1. 1. Risicomanagement: cyclisch proces dat gedurende een project regelmatig wordt doorlopen.
Het geheel van activiteiten en maatregelen gericht op het omgaan met risico’s ter beheersing
van een project.
Risicoanalyse(actualiseren)
Evalueren beheersmaatregelen Kiezen beheersmaatregelen
Uitvoeren beheersmaatregelen
Waarom risicomanagement:
Risman biedt ondersteuning bij een betere beheersing van een project op bijvoorbeeld de
aspecten tijd(planning), geld(raming), kwaliteit, informatie en organisatie doordat:
Vooraf wordt nagedacht over mogelijke toekomstige ongewenste gebeurtenissen die zich in
het project kunnen voordoen;
Zodat tijdig kan worden besloten om actie te ondernemen ter voorkoming of vermindering
van deze gebeurtenissen.
Risman kan helpen bij:
Het bevorderen van een ononderbroken voortgang van de activiteiten binnen een project en
het, dmv het nemen van maatregelen, zo snel mogelijk opheffen van onderbrekingen als die
zich toch voordoen;
Het bevorderen van het vertrouwen in het project, zowel bij derden als bij het eigen
projectteam;
Het bevorderen van de communicatie binnen een project;
Het ondersteunen van het beslissingsproces binnen ene project.
Risicoanalyse:
*Vaststellen doel
*In kaart brengen risico’s
*Vaststellen belangrijkste risico’s
*In kaart brengen beheersmaatregelen
2.Vaststellen doel
- Wat willen we met de risicoanalyse bereiken
- Op welke beheersaspecten is de analyse gericht
- Op welk deel en welke fase van het project is de analyse gericht
- Gaat het om een kwantitatieve of een kwalitatieve risicoanalyse
- Welke informatie is beschikbaar
Wat wil je met risicoanalyse bereiken?
Het kan gebruikt worden voor:
Een betere projectbeheersing. Risicoanalyse richt zich hierbij op het inzichtelijk maken van de
risico’s die van invloed kunnen zijn op de beheersaspecten van het project. Om deze risico’s
aan te pakken worden vervolgens maatregelen in kaart gebracht.
Het stellen van prioriteiten. Door het uitvoeren van een risicoanalyse ontstaat inzicht in de
belangrijkste, meest risicovolle onderwerpen in het project. Hierdoor kunnen vragen worden
beantwoord als: aan welke onderdelen moet meer aandacht besteed worden?
Het ondersteunen van een beslissing. Het uitvoeren van een risicoanalyse kan helpen om te
komen tot de keuze voor een alternatief of een bepaalde contractvorm.
Het kwantitatief onderbouwen van de marges voor raming of planning (haalbaarheid van de
planning of de raming te tonen, bepalen van hoe groot de post onvoorzien zou moeten zijn).
2. Op welk beheersaspecten is de risicoanalyse gericht?
Beheersaspecten: Tijd,geld,kwaliteit,informatie,organisatie.
Tijd, hierbij gaat het om risico’s die kunnen leiden tot een vertraging van het project.
Ongewenste topgebeurtenis, die situatie waarvan een opdrachtgever niet wil dat deze zich
voordoet. Door vast te stellen op welke beheersaspecten de risicoanalyse zich richt wordt de
ongewenste topgebeurtenis vastgesteld.
Gaat het om een kwalitatieve of een kwantitatieve risicoanalyse?
Kwalitatieve analyse wordt vaak een aanduiding gebruikt voor de orde van grootte om te
bepalen wat de belangrijkste risico’s zijn. Bij een kwantitatieve analyse worden de risico’s
beschreven in termen van kansen en gevolgen. Kansen worden hierbij uitgedrukt op een
schaal van nul tot een, en de gevolgen in bijvoorbeeld euro’s als het om kosten gaat, en
bijvoorbeeld weken als het om tijd gaat. De keuze tussen de twee is afhankelijk van het doel
dat men met de analyse voor ogen heeft, als de projectmanager bijvoorbeeld voor ogen heeft
inzicht te krijgen in de haalbaarheid van de raming van een project dan is een kwantitatieve
analyse nodig. Voor een kwantitatieve analyse is overigens wel een planning of raming nodig.
