Produktentwicklungen mit agilen Methoden profitieren, wenn die Beteiligten sich um die mit der Entwicklung verbundenen Risiken kümmern. Dies ist einfach umzusetzen und kann auch als Experiment ausprobiert werden.
Zum Beispiel betreibt jeder Risiko-Management, der nach einer Wettervorhersage mit hoher Regenwahrscheinlichkeit einen Regenschirm einpackt. Umso erstaunlicher ist es, dass viele im Berufsleben auf dieses nützliche Instrument verzichten.
Einführung
Woran denkst du, wenn du das Wort „Risiko“ hörst oder liest? Die Wahrscheinlichkeit ist hoch, dass du an etwas „Negatives“ gedacht hast.
Interessanterweise sind die typischen Definitionen des Begriffs im Sinne des Risiko-Managements so allgemein, dass darunter sowohl Bedrohungen (negative Risiken, im Englischen „Threats“) als auch Möglichkeiten (positive Risiken, im Englischen Opportunities) fallen:
- Die ISO-Norm 31000 spricht vom „Effekt von Unsicherheit auf Ziele“ („effect of uncertainty on objectives“)
- David Hillson (der sogenannte „Risk Doctor“) verwendet „uncertainty that matters“, also in etwa „Unsicherheit auf die es ankommt“.
Beide Definitionen beinhalten also Unsicherheit und das diese relevant sein muss. Es gibt schließlich unendlich viele Unsicherheiten, die für dein Ziel keine Rolle spielen.
Der Fokus auf Bedrohungen lässt sich aus evolutionsbiologischer Sicht erklären, da die Vermeidung von Bedrohungen eine größere Auswirkung auf die Überlebensfähigkeit hatte. Dies ist eine Erklärung, warum sich Risiko-Management typischerweise primär um Bedrohungen kümmert.
Wenn die folgenden zwei Punkte für dich interessant sind, dann lies bitte weiter:
- Du möchtest bewusste Entscheidungen treffen, indem du z. B. bei sehr hohen Risiken einen anderen Weg zum Ziel suchst oder deine wertvolle Zeit nicht dazu verwendest, um sehr risikoreiche Idee mit wenig Aussicht auf Erfolg umsetzen.
- Du möchtest vorbereitet sein und die Wahrscheinlichkeit von Überraschungen reduzieren.
Beispiel: Weil ich in starkem Regen nass geworden bin, werde ich eventuell krank. Deswegen verzögert sich die Roadmap-Planung, weil die dafür benötigten Kundeninterviews nicht stattfinden können.
Erklärung: Das gilt nur, wenn die Kundeninterviews in den nächsten Tagen geplant sind. Wenn die Kundeninterviews erst später geplant sind (z. B. weil der Interviewer die nächsten Tage Urlaub hat), dann wäre das Risiko der Erkältung in den nächsten Tagen aus Sicht der Roadmap-Planung nicht relevant (und damit das Gegenteil von „uncertainty that matters“).
Vorgehensweise
Das A und O im Risiko-Management ist es, Risiken überhaupt zu identifizieren und diese danach zu bewerten, Maßnahmen zu planen und umzusetzen. Dabei kommt es auf Regelmäßigkeit an, da sich Risiken im Zeitablauf ändern. Neue Risiken können auftauchen, bestehende Risiken verschwinden oder treten ein, die Wahrscheinlichkeit oder die Auswirkung von bestehenden Risiken verändern sich.
Das Denken in Risiken ist im Rahmen der „Product Discovery“ (hinreichend) beschrieben. Jedes Team, dass sich aufgrund der hohen Unsicherheit bewusst fragt, wo die größten Risiken liegen und wie man diese durch Lernen reduzieren kann, geht mit dieser Unsicherheit um und handelt dann hoffentlich entsprechend, je nachdem ob das aktuell größte Risiko im „Wert für den Kunden“, in der „Wirtschaftlichkeit für die eigene Firma“, in der „Usability“ oder in der „technischen Umsetzbarkeit“ (feasibility) liegt.
