Baustein RM-42:
Kommerzielle Methoden:
Software Process Risk
Identification, Mapping and
Evaluation
(S:PRIME)
GrafP Technologies, Inc.
und
Centre de Recherche Informatique de Montreal, Canada
Version 1.6, 1998
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
1
Inhalte des Bausteins
 S:PRIME Assessment
 Basis
 Ziele
 Ablauf
 Arbeitsschritte
 Die Risikokategorien der SEI Taxonomie
 Berücksichtigte Praktiken
 Definitionen
 Antworten auf die Risikofragen
 Antworten auf die Praktiken Fragen
 Modulation der Risiken
 Erkanntes und wahrscheinliches Risiko
 Schwellwert
 Beispiele für Auswertungen
 Auf die Diagnose folgende Schritte
 Aktionsplanung
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
2
S:PRIME Assessment - Basis
 Zwei komplementäre Untersuchungen schlagen
die Balance zwischen dem Risikobewußtsein des
Managements und den angewandten Entwicklungspraktiken
Der Risiko-Fragebogen basiert auf der Software Risk Taxonomy
entwickelt vom SEI
 Sieben Risikokategorien werden betrachtet
 Insgesamt werden 163 Risiko Faktoren untersucht
Der Praktiken-Fragebogen basiert auf dem
Capability Maturity Model des SEI (CMM)
 CMM Stufe 2 (Basic) und Stufe 3 (Managed) Praktiken werden
berücksichtigt
 Unternehmenskultur und Kundendienst werden hinzu gefügt
 Insgesamt werden 259 Entwicklungspraktiken untersucht
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
3
S:PRIME Assessment - Ziele
Identifizieren, bewerten und managen von prozessabhängigen Risiken (ca. 70% aller Projektrisiken) in
Softwareprojekten und Organisationen, die Softwareentwicklung und -wartung ausführen, in Abhängigkeit
vom Reifegrad der implementierten Entwicklungspraktiken
 wiederholbar auf jährlicher Basis (Durchschnitt)
 schnell und kostengünstig
 auf Wunsch mit Technologietransfer auf die untersuchte
Organisation bzw. das Projekt
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
4
S:PRIME Assessment - Ablauf
1
Fragebogen zur
Risikoidentifikation
und -analyse
2
4
Optional:
Aktionsplanung
6
Analyse und
Konsolidierung
der Antworten
Projektleiter/
Manager
Zeit
Aktivität
J F M A M J J A S O N D
Aktivität 1
Aktivität 1
Aktivität 1
Aktivität 1
Aktivität 1
3
Entwickler
Auswahl:
Projekte,
Teilnehmer
Vorstellung
des Verfahrens
Anpassen
der Fragebögen
Fragebogen zur
Praktikenidentifikation
und -analyse
Datenerfassung,
Modulation der
Risiken durch den
Quotienten der
implementierten
Praktiken
5
DKR Unternehmensberatung
Präsentation
der Ergebnisse
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
5
S:PRIME Assessments - Arbeitsschritte
 Informationen über den Projektstatus sammeln
 Potentielle Risiken identifizieren
 Dokumentieren und verifizieren des Reifegrades der momentanen Praktiken
 Erste vorläufige Verbesserungsmöglichkeiten aufzeigen
 Kernteamanalyse
 Risiken klassifizieren und gruppieren; schwache Praktiken identifizieren
 Ergebnisse analysieren; Inkonsistenzen beseitigen; fehlende Info beschaffen
 Ergebnisse zusammenfassen; vorläufige Folienpräsentation erstellen
 Konsolidierung & Validierung
 Gemeinsames Verständnis der Hauptergebnisse herstellen;
Hauptbeobachtungen abstimmen und bestätigen
 Risikomanagement-Strategie definieren oder adaptieren; Aktionen
vorschlagen; Konsens herstellen
 Machbarkeit der empfohlenen Aktionen überprüfen; Prioritäten setzen;
Schlussfolgerungen abstimmen
 Folienpräsentation abstimmen; Ergebnisse kommunizieren
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
6
Die Risikokategorien der SEI Taxonomie
 R04 - Entwicklungsprozess
 R01 - Anforderungen
(Projektgegenstand)






Stabilität der Spezifikation
Offene Fragen (Vollständigkeit)
Projektmachbarkeit (technisch & kommerziell)
Klarheit der Vereinbarungen (Konsistenz)
Gemeinsames Verständnis der Anforderungen
 R02 - Design und Produktion






Strukturelle Aspekte (Produktkomplexität)
Produktmachbarkeit (Technologie;
Anwendungsgebiet)
Produktintegrität & -qualität (Integration &
Test)
Eignung von Werkzeugen und Methoden
Integrationsgrad
Ressourcenverfügbarkeit und Infrastruktur
Vertrautheit mit Methoden und Werkzeugen
DKR Unternehmensberatung

 R05 - Management



 R03 - Entwicklungsumgebung


Existenz von (aktuellen) Plänen und Arbeitspapieren
