Wenn ich Ziele für ein Projekt formulieren muss, gibt es das bewährte SMART-Paradigma. Es hilft, am Ende Ziele zu haben, aus denen sich notwendige Maßnahmen leicht ableiten lassen. Es verhindert, dass Ziele unterschiedlich interpretiert werden können, was zu vielen Problemen mit Stakeholdern und Sponsoren führt.
Ich frage mich, ob es ähnliche Paradigmen für die Formulierung von Risiken bei der Durchführung einer Risikoanalyse gibt. Ich finde mich oft dabei, nach Risiken zu suchen, indem ich sie einfach über jedes Thema, das mir in den Sinn kommt, abbilde oder dies zusammen mit einem Team mache. Die Menge an theoretischen Situationen und Risikokonstellationen ist oft überwältigend. Innerhalb einer Stunde nach einem Meeting haben wir 60 Endknoten auf einer Mindmap aufgeschrieben und gezählt, die eine Art Risiko in verschiedenen Bereichen und aus verschiedenen Blickwinkeln darstellen. Ich denke, wir sind nicht schlecht in der „Risikoidentifikation“.
Die Sache ist, dass sich diese durch Mindmapping gefundenen „Risiken“ tendenziell überschneiden und oft so formuliert sind, dass sie manchmal das Risiko selbst beschreiben, manchmal die Ursache und manchmal eine fehlgeschlagene Minderung und gemischte Fälle aus all dem.
Wenn ich beispielsweise versuche, die Risiken beim Reinigen meines Badezimmers einzuschätzen (damit ich das diese Woche natürlich überspringen kann, um das Gesamtrisiko zu verringern), finde ich viele Gelegenheiten, bei denen ich auf rutschigen Oberflächen stolpern kann. Ich kann ungeeignete Reinigungsmittel verwenden, die sowohl für meine Badewanne als auch für meine Haut, Augen und mein Atemsystem ätzend sind und sogar durch versehentliches Mischen verschlimmert werden. Aber wenn ich das "ungeeignete Waschmittel" abbauen möchte, das vielleicht eher eine Ursache für ein Risiko als ein Risiko selbst ist, bekomme ich viele sich überschneidende Risiken, weil ich meiner Haut mit verschiedenen Chemikalien schaden kann, aber diese können meine ruinieren oder auch nicht Emaille der Badewanne. Das möchte ich „Überlagerungsrisiken“ nennen.
Ich hoffe, Sie verstehen, was ich meine. Ich denke, man kann Risiken nicht zuverlässig einschätzen, wenn man sie nicht gut formulieren kann. Ich hätte gerne eine Art Prüfstein, um zu überprüfen, ob ein Risiko gut formuliert ist. Dasselbe gilt für Tore.
Sie kämpfen mit der Abstraktionsebene, wenn Sie versuchen, das Risiko zu erfassen. Es gibt kein einfaches Format, um dies zu lösen, denn, und ich hasse es, dies zu schreiben, es kommt darauf an. Die Abstraktionsebene hängt davon ab, an wen Sie das Risiko eskalieren müssen und wie Sie es behandeln oder handhaben möchten. Wenn das Abstraktionsniveau zu hoch ist, wie das Autofahren schlimme Dinge verursachen kann, dann stellt sich die Frage, wie Sie damit in Bezug auf die Minderung umgehen?
Wenn Sie es zu niedrig ansetzen, wie zum Beispiel jedes Bauteil des Autos betrachten, das kaputt gehen und dann ein unerwünschtes Ereignis in Ihrem Leben verursachen kann, dann würde sich Ihre Minderung leicht überschneiden.
Ihre Risikoaussagen können wie folgt strukturiert sein: WENN-DANN; BEDINGUNG-BETREUUNG; UND BEDINGUNG-EREIGNIS-FOLGE. Dies sind gute Formate; Es hilft jedoch nicht Ihrem Abstraktionsniveau. Im Wesentlichen müssen Sie das Ihrer Meinung nach bestehende Risiko skizzieren und dann zum nächsten Schritt übergehen, um es zu analysieren und eine Handhabungsstrategie zu entwickeln. Ich denke, was Sie feststellen werden, ist, dass Sie bei den nächsten Schritten feststellen werden, ob Sie das Risiko aufschlüsseln und zwei oder mehr Risiken aus dem einen erstellen müssen, oder ob Sie zwei oder mehr Risiken als Sie selbst zu einem zusammenfassen können entdecken, dass sie die gleiche Minderungsstrategie haben.
