Risicomanagement betekent dat je vooraf ‘risicogebeurtenissen’ in kaart brengt, zodat je zoveel mogelijk voorbereid bent op dat wat (misschien) komen gaat. Hiermee vergroot je de haalbaarheid van een project, tenminste dat is de bedoeling. Want je kunt natuurlijk nooit alle risico’s van tevoren bedenken, maar met een beetje inspanning kan je toch een heel eind komen. Daarbij moet er wel op worden gelet dat risicomanagement nooit verstikkend mag werken. Hoe omvangrijker en complexer een project of hoe krapper de tijd, het beschikbare budget of de speelruimte rond bijvoorbeeld kwaliteit, hoe groter het belang is van een goede risicoanalyse. Als je weet wat de grootste risico’s zijn, dan kunnen er preventieve maatregelen getroffen worden. Je kan andere tijdschattingen maken of alvast scenario’s bedenken voor het geval het risico realiteit wordt.
Een risicoanalyse gaat in principe over bedreigingen voor het project. Maar daar hoef je je natuurlijk niet toe te beperken. Misschien zijn er ook kansen, mogelijke gebeurtenissen die het project juist ten goede komen. Daarop anticiperen is net zo relevant. Daar kan je dan misschien zelfs op aansturen of ervoor zorgen dat de kans op zo’n kans groter wordt.
Hier hebben we het alleen over de risico’s in enge zin, dus gebeurtenissen met een mogelijk negatieve impact. De stap naar een ‘kansenanalyse’ is van daaruit makkelijk te maken. Je hoeft deze manier van denken dan alleen nog maar om te draaien.
Van risicoanalyse tot risicomanagement
Het bedenken van welke risico’s er mogelijk zijn, is één ding. Om daar vervolgens het juiste beleid voor op te zetten, een tweede. Maar gelukkig is er een stappenplan:
1. Voorbereiding
Een goede voorbereiding is het halve werk. Voordat je je gaat verdiepen in mogelijk toekomstige risico’s rond je project, kan het van belang zijn om eerst eens te kijken naar wat er nu al speelt. Misschien zijn er al eens eerder problemen ontstaan bij vergelijkbare projecten of liep je gelijk al in de eerste fase(n) ergens tegenaan, is de opdrachtgever iemand die sterk risicomijdend is, enzovoort. Dit kan allemaal van invloed zijn op de betekenis van het begrip ‘risicomanagement’ en daarom is het van belang om ze van tevoren te weten.
Daarnaast is het goed om je (als team) te realiseren dat risicomanagement begint zodra je een goed beeld hebt van de ins en outs van je project. Ofwel, al vóór het project start, namelijk op het moment dat de projectdefinitie af is. Dan al maak je de eerste analyse van mogelijke risico’s en stel je bijpassende beheersmaatregelen vast (zie hierna). Vervolgens blijft risicomanagement een belangrijk punt van aandacht gedurende het hele project, helemaal tot aan de afronding ervan. Hoeveel tijd en inspanning je ermee kwijt bent, hangt af van de aard en complexiteit van het project en de context waarbinnen het plaatsvindt. Bij een relatief eenvoudig, technisch project binnen je eigen afdeling is dat van heel andere orde dan bij een complex traject binnen een ingewikkelde politiek-bestuurlijke omgeving.
En dan: wie gaat het doen? Vaak ligt het risicomanagement bij het projectteam, maar er kunnen ook anderen zijn die specifieke kennis of ervaring hebben, waardoor ze een belangrijke bijdrage kunnen leveren. Maar let erop dat je de groep risicomanagers niet te groot maakt. Risicomanagement opzetten met een groep van dertig mensen is niet meer efficiënt. Je kunt wel subgroepen maken als er bijvoorbeeld meer diepgang nodig is.