Einhalten des abgestimmten Zeitplans
Änderungsmanagementprozeduren & Notfallplanung
Statusberichte & Fortschrittskontrolle
Problemlösung & Entscheidungsfindung
Kommunikation; Kundenbeziehungen
 R06 - Team



Verfügbarkeit von Schlüsselpersonen;
Fähigkeitsprofile
Verpflichtung; Mitarbeitermotivation & Training
Teamzusammenhang; Rolle von Lieferanten
 R07 - Externe Rahmenbedingungen



Zeitplan, Budget, Ressourcen
Verhalten des Kunden
Firmenpolitik
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
7
Berücksichtigte Praktiken (1)
P01 - Management der Anforderungen (Stufe 2)
P05 - Qualitätssicherung (Stufe 2)
Zweck dieses Prozesses ist, ein gemeinsames
Verständnis zwischen Auftraggeber und Team
herzustellen über die Anforderungen, die
im Projekt realisiert werden sollen
Transparenz schaffen für das Management
hinsichtlich des Entwicklungsprozesses und
der erstellten Ergebnisse
P02 - Projektplanung (Stufe 2)
P06 - Konfigurationsmanagement (Stufe 2)
Vernünftige Pläne erstellen für die Durchführung
der Software Engineering Aktivitäten und des
Projektmanagements
Etablieren und sicherstellen der Integrität der
Projektergebnisse während des ganzen
Lebenszyklus
P03 - Projektüberwachung und -steuerung (Stufe 2)
P07 - Prozeßorganisation festlegen (Stufe 3)
Transparenz hinsichtlich des aktuellen Projektfortschritts schaffen, so daß das Management
geeignete Maßnahmen ergreifen kann, wenn
der Projektfortschritt signifikant vom Plan abweicht
Verantwortliche für die Aktivitäten des Softwareprozesses festlegen, die die generelle Prozeßfägikeit
des Unternehmens verbessern
P04 - Subkontraktmanagement (Stufe 2)
P08 - Prozesse definieren (Stufe 3)
Geeignete Subkontraktoren auswählen und managen
Entwickeln und pflegen von Prozeßverfahrensanweisungen, die die Leistungen des Prozesses
erhöhen und eine Basis bilden für kumulierten
langfristigen Nutzen der Organisation
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
8
Berücksichtigte Praktiken (2)
P09 - Training (Stufe 3)
P13 - Reviews (Stufe 3)
Fähigkeiten und Wissen der Mitarbeiter
weiter entwickeln, so daß sie ihre Rolllen
effektiv und effizient wahrnehmen können
Der Zweck dieses Prozesses ist, Mängel der
Ergebnisse frühzeitig zu erkennen und sie in
effizienter Weise zu beheben, um so ein besseres
Verständnis dieser Ergebnisse und der Fehler, die
verhütet werden können, zu gewinnen
P10 - Integriertes Softwaremanagement (Stufe 3)
Integration der Engineering- und Managementaktivitäten
in einen kohärenten definierten Softwareprozeß, der aus
dem Standard-Entwicklungsprozeß abgeleitet worden ist
P11 - Softwareprodukt Engineering (Stufe 3)
Ständige Ausführung eines wohldefinierten Softwareengineeringprozesses, der alle notwendigen Aktivitäten
integriert, um korrekte und konsistente Produkte in
effizienter Weise zu erstellen
P12 - Koordination zwischen Gruppen (Stufe 3)
P14 - Unternehmenskultur (CRIM)
Etablieren einer Menge von gemeinsamen Werten,
Verhaltensweisen und unausgesprochenen Regeln,
die dabei helfen, Veränderungen der Organisation
zu unterstützen
P015- Kundendienst (CRIM)
Der Zweck dieses Prozesses besteht darin, dem
Auftraggeber und den Anwendern Qualitätsprodukte und -dienstleistungen zu liefern während
der Entwicklung und Wartung sowie während der
Operation des fertigen Systems
Sicherstellen, daß das Entwicklungsteam aktiv mit
anderen betroffenen Gruppen zusammenarbeitet,
um so die Anforderungen des Auftraggebers zu befriedigen
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
9
Einige Definitionen
Erkanntes Risiko
Risiken (Kostenüberschreitungen,Terminüber-schreitungen,
mangelnde Funktionaliät) deren sich die Manager bewußt sind
Praktikzufriedenheitsgrad
Wahrscheinliches
Risiko
Erkanntes Risiko
als Funktion des
Praktikzufriedenheitsgrads
DKR Unternehmensberatung
Grad zu dem die besten Softwareengineering Praktiken im Projekt
oder in der Organisation angewandt werden
Wahrscheinlichkeit, dass die möglichen Schwierigkeiten eintreten
werden, falls keine Korrekturmaßnahmen ergriffen werden
Die Fähigkeit des Managements, Risiken zu erkennen, hängt sowohl
vom Zufriedenheitsgrad mit einer bestimmten Praktik wie auch von der
Praktik selbst ab
