Die erfolgreiche Abwicklung von IT-Projekten hat für die Wettbewerbsfähigkeit der Unternehmen heutzutage große strategische Bedeutung. Dieser zunehmenden Bedeutung steht aber entgegen, dass ein Drittel aller IT-Projekte scheitert und fast die Hälfte aller IT-Projekte den geplanten Zeitrahmen oder das veranschlagte Budget substantiell überzieht. Aus diesem Dilemma kann ein systematisches Risikomanagement helfen, durch das Fehlentwicklungen in IT-Projekten rechtzeitig erkannt werden können. Das vorliegende Buch führt nicht nur umfassend in das Thema \"Risikomanagement in IT-Projekten\" ein, sondern stellt auch eine praxiserprobte und handhabbare Methode mit allen benötigten Hilfsmitteln (u.a. Checklisten, Indikatoren, Bewertungshilfen) für ein systematisches Risikomanagement in IT-Projekten zur Verfügung. Das Buch richtet sich daher nicht nur an Leser mit Informationsbedarf zu den Themen Projektmanagement oder Risikomanagement, sondern insbesondere auch an Projektverantwortliche und -leiter sowie Risiko- und Qualitätsmanager.
„Managen Sie Projekte, indem Sie ihre Risiken managen.“ Dieses Zitat aus Tom DeMarcos Klassiker „Der Termin“ hat Markus Gaulke seinem Buch programmatisch vorangestellt. Immer noch scheitert ein Drittel aller IT-Projekte komplett, und fast die Hälfte der Projekte überzieht den geplanten Zeit- oder Budgetrahmen substantiell. Eine Verbesserung dieser Situation würde enorme Kosten einsparen und hat daher strategische Bedeutung für die Wettbewerbsfähigkeit von Unternehmen. Als Senior Manager im Bereich Information Risk Management kennt der Autor die Probleme und Fallstricke von IT-Projekten aus der täglichen Praxis und hat bereits zahlreiche Fachartikel zu diesem Themengebiet veröffentlicht. Das vorliegende Werk ist so etwas wie die Quintessenz seiner bisherigen Arbeit. Hinterlegt mit zahlreichen internationalen Untersuchungen und Studien wird dem Leser auf 180 Seiten ein zwar kurzer, aber dennoch fundierter Überblick über das Thema gegeben.
Das Buch ist in zehn Kapitel gegliedert; die ersten vier bieten eine Einführung in die Thematik, belegen die Notwendigkeit für ein Risikomanagement bei IT-Projekten und geben eine Übersicht über wichtige Studien. Im fünften Kapitel wird dargelegt, dass Risikomanagement keine einmalige Aktion, sondern ein Prozess ist, der sich in fünf wiederkehrende Zyklen einteilen lässt. Als Erstes müssen Projektrisiken erkannt und beurteilt werden, danach Projektkontrollen aufgenommen und beurteilt werden. Die verbleibenden Projektrisiken müssen in einem dritten Schritt analysiert werden, in einem vierten entsprechende Maßnahmen bewertet und ergriffen werden. Der fünfte und letzte Schritt dient schließlich der Überwachung. Jedem dieser fünf Schritte ist ein eigenes Kapitel gewidmet, wobei der Schwerpunkt auf den Kapiteln über Projektrisiken und Projektkontrollen liegt. Dem Autor ist es sehr wichtig, diese beiden Phasen klar voneinander zu trennen, auch wenn sie auf den ersten Blick zusammengehören und in der Praxis oft als Einheit gesehen werden.
Der vorgestellte Ansatz betrachtet Projekte ganzheitlich. Die Softwareentwicklung wird nicht isoliert gesehen, sondern das gesamte Projektumfeld in die Risikoanalyse mit einbezogen, wobei es eine Gliederung in sechs Risikobereiche gibt: 1. Business Focus: Ist die Einbindung des Projektes in den Unternehmenszusammenhang und die Geschäftsstrategie stimmig? 2. Projektmanagement: Ist das verwendete Vorgehensmodell passend für das Projekt? Sind die zugewiesenen Mitarbeiter geeignet in Bezug auf fachliche Fähigkeiten und Motivation? 3. Geschäftsprozesse: Lassen sich die Geschäftsprozesse problemlos auf die IT übertragen? 4. Anwender: Kann es zu kulturellen Widerständen kommen? Wer hat Interesse an der Umsetzung des Projektes, für wen sind Veränderungen eher von Nachteil? 5. Technologie: Welche Schwierigkeiten sind etwa beim Einsatz neuer und unbekannter Technologien zu erwarten? 6. Daten: Wie steht es um die Qualität der verfügbaren Daten? Enthalten sie Lücken, sind sie gar fehlerhaft oder widersprüchlich?
