Risk Governance in komplexen Programmen

Warum Risikoregister meistens nicht funktionieren

Es gibt einen Moment in fast jedem S/4HANA-Projekt, den erfahrene Programmleiter kennen und fürchten: Der Go-Live rückt näher, das Risikoregister zeigt 40 offene Punkte in Gelb, drei in Rot – und niemand im Steuerkreis kann sagen, welche davon das Projekt wirklich gefährden und welche beherrschbar sind. Die Zahlen sind da. Das Verständnis fehlt.

Das ist kein Informationsproblem. Es ist ein Governanceproblem.

Risiken in komplexen Transformationsprogrammen werden fast überall erfasst. Sie werden fast nirgends wirklich gesteuert. Der Unterschied zwischen beidem ist größer als er klingt – und er entscheidet darüber, ob ein Programm von Ereignissen überrollt wird oder ob es sie vorwegnimmt.

Das Risikoregister ist das am weitesten verbreitete und am wenigsten wirksame Instrument im Projektmanagement. Nicht weil die Idee falsch ist, sondern weil es in der Praxis zu einem Dokumentationsritual geworden ist, das mit aktiver Steuerung wenig zu tun hat.

Der typische Ablauf: Zu Projektbeginn werden in einem Workshop Risiken gesammelt. Jedes Risiko bekommt eine Eintrittswahrscheinlichkeit, eine Schadenshöhe und einen Verantwortlichen. Das Produkt aus den ersten beiden ergibt eine Risikokennzahl, die Risiken in Ampelfarben einteilt. Der Verantwortliche wird gebeten, das Risiko zu „mitigieren“. Im nächsten Steuerkreis wird der Status abgefragt. Der Verantwortliche sagt, das Risiko ist „in Bearbeitung“. Die Ampel bleibt gelb.

Dieses Ritual erzeugt das Gefühl von Kontrolle, ohne sie herzustellen. Es hat drei strukturelle Schwächen.

Die erste: Risiken werden isoliert betrachtet. Ein Verzug im Datenmigrations-Workstream ist kein isoliertes Risiko – er ist gleichzeitig ein Risiko für Testplan, Go-Live, Schulung und Parallelbetrieb.

Die zweite: Verantwortung wird diffus. Viele Verantwortliche haben weder Ressourcen noch Entscheidungsmacht.

Die dritte: Das Register lebt nicht. Risikoprofile verändern sich täglich – monatliche Updates sind zu langsam.

Was funktionierende Risk Governance stattdessen leistet

Risk Governance ist keine Dokumentation, sondern eine Struktur: Wer sieht was, wer entscheidet was, wer ist wofür verantwortlich – und wie wird sichergestellt, dass kritische Risiken rechtzeitig auf der richtigen Ebene landen.

Ein Industrieunternehmen hat dies mit einem dreistufigen Modell umgesetzt:

• Operatives Risikolog: wöchentliche Aktualisierung, alle steuerbaren Risiken.
• Eskalations-Shortlist: maximal zehn Risiken, die Entscheidungen jenseits der Projektebene erfordern.
• Executive Risk Dashboard: vier bis fünf Risiken mit höchstem Schadenspotenzial – vollständig ausformuliert.

Die Konsequenz: Jeder sieht genau das, was er sehen soll – nicht mehr, nicht weniger.

Abhängigkeiten sichtbar machen – der unterschätzte Teil

Risiken entstehen selten innerhalb eines Workstreams, sondern in den Zwischenräumen. Genau dort werden sie am spätesten erkannt.

Ein wirksames Format ist eine monatliche Abhängigkeitssitzung mit allen Workstream-Leads – ohne Folien, ohne Statusberichte. Eine einzige Frage: „Was braucht ihr von wem – und habt ihr die Zusage?“

Ergänzend wirkt eine physische Abhängigkeitskarte im Projektraum. Sichtbarkeit verändert Verhalten – und verhindert stille Risiken.

Ein Beispiel aus einem Pharmaunternehmen: Finance und Logistics planten denselben Testzeitraum – aber das Integrationsszenario war nicht spezifiziert. Das Risiko existierte im Zwischenraum und wurde erst spät erkannt.

Die Eskalationslogik: Wann kommt was auf welchen Tisch?

Das häufigste Versagen in der Risk Governance ist nicht, dass Risiken nicht erkannt werden. Es ist, dass sie auf der falschen Ebene hängen.

Klare Eskalationslogiken lösen dieses Problem. Drei Schwellenwerte funktionieren in der Praxis besonders gut:

1. Jedes Risiko über einem definierten Budgetschwellenwert eskaliert automatisch zum Executive Sponsor.

2. Jedes Risiko, das den Go-Live um mehr als zwei Wochen verschieben kann, landet innerhalb von 48 Stunden im Executive Steering Committee.

3. Nicht-steuerbare Risiken werden explizit markiert und erhalten einen Beobachtungsverantwortlichen.

Die dritte Kategorie wird am häufigsten übersehen. Nicht alle Risiken sind steuerbar – wer so tut, verschwendet Ressourcen.

Was Executives konkret tun müssen

Risk Governance funktioniert nur, wenn Executives drei Verhaltensweisen aktiv zeigen.

Erstens: Risiken aktiv abfragen – nicht nur berichten lassen. Führungskräfte, die aktiv fragen, erzeugen eine andere Berichtskultur.

Zweitens: Nicht-Eskalation als Problem behandeln. Frühzeitige Eskalation muss erwünscht sein.

Drittens: Risikoverantwortung mit Entscheidungsmacht koppeln. Verantwortung ohne Macht ist wirkungslos.