Risiko-Listen im Projekt erstellen – Eine saubere Risiko-Liste entscheidet oft darüber, ob Projekte stabil laufen oder in den Krisenmodus rutschen. Viele Teams „kennen“ ihre Risiken – aber sie stehen nirgends sauber dokumentiert, werden nicht priorisiert und versanden im Tagesgeschäft.
In diesem Beitrag zeige ich, wie Sie praxisnauglich Risiko-Listen im Projekt erstellen, pflegen und im Alltag nutzen. Mit klaren Schritten, einfachen Vorlagen und Beispielen aus echten Projekten. Ziel: weniger Überraschungen, bessere Steuerung, fundiertere Entscheidungen.
1. Was ist eine Risiko-Liste im Projekt?
Eine Risiko-Liste (oft auch Risikoregister genannt) ist eine strukturierte Übersicht aller identifizierten Projektrisiken mit:
- Beschreibung des Risikos
- Ursache(n)
- möglicher Auswirkung
- Eintrittswahrscheinlichkeit
- Bewertung / Priorität
- Verantwortlichem („Risk Owner“)
- geplanten Maßnahmen
- Status
Kurz gesagt:
Eine Risiko-Liste im Projekt bündelt alle relevanten Risiken an einem Ort und macht transparent, wer was bis wann tut, um diese Risiken zu vermeiden oder zu begrenzen.
2. Warum eine Risiko-Liste im Projekt unverzichtbar ist
Gerade Entscheider unterschätzen oft, wie sehr eine gute Risikoliste das Projekt stabilisiert. Typische Effekte:
- Klarheit: Alle sehen die gleichen Risiken – keine „geheimen Bauchgefühle“ mehr.
- Fokus: Die kritischsten Risiken stehen oben und erhalten Aufmerksamkeit.
- Verlässlichkeit: Zusagen im Projekt stützen sich auf realistische Annahmen, nicht auf Hoffnung.
- Geschwindigkeit: Wenn ein Risiko eintritt, liegen Gegenmaßnahmen bereits vor.
- Governance: Sie erfüllen Anforderungen aus Standards (z. B. ISO 31000, PMI, PRINCE2) und Audits.
In vielen Unternehmen ist die Risiko-Liste auch Grundlage für:
- Lenkungsausschuss-Berichte
- Business Cases
- Freigaben für Projektphasen
- Portfolio-Entscheidungen (Abbruch, Fortführung, Priorisierung)
3. Suchintention verstehen: Was Menschen wirklich brauchen
Wer nach „Risiko-Listen im Projekt erstellen“ sucht, will in der Regel:
- ein klares Vorgehen in wenigen Schritten
- Beispiele und Formulierungen für Risiken
- sinnvolle Spalten und Struktur für die eigene Risikoliste
- Hinweise, was in der Praxis funktioniert – und was nicht
Genau das liefert dieser Leitfaden: kein Theoriewerk, sondern ein direkt anwendbares Vorgehen.
