Thema's « Over PRINCE2 « Naslagwerk
Risk

Waarom is het belangrijk?

Het nemen van risico's is onvermijdelijk in projecten. Projecten laten veranderingen toe en veranderingen zorgen nu eenmaal voor onzekerheden, vandaar de risico's. Het managen ervan is dus noodzakelijk om de kans op succes groter te maken.

Hoe klein een risico ook mag lijken: zonder de nodige aandacht aan dit risico te besteden, kan dit het ganse project ondermijnen. Effectief risicomanagement is dan ook een voorwaarde voor het continu zakelijke rechtvaardiging principe van PRINCE2.

Termen en definities

Een risico wordt gedefinieerd als een onzekerheid in het bereiken van doelstellingen, en dit zowel negatief (bedreiging) als positief (kans). In de context van een project zijn het dus de doelstellingen van het project die in gevaar zijn.

De term risicomanagement verwijst naar de systematische toepassing van procedures voor het identificeren en beoordelen van risico's en vervolgens een aantal risicomaatregelen in te plannen en uit te voeren.

Risicomanagement wordt toegepast vanuit strategisch, programma, project en operationeel oogpunt.
De aanpak hiervoor kan voor al deze invalshoeken gemeenschappelijk zijn, echter dient rekening te worden gehouden met maatwerkprocedures voor elk afzonderlijk perspectief.

Figuur 8.1 Organizational perspectives

Wat is de PRINCE2 aanpak?

De PRINCE2 aanpak voor risicomanagement is gebaseerd op de publicatie Management of Risk: Guidance for Practitioners (TSO, 2007) van AXELOS Limited.

Risk management procedure
Wanneer nieuwe informatie beschikbaar wordt, is het vaak noodzakelijk om eerder genomen stappen te herhalen, om zo het meest effectieve resultaat te bereiken. De risk management procedure is dan ook een cyclisch proces dat regelmatig moet plaatsvinden.

Figuur 8.2 The risk management procedure

De risk management procedure onderkent de volgende 5 stappen.

Identify
Identify context: inwinnen van informatie over het project.
Uitgangspunt voor elk project is het beleid en de processen van de organisatie of het programma voor risicomanagement. Tijdens Initiating a Project wordt op basis van het project mandate, de Project Brief en de Project Product Description bepaald hoe risicomanagement in de projectactiviteiten zal worden ingebouwd. De Risk Management Strategy beschrijft die procedure, samen met de verantwoordelijkheden, de timing van risicomanagementactiviteiten, de rapporteringsvereisten en de tools en technieken die daarvoor zullen worden gebruikt. Van belang hierbij is dat de balans tussen onzekerheid en baten bewaakt wordt. We spreken van risk tolerance: de bereidwilligheid van de Project Board om onzekerheden te accepteren.
Op het eind van elke fase, tijdens Managing a Stage Boundary, wordt deze aanpak opnieuw beoordeeld en eventueel bijgewerkt.

Identify risks: onderzoeken welke bedreigingen en kansen er zijn.
Tijdens deze stap worden risico's geïdentificeerd en vastgelegd in het Risk Register, deze risico's worden met belanghebbenden besproken en eventuele vroegtijdige waarschuwingsindicatoren worden voorzien ter bewaking van kritieke projectaspecten.
Het is belangrijk dat risico's op een duidelijke en ondubbelzinnige manier worden uitgedrukt.
Nuttig kan zijn om voor elk risico onderstaande te overwegen:
Risk cause: de gebeurtenis of de situatie die tot het risico leidt.
Risk event: het gebied van onzekerheid in termen van bedreiging of kans.
Risk effect: de gevolgen indien het risico zou optreden.

Assess
Estimate: individueel beoordelen van bedreigingen en kansen.
Hoe groot is de kans op optreden (probability), hoe hoog is de impact, zal het risico zich op korte termijn manifesteren (proximity)?
De impact wordt beoordeeld op de aspecten tijd, kosten, scope, kwaliteit, baten en resources. Bij het meten van risico's zoeken we een vorm van kwantificering of rangorde, b.v. hoog, midden of laag. De kwantificering van risico's kan eventueel met behulp van een risicoprofiel (een grafiek met op de horizontale as de impact en op de verticale as de kans) wordt weergegeven. Risico's rechts bovenin (boven de risicotolerantielijn) zullen wellicht niet worden geaccepteerd.

Evaluate: beoordelen van het totaal aan bedreigingen en kansen.
Wat is de ernst (severity) van het risicototaal, valt dit risiconiveau binnen de risicotolerantie en heeft het project nog continued business justification?