Welke informatie is beschikbaar en te gebruiken?
Het dient helder te zijn wat het project precies omvat, in welke fase het verkeerd, welke info
beschikbaar is. Hoe gedetailleerder de projectinfo des te gedetailleerder kunnen de uitkomsten
van de risicoanalyse zijn. Nuttige info kan zijn, projectplan, planning, kostenraming,
kwaliteitsplan, informatieplan etc.
In Kaart brengen risico’s
Essentie is dat vanuit verschillende invalshoeken op een systematische wijze naar het project
wordt gekeken om tot een zo compleet mogelijke identificatie van de risico’s te komen.
Op deze manier kan zoveel mogelijk variëteit worden ingebouwd waardoor zoveel mogelijk
risico’s in beeld worden gebracht.
Wat is een risico?
Een gebeurtenis die zich al dan niet kan voordoen en die kan leiden tot:
Hogere kosten, uitloop van het project, niet voldoen aan gestelde kwaliteits(informatie,
organisatie)eisen of normen.
Formuleren van een risico.
Het is belangrijk een risico zo duidelijk en concreet mogelijk te formuleren, zodat helder
wordt wat er niet goed kan gaan(risico), waardoor/door wie dat kan ontstaan(oorzaak) en waar
het invloed op heeft (gevolg). Een risico is geen vraag en kan ook niet uit slechts een woord
bestaan.
Structureren van een risico.
Oorzaak/gevolgdiagrammen:
Schematische weergave van de oorzaken en de gevolgen van een risico waarin zichtbaar
wordt gemaakt hoe een risico kan ontstaan en tot welke gevolgen het kan leiden.
Foutenboom:
Een foutenboom is een schematische weergave van oorzaken die tot een bepaald risico
kunnen leiden. Het doel is het identificeren van de oorzaken die kunnen leiden tot het risico.
Het risico staat bovenaan in de foutenboom.
3. Gebeurtenissenboom:
Hulpmiddel bij het analyseren van de gevolgen van een bepaald risico. Het risico wordt in dit
geval de begingebeurtenis genoemd. Het laat zien hoe deze begingebeurtenis in combinatie
met het al dan niet optreden van volggebeurtenissen tot bepaalde gevolgen kan leiden.
Invloedsdiagrammen
Een schematische weergave van de factoren die van invloed zijn op de beheersaspecten van
een project. Invloedsfactoren kunnen gebeurtenissen zijn.
Vaststellen belangrijkste risico’s
Per beheersaspect de risico’s vaststellen.
2 methodes: “verdelen van punten over de belangrijkste risico’s” & “kans en gevolg apart
beoordelen met getallen.”
Beheersmaatregelen risico’s:
Maatregelen om risico’s aan te pakken waardoor een project beheer beheerst kan worden.
In essentie:
Maatregelen waarbij de risico’s zelf worden gedragen;
Maatregelen waarbij de risico’s worden overgedragen aan een andere partij.
Zelf dragen van risico’s
Vermijden, Verminderen, Accepteren.
Overdragen van risico’s
Overdragen leidt niet direct tot het verdwijnen van de risico’s alleen tot risicovermindering
omdat geacht wordt dat de partij in staat zal zijn om het risico te dragen of te beheersen.
3.Uitvoeren van de risicoanalyse.
Het uitvoeren van een risicoanalyse is maatwerk en afhankelijk van zaken als:
-Fase waarin het project verkeerd.
-Grootte van het project.
-Complexiteit
Etc.
De eerste stap in de risicoanalyse is het vaststellen van het doel en het beoogde resultaat.
Hierna worden de eisen ten aanzien van tijd,geld,kwaliteit,informatie en organisatie bepaald
en vervolgens kunnen de inhoudelijke werkzaamheden van de risicoanalyse worden
vastgesteld.
Inrichting van de risicoanalyse.
Beheersaspecten: tijd,geld,kwaliteit,informatie en organisatie.
Tijd.
Met de opdrachtgever moet worden afgesproken wanneer de risicoanalyse gereed zal zijn.
Daarnaast moet worden bepaald welke capaciteit voor het uitvoeren van de risicoanalyse
beschikbaar wordt gesteld. Aangezien de risicoanalyse een momentopname is betekend dat de
doorlooptijd en tijdsbesteding beperkt is.