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
10
Antworten auf die Risikofragen
 Antwortmöglichkeiten





YES (immer oder fast immer)
NO (nie oder sehr selten)
SOMETIMES (zwischen YES und NO)
N/A (die Frage ist hier nicht relevant)
UNKNOWN (der Teilnehmer hat nicht genug Informationen, um die Frage zu
beantworten)
 OUT OF SCOPE (Frage ist außerhalb des Rahmens des Projekts)
 Die Antworten müssen das reflektieren, was in der Projektpraxis
erfahren wird
 Erfahrungen aus vorangegangenen Projekten können
verwendet werden, um eine für das aktuelle Projekt relevante
Bedingung zu bewerten, die noch nicht eingetreten ist
 Es ist wichtig, Kommentare zu geben, die die Antworten näher
erläutern
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
11
Antworten auf die Praktiken Fragen
 Antwortmöglichkeiten





YES (immer oder fast immer)
NO (nie oder sehr selten)
SOMETIMES (zwischen YES und NO)
N/A (die Frage ist nicht relevant für die Projekte, mit denen der Praktiker befasst ist)
??? (die Frage ist relevant, aber der Praktiker hat nicht genügend Informationen, um
sie zu beantworten)
 e (auf diesem Gebiet hat der Praktiker keine Erfahrung)
 Die /Antworten müssen das reflektieren, was in der Projektpraxis
erfahren wird (in Bezug auf den Erfahrungshorizont des
Praktikers)
 Die Praktiker sollten Erfahrungen aus mehreren vergangenen
Projekten haben
 Es ist wichtig, Kommentare zu geben, die die Antworten näher
erläutern
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
12
Modulation der Risiken
Fragebogen von Schritt 2
R1
R2
Höhe der Risiken, wie sie von den Managern für alle 7 Kategorien
gesehen werden
R3
R7
Gewichtete
Verbindungen
zwischen
Risiken
und
Praktiken
P1
P2
Fragebogen von Schritt 3
P3
P15
Zufriedenheitsgrad mit den implementierten Praktiken für jeden der
15 Bereiche, wie er von den Praktikern gesehen wird
Die Risiken sind mit den Reifegraden der Praktiken über eine Matrix verbunden. Die Matrix beantwortet die
Frage: Um wieviel wird ein bestimmtes Risiko durch die Implementierung einer bestimmten Praktik reduziert?
Die Abbildung erfolgt auf Basis einer exponentiellen Risikofunktion (Hazard Function), die durch empirisch
gewonnene Erfahrungswerte adjustiert wurde. Die Matrix ist geistiges eigentum von GRafP Technologies.
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
13
Erkanntes und wahrscheinliches Risiko
Reifegrad der Praktiken = 0.69
0.75
Durchschnitt = 0.25
Wahrscheinliches Risiko
1.00
0.50
0,40
R04
R06
Schwellwert
R05
R03
R07
R02
0.25
Durchschnitt = 0.34
R01
Anforderungen
R02
Design und Realisierung
R03
Entwicklungsumgebung
R04
Entwicklungsprozess
R05
Management
R06
Team
R07
Rahmenbedingungen
R01
0
0
0.25
0.50
0.75
1.00
Erkanntes Risiko
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
14
Schwellwert
 Eine wichtige Kenngröße ist der Schwellwert. Empirische
Ergebnisse zeigen, dass offenbar bei einem wahrscheinlichen Risiko von 40% eine Grenze liegt
 Organisationen, die mit über 40% Risiko operieren, werden
wahrscheinlich in der Zukunft größere Probleme bekommen
 Organisationen, die mit unter 40% Risiko operieren (alles, was
über 20% liegt, ist noch zu hoch), werden wahrscheinlich in der
Lage sein, sich ausreichend zu verbessern
 Ähnliche Erfahrungen wurden im Finanzbereich gemacht. Auch
Venture Capital Firmen investieren nicht in eine Firma, die mit
über 40% Risiko operiert
 Damit haben wir eine griffige Kenngröße für das Management
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
15
Beispiel: Risikoprofil eines „unreifen“ Projekts
Wahrscheinliches Risiko
0,0
0,2
0,4
0,6
0,8
1,0
1,0
1,0
0,8
0,8
0,6
0,6
sehr hoch bis
nicht akzeptabel
Reifegrad
der Praktiken
= 0,1
hoch bis
sehr hoch
mittel bis
hoch
0,4
0,4
Schwellwert
niedrig bis
mittel
Grenzbereich,
innerhalb dessen
effizient
gearbeitet werden
kann
0,2
sehr niedrig
bis niedrig
0,2
0,0
0,0
0,0
0,2
0,4
0,6
0,8
1,0
Erkanntes
Risiko
Unternehmen, die einen niedrigen Reifegrad der Praktiken aufweisen (0,1 entspricht
einem Reifegrad am unteren Ende von Stufe 1 des CMM) können in der Regel nur dann
erfolgreich operieren, wenn das Management ein sehr hohes Risikobewußtsein hat
und entsprechend vorbeugende Maßnahmen ergreift.