Wie kann der Umgang mit Risiken während der Umsetzungsphase fortgesetzt werden?
Die Verwendung des folgenden Templates und eines regelmäßigen Meetings zum Review der Risiken führt quasi „automatisch“ durch den Prozess. Um Risiken zu identifizieren, können ganz einfache Fragen helfen, z. B.
- Was kann alles schief gehen? bzw. Was kann uns positiv überraschen?
- Was kann passieren, damit wir deutlich mehr oder deutlich weniger Zeit / Aufwand benötigen?
Wenn du ein zusätzliches Meeting vermeiden willst, dann kannst du die bestehende Meetings, z. B. in Scrum nutzen:
- Refinements: Stellt euch die oben angeführten Fragen
- Sprint Planning: Stellt euch die oben angeführten Fragen
- Daily Standup: der Scrum Master oder Product Owner hört bewusst auf Risiken oder fragt zur Hälfte des Sprints, wie das Entwicklungsteam den Fortschritt im Sprint einschätzt
- Sprint Review: Geht bewusst auf positive oder negative Risiken ein, wenn ihr reflektiert, was im Sprint gut war, welche Probleme es gab und wie ihr mit diesen umgegangen seid. Berücksichtigt die Risiken beim Ausblick auf die kommenden Arbeiten.
- Retrospektive: Wenn viele Hindernisse (Impediments) überraschend aufgetreten sind, dann fragt euch, wie ihr diese Anzeichen eher hättet wahrnehmen können. Oder wenn der Sprint überraschend gut lief, fragt euch, ob ihr einfach Glück hattet oder ob ihr den Sprint durch bestimmte Maßnahmen bewusst in diese Richtung gesteuert habt oder hättet steuern können.
Wenn ihr eure Roadmap oder eure Releases über einige wenige Sprints hinaus plant, dann reserviert zusätzlich Zeit, um zu reflektieren, welche Risiken es für das Erreichen der Ziele gibt. Auch hier könnt ihr wieder die einfachen Fragen von oben verwenden.
Verwendung des Templates
ID
Fortlaufende Nummer, um Risiken bei Bedarf referenzieren zu können
Risiko-Kategorie
Handelt es sich bei dem Risiko um eine Bedrohung (negatives Risiko, Threat) oder um eine Möglichkeit (positives Risiko, Opportunity)?
Beschreibung
Um was geht es bei dem Risiko? Seid so spezifisch wie möglich, d.h. dokumentiert wo die Unsicherheit herkommt und was die Auswirkung ist, wenn das Risiko eintritt.
Verantwortliche Person
Welche Person ist für das Risiko und deren Risiko-Maßnahmen verantwortlich?
Hinweis: Die verantwortliche Person ist nicht zwangsläufig die einzige Person, welche die Risiko-Maßnahmen umsetzt. Sie sollte aber die Maßnahmen koordinieren und voranbringen.
Wahrscheinlichkeit
Wie wahrscheinlich ist es, dass ein Risiko eintritt? Die einfachste Bewertung verwendet gering, mittel und hoch.
Beispiel: Starker Regen ist im Herbst wahrscheinlicher als im Sommer.
Auswirkung
Wie hoch ist die Auswirkung, wenn ein Risiko eintritt? Die einfachste Bewertung verwendet gering, mittel und hoch.
Beispiel: Wenn der Moderator für das Kundeninterview ausfällt, dann ist die Auswirkung höher als wenn einer der beobachtenden Teilnehmer ausfällt.
Risikowert
Der Risikowert ergibt sich aus der Wahrscheinlichkeit und Auswirkung anhand der folgenden Matrix:
Hinweis: Behaltet zusätzlich im Blick, wie schnell ein Risiko eintreten kann, um auch auf schnell eintretende Risiken noch reagieren zu können. Wenn ihr mehr Erfahrung mit Risiko-Management gesammelt habt, dann könnt ihr die „zeitliche Nähe“ als weiteres Attribut für Risiken aufnehmen.