4. Aufbau einer professionellen Risiko-Liste
4.1 Pflichtfelder in jeder Risiko-Liste
Bewährt hat sich eine Tabelle mit mindestens folgenden Spalten:
- Risikonummer
- Risikoname / Kurztitel
- Beschreibung
- Ursache(n)
- Auswirkung(en)
- Eintrittswahrscheinlichkeit (z. B. niedrig / mittel / hoch oder 1–5)
- Schadenshöhe / Auswirkungsgrad (z. B. niedrig / mittel / hoch oder 1–5)
- Risikopriorität (z. B. Produkt aus Wahrscheinlichkeit × Auswirkung)
- Verantwortliche Person (Risk Owner)
- Maßnahmen zur Vermeidung / Begrenzung
- Status (offen, in Bearbeitung, umgesetzt, eingetreten, erledigt)
- Nächste Bewertung / Review-Datum
Optional, aber oft sinnvoll:
- Frühindikatoren / Trigger
- Rest-Risiko nach Maßnahme
- Bezug zu Projektphase, Workstream oder Deliverable
4.2 Einfaches Beispiel einer Risiko-Liste
Auszug aus einer typischen Risikoliste in einem IT-Einführungsprojekt:
| Nr. | Risiko | W. | A. | RP | Owner | Maßnahme | Status |
|---|---|---|---|---|---|---|---|
| 01 | Fachabteilungen überlastet | H | H | 9 | Projektl. | Priorisierung mit Bereichsleitungen, Kapazitätsplanung | offen |
| 02 | Key User wechseln Firma | M | H | 6 | HR | Bindungsmaßnahmen, Stellvertreter aufbauen | offen |
| 03 | Schnittstellen instabil | M | H | 6 | IT-Arch. | Lasttests, Fallback-Prozesse | in Bearb. |
W = Wahrscheinlichkeit, A = Auswirkung, RP = Risikopriorität
5. Schritt-für-Schritt: Risiko-Listen im Projekt erstellen
5.1 Schritt 1: Ziel und Rahmen klären
Bevor Sie Risiken sammeln, klären Sie:
- Gilt die Risikoliste für das gesamte Projekt oder nur für ein Programm / Teilprojekt?
- Welche Arten von Risiken betrachten Sie? (z. B. fachlich, technisch, organisatorisch, finanziell, rechtlich)
- Wer ist für das Risikomanagement verantwortlich (Rollen und Gremien)?
- Wie oft wollen Sie die Risiko-Liste aktualisieren? (z. B. wöchentlich, pro Sprint, pro Meilenstein)
Je klarer der Rahmen, desto gezielter die Risiko-Identifikation.
5.2 Schritt 2: Risiken systematisch identifizieren
Nutzen Sie mehrere Quellen, um Projektrisiken zu identifizieren:
- Workshops mit Projektteam und Fachbereichen
- Lessons Learned aus früheren Projekten
- Checklisten aus PMO, Qualitätsmanagement oder Compliance
- Vertragsunterlagen, SLAs, rechtliche Vorgaben
- Projektstrukturplan, Meilensteinplan, Roadmap
- Abhängigkeiten zu anderen Projekten und Systemen
Methoden, die sich in Workshops bewährt haben:
- Brainstorming mit Leitfragen, z. B.:
- Was kann dazu führen, dass wir Zeit, Budget oder Qualität verfehlen?
- Wo sind wir besonders von Dritten abhängig?
- Welche Annahmen im Projekt wären kritisch, wenn sie falsch sind?
- SWOT-Analyse (Stärken, Schwächen, Chancen, Risiken)
- Checklisten für typische Projektrisiken je Branche
- „Pre-Mortem“: Wir tun so, als wäre das Projekt gescheitert – was ist passiert?
Wichtig:
Erst sammeln, dann bewerten. Nicht schon in der Identifikation diskutieren, „ob das realistisch ist“.
5.3 Schritt 3: Risiken verständlich formulieren
Viele Risiko-Listen scheitern an unklaren Formulierungen wie „Kommunikation schlecht“ oder „Datenqualität“.
Besser:
- Form: Ursache – Ereignis – Auswirkung
Beispiele:
- „Aufgrund unklarer Prioritäten in den Fachbereichen stehen nicht ausreichend Expertenkapazitäten zur Verfügung, wodurch Meilensteine um bis zu 4 Wochen verschoben werden.“
- „Wegen fehlender Lasttests der Schnittstellen kann es bei hoher Nutzung zu Systemausfällen kommen, die den Go-Live gefährden.“
Prüfen Sie jede Formulierung mit drei Fragen:
- Ist klar, was passiert?
- Ist klar, warum es passiert?
- Ist klar, was das für Projektziele bedeutet?
Wenn nicht: nachschärfen.
