zoeken binnen de website

Risicomanagement vergt respect voor dynamiek

door: Pieter Frijns en Michiel Struijk | 2 augustus 2016

Bij complexe programma’s en projecten is risicomanagement van groot belang. Maar het wordt vaak ingezet op een planmatige en routinematige manier die weinig rekening houdt met onvoorziene risico’s, blijkt uit de Gateway Review-praktijk. Hoe ga je dan wél met de onvermijdelijke dynamiek om? Voor echt dynamisch risicomanagement zijn alertheid en dialoog essentieel.


Bij veel veranderingen en vernieuwingen worden programma’s of projecten opgezet. Onder meer de bestaansgrond, het beoogde resultaat, de aanpak en de governance gedurende de levenscyclus van het project krijgen dan gestructureerde aandacht. Er zijn verschillende methodes voor programma- en projectmanagement. De Nederlandse overheid kiest veelal de door de Britse overheid ontwikkelde methoden MSP en PRINCE2.
Het uitvoeren van een programma of een project brengt altijd onzekerheden met zich mee. Deze realiteit staat op gespannen voet met de planmatige aanpak van activiteiten binnen programma’s en projecten. Het is dan ook van belang om voortdurend oog voor deze onzekerheden te houden en te voorkomen dat deze een risico voor het project gaan vormen. Het is daarbij van belang de risico’s die zich voordoen te managen, besluiten te nemen en de opdrachtgever, de programmaorganisatie en de planning in deze onverwachte veranderingen mee te nemen. Een systematische risicoanalyse en een aanpak voor risicobeheersing (risicomanagement) vormen daarom een vast onderdeel van de gebruikte methodiek. Hierbij gaat het om vragen als: Welke risico’s lopen we als we dit besluit nemen? Wat kunnen we doen om deze risico’s te voorkomen? Wat mag/ gaat dit kosten?

Risicoanalyse en risicomanagement

Bij de door de Nederlandse overheid gekozen methoden (MSP en PRINCE2) wordt aanbevolen om een risicomanagementcyclus te volgen die bestaat uit twee stappen: de risicoanalyse en het risicomanagement. Tijdens de risicoanalyse inventariseer je eerst de mogelijke risico’s. Vervolgens krijgt elk risico een impact en een kans van optreden toegekend, evenals een aantal mogelijke tegenmaatregelen. De tegenmaatregelen krijgen een prioriteitsscore op basis van een kosten/batenanalyse. Daarna volgt besluitvorming over de toepassing (frequentie, beschikbare middelen et cetera) door de projectleiding.
De tweede fase, het risicomanagement, is gebaseerd op een plan en een planning voor het monitoren en uitvoeren van tegenmaatregelen per risico. Rapportage over de uitvoering en het effect van de geplande tegenmaatregel leidt vervolgens tot een zogeheten risicolog – liefst dagelijks bijgehouden – met met weergave van het risico, risicocategorie, impact, kans, nabijheid, tegenmaatregelen, indiener, eigenaar en status.

Ervaringen Gateway Reviews

Sinds 2010 vinden binnen de overheid Gateway Reviews plaats op programma’s en projecten met een hoog risico. Een Gateway Review is een collegiaal advies aan de opdrachtgever, om te zien of de geplande vervolgactiviteiten realistisch en realiseerbaar zijn. Inmiddels zijn er enkele honderden Gateway Reviews uitgevoerd. Hiermee is een goed beeld gekregen over de wijze waarop in de praktijk omgegaan wordt met het managen van risico’s.
Het blijkt dat 10 procent van alle aanbevelingen gaat over het structureel inbedden van risicomanagement in de lopende programma’s en projecten. 20 procent gaat over het nog opstellen van risicoanalyses en het uitvoeren van impactanalyses. In tegenstelling tot wat de methodologie voorschrijft, blijkt dat in de praktijk de ‘Senior Responsible Owner’ (SRO) vaak niet actief aan de risicoanalyse deelneemt. Die laat de risicoanalyse over aan de programmamanager en het projectteam. Hierdoor ligt de focus en de inschatting regelmatig te veel op tactisch en operationeel niveau.

Bijna 70 procent van de aanbevelingen uit de Gateway Reviews die zich richten op risicomanagement gaat over het risicomanagement, de tweede belangrijke stap in de risicomanagementcyclus, zoals een plan/planning maken, monitoring, externe toetsing, het opstellen van een risicolog en risico’s nadrukkelijk aan de orde stellen in het opdrachtgevers- opdrachtnemersoverleg. Het merendeel van de aanbevelingen gaat dus over het managen van onverwachte gebeurtenissen, het nemen van besluiten en het doorvoeren van de noodzakelijke veranderingen.

