfähigkeit hatte. Dies ist eine Erklärung, warum sich Risiko-Management typischerweise primär um Bedrohungen kümmert.

Wenn die folgenden zwei Punkte für dich interessant sind, dann lies bitte weiter:

  • Du möchtest bewusste Entscheidungen treffen, indem du z. B. bei sehr hohen Risiken einen anderen Weg zum Ziel suchst oder deine wertvolle Zeit nicht dazu verwendest, um sehr risikoreiche Idee mit wenig Aussicht auf Erfolg umsetzen.
  • Du möchtest vorbereitet sein und die Wahrscheinlichkeit von Überraschungen reduzieren.

Beispiel: Weil ich in starkem Regen nass geworden bin, werde ich eventuell krank. Deswegen verzögert sich die Roadmap-Planung, weil die dafür benötigten Kundeninterviews nicht stattfinden können.

Erklärung: Das gilt nur, wenn die Kundeninterviews in den nächsten Tagen geplant sind. Wenn die Kundeninterviews erst später geplant sind (z. B. weil der Interviewer die nächsten Tage Urlaub hat), dann wäre das Risiko der Erkältung in den nächsten Tagen aus Sicht der Roadmap-Planung nicht relevant (und damit das Gegenteil von „uncertainty that matters“).

Vorgehensweise

Das A und O im Risiko-Management ist es, Risiken überhaupt zu identifizieren und diese danach zu bewerten, Maßnahmen zu planen und umzusetzen. Dabei kommt es auf Regelmäßigkeit an, da sich Risiken im Zeitablauf ändern. Neue Risiken können auftauchen, bestehende Risiken verschwinden oder treten ein, die Wahrscheinlichkeit oder die Auswirkung von bestehenden Risiken verändern sich.

Risiko-Management Prozess nach PRINCE2.

Risiko-Management Prozess nach PRINCE2.

Das Denken in Risiken ist im Rahmen der „Product Discovery“ (hinreichend) beschrieben. Jedes Team, dass sich aufgrund der hohen Unsicherheit bewusst fragt, wo die größten Risiken liegen und wie man diese durch Lernen reduzieren kann, geht mit dieser Unsicherheit um und handelt dann hoffentlich entsprechend, je nachdem ob das aktuell größte Risiko im „Wert für den Kunden“, in der „Wirtschaftlichkeit für die eigene Firma“, in der „Usability“ oder in der „technischen Umsetzbarkeit“ (feasibility) liegt.

Wie kann der Umgang mit Risiken während der Umsetzungsphase fortgesetzt werden?

Die Verwendung des folgenden Templates und eines regelmäßigen Meetings zum Review der Risiken führt quasi „automatisch“ durch den Prozess. Um Risiken zu identifizieren, können ganz einfache Fragen helfen, z. B.

  • Was kann alles schief gehen? bzw. Was kann uns positiv überraschen?
  • Was kann passieren, damit wir deutlich mehr oder deutlich weniger Zeit / Aufwand benötigen?
Risiko-Management Template mit Beispiel

Risiko-Management Template mit Beispiel

Wenn du ein zusätzliches Meeting vermeiden willst, dann kannst du die bestehende Meetings, z. B. in Scrum nutzen:

  • Refinements: Stellt euch die oben angeführten Fragen
  • Sprint Planning: Stellt euch die oben angeführten Fragen
  • Daily Standup: der Scrum Master oder Product Owner hört bewusst auf Risiken oder fragt zur Hälfte des Sprints, wie das Entwicklungsteam den Fortschritt im Sprint einschätzt
  • Sprint Review: Geht bewusst auf positive oder negative Risiken ein, wenn ihr reflektiert, was im Sprint gut war, welche Probleme es gab und wie ihr mit diesen umgegangen seid. Berücksichtigt die Risiken beim Ausblick auf die kommenden Arbeiten.
  • Retrospektive: Wenn viele Hindernisse (Impediments) überraschend aufgetreten sind, dann fragt euch, wie ihr diese Anzeichen eher hättet wahrnehmen können. Oder wenn der Sprint überraschend gut lief, fragt euch, ob ihr einfach Glück hattet oder ob ihr den Sprint durch bestimmte Maßnahmen bewusst in diese Richtung gesteuert habt oder hättet steuern können.