4. Geld.
Welk budget is beschikbaar? Een raming van de kosten van de risicoanalyse zal opgesteld
moeten worden.
Kwaliteit.
Bij de geëiste kwaliteit speelt de diepgang een belangrijke rol. Het is nuttig om aan het begin
van elke fase een uitgebreide risicoanalyse uit te voeren. De doorlooptijd van zo’n analyse is
meestal een aantal maanden afhankelijk van het aantal benodigde interviews etc.
Voor kleinere minder complexe projecten kan een zogenaamde beknopte analyse worden
uitgevoerd.
Informatie.
De volgende afspraken worden gemaakt:
Op welke wijze beslissingen worden genomen.
Hoe de informatie van de risicoanalyse wordt vastgelegd.
Organisatie.
Bij de organisatie van een risicoanalyse moet onderscheid gemaakt worden tussen wie de
risicoanalyse uitvoert, wie bij de analyse wordt betrokken en voor die analyse bedoelt is.
Ook moet duidelijk zijn wie de beschikking krijgt over de resultaten.
Inhoudelijke activiteiten.
In essentie bestaat de keuze bij het uitvoeren van de risicoanalyse uit het gebruik van
interviews, het houden van een bijeenkomst of een combinatie van beide.
Voordat hiermee wordt begonnen is het zinvol om eerst de belangrijkste projectinformatie
door te nemen.
N.a.v. het laatste kan een lijst opgesteld worden met aandachtspunten ten behoeve van
oriënterende interviews. Op een dergelijke lijst staan de projectkenmerken, relevante
mijlpalen, producten of belanghebbende die gedurende het interview als mogelijk
aandachtspunt kunnen werken.
Daarnaast kan de projectinformatie worden gebruikt om een eerste inventarisatie van de
risico’s of de risicogebieden op te stellen.
Bijeenkomst.
Een veel gebruikte werkwijze om de risicoanalyse uit te voeren.
Het voordeel van het in kaart brengen van risico’s tijdens een bijeenkomst is dat in een korte
tijd veel risico’s kunnen worden geïdentificeerd. Daarnaast vindt communicatie plaats over
risico’s tussen de deelnemers. Hierdoor ontstaat binnen een project meer begrip voor elkaar
werkveld.
Interviews.
Wordt met name gebruikt om een beeld van het project te krijgen en om risico’s in kaart te
brengen. Ook kan het helpen om bepaalde onderwerpen of risico’s te verdiepen, of om
beheersmaatregelen te inventariseren.
Interviews hebben als voordeel dat snel een eerste beeld van het project en de risico’s wordt
verkregen (oriënterende interviews) en ze bieden ook de mogelijkheid tot het dieper ingaan op
een specifiek onderwerp(verdiepend interview).
Nadeel, het is tijdrovend en er is geen onderlinge communicatie wat het voordeel van een
bijeenkomst wel had.
5. 4.Risicomanagement.
Het is meer dan alleen het uitvoeren van een risicoanalyse, management vraagt meer.
Het gevaar is dat in de praktijk na de analyse het proces stopt, men denkt dat door een
risicoanalyse de risico’s onder controle zijn.
Echter dit is pas het begin!
Risicomanagement is een dynamisch proces. Risico’s zijn immers niet statisch en er zullen
zich nieuwe risico’s voor doen. De uitgevoerde risicoanalyse is bovendien een
momentopname.
Om risico’s daadwerkelijk te beperken zullen ze in een regelmatig, cyclisch proces beheerst
moeten worden; het risicomanagement proces.
Risicomanagement maakt de stap naar het beheersen van risico’s door het kiezen, uitvoeren
en evalueren van beheersmaatregelen. Door effectieve beheersmaatregelen te nemen worden
de betreffende risico’s gereduceerd. Actualisatie is dus van groot belang.
Kiezen van beheersmaatregelen.
Het resultaat van de uitgevoerde risicoanalyse is altijd een overzicht van de belangrijkste
risico’s en mogelijke maatregelen. Nadat dit in kaart is gebracht dient een keuze gemaakt te
worden welke beheersmaatregelen daadwerkelijk worden ingezet.