5.4 Schritt 4: Risiken bewerten und priorisieren
Nutzen Sie eine einfache Skala:
- Eintrittswahrscheinlichkeit: 1 = gering, 2 = mittel, 3 = hoch
- Auswirkung: 1 = gering, 2 = mittel, 3 = hoch
Dann berechnen Sie:
- Risikopriorität = Wahrscheinlichkeit × Auswirkung
Beispiel:
- Risiko A: W = 3, A = 3 → RP = 9 (sehr kritisch)
- Risiko B: W = 1, A = 3 → RP = 3 (im Blick behalten)
Sortieren Sie die Risiko-Liste nach absteigender Risikopriorität. So sehen Management und Team auf einen Blick:
- Wo müssen wir sofort handeln?
- Welche Risiken beobachten wir nur?
- Welche Risiken sind akzeptabel?
5.5 Schritt 5: Maßnahmen definieren und Verantwortliche benennen
Zu jedem wesentlichen Risiko gehören:
- Präventive Maßnahmen (Vermeidung oder Verringerung der Wahrscheinlichkeit)
- Reaktive Maßnahmen (Begrenzung der Auswirkung, wenn das Risiko eintritt)
- Der klar benannte Risk Owner
Beispiele:
- Risiko „Fachabteilungen überlastet“
- Präventiv: Kapazitätsplanung mit Linienvorgesetzten, klare Prioritäten, Freistellung definieren
- Reaktiv: Scope-Reduktion, Verschiebung nicht-kritischer Pakete
- Owner: Projektleiter
- Risiko „Key User wechseln das Unternehmen“
- Präventiv: Stellvertreter-Regelungen, Dokumentation, Cross-Training
- Reaktiv: kurzfristige Schulungen, externe Unterstützung
- Owner: Fachbereichsleiter + HR
Ohne klaren Besitzer bleibt das Risiko in der Tabelle stehen – mehr nicht.
5.6 Schritt 6: Risiko-Listen im Projekt verankern
Eine gute Risiko-Liste lebt von der Nutzung im Alltag:
- fester Punkt in Projekt- oder Sprint-Meetings
- Bericht an Lenkungsausschuss (Top 5–10 Risiken)
- Einbindung in Statusberichte („Risiko-Ampel“)
- Aktualisierung vor Meilenstein-Freigaben
Regel:
Wenn seit vier Wochen niemand in die Risiko-Liste geschaut hat, existiert sie de facto nicht.
6. Praxisbeispiele aus Projekten
6.1 Beispiel: ERP-Einführung im produzierenden Mittelstand
Ausgangslage:
Ein Unternehmen führt ein neues ERP-System ein. Projektlaufzeit 18 Monate, hohe Abhängigkeit von Key Usern.
Wichtige Risiken in der Liste:
- „Key User haben neben Projektgeschäft noch Linienaufgaben in Vollzeit – Gefahr von Überlastung und Verzögerungen.“
- „Alte Schnittstellen zu Logistikdienstleistern sind unzureichend dokumentiert – Gefahr von Systembrüchen beim Go-Live.“
- „Werksleiter sehen keinen Nutzen in neuen Prozessen – Gefahr passiver Widerstände.“
Maßnahmen:
- Offizielle Freistellung der Key User zu 50 %, Nachbesetzungen in den Fachbereichen
- Technische Analyse der Schnittstellen, Proof-of-Concept vor Design-Freeze
- Roadshow mit Praxisbeispielen und Kennzahleneffekten in den Werken
Ergebnis:
Durch die früh sichtbare Risikoliste konnten Budget und Kapazitäten rechtzeitig angepasst werden. Go-Live verlief stabil, auch weil Notfallmaßnahmen klar dokumentiert waren.
6.2 Beispiel: Organisationsprojekt in einer Versicherung
Ausgangslage:
Neue bereichsübergreifende Organisation, Umstellung auf agiles Arbeiten.