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
16
Beispiel: Risikoprofil eines „reifen“ Projekts
Wahrscheinliches Risiko
0,0
0,2
0,4
0,6
0,8
1,0
1,0
1,0
0,8
0,8
0,6
0,6
sehr hoch bis
nicht akzeptabel
Reifegrad
der Praktiken
= 0,9
hoch bis
sehr hoch
mittel bis
hoch
0,4
0,4
Schwellwert
niedrig bis
mittel
Grenzbereich,
innerhalb dessen
effizient
gearbeitet werden
kann
0,2
sehr niedrig
bis niedrig
0,2
0,0
0,0
0,0
0,2
0,4
0,6
0,8
1,0
Erkanntes
Risiko
Unternehmen, die einen hohen Reifegrad der Praktiken aufweisen (0,9 entspricht
einem Reifegrad am oberen Ende von Stufe 3 des CMM) können (müssen aber nicht!)
auch dann erfolgreich operieren, wenn das Management ein geringeres Risikobewusstsein hat und wenig vorbeugende Maßnahmen ergreift.
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
17
S:PRIME-Ergebnisse: Vertrauensgrad
Praktikenbereich
Risiko Kategorie
R01
R02
R03
R04
R05
R06
R07
0 10 20 30 40 50 60 70 80 90 100
Vertrauensgrad
P01
P02
P03
P04
P05
P06
P07
P08
P09
P10
P11
P12
P13
P14
P15
0 10 20 30 40 50 60 70 80 90 100
Vertrauensgrad
Der Vertrauensgrad repräsentiert den Prozentsatz verwendbarer Antworten
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
18
S:PRIME-Ergebisse: Erkannte Risiken
Erkanntes Risiko
100
90
80
70
60
50
40
30
20
10
0
R01
R02
R03
R04
R05
R06
R07
R01 Anforderungen
49.2
R02 Design und Realisierung
27.1
R03 Entwicklungsumgebung
36.9
R04 Entwicklungsprozeß
25.5
R05 Management
35.1
R06 Team
29.4
R07 Rahmenbedingungen
38.6
Risikokategorie
Durchschnittliches Risikobewußtsein = 33,6
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
19
S:PRIME-Ergebnisse: Reifegrade der Praktiken
100
Praktikreifegrad
90
P01
Anforderungsmanagement
77.1
P02
Projektplanung
76.5
P03
Projektüberwachung/-steuer.
77.7
80
P04
Subkontraktormanagement
71.4
70
P05
Qualitätssicherung
57.7
60
P06
Konfigurationsmanagement
73.1
50
P07
Prozeßorg. festlegen
55.3
P08
Prozesse definieren
62.4
P09
Training
48.4
P10
Integr. Softwaremgmt.
54.6
20
P11
Softwareprodukt Engineering
75.8
10
P12
Entwicklungskoordination
55.0
P13
Review
71.2
P14
Unternehmenskultur
72.6
P15
Kundendienst
77.5
40
30
0
P01 P02 P03 P04 P05 P06 P07 P08 P09 P10 P11 P12 P13 P14 P15
Praktikbereich
Durchschnittlicher Reifegrad der Praktiken = 68,8
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
20
S:PRIME-Ergebnisse: Wahrscheinliche Risiken
Erwartungswert des Risikos
100
90
R01 Anforderungen
6,1
80
R02 Design und Realisierung
27.6
60
R03 Entwicklungsumgebung
23,8
50
R04 Entwicklungsprozeß
38,4
R05 Management
27,4
R06 Team
37,8
R07 Rahmenbedingungen
18,7
70
40
30
20
10
0
R01
R02
R03
R04
R05
R06
R07
Risikokategorie
Durchschnittliches wahrscheinliches Risiko = 25,5
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
21
S:PRIME-Ergebnisse:
Wahrscheinliche Risiken pro Praktikbereich
Wahrscheinliches Risiko
100
90
80
P01
Anforderungsmanagement
11,4
P02
Projektplanung
13,9
P03
Projektüberwachung/-steuer.