Maßnahmen-Kategorie
Umgang | Beispiel | Bemerkung |
Bedrohung: Wahrscheinlichkeit oder Auswirkungen reduzieren
Möglichkeit: Wahrscheinlichkeit oder Auswirkung erhöhen |
Wetterbericht schauen und bei Bedarf Regenschirm einpacken | |
Bedrohung: Plan B vorbereiten („Fallback“)
Möglichkeit: N/A |
Kundeninterviews so vorbereiten, dass bei Bedarf eine andere Person, dass Interview durchführen kann | |
Bedrohung: akzeptieren1)
Möglichkeit: zurückweisen
|
Keine Vorbereitungen treffen und „es darauf anlegen“, dass es entweder nicht regnet oder man nicht krank wird | |
Bedrohung: teilen
Möglichkeit: teilen |
N/A | Versicherungen sind ein klassisches Beispiel für das Teilen einer Bedrohung; das Äquivalent für Möglichkeiten sind Gain-Sharing Verträge |
Bedrohung: vermeiden
Möglichkeiten: ausnutzen / ausschöpfen |
Produkt nicht entwickeln bzw. weiter entwickeln (da damit das nicht stattfindende Kundeninterview keine Rolle mehr spielt) | Bedrohungen vermeiden ist meist nicht praktikabel, da Bedrohungen typischerweise nicht komplett vermieden werden können. Das komplette Einstellen der Arbeit wegen deren Risiken ist ebenfalls nicht sinnvoll. An was soll man sonst arbeiten, wenn jede Arbeit mit gewissen Risiken verbunden ist? Andererseits kann es sinnvoll sein, bei einer Entscheidung zwischen 2 Produkten oder 2 Projekten, die jeweils damit verbundenen Risiken in die Entscheidung mit einzubeziehen |
Bedrohung: transferieren (der Auswirkung) | Zu Hause bleiben und z. B. jemand anderen zum Einkaufen schicken oder auf Lieferdienste ausweichen |
Tabelle 1: Wie kann man mit Risiken umgehen?
1) Risiken akzeptieren ist für Risiken mit geringer Wahrscheinlichkeit und / oder geringer Auswirkung oder für Risiken mit sehr teuren Gegenmaßnahmen sinnvoll, um ein gutes Kosten-Nutzen-Verhältnis für das Risiko-Management zu erreichen. Der Aufwand in Geld und Zeit für die Risiko-Maßnahmen soll in Relation zum möglichen Schaden eines Risikos stehen.
Risiko-Maßnahme
Welche Maßnahmen sind sinnvoll, um mit dem Risiko gemäß der gewünschten Kategorie der Maßnahme umzugehen (siehe obige Beispiele)?
Risiko-Status
Einer der Werte aus:
Risiko-Status | Beschreibung |
Risiko identifiziert | Das Risiko ist bekannt und es wurde noch nicht damit begonnen, eine Risiko-Maßnahme umzusetzen |
Risiko-Maßnahme in Durchführung | Aktuell werden Risiko-Maßnahmen umgesetzt, um mit dem Risiko umzugehen (gemäß der gewünschten Kategorie der Maßnahme) |
Risiko eingetreten | Die Unsicherheit hat sich in Sicherheit und das Risiko damit in ein Problem (im Englischen „Issue“) geändert. Typischerweise benötigt die Situation nun schnell weitere Maßnahmen. |
Risiko geschlossen / existiert nicht mehr | Es ist nicht mehr notwendig, dass Risiko im Risiko-Management weiter zu betrachten. |
Tabelle 2: Welche Risikostatus gibt es?
Status der Maßnahmen
Welche Maßnahmen wurden mit welchem Ergebnis umgesetzt?
Empfehlung: Beginnt den Status mit einem Datum und fügt den neueren Status oben an
Erfahrung / Lessons Learned
Seid spezifisch
Seid so spezifisch wie möglich, wenn ihr ein Risiko identifiziert und dokumentiert. Es ist ok, wenn ihr mit einem allgemeinen Risiko beginnt, z. B. „jemand wird krank“. Werdet dann konkreter, indem ihr überlegt, welche Auswirkungen es haben würde, wenn welches Team-Mitglied krank wird.