Plan
Een aantal mogelijke maatregelen worden onderzocht om bedreigingen te beperken of te elimineren en kansen te maximaliseren. Mogelijke type maatregelen zijn:
Avoid: wegnemen van de bedreiging, waardoor zowel kans als impact nul wordt.
Reduce: verminderen van de kans en/of impact van de bedreiging tot een acceptabel niveau.
Fallback: acties worden gepland voor het geval dat de bedreiging zich manifesteert.
Transfer: de financiële impact van de bedreiging wordt overgedragen op een derde (b.v. verzekeringen of boeteclausules).
Accept: accepteren van de bedreiging.
Share: partijen delen het verlies bij een bedreiging en de winst bij een kans (beide binnen overeengekomen grenzen).
Exploit: acties worden gepland zodat de kans zich manifesteert en de impact wordt gerealiseerd.
Enhance: vergroten van de kans en/of impact van de kans.
Reject: de kans wordt niet benut.

De besluitvorming over de te nemen maatregelen gebeurt door een afweging van de kosten van die maatregelen ten opzichte van de impact en kans die het risico bij optreden met zich meebrengt.
Risicomaatregelen nemen vaak slechts een deel van het risico (inherent risk) weg, waardoor een restant van het risico (residual risk) blijft bestaan. Dit overblijvend risico kan echter nog steeds aanzienlijke schade berokkenen aan het project, waardoor het aangewezen kan zijn om meer als één maatregel te selecteren. Elke maatregel zal na uitvoering één of ander aspect van het project gaan veranderen, wat wellicht zal leiden tot nieuwe risico's (secondary risks). Ook deze secundaire risico's moeten worden geïdentificeerd, beoordeeld en beheerd.

De gekozen maatregelen worden vervolgens verwerkt in de respectievelijke planniveaus (Project Plan, Stage Plan en Work Packages).

Implement
Deze stap zorgt ervoor dat geplande risicomaatregelen in werking worden gesteld, dat hun effectiviteit wordt bewaakt en dat er, indien nodig, corrigerende acties worden ondernomen. Belangrijk hierbij is dat er duidelijkheid is over de verantwoordelijkheden van iedereen betrokken bij het managen van risico's. De belangrijkste rollen in dit opzicht zijn:
Risk owner: degene die verantwoordelijk is voor beheer, bewaking en beheersing van een bepaald risico.
Risk actionee: degene die voor een bepaald risico wordt toegewezen om tegenmaatregelen uit te voeren. De risk actionee ondersteunt en wordt gestuurd door de risk owner.

Communicate
Communicatie is een iteratieve stap die ervoor zorgt dat interne en externe belanghebbenden van de nodige informatie worden voorzien aangaande risico's. Uitgangspunt is de Communication Management Strategy die beschrijft wat de meest geschikte methode hiervoor is.

Risk budget
Naast tijd en hulpmiddelen is ook een budget om risico's op de goede manier te kunnen managen buitengewoon belangrijk. Een risk budget is een som geld, voorzien in het projectbudget, om tegenmaatregelen voor bedreigingen en kansen te financieren.

Wat zijn de verantwoordelijkheden?

RolVerantwoordelijkheden
Corporate or programme management
Aanleveren van het risicobeleid en de -processen van de organisatie of programma
(of gelijkaardige documenten)
Executive
Verantwoordelijk zijn voor alle aspecten van risicomanagement en verzekeren dat er een Risk Management Strategy is
Ervoor zorgen dat Business Case risico's worden geïdentificeerd, beoordeeld en beheerst
Escaleren van risico's naar corporate or programme management (wanneer nodig)
Senior User
Ervoor zorgen dat risico's aan gebruikerskant worden geïdentificeerd, beoordeeld en beheerst (zoals de impact op baten, operationeel gebruik en onderhoud)
Senior Supplier
Ervoor zorgen dat de risico's aan leverancierskant worden geïdentificeerd, beoordeeld en beheerst (zoals de ontwikkeling van de producten van het project)
Project Manager
Opstellen van de Risk Management Strategy
Opstellen en onderhouden van het Risk Register
Ervoor zorgen dat projectrisico's doorheen de projectlevenscyclus worden geïdentificeerd, beoordeeld en beheerst
Team Manager
Deelnemen aan de identificatie, beoordeling en beheersing van risico's
Project Assurance
Verzekeren dat de Risk Management Strategy wordt toegepast
Project Support
Ondersteunen van de Project Manager bij het onderhouden van het Risk Register

Gebruikte bronnen

Managing Successful Projects with PRINCE2, 2009 edition