Motivation

Der klassische Risikomanagement-Prozess besteht aus vier Prozessschritten, welche sequentiell ausgeführt werden, da ein Schritt nicht ausgeführt werden kann, bevor der vorhergehende vervollständigt wurde.

Die 4 zyklischen Prozess-Schritte sind:

• Identifizieren von Risiken (Identifizieren): In diesem Schritt werden die Risiken strukturiert erfasst und hinsichtlich ihrer Ursache, dem unsicheren Ereignis sowie Auswirkung beschrieben. In diesem Schritt sind Risiken noch sogenannte Risikokandidaten.
• Analysieren und Bewerten von Risiken (Bewerten): In Schritt 2 werden die identifizierten Risiken zuerst analysiert und bezüglich Eintrittswahrscheinlichkeit und Schadenauswirkung beurteilt. Anschließend werden die Risiken bewertet. Das Ziel von „Bewerten“ besteht darin, das Risikopotenzial des Projektes zu verstehen, indem der Nettoeffekt der identifizierten Bedrohungen und Chancen auf ein Projekt betrachtet wird, wenn diese zusammen aggregiert werden. Weiterhin wird durch die analysierte Eintrittswahrscheinlichkeit und dem Schadensausmaß die Relevanz des Risikos bestimmt. In diesem Schritt wird entschieden, ob ein Risiko behandelt werden soll und somit vom Risikokandidaten zu einem tatsächlichen Risiko wird.
• Planen der Risiken (Planen): Die zuvor bewerteten Risiken werden in diesem Schritt, als Folge ihrer Relevanz, mit Maßnahmen versehen. Hiermit wird auch die Risikobewältigungsstrategie festgelegt. Weiterhin werden ein Zeitplan für die Maßnahmenumsetzung definiert sowie die entsprechenden Verantwortlichen benannt.
• Risikosteuerung (Steuern): In diesem Schritt wird sichergestellt, dass die definierten Maßnahmen auch umgesetzt und deren Effektivität beobachtet werden. Wenn die Maßnahmen nicht wie erwartet greifen, müssen Korrektive ergriffen werden.

Nach der Identifizierung der Risiken müssen diese hinsichtlich ihrer Relevanz bewertet werden. Die Bewertung der Risiken setzt eine Ursachen- und Auswirkungsanalyse voraus. Ziel ist es

• die Eintrittswahrscheinlichkeit und
• die Auswirkungen (eventuelle Schadenshöhe)

des Risikos zu bestimmen.

Der Schaden kann materieller oder immaterieller Art sein. Es können nicht nur unmittelbare Sachschäden, sondern genauso Vermögensschäden, Verzögerungen oder Imageverluste aus Risiken entstehen. Alle diese Schäden müssen jedoch bewertet werden.

Die Risikobewertung erfolgt im ersten Schritt qualitativ. Als Basis dienen Bewertungsklassen.

Die Bewertungsklassen gliedern sich nach Projektklasse, Schadensauswirkung und Eintrittswahrscheinlichkeit. Projektklassen sind in großen Organisationen ein nützliches Instrument, um Projekte abhängig von deren Budget oder aber auch Wichtigkeit zu clustern, um somit auch beim Projektrisikomanagement einen Rahmen für Bewertungsklassen vorzugeben.

Die beiden letzteren Bewertungsklassen werden in Bereiche wie z.B.

• Eintrittswahrscheinlichkeit „gering“ = zwischen 10% und kleiner 30%
• Schaden „wesentlich“ bei Projektklasse I zwischen 5 Millionen und 10 Millionen EUR.

Entsprechend der Bewertung der Auswirkung und der Eintrittswahrscheinlichkeit wird dem Risiko eine Relevanzklasse (=Farbkategorie GRÜN, GELB oder ROT) zugeordnet und priorisiert.

Abbildung 1: Riskmap (Risikolandkarte)

Bezogen auf Projekte können somit für jedes Projekt unterschiedliche Einzelrisiken

r ∈ 1, 2, …r_max

identifiziert und bewertet werden.