Das ist die Kunst des Risikomanagements. Keine einfache Antwort, aber ich denke, es wird einfacher, wenn Sie es nicht überdenken und es einfach machen. Letztendlich geht es beim Risikomanagement darum, durch raue Gewässer zu navigieren, nicht darum, wie cool Ihr Risikoprotokoll aussieht.
Vorwort: Die Antwort von David Espina ist richtig und die beste erste Option. Dies ist ein schwieriges Problem; Es gibt so Wundermittel/einfache Antworten. Hier (sollten) zumindest meiner Meinung nach Risikomanager ihr Geld verdienen. Risiken einfach aufzulisten und in ein Risikoregister einzutragen, ist in Ordnung, aber meiner Meinung nach ist sowohl der Wert als auch die zufriedenstellende intellektuelle Herausforderung des Risikomanagements die Analyse, um die Art der Risiken zu verstehen. Meiner Meinung nach ist der Wert des Risikomanagements eigentlich nicht das Risikoregister oder die Risikominderung; Der Wert des Risikomanagements ist das zusätzliche Verständnis der Geschäftsprozesse, die sich aus der Risikoanalyse ergeben.
Meiner Erfahrung nach kann ein Teil der Überschneidung durch Struktur und Sichtung beseitigt werden. Wenn Sie beginnen, Risiken in einem Register zu erfassen (insbesondere wenn Sie die Risiken wie von @DavidEspina empfohlen strukturieren), werden Sie Ähnlichkeiten erkennen und Überschneidungen reduzieren. Sie werden auch beginnen, interne, instinktive Schwellenwerte dafür zu kalibrieren, welche Risiken wahrscheinlich umsetzbar sind – welche einer formalen Analyse bedürfen und welche für die Zukunft eingereicht werden können. Das sind Nebenwirkungen der von Herrn Espina erwähnten Art disziplinierter Analyse. (Kategorien habe ich eigentlich nie gemocht – viele schwören darauf, aber ich halte sie für ein Anti-Muster, das gründliches Nachdenken hemmt.)
Vielleicht möchten Sie einen Blick auf FAIR (Factor Analysis of Information Risk) werfen – fair ist spezifisch für das Informationsrisikomanagement, nicht für das Projektrisikomanagement, aber sie behandeln das Problem der „Überschneidung“ – nicht perfekt, aber ziemlich gut. FAIR hat viele Faktoren, aber die Hierarchie ermöglicht es Ihnen, sich auf die allgemeinsten Faktoren zu konzentrieren und die Faktoren auf niedrigerer Ebene zu ignorieren, die die Überschneidung nicht bewältigen.
Sie mischen zwei unterschiedliche Prozesse im übergeordneten Risikomanagement-Superprozess: Risikoidentifikation und Risikoanalyse. Ich würde Ihnen mein Buch empfehlen, aber es ist auf Deutsch, also wahrscheinlich nicht nützlich für Sie. Ganz kurz:
In der Risikoidentifikation sammeln Sie systematisch alle Risiken, denen Ihr Projekt, System oder sonstiger Gegenstand des Risikomanagements gegenübersteht. Dies ist ein ungelöstes Problem sowohl in der Informationssicherheit (mein Bereich) als auch im Projektmanagement. Es gibt eine Reihe von Ansätzen, die Ihnen helfen, wie z. B. SWIFT (Structured What-If Technique) oder in engeren Bereichen Bedrohungskataloge und Asset-Mappings. Aber kurz gesagt, noch hat niemand einen systematischen Ansatz gefunden, der Vollständigkeit garantiert. Einige Leute (einschließlich mir) arbeiten an verschiedenen Ideen in Richtung dieses Ziels, aber im Moment scheint Ihr Ansatz zur Ermittlung der Risiken nicht schlechter als alle anderen zu sein.