12,3
P04
Subkontraktormanagement
19,5
70
P05
Qualitätssicherung
41,2
60
P06
Konfigurationsmanagement
17,4
P07
Prozeßorg. festlegen
50,3
P08
Prozesse definieren
38,5
P09
Training
64,0
30
P10
Integr. Softwaremgmt.
48,5
20
P11
Softwareprodukt Engineering
15,7
P12
Entwicklungskoordination
45,3
P13
Review
21,2
P14
Unternehmenskultur
10,2
P15
Kundendienst
11,2
50
40
10
0
P01 P02 P03 P04 P05 P06 P07 P08 P09 P10 P11 P12 P13 P14 P15
Praktikbereich
Durchschnittliches wahrscheinliches Risiko = 28,0
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
22
Generelle Aussagen (Beispiel)
 Das Risikobewusstsein (P = 33,6) ist relativ hoch, das wahrscheinliche Risiko ist
moderat (P = 25,5)
 Ein relativ hohes Risikobewusstsein haben wir in der Kategorie „Anforderungen“
(P = 49,2%))
 Ein relativ niedriges Risikobewusstsein haben wir in den Kategorien „Design und
Realisierung“ (P = 27,1 %) und „Entwicklungsprozess“ (P = 25,5%)
 Der durchschnittliche Reifegrad der Praktiken ist akzeptabel (68,8%)
 Besondere Schwächen zeigen sich bei den Prozessen „Qualitätssicherung“ (57,1),
Prozessorganisation festlegen (55,3), Training (48,4), Integriertes
Softwaremanagement (54,6) und Entwicklungskoordination (55,0)
 Das Risikobewusstsein erscheint realistisch (wahrscheinliches Risiko <
erkanntes Risiko)
 Die meisten Praktiken sind angemessen implementiert
 Es ist möglich, die wahrscheinlichen Risiken durch geeignete Maßnahmen
weiter zu reduzieren
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
23
Detaillierter Auswerteprozess
 Die detaillierten Ergebnisse der S:PRIME Analyse können noch
weiter in systematischer Form ausgewertet werden (Excel)
 1. Schritt: Klassifizieren der Risiken
 Risikoklasse A: Erkanntes Risiko > 80%
 Risikoklasse B: Erkanntes Risiko 65% - 80%
 Risikoklasse C: Erkanntes Risiko 55% - 65%
 2. Schritt: Gruppieren der Risiken in Prioritätsklassen
 Prioritätsklasse 1: Erkanntes Risiko >80% oder <25%, Praktikreifegrad <30%
 Prioritätsklasse 2: Erkanntes Risiko >65% oder <25%, Praktikreifegrad <40%
 Prioritätsklasse 3: Erkanntes Risiko >55% oder <25%, Praktikreifegrad <50%
 3. Schritt: Identifizieren von schwachen Praktiken pro Prioritätsklasse
 Dringlichkeitsklasse 1: Praktikreifegrad <30%, Risiko Prioritätsklasse 1
 Dringlichkeitsklasse 2: Praktikreifegrad <40%, Risiko Prioritätsklasse 2
 Dringlichkeitsklasse 3: Praktikreifegrad <50%, Risiok Prioritätsklasse 1,2,3
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
24
Erkannte Risiken (Beispiel)
Risikoklasse A = Erkanntes Risiko ist größer als 80%
1.9
1.10
1.16
Es gibt Vertraulichkeitsanforderungen in Bezug auf die Software
Es gibt Sicherheitsanforderungen an die Software
Der gesamte Entwicklungsaufwand (benötigte Ressourcen)
und die Komplexität der Anwendung bereiten dem Team Kopfschmerzen
3.12 Die Entwicklung wird in verschiedenen Standorten durchgeführt
5.13 Politische Überlegungen beeinflussen technische Entscheidungen
6.11.9 Im Konfigurationsmanagement fehlen Kenntnisse
6.14 Das Projekt zeigt eine starke Abhängigkeit von der Expertise von Kunden
oder Lieferanten
7.1 Es gibt Rahmenbedingungen, die negative Einflüsse haben können auf den
Zeitplan, das Budget oder das fertige Produkt (z. B. zusagen, die miteinander
in Konflikt stehen, zu enge Termine)
7.9
Das Projekt hängt ab von kritischen Komponenten, die von externen
Lieferanten geliefert werden müssen
II
III
III
I
I
I
II
II
I
I, II, II: Dringlichkeitsklassen für empfohlene Aktionen
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
25
Risiken der Prioritätsklasse 1
Erkanntes Risiko > 80%; Praktikreifegrad < 30%; Vertrauensgrad 70%
3.12
5.13
7.9
Softwareentwicklung wird an verschiedenen Standorten ausgeführt
Politische Überlegungen beeinflussen technische Entscheidungen
Das Projekt hängt ab von kritischen Komponenten, die von externen
Lieferanten geliefert werden müssen
Erkanntes Risiko < 80%; Praktikreifegrad < 30%; Vertrauensgrad 70%
1.13
Es gibt keine miteinander in Konflikt stehenden Anforderungen oder solche, die
falsch interpretiert werden könnten
2.14 Es ist möglich zu verifizieren, ob die Anforderungen an Zuverlässigkeit und Verfügbarkeit erreicht werden
4.10 Die Teammitglieder haben Erfahrung mit den eingesetzten Entwicklungsmethoden
4.23 Zeitpläne und technische Daten sind problemlos von den Lieferanten zu bekommen
5.11 Es ist möglich, risikobehaftete Aktivitäten zu erkennen, ohne eine Lösung parat
zu haben
6.11.8 Die Fähigkeiten zum Design der Mensch-Maschine Schnittstelle sind ausreichend
7.5.3 Der Kunde greift nicht über Gebühr ein
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
26
Wie liest man die Cross-Reference Matrix?