Zur Berechnung des Schadenserwartungswertes SEW, [GE] (GE = Geldeinheit) für das Einzelrisiko gilt:

SEW, [GE]              Schadenserwartungswert für Einzelrisiko sew = s * w;

S, [GE]                   Schadensbetrag für das Einzelrisiko r; S_r > 0;

W,[-]                     Eintrittswahrscheinlichkeit für das Einzelrisiko r; 0 <= w <= 100%

Allein die Kenntnis dieser beiden Kenngrößen eines Projektes zeigt dem Projekt- und dem Portfoliomanagement das Gefahrenpotenzial in prägnanter Weise auf. Wird der gesamte Risikoschaden mit dem Projektbudget verglichen, so ergeben sich bereits im Verlauf einer Projektinitiierung oder Projektstartphase wertvolle Hinweise auf die finanzielle (oder aber auch zeitliche) Absicherung der Projektrisiken.

Mit der Annahme, dass Eintrittswahrscheinlichkeiten der Einzelrisiken stochastisch unabhängig sind – diese Annahme ist für Projektrisiken nicht immer gerechtfertigt -, ergibt sich der gesamte Schadenserwartungswert SEW₀ [GE] eines Projektes aus der Summation der einzelnen Schadenserwartungswerte mittels der Binomialverteilung (dies gilt nur für ereignisorientierte Risiken); es gilt hier:

SEW₀ = ∑_r S_r * W_r

Die Annahmen für diese einfache Summation von Einzelrisiken sind in den meisten Fällen jedoch nicht gegeben. Auch die Einteilung von Risiken in Relevanzklassen, abhängig von Projektklassen, ist auf ihre zeitliche und monetäre Auswirkung genauer zu betrachten.

Mit einer Risiko-Quantifizierung und entsprechender Aggregation mittels Restrukturierung von Einzelrisiken lässt sich vor der Entscheidungsfindung erkennen, ob die Risiken eines Projektes eine Bestandsbedrohung auslösen bzw. welche Implikationen die Entscheidung für ein Projekt haben könnten. Das Risikomanagement muss daher diese Information vor der Entscheidung über ein Projekt bereitstellen und damit in die Projektplanung einbezogen werden.

Risiko-Quantifizierung

Der Schaden kann materieller oder immaterieller Art sein. Es können nicht nur unmittelbare Sachschäden, sondern genauso Vermögensschäden, Verzögerungen im Projekt oder vom Projekt abhängigen weiteren Vorhaben oder Imageverluste aus Risiken entstehen. Alle diese Schäden müssen jedoch bewertet werden.

Im klassischen Risikomanagement ist die Risikoquantifizierung die Beschreibung von Risiken mittels einer geeigneten Dichte- oder Verteilungsfunktion (z.B. Normal- oder Dreiecksverteilung), mit historischen Daten (z.B. Liste der Schadensfälle) oder einer Häufigkeitsverteilung aus einer Monte-Carlo-Simulation. Möglich ist dabei die Beschreibung eines Risikos durch eine Wahrscheinlichkeitsverteilung, die die Wirkung in einer Periode angibt oder die Erfassung von zwei separaten Wahrscheinlichkeitsverteilungen, z.B. eine für die Häufigkeit bzw. Wahrscheinlichkeit und eine für die Schadenshöhe je Schadensfall.

Bei der Risikoquantifizierung ist dabei darauf zu achten, dass alle Risiken, die später aggregiert werden sollen, im Hinblick auf eine einheitliche Zielgröße beschrieben werden. Werden in einem Zwischenschritt Risikowirkungen bezüglich mehrerer Wirkungs-Dimensionen (z.B. Zeit, Qualität und Kosten) erfasst, sollten diese schließlich auf eine Dimension verdichtet werden. Die Quantifizierung von Einzelrisiken ist notwendige Voraussetzung, um mittels Risikoaggregation auch den Gesamtrisikoumfang eines Projekts, eines Geschäftsbereichs oder eines Unternehmens zu bestimmen.

Schadensarten

In Projekten wird stets versucht, ein möglichst optimales Verhältnis zwischen den konkurrierenden Größen des sogenannten magischen Dreiecks herzustellen, Diese Größen sind:

• Kosten,
• Zeit und
• Qualität / Scope

Unter diesem Blickwinkel ist die einfache Quantifizierung – insbesondere im Hinblick auf eine etwaige Verminderung des Schadens – nicht ausreichend. Zudem zeigt die Praxis, dass etwa ein Schaden durch schlechte Qualität langfristige Folgen haben kann, die nicht unmittelbar in Geldeinheiten auszudrücken sind. Hierzu zählen etwa Mehraufwand bei Endanwendern, Kassensicherheit, Barrierefreiheit, erhöhte Wartungskosten, länger andauernde Fehlerbehebungen.