Om te bepalen of een maatregel wenselijk is of niet, dient eerst in kaart te worden gebracht
wat de kosten, doorlooptijd, foutmogelijkheden, onduidelijkheden en
draagkrachtvermindering zijn indien de maatregel wordt uitgevoerd en wat de verwachte
effecten of opbrengsten zijn.
Dit kan kwalitatief en kwantitatief.
De effecten van beheersmaatregelen op een kwalitatieve manier in kaart gebracht, dan zal
men een inschatting maken van;
De te verwachten inspanning of kosten van de maatregel in termen van groot,klein,laag en
hoog.
Het te verwachten effect van de maatregel in termen van groot of klein of door het gevolg van
het risico opnieuw in te schatten.
Welke maatregel nu het meest geschikt zijn, hangt ook af van de criteria die worden gebruikt
bij het kiezen van beheersmaatregelen:
Is de maatregel uitvoerbaar?
Is het risico te beïnvloeden en door wie?
Waar kan het risico het best gealloceerd worden?(alleen zinvol een risico te alloceren als de
betrokken partij ook in staat is het risico te beïnvloeden en te dragen).
Welke omgevingsfactoren kunnen maatregelen verstoren?
Brengt een bepaalde maatregel ook weer een nieuw risico met zich mee of vergroot het een
ander risico?
Nadat een keuze is gemaakt uit de beheersmaatregelen moet aangegeven worden wie
verantwoordelijk is voor uitvoering en welke bevoegdheden deze persoon daartoe krijgt.
Tevens worden een budget, een tijdsduur en kwaliteits en informatie eisen voor de uitvoering
van de maatregel vastgesteld.
Resultaat van deze stap:
De gekozen maatregelen voor de belangrijkste risico’s
Personen die voor de uitvoering van de maatregel verantwoordelijk en bevoegd zijn
De beschikbare tijd en budget voor het uitvoeren van de maatregel
De kwaliteitseisen en informatie eisen die aan de maatregel gesteld worden.
6. Het uitvoeren van beheersmaatregelen.
Het uitvoeren kan varieren van het afsluiten van een verzekering tot het betrekken van een
bepaalde gemeente in een overleg, het overdragen van bepaalde risico’s aan een aannemer etc.
Het kan nuttig zijn een maatregel voordat deze wordt uitgevoerd eerst verder uit te werken
naar concrete activiteiten en die bijvoorbeeld op te nemen in beslissingsdocumenten,
voortgangsrapportages of actielijsten van het betreffende project, op deze wijze wordt
risicomanagement onderdeel van het operationele projectmanagement.
Het evalueren van beheersmaatregelen.
De stand van zaken moet regelmatig geëvalueerd worden. Zijn of worden de maatregelen
uitgevoerd en hebben ze het gewenste effect?
De uit te voeren activiteiten indeze:
*Monitoren van beheersmaatregelen
*Vaststellen van het effect van de beheersmaatregel.
Niet alleen het resultaat is van belang maar ook het proces wat daartoe heeft geleid.
- wat heeft er eventueel toe geleid dat (niet) het gewenste resultaat bereikt is?
- Moet de wijze van informatievoorziening worden aangepast?
- Werd de gewenste informatie gecommuniceerd?
- Zijn verantwoordelijkheden en bevoegdheden juist toegewezen, en waarom (niet)?
Actualiseren van de risicoanalyse.
Met het actualiseren is de cyclus rond.
Het actualiseren is soms noodzakelijk omdat een evaluatie van de beheersmaatregelen tot een
update van de gesignaleerde risico’s leidt.
Risico’s die door de genomen maatregelen of door het verstrijken van de tijd afgenomen of
weggevallen zijn kunnen van de lijst verwijderd worden. Andere risico’s kunnen door
veranderde omstandigheden of falende beheersmaatregelen ook zijn toegenomen. Mogelijke
nieuwe risico’s moeten geïnventariseerd worden en aan de lijst toegevoegd worden.
Risicomanagement is:
- het beheersen van risico’s
- door proactief met risico’s om te gaan
- door op gestructureerde wijze risico’s expliciet te inventariseren op een prioriteitenlijst
in te delen, en maatregelen te bedenken, te kiezen en uit te voeren
- in een regelmatig cyclisch proces.
