Overslaan en naar de inhoud gaan

Veel misverstanden over risicomanagement

Ooit een projectmanager tegengekomen die risicomanagement onbelangrijk vindt? Waarschijnlijk niet, want wie is er niet van overtuigd dat voorkomen beter is dan genezen.
Maatschappij
Shutterstock
Shutterstock

Ooit een projectmanager tegengekomen die risicomanagement toepast zoals het hoort? Waarschijnlijk wel, als het gaat om iets dat ‘in de verte’ lijkt op risicomanagement, ‘van dichtbij’ is het daar vaak een zwak aftreksel van. Ooit een organisatie meegemaakt, waar risicomanagement een vast onderdeel is van de wijze van werken? Waarschijnlijk niet vaak, het wordt meer ad hoc dan structureel toegepast. Het aantal misvattingen over risicomanagement is talrijk en zorgt ervoor dat het onderwerp niet die aandacht krijgt die het verdient. In deze bijdrage worden enkele misvattingen aan de kaak gesteld. Risicomanagement is hetzelfde als risico-analyse Het is een wijdverbreid misverstand dat risicomanagement zich beperkt tot alleen maar het in kaart brengen en analyseren van risico’s. Risicomanagement is veel meer en bestaat uit de volgende activiteiten: planning; inventarisatie; analyse; handling; bewaking; evaluatie en documentatie. Meestal wordt aan planning geen aandacht besteed en wordt niet nagedacht over vragen als ‘Wie wordt betrokken bij risicomanagement?’ en ‘Hoe worden taken, verantwoordelijkheden en bevoegdheden verdeeld?’. Meestal blijft risicomanagement beperkt tot het in kaart brengen van zaken waar het project last van kan krijgen. Soms worden risico’s geanalyseerd, wordt over risico’s gesproken in termen van kans en effect en worden de meeste kritische risico’s geselecteerd. Ook wordt - meestal vrijblijvend - gediscussieerd over wat allemaal moet gebeuren om de risico’s aan te pakken, maar worden geen concrete maatregelen uitgevoerd, laat staan achteraf gecontroleerd of deze maatregelen daadwerkelijk hebben geholpen. Van risicobewaking is zelden sprake. Tijdens de projectuitvoering is het belangrijk, met name bij risicovolle projecten, om de activiteiten van risicomanagement vaker uit te voeren. Er kunnen immers nieuwe risico’s optreden of maatregelen kunnen niet het gewenste effect hebben gehad, zodat de oorspronkelijke risico’s nog steeds spelen. Dat cyclische element kom je in de praktijk niet of nauwelijks tegen. Van risicodocumentatie en -evaluatie ten slotte is meestal al helemaal geen sprake meer. Risicomanagement krijgt pas echt betekenis als alle genoemde activiteiten worden uitgevoerd. Het vinden van de risico’s is één, het ‘wegpoetsen’ is twee en het evalueren en leren is drie. Risicomanagement vindt voor elk risico een oplossing Dit is een misvatting die kan leiden tot pijnlijke en kostbare missers. Soms worden dure maatregelen getroffen om risico’s te voorkomen of eventuele gevolgen zo pijnloos mogelijk te laten zijn. Denk bijvoorbeeld aan het afsluiten van een dure verzekering of het inhuren van extra capaciteit. Het is de vraag of zo’n reactie altijd even verstandig is. Soms niet, en dat heeft alles te maken met onvoldoende gevoel voor het begrip risico. Een risico houdt namelijk een kans in dat er iets gebeurt waar het project last van heeft. Er is dus sprake van een kans en een effect. Soms is de kans heel klein maar zijn de gevolgen enorm en soms is de kans heel groot en het effect gering. De vraag is: Wanneer is actie nodig? Vaak zie je - als een soort reflex - dat maatregelen, soms dure, worden getroffen bij een hoog risico. Omdat achteraf niets ernstigs is opgetreden, wordt al snel geconcludeerd dat de maatregel terecht was. Omdat niet is geredeneerd in termen van kansen en effecten, realiseert men zich onvoldoende dat de schade misschien ook beperkt zou zijn als dure acties waren uitgebleven. Risicomanagement vereist toepassing van standaardchecklist Het is een hardnekkig misverstand dat de toepassing van een standaardchecklist een voorwaarde is voor succesvol risicomanagement. Niets is minder waar. De literatuur staat bol van lijsten waarin allerlei mogelijke risico’s zijn opgenomen. Het advies luidt dan om zo’n lijst te gebruiken bij de inventarisatie van je eigen projectrisico’s. Over de zin en vooral onzin van dit