unwahrscheinlich oder die Folgen als akzeptabel herausgestellt haben.
Gegen einige der verbleibenden, nicht ausschließbaren Risiken kann man sich eventuell versichern, wobei der kostenmäßige Umfang dieser Risiken gegen die Kosten der Versicherungsprämie im Rahmen einer Kosten-Nutzen-Analyse abzuwägen ist.
Außerdem kann das Risiko in der Regel durch Revision der ursprünglichen Planung reduziert werden.
Es werden kalkulatorische Risikovorsorgen gebildet. Unter diesem Punkt werden jene Risiken subsummiert, die weder auszuschließen noch versicherbar sind. Es sind die Risiken, die bewusst eingegangen und somit verkraftet werden müssen.
Nachdem alle Risiken identifiziert und in Kategorien zusammengefasst worden sind, werden nun in der Phase der Risikobewertung die Wahrscheinlichkeiten ermittelt, mit denen gewisse Risiken auftreten können, sowie der mit ihnen verbundene zu erwartende Schaden.
4.2. Risikobewertung
Nachdem alle mit einem Projekt verbundenen Risiken identifiziert und kategorisiert und ihre Beziehungen und Abhängigkeiten untereinander analysiert sind, soweit das in dieser Phase möglich ist, kann man darangehen, diese Risiken zu bewerten.
Die Phase der Risikobewertung (risk estimation) beinhaltet zwei wesentliche Aufgabenbereiche: Zum einen sind die Eintrittswahrscheinlichkeiten der in der Risikoidentifikation erfassten potentiellen Risiken zu ermitteln; zum anderen sind deren Auswirkungen auf die Projektziele (Leistung, Termine und Kosten) zu bestimmen. Die Risikobewertung ist nicht klar von der Risikoidentifikation zu trennen, denn die Einteilung der Risiken in einzelne Kategorien ist bereits eine Form der Bewertung.
Der Bereich der Risikobewertung wird in vielen Quellen als risk evaluation bezeichnet, während andere Ansätze damit die Phase der Risikoverdichtung meinen (in der vorliegenden Arbeit werden jedenfalls risk evaluation und Risikoverarbeitung gleichgesetzt). In weiteren Ansätzen wird risk evaluation sogar als Oberbegriff für Risikomanagement und Risikoanalyse benutzt (z.B. Curling in [14])!
Nach Imboden [15] erfüllt "die Quantifizierung der Risikopotentiale eines Vorhabens damit auch die Funktion einer Risikoselektion, indem darüber befunden wird, welche Risikofaktoren weitere Aufmerksamkeit – und gegebenenfalls in welcher Reihenfolge – verdienen."
Die Bezeichnung Risikobewertung ist nicht eindeutig, denn sie kann einerseits meinen, dass etwas, dessen Größe nicht exakt bekannt ist, sorgfältig berechnet wird, andererseits kann damit eine grobe Approximation gemeint sein, die unter Umständen nicht mehr ist als eine Schätzung. Natürlich wäre in jedem Fall eine exakte Berechnung wünschenswert, doch meist sind die dazu notwendigen Daten nicht zu bekommen – es sei denn, man hat Aladins Wunderlampe zur Hand.
In Ermangelung statistischer Daten erfolgt die Risikobewertung normalerweise durch Expertenbefragung. Die Quantifizierung von Projektrisiken ist folglich ein höchst subjektiver Vorgang, der auf Intuition, dem Fachwissen und den Erfahrungen der Befragten aufbaut. Zur Vermeidung von Verzerrungen wurden verschiedene Befragungstechniken entwickelt wie beispielsweise die Delphi-Methode.
Nach Charette [4] müssen während der Risikobewertung folgende vier Aufgaben erfüllt werden: Zuerst müssen die Variablen bestimmt werden, die das System beschreiben. Dieses verlangt natürlich eine einheitliche Bewertungsbasis. Die Konsequenzen, die ein auftretendes Ereignis nach sich ziehen kann, müssen bestimmt werden. Aktionen verursachen Reaktionen, die erkannt werden müssen. Die Größe der einzelnen Risiken muss bestimmt werden, wozu die zuvor erstellte einheitliche Bewertungsbasis benutzt wird. Es sind also alle Faktoren, die die Eintrittswahrscheinlichkeit eines Risikos verringern oder erhöhen, sowie die Härte einer negativen Folge bei Eintreten eines Risikos berücksichtigt. Der vierte Punkt ist die Beseitigung von Überraschungen (surprise elimination). Indem alle Risiken mit ihren Eintrittswahrscheinlichkeiten und negativen Folgen erkannt werden, werden zukünftige böse Überraschungen vermieden.