5.Uitvoeren van risicomanagement.
Doel en resultaat van risicomanagement.
Enkele zaken worden beoogd:
Continue risico’s expliciet maken en beheersen.
Door risico’s te identificeren en te benoemen worden ze voor een project bespreekbaar
gemaakt. De risico’s worden voor de betrokken personen inzichtelijk gemaakt zodat binnen
de organisatie er een gelijk beeld over de belangrijke risico’s voor het project ontstaan.
Door risicomanagement binnen een project te introduceren zullen risico’s geregeld met
vastgestelde tussenpozen geïnventariseerd en besproken worden.
7. Proactief met risico’s omgaan i.p.v. reactief
Door beheersmaatregelen te benoemen en uit te voeren voordat de risico’s daadwerkelijk
optreden wordt het mogelijk proactief om te gaan met de risico’s.
Bewust met risico’s omgaan en bijbehorende beheersmaatregelen afwegen.
Door een risicoanalyse uit te voeren worden risico’s en beheersmaatregelen niet op een
willekeurige maar op een gestructureerde wijze geïnventariseerd.
Hierdoor zal een completer beeld van de risico’s voor een project ontstaan en wordt de kans
op projectblindheid verminderd.
De inrichting van risicomanagement behelst:
Tijd, geld, kwaliteit, informatie, organisatie.
Tijd:
Vastgesteld dient te worden hoeveel tijd/capaciteit binnen het project aan risicomanagement
besteed mag worden. Een projectplanning voor risicomanagement is dus erg zinvol, het
vaststellen van de momenten waarop mijlpalen worden behaald:
- risico’s n bijbehorende beheersmaatregelen worden besproken
- over risico’s en bijbehorende beheersmaatregelen wordt gerapporteerd
Het is belangrijk de rapportagebehoefte van een project af te stemmen op de rapportagevraag
die vanuit de organisatie of de opdrachtgever wordt gesteld. Deze twee hoeven niet
noodzakelijkerwijs met elkaar overeen te komen.
De frequentie van rapporteren over risico’s en beheersmaatregelen wordt bepaald door de
reeds bestaande rapportagemomenten binnen het project. (hoe korter de doorlooptijd of hoe
dynamischer het project, hoe hoger de frequentie van rapporteren.)
Geld:
Kosten en opbrengsten van risicomanagement moeten in kaart worden gebracht.
Mogelijke kosten:
- personele ondersteuning (intern of extern)
- (ontwikkeling van) hulpmiddelen
- Opleiding van medewerkers
Mogelijke opbrengsten:
- minder onverwachte tegenvallers
- minder improviseren
- minder achteraf zoeken naar een verantwoordelijke
Er moet vastgesteld worden of dit past binnen het budget dat voor het uitvoeren van
risicomanagement beschikbaar is. Beheersing van kosten en opbrengsten gedurende looptijd
project is vanzelfsprekend.
Kwaliteit:
Vooraf wordt afgesproken wat de vereiste kwaliteitseigenschappen van risicomanagement
moeten zijn (b.v. volledigheid of de te onderzoeken risicothema’s). Op basis hiervan wordt
vervolgens bepaald hoe deze kwaliteitseigenschappen geborgd worden, bijvoorbeeld door
toetsmomenten, evaluaties of audits.
Er moet tevens nagegaan worden of gegeven de vereiste kwaliteitseigenschappen er
voldoende gekwalificeerd personeel in het project aanwezig is.
8. Informatie:
Belangrijk element van risicomanagement is informatieverstrekking en rapportage over
risico’s.
Op het moment dat tijd,geld,kwaliteit,informatie en organisatie tegen het licht gehouden
worden, moeten ook de risico’s van een project bekeken worden. Bij fase-overgangen is dit
belangrijk, ook tijdens de fases is het van belang de risico’s inzichtelijk te maken.
De momenten waarop expliciet aandacht aan project beheersing wordt besteed, maandelijkse
voortgangsrapportage, zijn de uitgelezen momenten om over risico’s te rapporteren.