Ein spezielles Risiko:
7.9
Das Projekt hängt ab von kritischen Komponenten, die von externen
Lieferanten geliefert werden müssen
Erkanntes = 90
Risiko
Damit verbundene Praktiken:
9.1
12.3
Das Projekt sollte einen Trainingsplan für die Teammitglieder aufstellen
Dokumente, die Auskunft über die Verantwortung der einzelnen Gruppen
geben und die es erlauben, die in Erfüllung dieser Verantwortung ausgeführten Aktivitäten zu überprüfen, sollten erstellt werden
5.11 Software QS Personal sollte spezifische Instruktionen erhalten, um die
Anforderungen des Projekts zu erfüllen
2.9.1 Risiken, die sich auf Kosten, Ressourcen, Zeitplan und andere technische
Aspekte des Projekts beziehen, sollten identifiziert, bewertet und dokumentiert werden
3.7
Risiken, die sich auf Kosten, Ressourcen, Zeitplan und andere technische
Aspekte des Projekts beziehen, sollten angemessen überwacht werden
5.3
Software QS Personal sollte an Reviews der Entwicklungspläne, Standards
und Prozeduren des Projekts teilnehmen
12.7 Technische Reviews, an denen Vertreter der verschiedenen am Projekt beteiligten teilnehmen, sollten periodisch durchgeführt werden
DKR Unternehmensberatung
Reifegrad = 21
Reifegrad = 32
Reifegrad = 36
Reifegrad = 40
Reifegrad = 44
Reifegrad = 44
Reifegrad = 46
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
27
Empfohlene Aktionen - Dringlichkeitsklasse 1
2.20
Software QS Personal sollte daran beteiligt werden zu verifizieren, dass die Projektplanungsaktivitäten auf der Basis von vorgeschriebenen Standards und Prozeduren durchgeführt wurde
4.10.1 Formelle Reviews mit den Lieferanten, während derer an ausgewählten Meilensteinen Ergebnisse überprüft werden, sollten auf Basis einer dokumentierten
Prozedur erfolgen
5.8
Software QS Personal sollte periodisch ihre Aktivitäten und Ergebnisse gemeinsam
mit dem QS Personal des Kunden überprüfen
9.1
Das Projekt sollte einen Trainingsplan für die Teammitglieder aufstellen
12.11 Vertreter jeder Gruppe, die am Projekt mitarbeitet, sollten eine Orientierung über
die Methoden, Prozeduren und Standards erhalten, die die anderen Gruppen
benutzen
12.12 Alle Mitglieder der im Projekt zusammenarbeitenden Gruppen sollten eine
Orientierung darüber erhalten, wie man am besten zusammen arbeitet
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
28
Vorgeschlagene Aktionen auf Projektebene - Beispiel
Qualitätssicherung
Eine unabhängige Instanz sollte damit beauftragt werden zu überprüfen,
daß Projektpläne auf Basis von verbindlichen Standards und Prozeduren
erstellt werden und daß sie auch respektiert werden.
Formelle Reviews mit Lieferanten an bestimmten Meilensteinen zur Überprüfung der Ergebnisse sollten einer dokumentierten Prozedur folgen.
Team Performance (Integr. Management, Entwicklungskoordination, Training)
Vertreter der Gruppen, die am Projekt beteiligt sind, sollten eine Orientierung über Methoden, Prozeduren und Standards der anderen Gruppen erhalten.
Für die Teammitglieder sollte ein Trainingsplan erstellt werden.
Alle Teammitglieder sollten in Zusammenarbeit geschult werden.
Risiko Management
Risiken, die sich auf Kosten, Ressourcen, Zeitplan und andere technische Aspekte des Projekts auswirken, sollten identifiziert, bewertet,
dokumentiert und überwacht werden.