In Anlehnung an Charette [4] lässt sich die Risikobewertung in folgende vier Abschnitte gliedern:
4.2.1. Einheitliche Bewertungsbasis
Nach Franke (in [2]) müssen die Risiken eines Projekts "eine einheitliche Bewertungsbasis haben, die zwangsläufig auf einem Kostenansatz basiert, d.h. die Bewertung erfolgt in Geldeinheiten. Denn alle Risiken aus den Bereichen Termine, Arbeitsfortschritt, Technik, Qualität und dem kaufmännischen Bereich werden letztendlich kostenmäßige Auswirkungen auf die definierten Projektziele haben. Basierend auf einer einheitlichen Bewertungsbasis wird die kostenmäßige Bewertung von Risiken durch eine Expertenbefragung und deren EDV-gestützte Auswertung erreicht."
Diese Behauptung von Franke ist mit Vorsicht zu genießen, denn die Bewertungsbasis ist mit Sicherheit von den Projektzielen abhängig. Bei Projekten, deren Priorität eindeutig auf dem Fertigstellungstermin liegt, ist ein Kostenansatz ziemlich verfehlt. Als Beispiel denke man an die Stadien in Italien, die bis zum Beginn der Fußballweltmeisterschaft fertiggestellt werden mussten, koste es, was es wolle.
Rein formal gesehen heißt Bewertung die Zuordnung von Zahlenwerten zu Objekten nach irgendeiner Regel. Da die identifizierten Risiken gewöhnlich von verschiedenen Typen sind, ist es nicht einfach, eine einheitliche Bewertungsbasis zu finden, deren Genauigkeit mit den Anforderungen von Risikobewertung und anschließender Risikoverdichtung übereinstimmt. Charette [4] führt einige unterschiedliche Bewertungsmöglichkeiten an:
Der einfachste Maßstab, den man benutzen kann, ist der nominelle Maßstab (nominal scale / identity-taxonomy scale). Die Ereignisse werden nur aufgezählt. Die Risiken werden anhand einer oder mehrere Eigenschaften unterschieden. Solche Maßstäbe wurden bereits beim Kategorisieren der Risiken während der Risikoidentifikation benutzt. Man benutzt diese Maßstäbe, wenn man die Verflechtungen eines Risikos nicht vollständig kennt, d.h. wenn man seine Zusammenhänge mit anderen, besser bekannten Risiken nicht kennt.
Ein etwas komplizierterer Maßstab ist der Ordnungsmaßstab (ordinal scale / order-risk scale). Die Risiken werden nach irgendeinem Kriterium geordnet. Bezüglich dieses Kriteriums wird nur unterschieden, ob ein Risiko größer als, kleiner als oder gleich einem anderen Risiko ist, aber nicht, um wieviel größer oder kleiner es ist. Das Kriterium kann subjektiv oder objektiv sein, solange es durchgehend benutzt wird. Beispielsweise lassen sich politische Risiken auf diese Weise ordnen (politisch selbstmörderisch, gleichgültig oder vorteilhaft).
Eine weitere Möglichkeit ist ein Kardinalmaßstab (cardinal scale / interval scale). Jetzt werden die Risiken nicht nur nach Kriterien geordnet, sondern auch die Differenzen explizit berechnet. Eine solche Skala bewegt sich gewöhnlich zwischen einem Anfangs- und einem Endpunkt. Ein einfaches Beispiel wäre ein Thermometer.
Die letzte Möglichkeit ist ein Verhältnismaßstab (ratio scale / zero reference scale). Auch hier werden die Risiken geordnet und die Differenzen berechnet, aber der Maßstab beginnt an einem einheitlichen Beziehungspunkt. Ein Verhältnismaßstab ist also nichts anderes als ein Kardinalmaßstab, dessen Anfangs- oder Endpunkt sich an einer geeigneten physikalischen Grenze orientiert. Da diese Maßstäbe für kosten-, zeit- und leistungsbedingte Risiken am besten geeignet sind, werden sie im Folgenden ausschließlich verwendet.
Ein weiterer Bewertungsmaßstab ist die Zuordnung von Wahrscheinlichkeiten. Im Rahmen der Risikoanalyse kommt dieser Methode die größte Bedeutung zu, wie man später noch sehen wird.
4.2.2. Zuordnung von Informationsquellen und Bewertungsmaßstäben
Je komplexer ein gewählter Bewertungsmaßstab ist, desto genauer und verständlicher kann ein Risiko bewertet werden. Da die Informationen über die einzelnen Risiken auf unterschiedliche Weise gewonnen wurden, müssen unter Umständen auch verschiedene Maßstäbe benutzt werden. Informationen können auf drei verschiedene Arten vorliegen (vgl. u.a. Charette [4]):
Informationen können einfach in "erzählerischer"