Querelen mit der Qualitätssicherung

Querelen mit der Qualitätssicherung im IT-Projektmanagement.

Welcher Projektmanager lässt sich von der Qualitätssicherung gerne in die Karten schauen? Wer findet nicht all die Fragen von externen Gutachtern, Qualitätssicherungsbeauftragten, Risikomanagern lästig? Wofür werden denn die regelmäßigen Statusreports erstellt? Wozu gibt es die Quality-Gate Prüfungen? Was jetzt noch? Klar: Der Blick von außen auf das eigene Projekt kann wertvoll sein. Aber doch nicht gerade jetzt, wo eh schon die Hütte brennt. Und bitte nicht von sogenannten Experten, die eh viel zu weit weg sind vom Projekt.

Als Qualitätssicherung (QS) werden alle Maßnahmen bezeichnet, die dazu beitragen eine konstante Lieferqualität sicherzustellen. Unterschieden wird dabei i.d.R. nach Eigen- und Fremdüberwachung. Entsprechend variiert die Bandbreite der QS-Maßnahmen von Unternehmen zu Unternehmen. Das geht von A wie Audit, über F wie FMEA-Analyse, R wie Risikomanagement, T wie Teststufen bis zu Z wie Zertifizierung.

Kein erfahrener Projektmanager bestreitet, dass es sinnvoll ist, Risikomanagement zu betreiben. Nur wie geht das möglichst effektiv? Peter Drucker, deutsch-amerikanischer Ökonom, hat den Unterschied zwischen Effektivität und Effizienz sehr gut auf den Punkt gebracht. Nach seiner Definition bedeutet Effektivität: „Die richtigen Dinge tun“ und Effizienz: „Die Dinge richtig tun“ (vgl. [1]) Was sind also die „richtigen Dinge“ im Risikomanagement? Wie kann man Risikomanagement effektiv betreiben?

Wir haben für Sie folgende vier Tipps zum effektiven Risikomanagement zusammen gestellt:

Erstens ist es sinnvoll, gleich zu Beginn eines neuen Projektes die Erfahrungen aus alten Projekten – sogenannten „Lessons Learned“– zu durchforsten und den initialen Themenspeicher mit den für das jeweilige Projekt relevanten Risiken zu füllen. Die potentiellen Risiken in einem Projekt sind häufig sehr ähnlich. Hier ließe sich also schon bei der Identifikation von Risiken deutlich Zeit sparen.

Zweitens sollte die grundlegende Einstellung des Unternehmens zu Risiken (Risiko-Policies) mit in die Risikoanalyse eines Projektes einbezogen werden. Sowohl die Lessons Learned als auch die Policies führen dann zusammen mit den Projektspezifika zum Risikoprofil des Projektes. Dieses Projekt-Risikoprofil wird dann im Verlauf des Projektes weiter verifiziert und adaptiert.

Drittens ist die Analyse und Bewertung der Risiken deutlich effektiver im Team als im stillen Kämmerlein des Projekt- oder Risikomanagers. Auf die Agenda eines Projektstatusmeetings gehört also auch das Thema „Risiken“. Maßnahmen zur Mitigation von Risiken können gleich in die weitere Planung des Projektes integriert, entsprechende Aufgaben ans Team verteilt werden.

Viertens liefert ein neutraler Blick in den „Maschinenraum“ eines Projektes wertvolle Erkenntnisse zur aktuellen Situation. Über entsprechende Risikointerviews sind solche gezielten Einblicke möglich. Diese Interviews sollten von unabhängiger Seite durchgeführt werden. Das können Risiko- oder Projektmanager aus anderen Projekten sein oder auch externe Berater. Neben dem Projektleiter ist zu empfehlen, noch mit vier bis fünf Personen aus seinem Team zu sprechen. Lediglich 30 Minuten pro Experte sind notwendig, um zu verstehen, welche bereits bekannten Risiken verfolgt werden und welche potentiellen Risiken noch adressiert werden müssen.

Ziel sollte es immer sein, möglichst viele Risiken zu mitigieren. Wenn das unter Berücksichtigung von Kosten und Nutzen nicht mit vertretbarem Aufwand möglich ist, kann das Restrisiko auch akzeptiert werden. Die Festlegung von kurativen Maßnahmen ist auf jeden Fall wichtig, um bei Eintritt des Risikos schnell reagieren zu können. Diese akzeptierten Risiken sollten zu definierten Zeitpunkten im Projektverlauf weiter beobachtet werden.

Wie kommen Unternehmen zu einem effizienten Management der Risiken?

Jedes Unternehmen tickt da anders. Kluge Köpfe behaupten, dass der Grad der Risikoaversion in der „DNA des Unternehmens“ festgeschrieben ist. Und diese bildet sich in den ersten Jahren nach Start des Unternehmens heraus. Läuft in den ersten Monaten und Jahren vieles glatt, ist die Firma weniger risikoavers. Ist das nicht der Fall, wird auch in späteren Jahren – trotz erfolgreichen Abschlusses diverser Projekte und Produkteinführungen, trotz äußerst positiver Umsatz- und Gewinnentwicklung – weiterhin sehr viel Zeit in die interne wie externe Prüfung der Qualität investiert – ggf. sogar unnötig viel. Die Herausforderung liegt darin, sich auf geänderte Risikosituationen und die möglichen Auswirkungen des Eintretens im Laufe der Unternehmensentwicklung anzupassen.

Eine regelmäßige Überprüfung der Risikosituation ist daher empfehlenswert. Die „Risiko-DNA“ – also der Risiko-Policy – des Unternehmens sollte im Laufe der Zeit an neue Rahmenbedingungen angepasst werden. So liessen sich Zeit, Geld und wertvolle Ressourcen einsparen.

Quellen:
  • Peter F. Drucker: Managing for Business Effectiveness. In: Harvard Business Review. 3, Mai/Juni, 1963, S. 53–60 (englisch, hbr.org [abgerufen am 30. September 2016]).
  • X. Bea, S. Scheurer, S. Hesselmann: Projektmanagement, Böhlau Verlag, 2. Ausgabe, 2011.
  • Fabian Ahrendts, Anita Marton: IT-Risikomanagement leben!, Springer, 2008.