Als laatste wil je weten welke kennis je nodig hebt voor een passende aanpak van de bedachte risico’s. Om dit te achterhalen, is er ten minste een gedegen projectdefinitie nodig. Maar kijk daarnaast ook naar andere relevante informatie, zoals bijvoorbeeld evaluaties van eerdere projecten en voer een paar gesprekken met een omgevingsmanager of andere collega’s; dat kan ook veel nuttige achtergrondinformatie opleveren. Krijg je de vraag om een project over te nemen van iemand anders, let dan extra op. Voordat je ‘ja’ zegt is het verstandig om grondig uit te zoeken hoe het voortraject in elkaar zat. Het zou niet de eerste keer zijn dat een enthousiaste nieuwe projectleider korter of langer na aantreden allerlei ‘lijken in de kast’ aantreft. En daar ben je dan vervolgens wel verantwoordelijk voor. Zit je dan met je goede gedrag. Dit geldt helemaal voor het overnemen van een project dat eerder mislukte.
2. Inventarisatie
En als je dan van tevoren goed hebt nagedacht over het hoe en waarom, wordt het tijd om die mogelijke risico’s in kaart te brengen. Het projectteam, eventueel versterkt met een of meerdere inhoudelijk specialisten, stelt zichzelf de vraag waar en hoe zich mogelijkerwijs risico’s zouden kunnen voordoen. Dit gebeurt volstrekt open, dat wil zeggen dat op ieder vlak risico’s kunnen worden benoemd, van technische en procesmatige vraagstukken tot aan juridische en ICT-gerelateerde kwesties.
Vervolgens cluster je de risico’s in ‘risicowolken’. In een wolk zitten alle risico’s die met elkaar samenhangen. Iedere wolk krijgt een naam, zoals bijvoorbeeld: ‘politiek/bestuur’, ‘techniek’, ‘juridisch’, ‘management’, ‘stakeholders’. Verwijder vervolgens doublures en vul waar nodig het overzicht verder aan. Probeer hierin zo volledig mogelijk te zijn.
3. Risicogebeurtenissen
Als risico’s te globaal omschreven worden, en dat gebeurt vaak, wordt een goede analyse lastig. Beter is het om ieder risico te beschrijven als een oorzaak-en-gevolg-relatie. Dus niet: ‘de Omgevingswet gooit roet in het eten’, maar: ‘gegeven X (de omstandigheid) of Y (gebeurtenis) bestaat de mogelijkheid dat Z (gevolg) zich voor zal doen.’
Ons voorbeeld wordt dan iets als: ‘gegeven de bestaande onzekerheid rond de inhoud en het tempo van het invoeren van de Omgevingswet en het toenemende ongeduld van de regeringsfracties in de Kamer, kan een versnelling van het project plotseling noodzakelijk worden’. Of, uit een ander domein, ‘gegeven de financiële problemen van onze belangrijkste IT-partner bestaat de kans dat we tijdens het project over moeten stappen op een nieuwe leverancier’.
4. Check
Het is altijd handig om gebruik te maken van vergelijkbare projecten, waarbij dezelfde soort analyses zijn gedaan. Alleen moet je dat wel op de juiste manier doen. Dat wil zeggen: inventariseer eerst alle risico’s zoals hiervoor beschreven en gebruik dan bestaande analyses uit andere trajecten als een checklist om te kijken of je iets over het hoofd hebt gezien. Neem voorgaande projecten dus niet als uitgangspunt, maar gebruik ze alleen als checklist. Het kan ook waardevol zijn om de (tussen)resultaten voor te leggen aan een ‘rijpe kaas’ binnen de organisatie, iemand met veel ervaring die er doorheen kan bladeren en zinnige vragen of toevoegingen kan hebben. Deze meekijkende blik kan trouwens ook bij de volgende stappen heel waardevol zijn. Hou ‘m daarom warm!