Für die Angabe des Schadens eines Risikos sollte daher immer zwischen den Schadensarten

• Kosten,
• Zeit- oder Terminverzug und
• Qualität oder Qualitätsminderung
• Reputation

unterschieden werden (können).

Risikotoleranz

Mit „Risk Tolerance“ bezeichnet der PMBOK Guide 2008 einerseits das maximale Gesamtrisiko, das eine Organisation oder eine einzelne Person bewältigen kann (PMBOK Guide 2008, p. 439). Andererseits verwendet der PMBOK Guide 2008 den Begriff „Risk Tolerance“ auch allgemein in der Bedeutung „Risikobereitschaft“ von Stakeholdern eines Projekts (PMBOK Guide 2008, p. 276). Eine genauere Spezifikation von „Risk Tolerance“ wird dabei nicht vorgenommen.

Die britische Richtlinie PRINCE2 differenziert zwischen „Risk Appetite“ (=Risikobereitschaft) und „Risk Tolerance“ (=Risikotoleranz). Während Risikobereitschaft bei PRINCE2 ganz allgemein die Bereitschaft einer Organisationseinheit oder Projektes ist, Risiken einzugehen, beschreibt der Begriff „Risikotoleranz“ einen klar definierten Schwellenwert für das Gesamtrisiko eines Arbeitspakets oder Moduls, einer Phase oder eines Projekts und ist ein Mittel zur Steuerung der Risiken gemäß des Prinzips „Management by Exception“.

In diesem Sinne ist Risikotoleranz ein Schwellenwert (z.B. für die maximal mögliche Zeitverzögerung eines Arbeitspakets durch seine Risiken), bei dessen Überschreiten ein Ausnahmebericht an die nächsthöhere Führungsebene erstellt werden muss (z.B. durch den Leiter des Arbeitspakets an den Projektleiter).

Auch in einem Team, in dem jeder anders auf eingetretene Risiken reagiert, ist es wichtig, diese Risikotoleranzgrenze für ein Team festzulegen. Welche Zeitverzögerung oder welche sonstige Abweichung kann vom Team noch toleriert bzw. selbst entschieden werden, ab wann ist es Sache des Projektleiters? Die Risikotoleranzgrenze sollte mit harten Fakten belegt und für alle transparent benannt werden. Also Verzögerung in Tagen/Wochen, Mehrausgaben in Euro usw.

Weiterhin ist es auch sinnvoll, die Risikotoleranzgrenze für das Gesamtprojekt zu festzulegen, welche Zeitverzögerung bzw. Mehrausgaben kann das Projekt verkraften, ab wann muss von der Projektleitung aktiv gegengesteuert werden.

Gerade im Hinblick auf vom Projekt bzw. Projekt-Artefakten abhängige weitere Vorhaben ist dieser Aspekt sehr bedeutsam. Hierbei sei darauf verwiesen, die Konsequenzen einer durch Verzögerungen oder Mehrausgaben bedingte Kausalkette transparent darzustellen.

Aufgrund der unterschiedlichen Bedeutungen der Risikotoleranz ist dringend zu empfehlen, diese zu Beginn des Projekts entweder im Projekthandbuch zu definieren oder auf die anzuwendende Richtlinie zu verweisen.

Erweiterung der semi-quantitativen Einstufung von Risiken

Durch die Klassifizierung von Projekten werden den Auswirkungsgraden von „niedrig“ bis „wesentlich“ Bandbreiten von Geldeinheiten vorgegeben. Ebenso verhält es sich mit Eintrittswahrscheinlichkeiten. Durch diese Einstufungen (Semi-Quantifizierung) werden die Priorisierungen und die Zuordnungen zu den Quadranten in der Riskmap und somit entsprechenden Relevanzklassen (Rot, Gelb, Grün) zugewiesen. Mit dieser „Semiquantifizierung“ werden somit Risiken mit quantitativen und metrischen Kennzahlen bewertet.

Die Subjektivität der Risikoeinschätzung durch den Risikoverantwortlichen kann durch solch eine vorab festgelegte Kategorisierung der einzelnen Kategorien für Eintrittswahrscheinlichkeit und Auswirkung sehr stark reduziert werden. Die Intervallgrenzen der Kategorien dienen dabei als Leitlinie zur Risikoeinstufung.