Wichtige Risiken in der Liste:
- „Führungskräfte unterstützen das neue Rollenmodell nur formal, nicht im Alltag.“
- „Unklare Entscheidungswege in der Übergangsphase – Gefahr von Doppelarbeit und Verzögerungen.“
- „Altprojekte laufen weiter wie bisher – Teams sind faktisch überlastet.“
Maßnahmen:
- Führungskräfte-Workshop mit klaren Erwartungsbildern und KPIs
- Temporäre Governance mit Eskalationspfaden, Entscheidungsgremien und Kommunikationsplan
- Projektportfolio-Bereinigung, konsequenter Stopp von Nebenprojekten
Ergebnis:
Die Risikoliste diente als Gesprächsgrundlage im Vorstand. Viele der organisatorischen Risiken wurden nicht „wegmoderiert“, sondern mit klaren Maßnahmen versehen.
7. Typische Fehler beim Erstellen von Risiko-Listen
Diese Fehler begegnen in Projekten immer wieder:
- Nur als Pflichtübung erstellt
- Einmalige Erhebung für den Projektantrag, danach nie wieder aktualisiert.
- Zu allgemein formuliert
- „Kommunikation“ oder „Ressourcen“ sagen wenig aus und helfen nicht weiter.
- Keine Priorisierung
- 40 Risiken in der Liste, alle gleich wichtig – das überfordert jedes Gremium.
- Keine klaren Verantwortlichen
- „Das macht das Projektteam“ reicht nicht.
- Risiken werden geschönt
- Aus Angst vor Kritik werden Wahrscheinlichkeiten und Auswirkungen heruntergesetzt.
- Maßnahmen bleiben vage
- „Bessere Abstimmung“ oder „regelmäßige Meetings“ sind keine wirkungsvollen Maßnahmen, sondern Überschriften.
Wenn Sie diese Muster bei sich erkennen, ist das ein guter Einstiegspunkt für Verbesserungen.
8. Wann Risiko-Listen im Projekt nicht funktionieren
Es gibt Situationen, in denen eine Risiko-Liste zwar existiert, aber kaum Wirkung entfaltet:
- Fehlende Management-Unterstützung
- Wenn Lenkungsausschuss und Sponsoren Risiken nicht ernst nehmen, sich wegducken oder Kritik abstrafen, wird die Liste zur Formalie.
- Kultur des Schönredens
- Wenn die Botschaft lautet „Bringt mir Lösungen, keine Probleme“, verschweigen Mitarbeitende Risiken. Die Liste zeigt dann nur die harmlosen Themen.
- Kein Zeitbudget für Risikomanagement
- Wenn Projektleiter nebenbei „in der Freizeit“ Risiken pflegen sollen, passiert es nicht. Risikomanagement braucht feste Slots und Priorität.
- Komplexe Tools ohne Nutzen
- Überladene Systeme, zu viele Felder, komplizierte Workflows: Dann führt niemand die Risiko-Liste nach. Eine einfache Excel-Tabelle ist oft besser als ein mächtiges Tool, das keiner nutzt.
- Keine Verknüpfung mit Entscheidungen
- Wenn Risiken nicht in Statusberichte, Freigaben und Projektentscheidungen einfließen, fragt sich das Team zurecht: „Warum machen wir das überhaupt?“
Wenn eines oder mehrere dieser Muster auf Ihr Umfeld zutrifft, sollten Sie zuerst an Rahmen und Kultur arbeiten – nicht an der Optik der Liste.