5. Risicomatrix
Bij alle risico’s die bedacht worden, stel je als projectteam de vragen: ‘Hoe groot is de kans dat deze gebeurtenis zich voordoet? Wat zijn de consequenties daarvan? Hoe erg is dat?’ Dit is de stap waarbij de projectleider heel goed luistert en kijkt naar de gesprekken tussen de verschillende teamleden. Hij moet zich realiseren dat iedereen andere ideeën heeft over de waarschijnlijkheid van een gebeurtenis en de impact van elk risico en het kan heel interessant en waardevol zijn om uit te pluizen waar de verschillen vandaan komen.
Op basis van deze gesprekken, krijgt elk risico een plaats in de risicomatrix, zie figuur 1. Komen de teamleden niet goed uit de vraag waar een risico in de matrix thuishoort, dan hakt de projectleider de knoop door. Degenen die graag rekenen, hebben soms de neiging om risico’s een waarde toe te kennen voor zowel kans als impact (bijvoorbeeld beide op een schaal van 1 tot 10), die vervolgens te vermenigvuldigen en zo een volgorde in belang van de risico’s aan te brengen. Je kan dan bijvoorbeeld alle risico’s met een ‘risicowaarde’ van onder de 20 laten vervallen. Dat gaat lekker snel, en ben je het niet eens met elkaar, dan neem je gewoon het gemiddelde van de standpunten. Om methodologische redenen is dat een heel slecht plan. Bovendien, sla je zo de risicoanalyse plat en mis je de nuttige informatie die voortkomt uit een goede dialoog.
6. Beheersmaatregelen
Als alle risico’s hun plek in de matrix hebben gevonden, is de vraag hoe met elk risico om te gaan. De groene risico’s kan je accepteren. Dat wil zeggen dat je niet je best gaat doen om ze te voorkomen. Doen ze zich toch voor, ach, dan lossen we het wel weer op. Check wel even bij de opdrachtgever of die daar ook zo over denkt!
De oranje risico’s bekijk je een voor een. Neem je ze mee in ‘de groene golf’ en doe je er niets mee of behandel je ze als een rood risico, de zogenaamde ‘bespreekgevallen’?
De rode risico’s verdienen de meeste aandacht en vragen om maatregelen. Per rood risico stel je met het projectteam vragen als:
a. Hoe voorkomen we dat dit zich voor gaat doen?
b. Hoe krijgen we het zo snel mogelijk in de gaten of het wel of niet gaat gebeuren?
c. En als het gaat gebeuren, hoe beperken we dan de schade (welke denkbare scenario’s zijn er, kunnen we de financiële consequenties verzekeren, enzovoort)?
d. En wat zijn de gevolgen voor bijvoorbeeld het budget (al was het maar voor de post ‘onvoorzien’), de planning, het activiteitenplan, de projectdefinitie of zelfs voor wie de opdrachtgever wel/niet kan of moet zijn?
Dit laatste is zo ongeveer het belangrijkste uit de hele analyse. Soms is het alleen lastig, omdat dit dan weer helemaal doorgerekend moet worden en er al zoveel voorwerk is verricht. Het risico van afraffelen ligt dan op de loer. Zeer ten onrechte en ongewenst, maar het gebeurt wel. Het is dan beter om een tweede sessie in te plannen, waarbij iedereen de voorgaande stappen nog eens op zich in kan laten werken en fris kan beginnen aan het bespreken van de noodzakelijke maatregelen.
7. Risicocatalogus
Alles wat in de voorgaande stappen is bedacht en bepaald, vindt zijn plek in een ‘risicocatalogus’. Hierin wordt ook aangegeven wie binnen het projectteam het risico monitort en, mocht dat nodig zijn, het op de agenda van het team zet. Of tenminste bespreekt met de projectleider, als daar aanleiding toe is.
Een risicocatalogus is heel handig gebleken bij gesprekken binnen en buiten het projectteam als het gaat om hoe om te gaan met de mogelijke risico’s. Bij Projectsturing vind je hier meer over.