Diese Zuordnung von Auswirkungs-Kategorien zu Geldeinheiten darf aber nicht strikt und voll-automatisch verwendet werden, wenn Risiken aggregiert werden sollen oder wenn das Gesamt-Risiko eines Projektes bewertet werden soll. Vielmehr kann z.B. in Klasse-1-Projekten ein Risiko auch ein Rot-Risiko sein, auch wenn der Schadenswert unter 5 Millionen EUR liegt und 5 Millionen EUR der Übergang zu einer „wesentlichen“ Auswirkung darstellt (z.B. Verzug von 4 Monaten, wobei der Mehraufwand von diesen 4 Monaten durchaus im Projekt einen Schaden von unter 5 Mio. EUR verursachen kann, dadurch aber z.B. Schulungen verschoben werden müssten oder andere Projekte dadurch in Verzug kommen könnten).

Daher sollte immer neben der Kategorisierung der Auswirkung der Erwartungswert des Schadens, sowie der Mindest- und Höchstbetrag (sog. 3-Punkt-Schätzung) in einem Risiko hinterlegt werden können, um somit entsprechende Risiko-Aggregationen durchführen zu können. Außerdem ist solch eine 3-Punkt-Schätzung ein Indiz hinsichtlich der Unsicherheit der Risikobewertung.

Dasselbe wäre auf für die Eintrittswahrscheinlichkeit notwendig.

Auch sollte die zeitliche Nähe eines Risiko-Eintritts (Proximity of risk) definiert werden, um daraus entschiedenen Handlungsbedarf ableiten zu können. Auch diese Proximity sollte in die Bewertung der Priorisierung eingehen.

Zu berücksichtigen wäre zusätzlich der Bezugspunkt der Risikoauswirkung zu einem Planwert; denn es kommt vor, dass die erwartete Auswirkung eines Risikos ganz oder teilweise bereits in der Planung berücksichtigt ist (pessimistische Planung).

Oft sind Risikobeschreibungen so weit interpretierbar, dass der inhaltliche Umfang unklar und insbesondere die Abgrenzung zu anderen Einzelrisiken im Projekt unscharf ist; so können beispielsweise Überschneidungen und Doppelzählungen entstehen. Daher empfiehlt es sich, bei einem Risiko klarzustellen, was eindeutig zu einem Risiko gehört und eindeutig nicht mehr zum Risiko gehört, sondern gegebenenfalls bereits in den Bereich eines anderen Risikos gehört.

Bewertung des monetären Schadens: hier sollte deutlich herausgearbeitet werden, wie hoch der Schaden durch Eintritt eines Risikos für das Projekt selbst ist, und wie hoch der Schaden für die vom Projekt abhängigen Vorhaben ist. Hierbei sollten beispielsweise berücksichtigt werden:

• Ein weiteres Projekt kann durch eine verspätete Bereitstellung einer Schnittstelle oder Komponente ebenfalls in Verzug geraten. Der Risikomanager/Projektleiter dieses abhängigen Projektes muss stets auf dem Laufenden gehalten werden, sobald sich Verzögerungen andeuten und dort müssten ebenfalls die dadurch entstehenden Schäden beziffert werden.
• Der Linienbetrieb muss ein Altverfahren länger betreuen und es entstehen damit Mehrkosten beim Betrieb.
• Die Anwender können das zu erstellende Produkt erst später benutzen als geplant. Auch hier sollte aus der Kosten-Nutzen-Analyse beziffert werden, welche Mehrkosten durch eine Verzögerung bei den Endanwendern bestehen (weitere Benutzung aufwendiger Verfahren vs. automatisiertem Verfahren …)

Im Fall von Zeitverzugs-Risiken müssen aus dem Verzug (in Sprints, Wochen, Monaten), basierend z.B. auf einem gemittelten Tagessatz und Anzahl Projekt-Mitarbeiter), die daraus resultierenden Kosten ermittelt werden. Unter Kosten wären die Kosten zu verstehen, die unmittelbar das Projekt betreffen, aber auch Kosten, die bei Anwendern und im Betrieb (längere Vorhaltung von Alt-Systemen, längere Bereitstellung von Infrastruktur) entstehen können.

Im Falle, dass das Eintreten eines Risikos das Scheitern eines Projektes bewirken sollte, dann muss hier das bisher verbrauchte Budget als Schaden angesetzt werden, im Normalfall also „Gravierend“. Weiterhin wäre in diesem Falle zu berücksichtigen, die Kosten bei den vom Projekt abhängigen Verfahren, Projekten und Betriebskosten zu berücksichtigen.