Zu jedem dieser Bereiche gibt es eine umfangreiche Projektrisiko-Checkliste, mit deren Hilfe an Hand von Leitfragen und Bewertungshinweisen das Risikopotenzial für ein Projekt abgeschätzt werden kann. Um diese Risikofaktoren quantifizierbar zu machen – und damit eine objektive Bewertung zu erhalten – und um Risiken frühzeitig erkennen zu können, gibt es zu jedem Bereich auch eine Liste von Projektrisikoindikatoren, mit der sich die Eckwerte eines realen Projektes einer von fünf Beurteilungsklassen zuordnen lassen. Diese Einordnung in Klassen dient (mit einer optionalen Gewichtung) der Berechnung von Projektbereichsrisiken für jeden Bereich. Für die Projektkontrolle werden ähnliche Checklisten und Indikatoren vorgestellt, hier fehlen leider in der Regel konkrete Zahlen für die Einordnung in Beurteilungsklassen. Die Projektrisikoanalyse stellt in jedem Bereich die Risiken den Kontrollen in einer so genannten Risiko-Kontroll-Matrix gegenüber. Dadurch lassen sich sehr leicht die Bereiche ausmachen, in denen die Risiken hoch und die Kontrollen relativ unwirksam sind. Eine weitere Analyseform ist die ABCAnalyse, mit deren Hilfe der prozentuale Anteil eines Bereichs am Gesamtrisiko berechnet werden kann, was zu einer klaren Priorisierung der Risikobehandlung in den einzelnen Bereichen führt. Die beiden letzten Kapitel, „Risikobehandlung“ und „Projektrisiken überwachen“, fallen leider etwas knapp aus. Gerade die Risikobehandlung sollte aber das Wichtigste am ganzen Prozess sein, schließlich gibt es hier die Möglichkeit, aktiv und steuernd einzugreifen, während die übrigen Phasen eher beobachtenden Charakter haben. Ohne eine Rückkopplung auf das Projektgeschehen ist Risikomanagement jedoch eher eine akademische Angelegenheit. Ein umfangreiches Literaturverzeichnis und ein Index runden die Publikation ab. Darüber hinaus hat der Autor eine eigene Homepage ins Netz gestellt (www.risikomanagement-in-it-projekten.de).
Fazit
Das Buch ist sehr kompakt geschrieben und wirkt stellenweise etwas trocken. Es hätte dem Werk sicherlich gut getan, wenn Fallbeispiele aus der Praxis die reinen Fakten und Studienergebnisse mit Leben gefüllt hätten. Ebenso hat es der Autor leider versäumt, die Lesbarkeit durch den Einsatz von Diagrammen und Schaubildern zu verbessern. Verärgert haben mich auch identische Passagen, die – Copy-and-Paste sei Dank – zuhauf an verschiedenen Stellen des Textes wieder auftauchen. Trotzdem kann ich jedem Projektverantwortlichen im IT-Bereich diese Lektüre nur wärmstens empfehlen. Denn wer kennt nicht die Situation, dass der Erfolg eines Projektes plötzlich auf Messers Schneide steht, weil zwar die Erfolgsaussichten im Vorfeld genau analysiert wurden, nicht aber die Möglichkeiten eines Scheiterns? Mit der von Markus Gaulke vorgestellten Methode können die möglichen Risiken analysiert und Gegenstrategien erarbeitet werden – womit sich die Quote misslungener Projekte in Zukunft hoffentlich ein wenig drosseln lässt. Ganz besonders gut gefallen haben mir die Übersichten über zwölf klassische Projektfehler und zehn Erfolgsfaktoren sowie die tiefe Einsicht aus dem Kapitel über Risikobehandlung, dass Risiken nicht immer und unbedingt vermieden werden können. Genauso gut kann es manchmal sein, sie zu vermindern, zu begrenzen, zu verlagern – oder einfach zu akzeptieren.