8. Risicomanagement in actie!
Maar met de analyse alleen ben je er nog niet, sterker nog: daarmee begint het pas! De risicocatalogus geeft de opdrachtgever, projectleider en -team zicht op mogelijke risico’s, maar daarnaast moet je nog altijd alert blijven; er kunnen steeds weer andere, nieuwe of gewoon onvoorziene omstandigheden bijkomen. Zorg er daarom voor dat je de wel bekende risico’s, maar dus ook de eventuele nieuwe, voortdurend op je netvlies hebt. Alleen dan heeft risicomanagement grote meerwaarde, wat zich uit in bijvoorbeeld een aanscherping van de projectdefinitie, een meer betrokken opdrachtgever, een sterker saamhorigheidsgevoel bij het projectteam, een grotere focus op de omgeving.
De risicocatalogus, of onderdelen daarvan, hoort op elke projectteamvergadering aan bod te komen. Ook als het bereiken van mijlpalen of de oplevering van deelresultaten op de agenda staan. Of bij veranderingen in het opdrachtgevend systeem, aanpassingen van de projectdefinitie, enzovoort. De risicocatalogus verandert daarmee en moet je dus altijd bij de hand hebben.
De RISMAN-methode
Infrastructurele projecten (denk bijvoorbeeld aan de weg- en waterbouw) zijn vaak erg complex. Het professioneel managen van risico’s is dan een essentiële voorwaarde voor succes. In de jaren ’90 werd daarom de RISMAN-methode ontwikkeld door onder andere Gemeentewerken Rotterdam, Rijkswaterstaat en NS Infrabeheer. Hoewel het begonnen is als een methode die zich richtte op projecten, is het toepassingsgebied inmiddels uitgebreid naar programma’s en organisaties als geheel.
Volgens de RISMAN-methode gaat succesvol risicomanagement vooral over de houding en ambitie die je aanneemt ten aanzien van de risico’s, pas daarna wordt gekeken naar de instrumenten die daarvoor ingezet kunnen worden.
Deze aanpak gaat daarom van het volgende uit:
• Risicomanagement is een integraal onderdeel van projectmanagement. Dat betekent bijvoorbeeld dat risicobeheersing altijd een plaats heeft in je projectcontract en in je periodieke voortgangsrapportage aan de opdrachtgever.
• Risicomanagement volgt de zeggenschap. Hiermee bedoelen we dat degene die binnen het project verantwoordelijk is voor het uitvoeren van bepaalde werkzaamheden, dat ook is voor de risico’s die daarmee samenhangen.
• Risicomanagement is van iedereen. Dat wil zeggen dat alle leden van het projectteam een rol hebben in het beheersen van risico’s. Je kan dat niet ‘uitbesteden’ of je er gewoon maar niet mee bezig houden.
RISMAN begint met een grondige risicoanalyse, gevolgd door een cyclisch proces. Je doorloopt de volgende stappen:
1. Uitvoeren van de eerste risicoanalyse. Dat wil zeggen:
- Bepalen wat het doel is van de analyse. Wat wil je vooral voorkomen?
- Inventariseren van de belangrijkste risico’s op een aantal te kiezen aandachtsgebieden, zoals politiek/bestuurlijk, financieel/economisch, juridisch/wettelijk, technisch, enzovoort.
- Vaststellen van de belangrijkste risico’s, bijvoorbeeld door het cijfermatig waarderen van zowel kans als impact van elk risico.
- Formuleren van de mogelijke beheersmaatregelen per risico, zoals vermijden (iets doen om te voorkomen dat het gebeurt), verminderen (ervoor zorgen dat de schade meevalt, mocht het onverhoopt toch gebeuren), overdragen (een andere partij, bijvoorbeeld een verzekeringsmaatschappij, het risico over laten nemen) of accepteren (niets doen en de gevolgen daarvan dragen).
2. Kiezen van de meest geschikte beheersmaatregel, dat wil zeggen de maatregel(en) met de meest gunstigste kosten-batenverhouding. Deze worden vervolgens toegewezen aan individuele teamleden.
