đŸ€ Der vertraute Einwand

“Wir machen doch Risk Assessments.” Diesen Reflex erlebe ich bei jeder Frage nach den verborgenen Risiken eines Projekts. VerstĂ€ndlich. Wer ein ISMS nach ISO 27001 betreibt, hat eine RisikoeinschĂ€tzung vorzuweisen. Wer Projekte fĂŒhrt, hat ein Risikoregister. Methodik liegt vor, Werkzeuge auch. Alles geprĂŒft, alles dokumentiert.

⚖ Was daran stimmt

Die Methodik ist tatsĂ€chlich nicht das Problem. Risikoidentifikation, Bewertung, Behandlung – das beherrschen die Werkzeuge gut. Wer eine FAIR-Analyse macht, kommt zu belastbaren Zahlen. Wer Bow-Ties zeichnet, sieht Ursachen und Folgen. Wer Threat-Modelling betreibt, kennt seine Angreifertypen. Auf der Methodenseite liegt alles bereit.

🔍 Wo es brĂŒchig wird

Trotzdem fehlt im Risikoregister regelmĂ€ĂŸig der Eintrag, der das Projekt spĂ€ter wirklich versenkt. Nicht aus Unwissenheit, sondern weil ihn niemand aussprechen will. Wer im Steering Committee andeutet, das Lieblingsprojekt der GeschĂ€ftsfĂŒhrung werde scheitern – weil die Sponsorin in Elternzeit geht und der Lead Architect drei Monate vor der Rente steht – hat anschließend ein Imageproblem. Die gefĂ€hrlichen Risiken sind oft sozial heikel, hierarchisch unbequem oder politisch geladen. Methodik hilft dort nicht. Das Schweigen entsteht nicht aus mangelnder Analyse, sondern aus fehlendem Schutzraum.

💡 Was Pre-Mortem wirklich tut

Gary Klein hat das Pre-Mortem nicht gegen Bias erfunden, sondern gegen Höflichkeit. Das Setting “Stellen wir uns vor, wir sind in zwölf Monaten gescheitert. Was ist passiert?” verschiebt die Frage aus der Prognose ins Forensische. Über ein bereits eingetretenes Scheitern lĂ€sst sich offen reden. Es ist niemandes Lieblingskind mehr. Niemand verdirbt die Stimmung. Die Aufgabe lautet: erklĂ€ren, was geschehen ist – nicht voraussagen, was geschehen wird.

Das ist keine kognitive Spielerei. Es ist eine soziale Erlaubnis. Genau diese Erlaubnis fehlt in den meisten Risk Workshops.

📚🔍