Vorschlag zur Erweiterung eines Risikoregisters:

Es sollte jeweils ein Feld zur Bezifferung des Risiko-Schadens in Geldeinheiten und Zeiteinheiten zur Verfügung gestellt werden. Neben dem quantitativen Feld sollte es aber auch eine Kommentar-Feld geben, in welchem beschrieben werden sollte:

• Schaden für das Projekt
• Schaden für abhängige Projekte, Betrieb und Anwender
• Gesamtschaden (Summe der erwarteten Schäden)
• die Bandbreite der Auswirkung (3-Punkt-Schätzung)
• Herleitung der Bewertung

Hier wäre es auch gut, wenn ein Risikoregister neben Geldeinheiten auch Zeiteinheiten bzgl. Verzug anbieten könnte (xy Monate).

Chance:

Risiko bedeutet jedoch nicht nur Gefahr, sondern kann auch eine Chance bedeuten; in diesem Fall spricht man von einem positiven Risiko. Dabei handelt es sich ebenso wie bei einem negativen Risiko um eine Abweichung von einem Ziel, die ebenfalls nur mit einer gewissen Wahrscheinlichkeit im Projektverlauf eintritt. Wenn beispielsweise ein Projekt weniger Zeit benötigt oder weniger Budget benötigt als freigegeben, so wäre hier ein Risiko mit einer Auswirkung mit negativen Geldeinheiten (Zeiteinheiten) zu hinterlegen. Somit könnte man im Risikomanagement solche Chancen verfolgen und frühzeitig auf Rückgabe von bereits freigegebenen Haushaltsmitteln hinweisen.

Risiko-Aggregation

Zielsetzung der Risikoaggregation im Kontext Projekt-Risikomanagement ist die Bestimmung des Gesamtrisikoumfangs des Projektes sowie der relativen Bedeutung der Einzelrisiken. Wenn für ein Projekt eine Risikotoleranzgrenze (in Zeit- und/oder Geld-Einheiten) definiert wurde, kann somit auf einen Blick erkannt werden, ob das Projekt der aktuellen Risikosituation noch standhalten kann.

In der Praxis werden zur Risiko-Aggregation die Wirkungen von Einzelrisiken im Kontext der im Projekt genutzten Planungsmodelle bewertet, eine Vorgehensweise, die die Verbindung zwischen Risikomanagement und Projekt- oder Roadmap-Planung ermöglicht.

Risikoaggregation ist also im Rahmen des Risikomanagements von Projekten die Aggregation aller Risiken mit dem Ziel der Bestimmung des Gesamtrisikoumfangs, wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.

Grundvoraussetzung zur Risiko-Aggregation ist:

• Die Erweiterung der semi-quantitativen Bewertung von Risiken hin zu quantitativen Bewertungen
• Nur Risiken mit stochastischer Unabhängigkeit der Ursachen dürfen aufgenommen werden
• Risiken, die andere Risiken beeinflussen, müssen zuerst in ihren Ursachen der daraus folgenden Kausalkette genau analysiert und ggf. neu strukturiert werden
• Die Schadenstypen müssen vergleichbar sein (Zeit-Risiken in Kosten abschätzen, entsprechend dem erwarteten Verzug). Qualitative Schadens-Typen, deren Auswirkungen in Kosten nicht direkt das Projekt betreffen, sollten nur in begründeten Fällen aufgenommen werden

Vorschlag zur Erweiterung des Risikoregisters:

• Ein Feld, in welchem die Beziehung zu einem weiteren Risiko angegeben werden kann (z.B. wird beeinflusst von Risiko xy)
• Handelt es sich um ein zusammengeführtes Risiko (siehe Kapitel „Neustrukturierung von Risiken“). Eine Alternative wäre, wie in „Risikomanagement in agilen Projekten“ beschrieben, ein Level von Risiken anzugeben. Bei zusammengeführten Risiken würde es sich definitiv um Level 2 handeln.