3. Implementeren van de beheersmaatregelen door deze ‘risico-eigenaren’.
4. Evalueren van die beheersmaatregelen. Zijn ze (tijdig) genomen? Wat waren de effecten? Hoe was de uiteindelijke kosten-batenverhouding? Bleken de gekozen maatregelen adequaat of had het heel anders gemoeten?
5. Actualiseren van de risicoanalyse, gevolgd door het opnieuw doorlopen van de cyclus, zodat je steeds de belangrijkste risico’s managet.
Deze gestructureerde aanpak van risico’s zie je weinig terug in de praktijk en dat is jammer. Zorg er in ieder geval voor als opdrachtgever, projectleider of -team dat er ten minste besproken wordt welke keuze men wil maken rondom het beheersen van risico’s. Ook al is die keuze ‘niks doen, alles accepteren’, dan nog is dat vele malen beter dan het hele risicomanagement gewoon maar over te slaan.
Delphibenadering
Maar wat nou als deelnemers aan risicosessies sterk uiteenlopende schattingen maken over de waarschijnlijkheid of de impact van een bepaald risico? ‘Stemmen’ of een gemiddelde nemen is een snelle manier om het ‘probleem’ op te lossen, maar niet erg verfijnd. Voor de meer serieuze risico’s, waarbij de consequenties van een onjuiste inschatting ernstig kunnen zijn, zou je met de Delphibenadering kunnen werken. Delphimethode formeert voor het inschatten en beoordelen van de risico’s een panel en dat gaat (ongeveer) als volgt te werk:
• Om de risico’s te bepalen en de kans erop in te schatten, wordt er een panel samengesteld. Dat kan gewoon het projectteam zijn, maar daar kunnen ook externe deskundigen voor gevraagd worden. In dat laatste geval worden de namen van deze personen liever niet bekend gemaakt om zo de objectiviteit van de andere ‘panelleden’ zo hoog mogelijk te houden. De kwaliteit van de panelleden bepaalt namelijk in hoge mate de kwaliteit van de uitkomsten, dus is het zaak daar goed op te letten.
• De panelleden geven (live of in geval van anonimiteit via bijvoorbeeld een e-mail) hun gemotiveerde en onderbouwde schatting voor zowel de waarschijnlijkheid van het optreden van een risico als de negatieve gevolgen daarvan.
• Deze schattingen worden onder de panelleden verdeeld en op basis van wat ze van de mede-beoordelaars lezen, komen ze tot een tweede schatting.
• Deze rondes gaan net zo lang door tot er aan een van de ‘stopcriteria’ is voldaan. Dat kan zijn een vooraf afgesproken aantal rondes, de mate waarin de schattingen overeenkomen of de mate waarin deze onveranderd blijven.
• De uiteindelijke plaats van een risico in de matrix wordt vaak bepaald door het gewogen gemiddelde te nemen van de input van de panelleden.
Doordat de panelleden telkens de beweegredenen en onderbouwingen van de anderen zien, komen hun schattingen steeds dichter bij elkaar te liggen. Hierdoor leidt deze aanpak tot relatief (zeer) betrouwbare schattingen, maar is daardoor ook tijdsintensief. Hij wordt daarom vooral gebruikt voor de meer ‘problematische’ risico’s, dat zijn degene die mogelijk ernstige negatieve consequenties hebben voor het project.
Krachtenveldanalyse
De Delphibenadering is een hele brede analyse. Daarnaast zijn er ook meer specifiek in te zetten instrumenten, zoals bijvoorbeeld de krachtenveldanalyse (deze vind je terug bij de tools op PMC online), en besteed vooral aandacht aan de projectomgeving. Het idee erachter is hetzelfde: analyseren van wat is of kan gebeuren, beheersmaatregelen bedenken, die vervolgens uitvoeren en periodiek toetsen of de situatie inmiddels is veranderd en zo ja, opnieuw kijken naar wat er moet gebeuren.