1Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Baustein RM-24:
Quantitative Risikoanalyse
2Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Inhalte des Bausteins
Quantitative Risikoanalyse: Charakterisierung Wichtiger Kommentar Quantitative Risikoanalyse: Überblick Input Werkzeuge und Techniken Ergebnisse Empfehlungen für die quantitative Risikoanalyse Übung 4: Bewerten von Risiken
3Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Quantitative Risikoanalyse: Charakterisierung
Ziel der Quantitativen Risikoanalyse ist einerseits, die Wahrscheinlichkeit der zu untersuchenden Risiken und ihre Auswirkungen auf die Projektziele numerisch abzuschätzen sowie andererseits das Gesamt-Projektrisiko abzuschätzen. Hierbei werden Methoden wie z. B. Monte Carlo Simulation und Entscheidungsanalyse benutzt, um: Die Wahrscheinlichkeit abzuschätzen, ein bestimmtes Projektziel zu
erreichen Die Risikoaussetzung des Projekts zu quantifizieren und den Umfang
der Kosten- und Zeitpuffer zu bestimmen, die möglicherweise gebraucht werden
Risiken zu identifizieren, die höchste Aufmerksamkeit erfordern aufgrund ihres relativ hohen Anteils an den Gesamt-Projektrisiken
Realistische und erreichbare Kosten-, Zeitplan- und Projektinhaltsziele zu identifizieren.
4Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Wichtiger Kommentar
Die mathematischen Methoden, die in diesem Abschnitt verwendet werden, können ein falsches Gefühl der Sicherheit und Zuverlässigkeit der Ergebnisse aufkommen lassen.
Jedoch gilt auch hier - wie fast überall - das Gesetz: Garbage in - garbage out.
Die besten Methoden helfen nicht dabei, unzuverlässige Daten in zuverlässige umzuwandeln. Und die meisten der Daten, mit denen wir es hier zu tun haben - Schätzungen oder Vermutungen - sind unzuverlässig.
5Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Quantitative Risikoanalyse: Überblick Input:
Risiko-Management-Plan Identifizierte und priorisierte mögliche Risiken Liste der Risiken, die weiter analysiert werden müssen Andere Planungsergebnisse (Projektstrukturplan mit detaillierten Zeit- und
Kostenschätzungen, Modelle (Prototypen) der technischen Ziele des Projekts)
Werkzeuge und Techniken: Interviews Risikoaussetzung Statistische Summierung Sensitivitätsanalyse Entscheidungsbaumanalyse Simulation Expertenurteil S:PRIME Methode liefert quantifizierte Risikoschätzungen für alle prozessabhängigen
Risiken)
Ergebnisse: Liste der priorisierten und quantifizierten Risiken Wahrscheinlichkeitsanalyse des Projekts Wahrscheinlichkeit, die Kosten- und Zeitplanziele zu erreichen
6Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Input: Kostenschätzungen
Kostenschätzungen sind quantitative Bewertungen der wahrscheinlichen Ressourcen, die zur Durchführung der Projektaktivitäten benötigt werden. Sie können grob oder detailliert durchgeführt werden.
Kostenschätzungen sind erforderlich für alle Ressourcen, die dem Projekt in Rechnung gestellt werden, z. B. Arbeitszeit, Material, Maschinenzeit.
Kostenschätzungen werden gewöhnlich in Einheiten einer Währung ausgedrückt, um die Vergleichbarkeit innerhalb und zwischen Projekten zu ermöglichen.
Andere Messwerte, wie z. B. Mitarbeiterstunden, können benutzt werden, wenn dadurch nicht die Unterscheidung zwischen unterschiedlich teuren Ressourcen unmöglich wird (z. B. Eigen- und Fremdarbeiter).
7Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Input: Schätzungen der Durchführungszeit von Aktivitäten
Schätzungen der Durchführungszeit von Aktivitäten sind quantitative Bewertungen der Anzahl von Arbeitsperioden (z. B. Stunden, Tage, Wochen oder Monate), die benötigt werden, um eine bestimmte Aktivität zu vollenden.