Iedereen in de projectorganisatie moet de ogen en oren open houden

Programmamanagers/projectleiders en/of opdrachtgevers passen de risicomanagementmethode uit MSP en PRINCE2 voornamelijk modelmatig en routinematig toe. Het is maar zeer de vraag of het volgen van deze benadering voldoende is. Het is immers niet mogelijk om vooraf de belangrijkste risico’s allemaal te onderkennen en vooraf passende maatregelen te bedenken die voldoende effect sorteren. Er is een dynamische vorm van risicomanagement nodig: dynamisch risicomanagement.

Dynamisch risicomanagementmodel

Een programma of project verloopt meestal via een vast patroon. Een besluit is de formele start van de kick-off fase op basis waarvan de voorbereidingen voor het starten van een programma/project plaatsvinden. Daarna wordt gewerkt aan de eerste uitwerking en inrichting van het programma/ project, waarna deze in verschillende stappen tot een eindproduct komt (voortgangsfase). Ten slotte wordt het resultaat opgeleverd en overgedragen aan de opdrachtgever/ eigenaar.
Om dit proces optimaal en succesvol te laten verlopen wordt in de programma- en projectmanagementmethoden aangeraden in de kick-off fase een risicoanalyse uit te voeren, tegenmaatregelen te benoemen en deze vast te stellen en op te nemen in een risicolog. Een dergelijke risicoanalyse moet feitelijk al vóór de kick-off plaatsvinden. Hierbij gaat het met name om de vraag of en welke kansen en bedreigingen in deze fase een risico vormen. Die inventarisatie moet je vanuit het perspectief van zowel opdrachtgever, stakeholders als projectleiding maken. Op basis van het integrale beeld volgt dan het besluit of en hoe een programma/project wordt opgestart.
Ook in de latere fases zijn planmatige risicoanalyses en risicomanagement onontbeerlijk. MSP en PRINCE2 bevelen ook aan om op z’n minst bij faseovergangen een herijking van de risico’s en de tegenmaatregelen uit te voeren.

Het onzekerheidsmodel

Bekende risico’s en tegenmaatregelen kunnen planmatig worden opgepakt tijdens de uitvoering van programma’s/ projecten. Maar het adequaat omgaan met ongeplande of onvoorspelbare gebeurtenissen die een kans of een bedreiging kunnen vormen, blijkt vaak geen sine cure. Bij het uitvoeren van projecten doen zich onzekerheden voor op strategisch, tactisch en operationeel niveau. Te denken valt aan het draagvlak voor het doel van het project, de gekozen aanpak en de realisatie van het projectresultaat. De wijze waarop deze onzekerheden zich manifesteren kan heel divers zijn en is mede afhankelijk van de context en lokale omstandigheden. Naast de generieke onzekerheden zijn er ook specifieke onzekerheden die bij een project voorkomen, bijvoorbeeld als er sprake is van innovatieve doelen of nieuwe methodes.
Er is dus een aanvulling op de planmatige risicobeheersing van programma- en projectmanagement nodig, een dynamisch perspectief op projectmanagement, waarbij zowel projectleiding als toezichthouders de verantwoordelijkheid hebben om voortdurend risico’s te (her)ijken en te onderkennen door middel van een open dialoog.


Een schematische weergave van dynamisch risicomanagement. De verticale pijlen verbinden de onverwachte gebeurtenissen met het project. Er kunnen zich onverwachte gebeurtenissen voordoen die van invloed zijn op het planmatige risicomanagement. De gebeurtenis moet worden doorvertaald naar de structurele risicolog en de daarbij behorende maatregelen.