9. Konkrete Anwendung im Unternehmen
Wie setzen Sie Risiko-Listen im Projekt konkret in Ihrer Organisation auf? Ein mögliches Vorgehen:
9.1 Standard definieren
- Einheitliche Vorlage für alle Projekte bereitstellen (z. B. durch PMO)
- Pflichtfelder und Skalen definieren
- Verantwortlichkeiten klären (Projektleiter, Risk Manager, PMO)
9.2 Pilotprojekte auswählen
- 2–3 relevante Projekte, die bewusst mit der neuen Risikoliste arbeiten
- Projektleiter und Teams kurz schulen (1–2 Stunden reichen oft)
- Erfahrungen nach 3 Monaten auswerten
9.3 Governance aufbauen
- In jedem Statusbericht: Top-Risiken mit Trend (besser, gleich, schlechter)
- Fester Tagesordnungspunkt „Risiken“ in Lenkungsausschüssen
- Eskalationswege, wenn Risikoprioritäten bestimmte Schwellen überschreiten
9.4 Integration in andere Prozesse
- Verknüpfung mit Change Requests (Änderungsanträge)
- Bezug zum Budget-Controlling (z. B. Puffer, Risikorückstellungen)
- Einbindung in Jahresplanung und Portfolio-Entscheidungen
9.5 Kompetenzen aufbauen
- Schulungen für Projektleiter und Product Owner zum Thema Risikomanagement
- Austauschformate: „Risk Clinics“, in denen Projekte ihre Risikolisten diskutieren
- Nutzung von Best Practices und Vorlagen aus dem PMO
Ziel ist eine Organisation, in der der Satz gilt:
„Wir werden nicht an Risiken gemessen, sondern daran, wie wir mit ihnen umgehen.“
10. Häufige Fragen zur Risiko-Liste im Projekt
Wie detailliert muss eine Risiko-Liste sein?
So detailliert, dass Entscheider erkennen, was auf sie zukommt – aber nicht so kleinteilig, dass Sie im Micromanagement versinken. Lieber 20 gut beschriebene Kernrisiken als 80 Mini-Risiken ohne Wirkung.
Wie oft sollte man die Risiko-Liste aktualisieren?
Mindestens zu jedem Meilenstein und in längeren Projekten monatlich. In agilen Kontexten bietet sich jede Sprint-Retrospektive an.
Brauchen agile Projekte überhaupt eine Risiko-Liste?
Ja. Agile Arbeitsweisen reduzieren manche Risiken (z. B. durch kurze Feedbackschleifen), schaffen aber neue (z. B. Abhängigkeiten im Umfeld, Scope-Creep). Auch Product Owner profitieren von einer klaren Übersicht wesentlicher Risiken.
Wer „besitzt“ ein Risiko?
Immer eine konkrete Person, nie ein Gremium. Gremien können entscheiden, Personen setzen um.
11. So starten Sie pragmatisch in Ihrem nächsten Projekt
Wenn Sie morgen mit einer wirksamen Risiko-Liste im Projekt starten wollen, gehen Sie wie folgt vor:
- Einfaches Tabellen-Template anlegen (Excel, SharePoint, Confluence, PM-Tool).
- In der nächsten Projektbesprechung 30–45 Minuten reservieren für die Frage:
- „Was kann uns auf dem Weg zu unseren Zielen ausbremsen oder scheitern lassen?“
- Jedes genannte Risiko kurz beschreiben, bewerten und einen vorläufigen Owner eintragen.
- Im Nachgang Maßnahmen ergänzen und die Top 5–10 Risiken priorisieren.
- Die Risiko-Liste in den Standard-Statusbericht integrieren.
Warten Sie nicht auf die perfekte Vorlage – starten Sie mit einer einfachen Liste, die Sie im Verlauf schärfen.
12. Nächste Schritte für Ihr Unternehmen
Wenn Sie Ihre Projekte professioneller absichern wollen, reicht eine einzelne Risiko-Liste nicht aus. Entscheidend ist:
- ein einheitlicher Standard über alle Projekte
- klare Rollen und Verantwortlichkeiten
- eine Kultur, in der Risiken offen angesprochen werden dürfen
- eine Governance, in der Risiken tatsächlich in Entscheidungen einfließen
Genau hier unterstützen spezialisierte Beratungen wie die PURE Consultant: von der Gestaltung schlanker Vorlagen über die Einführung in Pilotprojekten bis hin zur Verankerung im gesamten Projektportfolio.
Wenn Sie den Reifegrad Ihres Risikomanagements im Projektumfeld weiterentwickeln möchten, lohnt sich ein Blick von außen – und ein strukturiertes Gespräch darüber, wie Risiko-Listen in Ihrem Unternehmen echten Mehrwert schaffen können.