Neustrukturierung von Risiken basierend auf Ursache-Wirkungsbeziehungen

Bevor man eine quantitative Beschreibung eines Risikos vornimmt, ist es oft notwendig, die verschiedenen Teilaspekte eines wichtigen und komplexen Risikos adäquat zu strukturieren, da es durchaus implizite Abhängigkeiten zwischen anderen Risiken geben kann. Auch für eine möglichst überschneidungsfreie und sachgerechte Zusammenfassung der Risiken im Risikoinventar ist fast immer eine Neustrukturierung der zunächst identifizierten und erfassten Risiken sinnvoll. Hierfür gibt es drei heuristische Daumenregeln:

• Ursachenaggregation
  1. Wenn zwei oder mehrere Risiken die gleiche Ursache haben, fasse sie zu einem Risiko zusammen und aggregiere die Wirkung, beispielsweise durch die Addition der Schäden (unabhängige Einzelrisiken).
  2. Wenn eine Kausalkatte zwischen Risiken besteht, d.h. ein Risiko beeinflusst ein oder mehrere weitere Risiken, dann sollte diese Kausalkette in Form eines aggregierten Risikos aufgelöst werden.
• Wirkungsaggregation
  Wenn zwei Risiken die gleiche Auswirkung haben, aggregiere die Wahrscheinlichkeiten der Ursachen, beispielsweise im einfachsten Fall durch eine Addition der Eintrittswahrscheinlichkeiten (bei unabhängigen Risiken mit kleiner Eintrittswahrscheinlichkeit).
  Bei stochastischer Unabhängigkeit der Ursachen von Risiken mit der Wahrscheinlichkeit, dass entweder die eine oder andere Ursache eintritt, beträgt die zusammengefasste Wahrscheinlichkeit
  (1 – (1-EW_R1) * (1 – EW_R2)) (entsprechend der Ausfallwahrscheinlichkeitsberechnung von Parallelschaltung von unabhängigen Komponenten).
• Ausschlussregel
  Wenn beim Eintritt eines bestimmten Risikos ein weiteres Risiko nicht zusätzlich eintreten kann, dann lasse nicht beide Risiken bei der Quantifizierung gleichzeitig zu.

Diese Daumenregeln helfen schon für eine erste Strukturierung. Es ist allerdings zu beachten, dass es grundsätzlich empfehlenswert ist, die tatsächliche stochastische Abhängigkeit auf der Ursachen- und Wirkungsebene verschiedener Risiken beziehungsweise Facetten eines Risikos zu verstehen und dann Risiken zu strukturieren und dann eine simulationsbasierte Risikoaggregation vorzunehmen, die eben diese stochastischen Abhängigkeiten adäquat berücksichtigt.

Einfache Risiko-Aggregation

Zentrales Anliegen des Risikomanagements ist es, Scheingenauigkeiten zu vermeiden. Daher sind zur Sicherstellung einer hohen Qualität des Dateninputs auch bei subjektiven Schätzungen die Herleitungen der Risikoquantifizierung zu begründen. Eine Verbesserung der Quantifizierung kann durch die Einbeziehung mehrerer Experten erreicht werden. Falls eine bestimmte Zahl – Wahrscheinlichkeit oder Schadenshöhe – nicht sicher ermittelt werden kann, ist es grundsätzlich angebracht auch hier eine adäquate Wahrscheinlichkeitsverteilung anzugeben.

Unter der Voraussetzung, dass die Risiken, wie in Kap. „Erweiterung der semi-quantitativen Einstufung von Risiken“ beschrieben, mit quantitativen Werten für Auswirkung und Eintrittswahrscheinlichkeit beschrieben, und wie in Kap. 3.1 beschrieben, neu strukturiert wurden, ist es möglich, einen Indikator für eine Gesamtrisikobewertung zu bekommen.

Gesamt-Schadenserwartungswert: SEW₀ = ∑_r S_r * W_r

Diese Berechnung gibt jedoch weder eine Bandbreite noch einen Konfidenz-Interwall wider. Hierfür wird eine Monte-Carlo-Simulation benötigt (siehe Risikoaggregation im Artikel „Projektverzögerung…“).

Jedoch könnten, unter der Voraussetzung, dass auch Bandbreiten von Auswirkung und Eintrittswahrscheinlichkeit angegeben wurden, mit Hilfe von Excel Szenarien berechnet werden.

Im Laufe der Zeit werden neue Information über die Risiken verfügbar, die zur Verbesserung der Risikoquantifizierung genutzt werden sollten. Risikoquantifizierung ist also ein Lernprozess. Entsprechend ist die Quantifizierung eines Risikos keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, bei dem neue Informationen bei der Risikoquantifizierung berücksichtigt werden.

Abkürzungen

Tabelle 1: Abkürzungen