Risikoanalyse ist der Schritt der Quantifizierung (im Idealfall, seien Sie kein Idiot, führen Sie eine quantitative Analyse durch, siehe Hubbards hervorragende zwei Bücher zu diesem Thema) oder zerlegen Sie das Risiko auf andere Weise, um zu verstehen, wie riskant es tatsächlich ist. Ihre Frage steht am Anfang dieses Prozesses:
Bevor Sie Zahlen einem Risiko aussetzen können, müssen Sie es ausdrücken. Da Sie mehrere Risiken haben, müssen Sie einen konsistenten, abstrakten, einheitlichen Ausdruck finden, der alle Ihre Risiken so beschreiben kann, dass Vergleiche möglich sind. FAIR (bereits in einer anderen Antwort erwähnt) ist ein Ansatz dafür, es gibt viele andere.
In der Informationssicherheit haben wir einige Standard-„Beschreibungen“ – Vertraulichkeit, Integrität, Verfügbarkeit. Oder die Parkersche Hexade. Oder jede andere Variante. Sie möchten einen ähnlichen Satz von Deskriptoren für Ihr Fachgebiet finden, um die Auswirkungen eines Risikos qualitativ zu beschreiben .
Für Ihr Badezimmer kann das „Gesundheitsrisiko“, „Möbelschaden“ oder „Unfallrisiko“ sein. Ein Risiko kann in mehrere Kategorien fallen.
Für ein Projektrisiko könnten Sie Kategorien wie „Lieferverzögerung“, „Qualitätsminderung“, „Mitarbeitermotivation“, „Kundenzufriedenheit“ usw. haben. Auch hier könnte ein Risiko in mehrere Kategorien fallen.
Dies deckt Ihr "Überlappungsproblem" ab. Sie können nun die Auswirkungen in den verschiedenen Kategorien bewerten, um Ihre Risiken zu priorisieren.
Es ist normal , dass ein Risiko mehr als eine Auswirkung hat. Bei FAIR, wo alles zu einer geschäftlichen Auswirkung in Geld zusammengefasst wird, identifizieren wir sowieso, wie sehr ein Risiko die Produktivität oder den Ruf beeinträchtigt oder Reaktionskosten verursacht usw.
Die Änderung, die ich für Ihren Prozess empfehlen würde, besteht darin, zuerst Ihre Kategorien oder Deskriptoren zu identifizieren und dann Ihre Risiken diesen Kategorien zuzuordnen, anstatt die Risiken zu sammeln und dann irgendwie zu versuchen, Überschneidungen oder Gemeinsamkeiten zu finden. Wenn Sie wissen, wonach Sie suchen, können Sie die gefundenen Risiken relativ leicht kategorisieren. Und wenn etwas in keine Kategorie passt, können Sie Ihre Kategorien jederzeit erweitern.
Wie andere bereits betont haben, ist dies ein schwieriges Thema, und nur wenige Menschen verstehen es immer richtig. Ich werde nicht auf die Theorie eingehen, da andere sie viel besser ausgedrückt haben, als ich es könnte, aber aus praktischer Sicht schlage ich Folgendes vor.
Ein Framework, das wir in einem großen Finanzinstitut verwendet haben, bestand darin, Risiken in folgendem Format zu dokumentieren:
Also in deinem Beispiel
Dann können Sie eine Risikominderungsstrategie entwickeln, um das Risiko basierend auf Ihrer Risikobereitschaft und der Wahrscheinlichkeit und Auswirkung des Risikos zu akzeptieren, zu reduzieren oder zu übertragen.
Wenn Sie sie nicht im vereinbarten Format ausdrücken können, sollten Sie sich die vorgeschlagenen Risiken noch einmal ansehen und entscheiden, ob es sich bei den „Risiken“ aus Ihrer Analyse um echte Risiken oder um Ergebnisse im Falle des Eintretens des Risikos oder nur um Befürchtungen und Bedenken handelt .
Ich würde vorschlagen, dass Sie es vermeiden, in Ihrer anfänglichen Risikobeschreibung zu spezifisch zu sein (z. B. nicht alle potenziellen Reinigungsprodukte auflisten), obwohl Sie dann die Details und mildernden Faktoren als Teil der laufenden Analyse des Risikos aufzeichnen sollten Risiko.
Tom