Wenn ihr eure Roadmap oder eure Releases über einige wenige Sprints hinaus plant, dann reserviert zusätzlich Zeit, um zu reflektieren, welche Risiken es für das Erreichen der Ziele gibt. Auch hier könnt ihr wieder die einfachen Fragen von oben verwenden.

Verwendung des Templates

ID

Fortlaufende Nummer, um Risiken bei Bedarf referenzieren zu können

Risiko-Kategorie

Handelt es sich bei dem Risiko um eine Bedrohung (negatives Risiko, Threat) oder um eine Möglichkeit (positives Risiko, Opportunity)?

Beschreibung

Um was geht es bei dem Risiko? Seid so spezifisch wie möglich, d.h. dokumentiert wo die Unsicherheit herkommt und was die Auswirkung ist, wenn das Risiko eintritt.

Verantwortliche Person

Welche Person ist für das Risiko und deren Risiko-Maßnahmen verantwortlich?

Hinweis: Die verantwortliche Person ist nicht zwangsläufig die einzige Person, welche die Risiko-Maßnahmen umsetzt. Sie sollte aber die Maßnahmen koordinieren und voranbringen.

Wahrscheinlichkeit

Wie wahrscheinlich ist es, dass ein Risiko eintritt? Die einfachste Bewertung verwendet gering, mittel und hoch.

Beispiel: Starker Regen ist im Herbst wahrscheinlicher als im Sommer.

Auswirkung

Wie hoch ist die Auswirkung, wenn ein Risiko eintritt? Die einfachste Bewertung verwendet gering, mittel und hoch.

Beispiel: Wenn der Moderator für das Kundeninterview ausfällt, dann ist die Auswirkung höher als wenn einer der beobachtenden Teilnehmer ausfällt.

Risikowert

Der Risikowert ergibt sich aus der Wahrscheinlichkeit und Auswirkung anhand der folgenden Matrix:

Risiko-Matrix

Risiko-Matrix

Hinweis: Behaltet zusätzlich im Blick, wie schnell ein Risiko eintreten kann, um auch auf schnell eintretende Risiken noch reagieren zu können. Wenn ihr mehr Erfahrung mit Risiko-Management gesammelt habt, dann könnt ihr die „zeitliche Nähe“ als weiteres Attribut für Risiken aufnehmen.

Maßnahmen-Kategorie

Umgang Beispiel Bemerkung
Bedrohung: Wahrscheinlichkeit oder Auswirkungen reduzieren

Möglichkeit: Wahrscheinlichkeit oder Auswirkung erhöhen

Wetterbericht schauen und bei Bedarf Regenschirm einpacken
Bedrohung: Plan B vorbereiten („Fallback“)

Möglichkeit: N/A

Kundeninterviews so vorbereiten, dass bei Bedarf eine andere Person, dass Interview durchführen kann
Bedrohung: akzeptieren1)

Möglichkeit: zurückweisen

 

Keine Vorbereitungen treffen und „es darauf anlegen“, dass es entweder nicht regnet oder man nicht krank wird
Bedrohung: teilen

Möglichkeit: teilen

N/A Versicherungen sind ein klassisches Beispiel für das Teilen einer Bedrohung; das Äquivalent für Möglichkeiten sind Gain-Sharing Verträge
Bedrohung: vermeiden

