• Risikomanagement wird gar nicht gemacht.
• Es gibt dazu in größeren Unternehmen ein Kapitel in einem Firmenhandbuch, aber die Beschreibung ist lückenhaft, und ein Sinn, der über bloße Informationspflichten hinausführt, ist nicht erkennbar.
• Einzelne Bereiche oder Abteilungen dieser Unternehmen setzen die Vorschriften nicht um.
• Es gibt keine Lessons Learned, auf die beim Start eines neuen Projekts zurückgegriffen wird.

Aber so gut wie immer steht dem die Forderung des Managements gegenüber, es mögen doch bitte alle das Risikomanagement ernst nehmen, weil es eine sehr hohe Bedeutung für die Firma habe. Angesichts dieser kognitiven Dissonanz stelle ich also die Frage anders:

Wenn Risikomanagement so wichtig ist: warum wird es dann so selten vernünftig gemacht?

Ich sehe dafür verschiedene Gründe:

1. Der Mensch mag keine Unsicherheit. Wir haben alle den Schreibtisch voll mit zu erledigenden Aufgaben und Problemen, die unbedingt gelöst werden müssen. Warum sich also mit Ereignissen beschäftigen, die eventuell gar nicht eintreten?
2. Wir ersetzen gern Planungssicherheit durch das Prinzip Hoffnung. Risikomanagement kostet Zeit und Geld. Wenn aber das Projekt erfolgreich abgeschlossen wurde, und es ist kein Risiko zum Problem geworden, dann sehen wir dem Ergebnis nicht mehr an, ob Risikomanagement überhaupt gemacht wurde. D. h. es ist in diesem Fall keine Wertschöpfung erkennbar. Ähnlich ist es übrigens beim Qualitätsmanagement.
3. Wenn wir es mit Risiken zu tun haben, die so selten sind, dass wir ihr Eintreten oder Nicht-Eintreten nicht statistisch auswerten können, werden wir nie erfahren, wie gut unser Risikomanagement war. Denn die Wirklichkeit kennt nur Wahrscheinlichkeiten von 0% oder 100%; wie gut war also unsere Einschätzung von z.B. 40%? Und ob wir die richtigen Gegenmaßnahmen ergriffen haben, wissen wir nur, wenn das Risiko tatsächlich zum Problem wird. Andernfalls haben wir vielleicht zu viel getan…
4. Im Vergleich damit ist Projektmanagement herrlich eindeutig. Wenn wir die Anforderungen der Stakeholder an Produkt und Projekt zu 100% erfüllen, dann wissen wir, dass wir das Projekt gut genug geleitet haben. Und im Umkehrschluss: sind wir schlechte Projektmanager, werden wir die (hohen) Anforderungen verfehlen. Also können wir unsere eigene Performance mit dem Projektergebnis in Verbindung bringen. Das können wir als Risikomanager in der Regel nicht.
5. Und neben all diesen Gründen habe ich noch einen besonders perfiden Verdacht: Könnte es sein, dass die Regelwerke, die uns in den Schwierigkeiten des Risikomanagements Führung und Anleitung geben sollen, nicht in jedem Fall sinnvoll und zielführend sind? Dazu gehören: gesetzliche Vorschriften, PM-Standards, sowie die daraus abgeleiteten Passagen in Firmenhandbüchern.

Weniger Gedanken machen über Ursachen und Wahrscheinlichkeiten

Hinweise darauf gibt N.N. Taleb in seinen Büchern (Der schwarze Schwan, Antifragilität). Mit der ihm eigenen Rigorosität empfiehlt er (sinngemäß – ich erlaube mir eine freie Formulierung), das herkömmliche Risikomanagement „in die Tonne zu treten“. Ihm läge die Annahme von „Kasino-Risiken“ zugrunde, die mit dem Verhalten realer Risiken in einer realen Welt nichts zu tun hätten.

Seine Empfehlung ist, dass wir uns nicht so viele Gedanken über Ursache und Wahrscheinlichkeiten von Risiken machen sollten (genau das fordern ja alle gebräuchlichen Risikomanagement-Prozesse); die Welt sei viel zu kompliziert (bzw. komplex/chaotisch/evolutionär), als dass wir damit Erfolg haben könnten. Stattdessen sollten wir uns darauf konzentrieren, wie wir besser mit unerwarteten Vorkommnissen leben oder sogar davon profitieren könnten.

Wie viel Risikomanagement brauchen wir?

Und ich denke, daran ist viel Wahres (ca. 73%; als geschulter Projektmanager kann ich’s nicht lassen). Damit die Vorschriften zum Risikomanagement sinnvoll mit Leben erfüllt werden, sollten Unternehmen nicht einfach die sklavische Abarbeitung von vorgegebenen Prozessen fordern (soweit nicht gesetzlich vorgeschrieben), sondern in Zusammenarbeit mit ihren Projektmanagern die relevanten Fragen beantworten:

Wie groß ist unsere Risikotoleranz tatsächlich? Brauchen wir das „klassische“ Risikomanagement wirklich, und wenn ja, wie viel davon? Haben wir es überhaupt mit Kasino-Risiken zu tun, oder tobt in unseren Projekten das unberechenbare Leben? Und schließlich: können wir uns so aufstellen, dass uns etwaige Risiken nicht mehr so weh tun?

So kämen wir vielleicht ein klein wenig weiter weg vom selbstreferentiellen Ausfüllen großer Excel-Sheets, hin zu sinnvollen Überlegungen und Maßnahmen, die es wert sind, als Lessons Learned für die Weiterentwicklung des Unternehmens genutzt zu werden.