Brandweer

Een voorbeeld uit de veiligheidssector maakt duidelijk hoe dit kan werken. Als de brandweer uitrukt is er vaak weinig tijd voor een goede analyse van wat men zal aantreffen. Een risicocheck vooraf kan dus slechts beperkt plaatsvinden. De aard van de brand, de aard van het object en de actuele situatie ter plekke zullen verschillen per incident. De brandweercommandant moet onder tijdsdruk de balans vinden tussen de veiligheid van de brandweermensen, de veiligheid van mensen ter plekke, de bestrijding van de brandhaard en het minimaliseren van ongewenste gevolgen of schade. Maar met beschermende kleding en andere preventieve maatregelen worden niet alle onzekerheden afgedekt. Het is zaak dat de brandweerman ter plekke continu alert is op de (steeds veranderende) situatie, zoals gevaarlijke materialen die zijn opgeslagen in of verwerkt in het gebouw, (on)gehinderde wateraanvoer, de kans op bodemverontreiniging, of ‘kijkers’ die het blussen hinderen.
In feite beoordeelt de brandweerman continu, waarbij geldt: beoordelen = meten + waarderen + beslissen. Maar in onze praktijk worden deze stappen niet altijd bewust of expliciet genomen. Op basis van ervaring worden vaak impliciete normen gehanteerd en routinematig en snel beslissingen genomen. Pas op het moment dat zich iets onverwachts voordoet worden de stappen meer expliciet gezet en waar nodig/mogelijk met professionals besproken of gedeeld.

Discipline

De projectorganisatie als geheel moet zich bewust zijn van en alert zijn op onzekerheden en bedreigingen en snel kunnen inspelen op het onvoorspelbare. Een periodieke en geactualiseerde risicoinschatting alleen is onvoldoende om alle onzekerheden het hoofd te bieden. De hamvraag is dan: hoe ga je om met dit onzekerheidsperspectief?
Discipline is essentieel. Iedereen in de projectorganisatie moet ogen en oren open houden en ontwikkelingen registreren die het risicoprofiel beïnvloeden. Wees vervolgens professioneel door de impact onder ogen te zien, het risicoregister te actualiseren en de impact op het project vast te stellen, te laten bekijken en goedkeuren. Daarbij is een open dialoog met stakeholders gewenst, waarbij die zelf ook geacht worden input te leveren voor de actualisatie van risico’s. Zo ontstaat een continu, interactief en iteratief proces waarin de combinatie van planmatige en tussentijdse inschattingen van onzekerheden, bedreigingen en risico’s wordt gemaakt.
Het monitoren van actuele onvoorziene gebeurtenissen gaat op deze manier onderdeel uitmaken van de projectbesturing en het toezicht hierop. De projectleiding moet bepalen in welke mate een onvoorziene gebeurtenis het project raakt en per gebeurtenis vaststellen of de impact op het project nog is te beïnvloeden of – als het project reeds is geraakt – bekijken of een impactanalyse en eventueel mitigerende maatregelen nodig zijn. Naast dit alles kan het goed zijn om op gezette momenten (bijvoorbeeld bij faseovergangen) een reflectiemoment in te bouwen, zoals Gateway Reviews of andere reflectiemethoden met onafhankelijke deskundigen.

Attitude en ‘mindset’

Een gedisciplineerde aanpak van onzekerheid vraagt van de gehele projectorganisatie en de toezichthouders een andere houding en gedrag: een attitude van continue alertheid, een voortdurende, open dialoog en snelheid van handelen in een dynamische omgeving. Uiteraard is de frequentie van metingen, waarderingen en beslissingen contextgebonden en variëren deze op strategisch, tactisch en operationeel niveau. Maar de attitude van continue alertheid en het voortdurend maken van afwegingen is cruciaal voor het vergroten van de slaagkans.
Daarbij verdienen de zogeheten ‘soft skills’ meer aandacht. Zo mag van zowel opdrachtgever, projectleider als toezichthouders worden verwacht dat zij zich voldoende veilig voelen om risico’s en onvoorziene gebeurtenissen te benoemen. Het met en in elkaar investeren met het doel de kans op succes te vergroten moet de drijfveer zijn. Hierbij dient op en tussen strategisch, tactisch en operationeel niveau te worden samengewerkt en is een transparante communicatie nodig. Een sfeer van vertrouwen is daarbij erg belangrijk.

Concluderend

Het (alleen) van tevoren planmatig en routinematig in kaart brengen en monitoren van voorziene risico’s past onvoldoende bij de dynamiek van programma’s en projecten. Een gedisciplineerde en open aanpak van dynamisch risicomanagement is nodig, met continue alertheid, een voortdurende dialoog op alle niveaus en een transparante en veilige sfeer waarin men risico’s benoemt en maatregelen treft. Alleen dan vindt een voortdurende synthese plaats van projectvoortgang en omgang met risico en onzekerheid. Het motto: doe planmatig wat planmatig kan en gedraag je dynamisch en alert als het moet.

Pieter Frijns is Hoofd Bureau Gateway, ministerie van BZK.
Michiel Struijk is Vice President Strategie, CGI.

tags: ,

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.