Möglichkeiten: ausnutzen / ausschöpfen

Produkt nicht entwickeln bzw. weiter entwickeln (da damit das nicht stattfindende Kundeninterview keine Rolle mehr spielt) Bedrohungen vermeiden ist meist nicht praktikabel, da Bedrohungen typischerweise nicht komplett vermieden werden können. Das komplette Einstellen der Arbeit wegen deren Risiken ist ebenfalls nicht sinnvoll. An was soll man sonst arbeiten, wenn jede Arbeit mit gewissen Risiken verbunden ist? Andererseits kann es sinnvoll sein, bei einer Entscheidung zwischen 2 Produkten oder 2 Projekten, die jeweils damit verbundenen Risiken in die Entscheidung mit einzubeziehen
Bedrohung: transferieren (der Auswirkung) Zu Hause bleiben und z. B. jemand anderen zum Einkaufen schicken oder auf Lieferdienste ausweichen

Tabelle 1: Wie kann man mit Risiken umgehen?

1) Risiken akzeptieren ist für Risiken mit geringer Wahrscheinlichkeit und / oder geringer Auswirkung oder für Risiken mit sehr teuren Gegenmaßnahmen sinnvoll, um ein gutes Kosten-Nutzen-Verhältnis für das Risiko-Management zu erreichen. Der Aufwand in Geld und Zeit für die Risiko-Maßnahmen soll in Relation zum möglichen Schaden eines Risikos stehen.

Risiko-Maßnahme

Welche Maßnahmen sind sinnvoll, um mit dem Risiko gemäß der gewünschten Kategorie der Maßnahme umzugehen (siehe obige Beispiele)?

Risiko-Status

Einer der Werte aus:

Risiko-Status Beschreibung
Risiko identifiziert Das Risiko ist bekannt und es wurde noch nicht damit begonnen, eine Risiko-Maßnahme umzusetzen
Risiko-Maßnahme in Durchführung Aktuell werden Risiko-Maßnahmen umgesetzt, um mit dem Risiko umzugehen (gemäß der gewünschten Kategorie der Maßnahme)
Risiko eingetreten Die Unsicherheit hat sich in Sicherheit und das Risiko damit in ein Problem (im Englischen „Issue“) geändert. Typischerweise benötigt die Situation nun schnell weitere Maßnahmen.
Risiko geschlossen / existiert nicht mehr Es ist nicht mehr notwendig, dass Risiko im Risiko-Management weiter zu betrachten.

Tabelle 2: Welche Risikostatus gibt es?

Status der Maßnahmen

Welche Maßnahmen wurden mit welchem Ergebnis umgesetzt?

Empfehlung: Beginnt den Status mit einem Datum und fügt den neueren Status oben an

Erfahrung / Lessons Learned

Seid spezifisch

Seid so spezifisch wie möglich, wenn ihr ein Risiko identifiziert und dokumentiert. Es ist ok, wenn ihr mit einem allgemeinen Risiko beginnt, z. B. „jemand wird krank“. Werdet dann konkreter, indem ihr überlegt, welche Auswirkungen es haben würde, wenn welches Team-Mitglied krank wird.

Wenn ihr euch damit schwer tut, dann beschreibt Risiken als „Wenn <Risiko>, dann <Auswirkung>“. Entwickler finden sich damit schnell zurecht ;-).

Vermeidet Risiko-Management im Kopf

Nutzt das Template. Damit bekommt ihr den Kopf für eure eigentliche Arbeit frei und die Dokumentation hilft allen im Team. Außerdem setzt ihr euch intensiver und strukturierter mit den Risiken auseinander. Ich habe es häufig erlebt, dass Leute meinten, dass sie keine weiteren Maßnahmen umsetzen können. Im Gespräch oder bei der Dokumentation kam dann meist schnell heraus, dass einige weitere Maßnahmen möglich sind. Es ist immer hilfreich, dann bewusst entscheiden zu können, was man in welcher Reihenfolge umsetzt und was nicht.

Freut euch, wenn ihr viele Risiken habt

Seid vorsichtig, wenn ihr nur wenige Risiken identifiziert und dokumentiert habt. Das bedeutet nicht, dass ihr wenige Risiken habt. Es bedeutet, dass ihr die Risiken nicht kennt und mit diesen daher auch nicht proaktiv umgehen könnt. Daher könnt ihr euch freuen, wenn euer Template viele Risiken enthält. Damit habt ihr eine bessere Chance, dass ihr eure wichtigsten Risiken kennt und Überraschungen vermeiden könnt.

