Project Risk Management (Project Risicomanagement)

  • Analyseren en beheersen van projectrisico's;
  • Bepalen van de kans op het uitlopen van de geplande projectduur of op het overschrijden van het projectbudget;
  • Identificeren en ordenen van kritische parameters;
  • Uitvoeren audit op projectrisico's.

 

Projectrisico's kunnen op verschillende manieren in kaart worden gebracht en voorzien worden van beheersmaatregelen. We onderkennen de volgende drie aanpakken om projectrisico's te beheersen:

  • Audit Projectrisico's
  • Project Risicoanalyse
  • Project Risicomanagement

 Inleiding

Risicomanagement bij projecten is een proces dat gericht is op het structureren van de projectactiviteiten en het beheersen van de belangrijkste projectrisico’s. Hierin worden vijf stappen onderscheiden:
1. Analyseren van risico’s
2. Formuleren van beheersmaatregelen
3. Uitvoeren van maatregelen
4. Evalueren van maatregelen
5. Actualiseren van de risicoanalyse

 

Kenmerkend is  dat er sprake is van een cyclus en van een gelaagdheid. Aan het begin van een project zal het management geconfronteerd worden met grote onzekerheden en onduidelijkheden. Risicomanagement heeft in die beginfase met name een structurerende rol bij de totstandkoming van een projectplan en het identificeren van de belangrijkste knelpunten op basis van een globale risicoanalyse. Naarmate de tijd vordert, vermindert de onduidelijkheid en kunnen de normale onzekerheden en belangrijkste risico’s meer in detail worden geanalyseerd. Een risicoanalyse is dus een momentopname die gedurende het project herhaald wordt en waarbij de diepgang afhangt van de fase waarin het project zich bevindt en van de grootte van de risico’s. Risicoanalyse is de basis voor risicomanagement, net zoals een boekhouding de basis is voor financieel management.

Stap 1: Risicoanalyse

Om een risicoanalyse van een project te kunnen maken is het nodig dat een plan van aanpak is gemaakt. Minimaal dienen beschreven te worden:

  • de uit te voeren activiteiten;
  • de verantwoordelijken voor die activiteiten;
  • de planning van de activiteiten;
  • de begroting.

De analyse is in verschillende fasen te verdelen.

1. Inventariseren

Inventariseren is de eerste fase in elke analyse. Dit levert, gegeven de doelstelling van de analyse (doorlooptijd en budget) een zo uitputtend mogelijke lijst met risico’s op. Over het algemeen wordt van grof naar fijn gewerkt. Risicomanagement biedt inzicht en overzicht. Op basis hiervan worden prioriteiten gesteld. In een latere - verfijndere - analyse kunnen die steeds bijgesteld worden. Bij deze inventarisatie wordt gebruik gemaakt van de FMEA (Failure Mode & Effects Analysis) of HAZOP (Hazard & Operability) Analysis.

2. Kwantificeren

Om belangrijke risico’s van onbelangrijke te kunnen scheiden is kwantificering noodzakelijk. Omdat veelal exacte gegevens ontbreken, wordt gebruik gemaakt van een kwantificering waarbij de kans van optreden en de ernst van de gevolgen worden ingedeeld in 4 tot 5 categorieën van klein tot groot. Het risico wordt gekwantificeerd door de “gekwantificeerde” kans en de ernst van het gevolg te vermenigvuldigen. In feite wordt de FMEA uitgebreid tot een FMECA (Failure Mode Effect & Criticality Analysis).

3. Modelleren en simuleren

Daar waar beslissingen (vaak investeringsbeslissingen) nader onderbouwd moeten worden, is het van belang verdere modelvorming en zonodig simulatie toe te passen. Hiermee is het mogelijk nauwkeurig te voorspellen wat de kans is dat er een overschrijding van de beschikbare tijd of het beschikbare budget plaatsvindt. Bovendien wordt beter zichtbaar welke risico’s daadwerkelijk domineren. Bij deze fase wordt vaak gebruik gemaakt van de PDA tool (Probabilistic Decision Analysis). Met deze tool kunnen ook gevoeligheids- en onzekerheidsanalyses worden uitgevoerd.

4. Risico’s beheersen (risicomanagement cyclus)

Nadat een eerste risicoanalyse is uitgevoerd, wordt het effect van de risico’s op de doelstellingen van het project zichtbaar. Vervolgens dienen de risico’s beheerst te worden.
• Enerzijds omdat de (project)organisatie maatregelen treft om de kans van optreden of het gevolg van de ongewenste gebeurtenissen te verkleinen.
• Anderzijds omdat de risico’s veranderen naarmate het project vordert. Er komen risico’s bij en er verdwijnen risico’s. Bovendien verminderen de onzekerheden in de loop van de tijd.

Een geregelde update van de risicoanalyse, geïnitieerd door de risicomanager, is noodzakelijk. Ondanks alle beheersmaatregelen blijft vaak toch nog een risico over: het restrisico. De juiste inschatting van het restrisico valt of staat met de betrouwbaarheid van de beheersmaatregelen: de juistheid van de uitvoering en de effectiviteit. In veel gevallen is de risicomanager verantwoordelijk voor de inschatting van het restrisico. De projectleider bepaalt of dit restrisico acceptabel is en past binnen de doelstellingen en uitgangspunten van de onderneming. Zo niet dan dienen verdere beheersmaatregelen genomen te worden, of dient het risico op een andere manier te worden afgedekt (bijvoorbeeld door verzekeren).

