Risicomanagement


Op de website van C4PO wordt onder projecten vermeld wat de belangrijkste oorzaken van het falen van projecten zijn, namelijk:

  • onvoldoende ondersteuning van de sponsor c.q. senior management,
  • negeren van gangbare processen in de organisatie,
  • deadlines, doelstellingen en budgetten vaststellen onder politieke druk van stakeholders of op basis van willekeurige inschattingen,
  • gebrekkige of slechte bijdrage van teamleden en
  • het negeren en/of bagatelliseren van problemen en risico’s.

Voor dit laatste zijn bij veel bedrijven en overheidsinstellingen processen ingericht die ik graag even wil benoemen om daarbij aan te geven waar het vaak alsnog mis gaat binnen deze processen. Risicomanagement richt zich in projecten op risico’s die het bereiken van de projectresultaten bedreigen. Om goed Risicomanagement te doen werken de meeste bedrijven met een aantal stappen, die in het project worden uitgevoerd om de risico’s inzichtelijk en beheersbaar te maken. De stappen in risicomanagement bestaan uit het uitvoeren van een risicoanalyse, het vaststellen van beheersmaatregelen, het implementeren van beheersmaatregelen, het evalueren van beheersmaatregelen en het beheren (updaten) van de risicoanalyse. Risicomanagement kan worden gezien als een cyclisch proces dat bestaat uit een aantal stappen.

Stap 1: Uitvoeren risicoanalyse

Inzichtelijk maken van de stand van zaken op een bepaald moment. Dit gebeurt door het uitvoeren van een risicoanalyse. Het resultaat van deze analyse is vaak een lijst met risico’s soms zelfs gesorteerd op volgorde van de grootte van de bedreiging voor het project. Als het goed is uitgevoerd vindt men hier ook de mogelijke maatregelen om de kans dat het risico optreedt te verkleinen of de gevolgen van het risico te verkleinen.

Deze risicoanalyse moet met enige regelmaat worden herhaald, maar in projecten gebeurd dit vaak niet. Ook wordt de kans op het optreden van enkele risico’s evenals de impact die het zich voordoen van een risico heeft op het project regelmatig gebagatelliseerd vooral door management en soms ook project- en/of programmamanagement. Als een dergelijk risico zich dan manifesteert heeft dat enorme gevolgen voor kosten en doorlooptijd binnen het project, die meestal niet voorzien waren.

Stap 2: Vaststellen van beheersmaatregelen

Uit de risicoanalyse is voor de belangrijkste risico’s een aantal mogelijke beheersmaatregelen naar voren gekomen. De projectleiding (projectmanager, Management Team) besluit welke maatregelen hiervan daadwerkelijk worden genomen. Dit gebeurt op basis van een inschatting van enerzijds het verwachte effect van de beheersmaatregel en anderzijds de kosten of inspanning die de beheersmaatregel vergt. U voelt al aankomen waar het hier mis gaat. Als je risico’s bagatelliseert, dan komen ze lager op deze lijst en daarmee is de uitkomst van de kosten/baten analyse dat er geen beheersmaatregelen worden genomen, met alle gevolgen van dien.

Andere issues hier zijn dat er ook niemand wordt aangewezen die verantwoordelijk wordt voor het beheersen van de risico’s, daardoor gaat het mis in stap 3 en dat nieuwe risico’s zich niet aandienen omdat stap 1 niet regelmatig herhaald is.

Stap 3: Implementeren van beheersmaatregelen

De verantwoordelijke personen zorgen er vervolgens voor dat de maatregelen ook daadwerkelijk worden genomen, maar dan moet er wel iemand verantwoordelijk zijn en die moet dan ook de middelen en de autoriteit hebben om deze verantwoordelijkheid op een verantwoorde manier te dragen.

Stap 4: Evalueren van beheersmaatregelen

Op regelmatige basis dient te worden gekeken of de beheersmaatregelen zijn uitgevoerd en of de maatregelen het gewenste effect hebben gehad. Dit zou een vast onderdeel moeten zijn van een projectoverleg of managementoverleg, maar het schiet er vaak bij in. Het naderbij komen

Stap 5: Uitvoeren update van de risicoanalyse

Na de evaluatie van de beheersmaatregelen moet een update worden gemaakt van de lijst met risico’s, zoals die oorspronkelijk is voortgekomen uit de risicoanalyse, daarnaast moeten mogelijke nieuwe risico’s geïnventariseerd en toegevoegd worden aan de lijst. De projectmedewerkers en de projectleiding dienen hiertoe input te leveren. Jammer genoeg vindt dit overleg vaak niet plaats. Ook ontbreekt het aan het proactief speuren naar mogelijke risico’s en het verwijderen hiervan voordat het project daar last van gaat krijgen.

Rapportage

Binnen de projecten moeten de risico’s en de voortgang van de beheersmaatregelen periodiek besproken en gerapporteerd worden, bijvoorbeeld aan de opdrachtgever van het project. In de praktijk wordt vaak slechts de initiële lijst gekopieerd en doorgegeven en is de opdrachtgever zelden geïnteresseerd in de risico’s omdat die juist degene is die de risico’s graag bagatelliseert.