Het goed vastleggen van de informatiestromen over risico’s is van belang omdat op elk
niveau die informatie beschikbaar komt die van belang is om sturing te geven aan een (deel)
project. Dit betekend dat van onderaf de info wordt gefilterd en dat van bovenaf voldoende
vrijheid wordt gegeven om onder eigen verantwoordelijkheid (deel) projecten uit te voeren.
Hierbij verzamelt elk (deel) project informatie over risico’s en stelt een top-x op van de
belangrijkste risico’s. Deze top-x wordt doorgegeven aan de laag erboven.
Organisatie:
Belangrijke uitgangspunten:
- risicomanagement moet aansluiten bij de bestaande werkwijze
Het rapporteren over risico’s en de genomen beheersmaatregelen zal dan ook op hetzelfde
niveau en op hetzelfde tijdstip moeten gebeuren als het rapporteren over de bijbehorende
beheersaspecten bijvoorbeeld in de voortgangsrapportage.
- risicomanagement volgt de zeggenschap
Dit betekent dat de verantwoordelijkheid voor een risico daar ligt waar ook de
verantwoordelijkheid ligt van het werk waar het risico betrekking op kan hebben. M.a.w.
iedere projectleider en ieder projectlid is verantwoordelijk voor het signaleren van risico’s en
het treffen van maatregelen die binnen zijn verantwoordelijkheid vallen.
- risicomanagement wordt de verantwoordelijkheid van ieder projectteamlid
Eigen verantwoordelijkheid is van groot belang voor het succesvol implementeren van
risicomanagement.
Er zijn verschillende rollen die ten behoeve van de implementatie van risicomanagement
worden onderkent:
- inhoudelijk
- ondersteunend
- aanjagend
6.Implementatie van risicomanagement.
Dit is maatwerk, geen enkele implementatie is hetzelfde en is afhankelijk van:
- de grote van het project
- omvang van de projectorganisatie
- fase waarin het project zich bevindt
- professionaliteit van “projectmatig werken” binnen het project
- kennis van en ervaring met risicoanalyse en risicomanagement die binnen de
projectorganisatie bestaat
- cultuur van de projectorganisatie
- leiderschapsstijl
9. “Risicomanagement is een leertraject”
Het leren denken in risico’s en het toepassen van beheersmaatregelen vergt immers tijd.
Aanpak.
Implementatie van risicomanagement kan worden aangepakt als een project.
Hierin is een aantal fase te onderscheiden:
Initiatiefase:
- bepalen waarom risicomanagement nodig/nuttig is (de doelen)
- bepalen wat er dan klaar moet zijn (het resultaat)
- bepalen wat er niet bij hoort (de afbakening)
Definitiefase:
- nagaan aan welke eisen risicomanagement moet voldoen
- nagaan of die eisen haalbaar en onderling niet strijdig zijn
Ontwerpfase:
- bedenken hoe risicomanagement er uit zal gaan zien
- ontwerpen tools
Voorbereidingsfase:
- opstellen draaiboek effectieve implementatie
- opleiden risicomanagement medewerkers
- aanschaffen tools
Realisatiefase:
- implementeren risicomanagement
- in gebruik nemen tools
- opstellen nazorgplan: gebruik, beheer en onderhoud risicomanagement
Nazorgfase:
- gebruiken/toepassen risicomanagement
- aanpassen risicomanagement: vastleggen “lessons learned”.
Succesfactoren.
Belangrijke succesfactoren van de implementatie van risicomanagement zijn:
- formulering van heldere doelstellingen
- managementstijl en organisatie moeten afgestemd zijn op de fase van het project
- voldoende rekening houden met de cultuur van de projectorganisatie
- plaats van risicomanagement in de projectorganisatie
- voldoende capaciteit beschikbaar voor het implementeren en uitvoeren van
risicomanagement
- aanwezigheid van voldoende kennis en ervaring met risicomanagement
- aanwezigheid van (externe) drijfveren, bijvoorbeeld een rapportage aan het
hoofdkantoor of aan een moederbedrijf.
- Aansluiting van risicomanagement bij bestaande werkwijze en de aanwezigheid van
hulpmiddelen en ondersteuning.
Een van de belangrijkste succesfactoren voor een succesvolle implementatie blijkt een
positieve en stimulerende houding van de projectmanager en opdrachtgever ten opzichte
van risicomanagement.