Wenn ihr euch damit schwer tut, dann beschreibt Risiken als „Wenn <Risiko>, dann <Auswirkung>“. Entwickler finden sich damit schnell zurecht ;-).
Vermeidet Risiko-Management im Kopf
Nutzt das Template. Damit bekommt ihr den Kopf für eure eigentliche Arbeit frei und die Dokumentation hilft allen im Team. Außerdem setzt ihr euch intensiver und strukturierter mit den Risiken auseinander. Ich habe es häufig erlebt, dass Leute meinten, dass sie keine weiteren Maßnahmen umsetzen können. Im Gespräch oder bei der Dokumentation kam dann meist schnell heraus, dass einige weitere Maßnahmen möglich sind. Es ist immer hilfreich, dann bewusst entscheiden zu können, was man in welcher Reihenfolge umsetzt und was nicht.
Freut euch, wenn ihr viele Risiken habt
Seid vorsichtig, wenn ihr nur wenige Risiken identifiziert und dokumentiert habt. Das bedeutet nicht, dass ihr wenige Risiken habt. Es bedeutet, dass ihr die Risiken nicht kennt und mit diesen daher auch nicht proaktiv umgehen könnt. Daher könnt ihr euch freuen, wenn euer Template viele Risiken enthält. Damit habt ihr eine bessere Chance, dass ihr eure wichtigsten Risiken kennt und Überraschungen vermeiden könnt.
Führt eure Maßnahmen durch
Neben der Identifizierung der Risiken ist das Umsetzen der Maßnahmen der wichtigste Schritt. Nur dadurch geht ihr mit den Risiken um und ihr habt die Chance, Überraschungen zu vermeiden. Wenn ihr ein Zeitproblem habt, dann konzentriert euch auf eure wichtigsten Risiken. Es ist besser, zumindest ein paar Maßnahmen umzusetzen, als gar keine. Wenn euch das schwerfällt, etabliert ein Meeting, um den Status der Risiken zu besprechen. Damit habt ihr einen Anreiz, einige Maßnahmen umzusetzen und im Meeting über einen Fortschritt berichten zu können.
Kümmert euch um Abhängigkeiten
Ihr könnt große Fortschritte erzielen, wenn ihr genügend Zeit einplant, um euch um eure Abhängigkeiten zu kümmern. Wenn Euer Team auf Zuarbeiten von anderen Teams abhängig ist, dann erfordert dies genauere Planung und mehr Kommunikation. Unvorhergesehene Dinge oder Missverständnisse führen sehr schnell zu Verzögerungen. Daher bringt es viel, sich um diese Abhängigkeiten besonders zu kümmern.
Bonus: Nutzt die PESTLE Analyse, um weitere Risiken zu identifizieren
Wenn ihr beim Identifizieren der Risiken das Gefühl habt, dass eure Risiken unvollständig sind und ihr trotzdem nicht weiterkommt, dann probiert die PESTLE Analyse. Geht durch die einzelnen Faktoren und fragt euch, welche Risiken jedem dieser Bereiche stecken könnten.
Fazit
Du siehst den Nutzen, durch den proaktiven Umgang mit Risiken „Firefighting“ zu reduzieren? Du hast den Eindruck gewonnen, dass Risiko-Management einfach sein kann?
Prima! Dann ist es nun an dir auszuprobieren, ob Risiko-Management auch nützlich für Dich ist. Am besten, du fängst gleich im nächsten Sprint damit an, z. B. indem du die einfachen Fragen aus dem Artikel anwendest.
Moin Robert,
danke für den wertvollen Beitrag. Wir haben bei OTTO eine Case Study durchgeführt und sind zu ähnlichen Erkenntnissen gekommen: https://link.springer.com/chapter/10.1007/978-3-030-49392-9_9
Liebe Grüße
Eva
Moin Eva,
vielen Dank für deinen Kommentar. Schön, dass du den Beitrag wertvoll findest :-). Danke auch für den Link. Der Text befindet sich nun auf meinem Kindle und ich werde ihn demnächst lesen.
Viele Grüße
Robert