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
29
Beispiel: Softwarehersteller
Wahrscheinliches Risiko
100
90
P01
Anforderungsmanagement
P02
Projektplanung
80
P03
Projektüberwachung/-steuer.
70
P04
Subkontraktormanagement
P05
Qualitätssicherung
60
P06
Konfigurationsmanagement
50
P07
Prozeßorg. festlegen
P08
Prozesse definieren
P09
Training
P10
Integr. Softwaremgmt.
P11
Softwareprodukt Engineering
40
30
20
P12
Entwicklungskoordination
10
P13
Review
0
P14
Unternehmenskultur
P15
Kundendienst
P01 P02 P03 P04 P05 P06 P07 P08 P09 P10 P11 P12 P13 P14 P15
Praktikbereich
Die Firma wurde 1987 gegründet. 1990 hatte man 300 Mitarbeiter, 1995 waren es schon 700 (davon 400 IV Professionals).
Das Risikoprofil zeigt, dass diese Firma stark gefährdet ist. Das Risiko ist fast überall hoch. Die Balken, bei denen es Null
zu sein scheint, bedeuten, dass hier überhaupt nichts getan wurde.
11/2 Jahre später machte die Firma negative Schlagzeilen in der Presse und der Vorstand wurde gefeuert.(Qulle GrafP Techn.)
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
30
Beispiel: Private Organisation
Wahrscheinliches Risiko
100
90
P01
Anforderungsmanagement
P02
Projektplanung
80
P03
Projektüberwachung/-steuer.
70
P04
Subkontraktormanagement
P05
Qualitätssicherung
60
P06
Konfigurationsmanagement
50
P07
Prozeßorg. festlegen
P08
Prozesse definieren
P09
Training
P10
Integr. Softwaremgmt.
P11
Softwareprodukt Engineering
40
30
20
P12
Entwicklungskoordination
10
P13
Review
0
P14
Unternehmenskultur
P15
Kundendienst
P01 P02 P03 P04 P05 P06 P07 P08 P09 P10 P11 P12 P13 P14 P15
Praktikbereich
Diese Organisation hat beim SEI ein Assessment gemacht und mit einem Reifegrad von fast 3 abgeschnitten. Hier haben wir es
mit einer realtiv reifen Organisation zu tun, die ihre Risiken gut im Griff hat (Quelle: GrafP Technologies)
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
31
Beispiel: Sehr kleine private Organisation
Wahrscheinliches Risiko
100
90
P01
Anforderungsmanagement
P02
Projektplanung
80
P03
Projektüberwachung/-steuer.
70
P04
Subkontraktormanagement
P05
Qualitätssicherung
60
P06
Konfigurationsmanagement
50
P07
Prozeßorg. festlegen
P08
Prozesse definieren
P09
Training
P10
Integr. Softwaremgmt.
P11
Softwareprodukt Engineering
40
30
20
P12
Entwicklungskoordination
10
P13
Review
0
P14
Unternehmenskultur
P15
Kundendienst
P01 P02 P03 P04 P05 P06 P07 P08 P09 P10 P11 P12 P13 P14 P15
Praktikbereich
Diese Firma hat nur 15 Mitarbeiter. Bis auf einige Ausnahmen hat man die Risiken gut im Griff. Der hohe Wert bei Konfigurationsmanagement
war für die Beteiligten überraschend, da man glaubte, dies im Griff zu haben. Die Organisation ist sehr prozessbewusst, deshalb der niedrige
Wert bei „Prozessorganisation festlegen“. Auf Grund mangelnder Ressourcen hatte man aber noch keine Zeit, die Prozesse genau zu definieren,
deshalb der relativ hohe Wert bei „Prozesse definieren“. (Quelle: GrafP Technologies)
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
32
Beispiel: Staatliche Organisation
Wahrscheinliches Risiko
100
90
P01
Anforderungsmanagement
P02
Projektplanung
80
P03
Projektüberwachung/-steuer.
70
P04
Subkontraktormanagement
P05
Qualitätssicherung
60
P06
Konfigurationsmanagement
50
P07
Prozeßorg. festlegen
P08
Prozesse definieren
P09
Training
P10
Integr. Softwaremgmt.
P11
Softwareprodukt Engineering
40
30
20
P12
Entwicklungskoordination
10
P13
Review
0
P14
Unternehmenskultur
P15
Kundendienst
P01 P02 P03 P04 P05 P06 P07 P08 P09 P10 P11 P12 P13 P14 P15
Praktikbereich
Zu beachten sind die hohen Risiken bei „Qualitätssicherung“ und „Unternehmenskultur“. Dies ist typisch für staatliche Organisationen (in
Canada oder USA?, denn hier haben wir das V-Modell!). Dabei ist der schwierigste Bereich die „Unternehmenskultur“. Verbesserungen
sind hier i. a. kaum möglich, obwohl es in jüngster Zeit einige hoffnungsvolle Ansätze bei kommunalen Behörden gibt, die Umgangsformen
mit den Bürgern zu verbessern. Das könnte dann auf den IV Bereich abfärben.