Stap 2: Formuleren van beheersmaatregelen

Risicomanagement is een pro-actieve beheersing van risico’s. Daarmee wordt bedoeld dat er van te voren nagedacht wordt over mogelijk optredende afwijkingen en de daartegen te treffen maatregelen. Deze maatregelen kunnen ofwel preventief ofwel correctief zijn.
Voordat besloten wordt of voorgestelde maatregelen al dan niet moeten worden genomen, zijn criteria nodig waarmee wordt aangegeven welke risico’s acceptabel zijn. De meeste maatregelen kosten geld en er zal dus een afweging moeten worden gemaakt of de kosten van de maatregel opwegen tegen de mogelijke baten. Ook bij deze afweging spelen zogenaamde “HILP events” (kleine kans, grote gevolgen) een bijzondere rol. Het is vaak verstandig de risico’s bij dit soort gebeurtenissen over te dragen of te beperken door middel van verzekeren.

Stap 3: Uitvoeren van beheersmaatregelen

De daadwerkelijke uitvoering van de acties die voortkomen uit de risicoanalyse is minstens zo belangrijk als het bedenken er van. Bij elke actie hoort een persoon die in eerste instantie verantwoordelijk is voor de uitvoering en het resultaat, de ‘eigenaar’ van de maatregel. Uiteindelijk is toch weer de projectleider verantwoordelijk voor de uitvoering van de acties en voor de reductie van de risico’s. De risicomanager heeft hierin een faciliterende en adviserende taak. Bovendien dient hij de voortgang van de verschillende risicoactiviteiten te bewaken.

Stap 4: Evalueren van beheersmaatregelen

Het doel van de evaluatie van beheersmaatregelen is er achter te komen of de maatregelen effect hebben gehad en of de maatregelen efficiënt (kosten versus baten) zijn geweest. Indien er sprake is van risico’s met een kleine kans van optreden, dan wordt het lastig aan te tonen dat de voorgestelde maatregelen effectief laat staan efficiënt zijn geweest. Achteraf analyseren is gemakkelijk. Steeds dient gekeken te worden naar de informatie die beschikbaar was ten tijde van de beslissing. Het is dus belangrijk dat deze informatie goed wordt gedocumenteerd (bijvoorbeeld in een risicodossier).

Stap 5: Actualiseren van de risicoanalyse

Gedurende een project zullen steeds nieuwe risico’s naar boven komen. Deze nieuwe risico’s worden ingepast in de cyclus. Daarnaast kan het effect van maatregelen leiden tot risicoreductie, waardoor een aanpassing van de analyse op zijn plaats is. Soms is het zelfs zinvol een risicoanalyse geheel opnieuw uit te voeren (bijvoorbeeld als er tussentijds veel wijzigingen in het oorspronkelijke concept zijn opgetreden). Het is de taak van de risicomanager om dit te onderkennen. Vaak worden bij faseovergangen complete analyses uitgevoerd.

Uit te voeren werkzaamheden

Risicomanagement wordt uitgevoerd door ieder lid van het projectteam. Naarmate projecten complexer worden, ontstaat de behoefte risicomanagement als een apart proces te beschouwen waarvoor een risicomanager verantwoordelijk is. Bij zeer grote projecten wordt de risicomanager ondersteunt door een team van risicoanalisten. De risicomanager adviseert de projectleider en faciliteert de projectteams. Afhankelijk van het belang van het project rapporteert de risicomanager aan de projectleider of aan de directie.
De risicomanager is een generalist die oog heeft voor de technische en organisatorische problemen die kunnen optreden tijdens het project. De risicomanager beschikt over goede communicatieve vaardigheden en een objectieve frisse kijk op het project. De taken van de risicomanager zijn:

  • Het vaststellen van het doel, de reikwijdte en de omvang van het risicomanagement;
  • De implementatie van het risicomanagement binnen de organisatie:
  • Het faciliteren van projectmedewerkers
  • Het motiveren van de medewerkers om nieuwe risico’s te signaleren
  • Het (doen) uitvoeren van de risicoanalyses (globaal);
  • Het doen uitvoeren van de risicoanalyses op lokaal projectniveau:
  • Het analyseren van de resultaten van de risicoanalyses van onderliggende projecten;
  • Het in kaart brengen van de risico’s;
  • Het vaststellen van de belangrijkste risico’s;
  • Het in kaart brengen van de beheersmaatregelen.
  • Het doen opzetten van een risicodossier;
  • Het administreren van het risicomanagement m.b.v. het risicodossier;
  • Het adviseren van de projectmanager omtrent te nemen beheersmaatregelen;
  • Het (doen) uitvoeren van de beheersmaatregelen;
  • Het evalueren van de beheersmaatregelen;
  • Het iteratief actualiseren van de risicoanalyse;
  • Het periodiek rapporteren van de bevindingen.