Führt eure Maßnahmen durch

Neben der Identifizierung der Risiken ist das Umsetzen der Maßnahmen der wichtigste Schritt. Nur dadurch geht ihr mit den Risiken um und ihr habt die Chance, Überraschungen zu vermeiden. Wenn ihr ein Zeitproblem habt, dann konzentriert euch auf eure wichtigsten Risiken. Es ist besser, zumindest ein paar Maßnahmen umzusetzen, als gar keine. Wenn euch das schwerfällt, etabliert ein Meeting, um den Status der Risiken zu besprechen. Damit habt ihr einen Anreiz, einige Maßnahmen umzusetzen und im Meeting über einen Fortschritt berichten zu können.

Kümmert euch um Abhängigkeiten

Ihr könnt große Fortschritte erzielen, wenn ihr genügend Zeit einplant, um euch um eure Abhängigkeiten zu kümmern. Wenn Euer Team auf Zuarbeiten von anderen Teams abhängig ist, dann erfordert dies genauere Planung und mehr Kommunikation. Unvorhergesehene Dinge oder Missverständnisse führen sehr schnell zu Verzögerungen. Daher bringt es viel, sich um diese Abhängigkeiten besonders zu kümmern.

Bonus: Nutzt die PESTLE Analyse, um weitere Risiken zu identifizieren

Wenn ihr beim Identifizieren der Risiken das Gefühl habt, dass eure Risiken unvollständig sind und ihr trotzdem nicht weiterkommt, dann probiert die PESTLE Analyse. Geht durch die einzelnen Faktoren und fragt euch, welche Risiken jedem dieser Bereiche stecken könnten.

Fazit

Du siehst den Nutzen, durch den proaktiven Umgang mit Risiken „Firefighting“ zu reduzieren? Du hast den Eindruck gewonnen, dass Risiko-Management einfach sein kann?

Prima! Dann ist es nun an dir auszuprobieren, ob Risiko-Management auch nützlich für Dich ist. Am besten, du fängst gleich im nächsten Sprint damit an, z. B. indem du die einfachen Fragen aus dem Artikel anwendest.

Über Robert Hennig

Robert Hennig ist Product Owner bei SoftwareONE und arbeitet in einem internationalen Umfeld mit 2 Software-Entwicklungsteams in Polen. Er löst gern komplexe Probleme an der Schnittstelle zwischen Business und IT: seit 2016 als Product Owner, vorher als Berater und Projektleiter. Product Owner ist aktuell sein Traumjob, u.a. weil er quasi jeden Tag etwas dazulernt.

2 Kommentare


  1. Robert Hennig

    Moin Eva,

    vielen Dank für deinen Kommentar. Schön, dass du den Beitrag wertvoll findest :-). Danke auch für den Link. Der Text befindet sich nun auf meinem Kindle und ich werde ihn demnächst lesen.

    Viele Grüße
    Robert


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Mit Absenden des Kommentars stimmst Du der Speicherung deiner persönlichen Daten (Name, eMail-Adresse, Webseite und Nachricht) durch uns bis auf Widerruf zu. Zur Vermeidung von Spam und zur rechtlichen Absicherung wird deine IP für 2 Monate gespeichert. Ebenfalls zur Vermeidung von Spam werden diese Daten einmalig an Server der Firma Automattic inc. geschickt. Zur Darstellung eines Nutzerbildes wird die eMail-Adresse im pseudonymisierter Form an Automattic inc. übermittelt. Wenn du einen oder beide Haken für die eMail-Benachrichtigungen setzt, wird deine eMail-Adresse bei Automattic inc. gespeichert. (Datenschutzerklärung)

Du hast noch viel mehr zu erzählen?

Dann schreib doch einen eigenen Artikel auf produktbezogen.

Artikel vorschlagen →