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
33
Auf die Diagnose folgende Schritte
 Überprüfen der Ergebnisse der Diagnose
 Bewerten ihrer Relevanz an Hand der geschäftlichen Ziele des Projekts
oder der Organisation
 Priorisieren der relevanten Ergebnisse
 Überprüfung der Praktiken, die sich auf diese Ergebnisse beziehen
 Identifizieren der Praktiken, die schon teilweise implementiert sind und
die deshalb leichter zu verbessern
 Aufstellen eines Aktionsplans zur Implementierung der Praktiken, die
als geeignet gefunden waren
 Feststellen, wie erfolgreich die verbesserten oder neu implementierten
Praktiken waren
 Falls notwendig, zusätzliche benötigte Praktiken implementieren und
solche aus dem Verkehr ziehen, die nicht nützlich sind
 Erneutes Assessment in 6-12 Monaten
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
34
Antriebskraft für Veränderungen als Funktion der Zeit
t c > t 3 > t 2 > t 1 Zeitintervall
Interesse
der Mitarbeiter
(Antriebskraft)
zwischen der Präsentation
der Assessment Ergebnisse
und dem Beginn der Aktionsplanung
Präsentation der
Ergebnisse
tc
= kritischer Zeitpunkt
t1
t2
t3
tc
Zeit
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
35
Prinzipien der Aktionsplanung
Man beginnt mit den Ergebnissen der Diagnose
Entscheider müssen teilnehmen
Strikte Vertraulichkeit muss gewahrt bleiben
Aktionsplanung muss miteinander und nicht
gegeneinander erfolgen
Man validiert zunächst die prozessabhängigen Risiken
und fügt dann projektspezifische Risiken hinzu
Man sollte sich auf Lösungen konzentrieren, die von
allen mitgetragen werden und die deshalb auch die
Chance haben zu funktionieren
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
36
Beispiel: Aktionsplanung für Assessment der
Organisationseinheit (1. Woche)
Kick-off Meeting
 Beschreibung der Schritte der Aktionsplanung
 Das obere Management sollte teilnehmen, um den Teilnehmern
zu demonstrieren, dass es dahinter steht und um sie zu
Offenheit zu nötigen
Interviews mit Projektleitern, Managern und Praktikern
 Sammeln von Kommentaren zu den vorläufigen Empfehlungen,
ihrer relativen Priorität und von Vorschlägen zu ihrer
Implementierung
1. Entwurf des Aktionsplans
 Enthält Kommentare und Vorschläge, die in den Interviews
gesammelt wurden
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
37
Aktionsplanung (1. Woche Fortsetzung)
Erstellen einer Matrix der Risiken und Praktiken
Risiken
Praktiken
P1
P2
.
.
.
Pk
Teilnehmer 1
Teilnehmer 2
.
.
.
Teilnehmer n
DKR Unternehmensberatung
R 1 R 2 .................Rm
x
x
x x
Zuordnung der identifizierten
Risiken und der empfohlemen
Praktiken
x
Teilnehmer 1
Teilnehmer 2
.
.
.
Teilnehmer n

Relative Bedeutung
der empfohlenen
Praktiken
x
Relative Bedeutung
der identifizierten Risiken
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
38
Aktionsplanung (2. Woche)
Interviews mit Projektleitern, um ihre Kommentare
zum Aktionsplan zu sammeln
Ergänzende Interviews mit anderen Teilnehmern, um
grobe Schätzungen für die Implementierung zu
bekommen
Ggf. weitere Interviews (z. B. mit dem Top
Management), um den Aktionsplan zu verfeinern
Erstellung der vorläufigen Version des endgültigen
Aktionsplans
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
39
Aktionsplanung (3. Woche)
Meeting mit Projektleitern, Managern und Praktikern,
um den Aktionsplan zu validieren
 Aufwands- und Zeitschätzungen verfeinern
 letztmalige Validierung des Plans
 Festlegen, wer für die Arbeitspakete des Plans
verantwortlich sein soll
Ggf. überarbeiten des Aktionsplans
Endgültige Präsentation der Ergebnisse
Kick-off für die nächsten Schritte
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
40
Diskussion
S:PRIME Methode
DKR Unternehmensberatung
Workshop Risiko-Management in IT-Projekten - copyright Dr. Klaus Röber
Baustein: RM-42 Kommerzielle Methoden: Beispiel S:PRIME Methode - Version 2.0: 06/2001
41

SPRIME Methode