Schätzungen der Durchführungsdauer sollten idealerweise Hinweise auf die mögliche Streubreite der Ergebnisse enthalten, z. B. : 2 Wochen + - 2 Tage, um festzustellen, dass die Aktivität
mindestens 8 und nicht länger als 12 Tage dauern wird 15% Wahrscheinlichkeit, dass die Dauer größer als 3 Wochen
sein wird, um eine hohe Wahrscheinlichkeit - 85% - auszudrücken, dass die Aktivität 3 Wochen oder weniger dauern wird.
8Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Werkzeuge und Techniken: Interviews
Interviewtechniken werden benutzt, um die Wahrscheinlichkeit und die Auswirkungen von Risiken auf die Projektziele zu quantifizieren. Ein Risikointerview mit am Projekt interessierten Personen (z. B. Lenkungsausschuss) und Fach-Experten wird oft der erste Schritt zur Quantifizierung von Risiken sein. Die benötigten Informationen hängen von der Art der Wahrscheinlichkeitsverteilung ab, die zugrunde gelegt wird. Benutzt man beispielsweise eine Dreiecksverteilung, wird man
optimistische Schätzungen (unterer Wert), pessimistische Schätzungen (oberer Wert) und das wahrscheinlichste Ergebnis (Mittelwert) ermitteln.
Benutzt man eine Normalverteilung, wird man den Mittelwert und die Standardabweichung ermitteln.
Ein wichtiger Punkt des Risikointerviews ist, die Gründe für die angenommene Streubreite der Werte zu dokumentieren, denn dies kann dabei helfen, adäquate Maßnahmen zur Risikomilderung bzw. -vermeidung zu definieren.
9Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Werkzeuge und Techniken: Berechnung der Risikoaussetzung
Die Risikoaussetzung hängt vom potentiellen Geldverlust ab. Da Schätzungen gewöhnlich ungenau sind, empfiehlt es, vom größten möglichen Verlust (pessimistische Schätzung) pro Risikofaktor auszugehen. Alternativ können Sie auch den wahrscheinlichsten Wert nehmen, haben dann aber weniger Sicherheit.
Die Risikoaussetzung ist das Produkt aus Risikowert und Risikoeintrittswahrscheinlichkeit.
Bei der Berechnung muss die relative Bedeutung des Risikos berücksichtigt werden. Ein kleines Risiko mit einer hohen Eintrittswahrscheinlichkeit kann ganz andere Auswirkungen haben, als ein großes Risiko mit einer kleinen Eintrittswahrscheinlichkeit. Z. B. ist ein relativ wahrscheinlicher Verlust von 100 00 Euro einem großen Unternehmen ziemlich egal, bei einem kleinen kann es das Aus bedeuten, weshalb in diesem Falle auch bei einer geringeren Eintrittswahrscheinlichkeit Vorkehrungen getroffen werden müssen.
10Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Werkzeuge und Techniken: Statistische Summierung
Statistische Methoden können dazu benutzt werden, ein Intervall zu berechnen, innerhalb dessen die Gesamt-Projektkosten wahrscheinlich liegen werden
Das Intervall kann als Grundlage für die Risikobewertung alternativer Projektbudgets bzw. alternativer Angebotspreise benutzt werden.
Die Folgefolie zeigt die eine Dreiecksverteilung, die für das Beispiel zu Grunde gelegt wurde. Da es in der Regel wahrscheinlicher ist, dass ein Projekt länger als kürzer dauert, empfiehlt es sich,eine nach links verschobene Verteilung anzunehmen (gepunktete Kurve)
Berechnet werden aus den Schätzwerten: Mittelwert, Standardabweichung und Varianz
11Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Beispiel: Dreiecksverteilung
Mittelwert = (a+m+b)/3 Varianz = [(b-a)2 + (m-a)(m-b)]/18 Standardabweichung = Wurzel aus der Varianz
5%
10%
15%
20%
5 10 15 20
Projektdauerin Monaten
Wahrscheinlichkeita = untere Grenzem = Mittelpunktb = obere Grenze
12Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Beispiel: Wahrscheinliche Aktivitätsdauer
Aussage der Rechnung: Die Projektlaufzeit liegt wahrscheinlichzwischen 246+22,7 = 268,7 und 246-22,7 = 223,3 Tagen.
13Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Werkzeuge und Techniken: Sensitivitätsanalyse
Die Sensitivitätsanalyse hilft dabei zu bestimmen, welche Risiken den größten möglichen Einfluss auf das Projekt haben.
Sie analysiert das Ausmaß, in welchen die Unsicherheit jedes Projektelements die von ihm beeinflussten Projektziele beeinträchtigt, wenn dabei alle anderen unsicheren Elemente als sicher angenommen werden.
14Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Werkzeuge und Techniken: Entscheidungsbaumanalyse
Eine Entscheidungsanalyse wird gewöhnlich in Form eines Entscheidungsbaums strukturiert. Ein Entscheidungsbaum ist ein Diagramm, das die
Entscheidungen in ihrer Abfolge darstellt, wobei bei jedem Schritt zwischen verschiedenen Alternativen mit i. a. unterschiedlichen Konsequenzen gewählt werden kann.
Der Entscheidungsbaum enthält Wahrscheinlichkeiten der Risiken und die Kosten oder Erträge jedes logischen Pfads von Ereignissen und zukünftigen Entscheidungen.
Durch berechnen des Entscheidungsbaums ergibt sich, welche Entscheidungen den größten erwarteten Nutzen für den Entscheider bringen würden.
Die Anwendung setzt voraus, dass für alle nachfolgenden Entscheidungen Konsequenzen, Kosten, Erträge und Wahrscheinlichkeiten geschätzt werden (d.h. in der Regel ist dies sehr aufwendig).
15Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Beispiel:Entscheidungsbaum Die Zweige des Baums sind entweder Entscheidungen (Rechtecke) oder
Risikoereignisse (Kreise).
EMV = Risikoaussetzung (Expected Monetary Value) des Ergebnisses = Risikohöhe x RisikowahrscheinlichkeitEMV einer Entscheidung = Summe der EMV aller Ergebnisse, die sich aus dieser Entscheidung herleitenDer aggressive Zeitplan hat einen EMV von $ 4000 und wird deshalb dem konservativen mit einem EMV von $ 1000 vorgezogen.
16Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Werkzeuge und Techniken: Simulation Eine Projektsimulation benutzt ein Modell, das die auf der detaillierten
Ebene spezifizierten Unsicherheiten umsetzt in den möglichen Einfluss auf die Ziele des Projekts.
Projektsimulationen benutzen üblicherweise die Monte Carlo Methode (Verwendung von Zufallszahlen), d.h. das Projekt wird mehrere Male „ausgeführt“, wobei die geschätzten Werte von zufallszahlen überlagert werden, um Variationen der Dauer oder der Kosten durch unvorhergesehene Ereignisse zu simulieren. Als Ergebnis erhält man eine statistische Verteilung der berechneten Ergebnisse (s. nächste Folie) Für eine Kostensimulation kann man als Modell den Projektstrukturplan
nehmen. Für eine Zeitplansimulation eignete sich ein Netzplan des Projekts, der mit
einer PDM Methode erstellt wurde (Precedence Diagramming Method - Precedence Diagramms sind Netzpläne, wo die Aktivität auf den Knoten gelegt wird und die Pfeile zwischen den Knoten die Abhängigkeiten und die Reihenfolge, in der die Aktivitäten ausgeführt werden, anzeigen, Beispiele CPM, PERT).
17Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Beispiel einer Monte Carlo Simulation für einen Projektablauf
Tage nach Projektstart
Kum
ulat
ive
Wah
rsch
einl
ichk
eit
Die S-Kurve zeigt die kumulative Wahrscheinlichkeit, dass das Projekt zu einer bestimmten Zeit fertig wird. Beispielsweise gibt es eine Wahrscheinlichkeit von 50 %, dass das Projekt innerhalb von 145 Tagen fertig sein wird. Ende Daten, die mehr links liegen, sind mit einem höheren Risiko verbunden, mehr rechts liegende Daten mit einem niedrigerem Risiko.
18Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Werkzeuge und Techniken: Expertenurteil
Das Urteil von Experten kann oft alternativ oder zusätzlich zu formalen Methoden angewandt werden.
Beispielsweise könnten Experten die Eintrittswahrscheinlichkeit der Risikoereignisse mit „hoch“, „mittel“ oder „niedrig“ bewerten und die Bedeutung mit „sehr groß“, „mittel“ oder „gering“.
Expertenschätzungen sind oft sehr gut. Nachteilig aber ist, dass nicht nachvollziehbar ist, wie
der Experte zu seinem Urteil gekommen ist und dass sich dieses Wissen nicht auf Andere übertragen lässt.
19Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Ergebnisse
Liste der priorisierten und quantifizierten Risiken Die Liste enthält diejenigen Risiken, die die größte Bedrohung
für das Projekt darstellen mit ihren Auswirkungen Wahrscheinlichkeitsanalyse des Projekts
Prognosen des voraussichtlichen Projektzeitplans und der Kosten (potentielle Endtermine einzelner Phasen und Aktivitäten bzw. Kosten in Verbindung mit ihren Konfidenzintervallen)
Wahrscheinlichkeit, die Kosten und Zeitplanziele zu erreichen Wahrscheinlichkeit, dass das Projekt seine Ziele erreicht mit
dem zur Zeit aktuellen Plan und unter den zur Zeit bekannten Risiken.
20Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Empfehlungen für die quantitative Risikoanalyse (1)
In IT Anwenderprojekten wird es normalerweise nicht notwendig sein, komplexe statistische Methoden anzuwenden, da die Projektgröße im Vergleich zu anderen Projekten (z. B. Bau einer neuen Fabrik, Entwicklung eines neuen Betriebssystems) moderat sein wird.
Wenn statistische Methoden angewandt werden, sollte man die Dreiecksverteilung verwenden, die gut zum normalen Denken des Managers passt: schlimmstes Ergebnis bestes Ergebnis wahrscheinliches Ergebnis.
21Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Empfehlungen für die quantitative Risikoanalyse
Projekttyp 1: Analysieren Sie die ausgewählten Risiken (max 15) unter
Benutzung einer Dreiecksverteilung. Schätzen Sie finanziellen Verlust, falls das Risiko eintritt. Berechnen Sie die Risikoaussetzung.
Benutzen Sie den Projektstrukturplan mit geschätzter Zeitdauer und Kosten der Aktivitäten als Input für die Simulation. Berechnen Sie die Wahrscheinlichkeit, die Kosten und Zeitplanziele zu erreichen.
Dies betrifft auch die in der S:PRIME Methode ermittelten Risiken, denn die obigen Ergebnisse werden vom S:PRIME Verfahren nicht geliefert.
Identifizieren Sie die Eigentümer der Hauptrisiken und ihre Risikotoleranz.
Projekttyp 2: wie Projekttyp1 aber nur für die 10 wichtigsten Risiken Projekttyp 3 und 4: keine quantitative Risikoanalyse erforderlich.
22Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Übung 4: Bewerten von Risiken
Nehmen Sie die Liste der Top Ten Risiken aus Übung 3 und versuchen Sie folgendes: Bewerten Sie den finanziellen Verlust für das Unternehmen für
jedes Risiko, das eintritt. Berechnen Sie die Risikoaussetzung (sehr wahrscheinlich =
0,9, wahrscheinlich = 0,5, unwahrscheinlich = 0,1) Berechnen Sie das Gesamtrisiko des Projekts Für wie sicher halten Sie Ihre Ergebnisse? Lohnt es sich überhaupt, das Projekt durchzuführen
(vergleichen Sie den potentiellen Nutzen mit den Realisierungskosten und den Kosten der möglichen Risiken)?
Präsentieren Sie das Ergebnis vor der GruppeArbeit in Teams von 3 - 5 PersonenDauer 30 Minuten
23Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus RöberBaustein: RM-24 Quantitative Risikoanalyse - Version 2.0: 06/2001
DKR Unternehmensberatung
Diskussion
Quantitative Risikoanalyse
Top Related