soort lijsten wordt minder geschreven. Als een soort gedachtesteun is zo’n lijst een handig hulpmiddel, maar ook niet meer dan dat. Het gaat namelijk om een voorgebakken lijst van risico’s. Het is onwaarschijnlijk dat dergelijke standaardlijsten van toepassing zijn op ieder willekeurig project. Projecten kunnen onderling enorm verschillen: een SAP-implementatieproject is iets totaal anders dan een outsourcingsproject of een softwareontwikkelproject. Er zullen andere risico’s spelen en het taalgebruik zal anders zijn. Een standaardlijst is daarom geen optie bij het in kaart brengen van risico’s. Als al een checklist wordt gebruikt, dan dient deze ‘op maat’ te zijn voor het desbetreffende project en aan te sluiten bij het taalgebruik van de organisatie. Vaak maken checklists gebruik van standaardwaarden en -gewichten. Bijvoorbeeld: risicofactor A heeft gewicht 5 en kent de waarden 3 (hoge kans dat dit risico leidt tot een probleem), 2 (gemiddelde kans) en 1 (kleine kans). Stel men vindt dat deze factor voor een bepaald project geldt en men waardeert deze als 3. De checklist bepaalt dan een risicoscore van 5*3=15. Of deze waarden en gewichten voor dergelijke projecten binnen de organisatie van toepassing zijn, is zeer de vraag. Vervolgens worden alle risicoscores bij elkaar opgeteld. Als dit totaal boven een bepaalde (vaste) waarde uitkomt, krijgt het project de stempel ‘zeer risicovol’. Het bepalen van de ernst van geïnventariseerde risico’s heeft niets te maken met een rekentruc. Risico’s zijn per definitie iets subjectiefs. Wat de een beschouwt als een hoog risico, ziet de ander als geen of een laag risico. Ervaring, rol binnen de organisatie, opleiding en persoonskenmerken spelen bij zo’n inschatting een rol. Een logisch gevolg van die subjectiviteit is om risicomanagement niet ‘op te hangen’ aan slechts één persoon, in de meeste gevallen de projectmanager. Het is verstandiger hiervan een groepstaak te maken. Een mens is namelijk een slechte informatieverstrekker, geen objectieve waarnemer en hij heeft de neiging stokpaardjes te berijden. Bovendien is hij geneigd alleen die risico’s te noemen waarmee hij recentelijk is geconfronteerd. De mens heeft een slecht statistisch gevoel en doet ‘slordige’ uitspraken als ‘in 9 van de 10 gevallen’. Ook lijdt hij vaak aan het ‘het-ligt-nooit-aan-mij’-syndroom en heeft hij de neiging de oorzaak van een risico bij een ander te zoeken. Bij teamwork worden dit soort problemen ‘weggemiddeld’; meer personen zien immers meer dan één, de inbreng van meerdere disciplines geeft bovendien een rijker risicobeeld en er onstaat een breder draagvlak voor de resultaten van risicomanagement. Een teamuitspraak over de ernst van de geïnventariseerde risico’s en de afgeproken verbeteringsacties wordt sneller geaccepteerd dan een verzameling individuele uitspraken. Risicomanagement is eenvoudig uit te voeren Risicomanagement is helemaal niet eenvoudig. Het is een misvatting dat risicomanagement niet veel anders is dan het toepassen van een of andere risicomanagementmethode. Wat risicomanagement lastig maakt is dat de uitkomsten soms diep insnijden in een project en een organisatie, dat soms gevoelige onderwerpen worden geraakt, dat altijd veel materiekennis is vereist, dat verwachtingen soms onrealistisch hoog gespannen zijn et cetera. Bij aanvang van risicomanagement is het enthousiasme dikwijls groot. De verwachtingen zijn hoog gespannen. Eindelijk wordt een project grondig onder de loep genomen, en wordt niet achteraf maar vooraf naar oorzaken gezocht waarom het project zo lastig en complex is. Ten onrechte wordt risicomanagement vaak gezien als het smeermiddel dat een oplossing is voor alle problemen. Kortom iedereen doet mee en iedereen kijkt reikhalzend uit naar het resultaat. Vaak zien we dat de organisatie schrikt als de risico’s op papier staan. De natuurlijke reflex is: ‘zo erg is het ook weer niet.’ Met name het projectmanagement heeft de neiging risico’s te bagatelliseren en aan te geven dat inmiddels al de nodige acties zijn uitgezet. Er is in die fase overtuigingskracht nodig om de weerstand en de schrikreacties weg te nemen. Het zijn immers dezelfde mensen die de risico’s moeten aanpakken en verbeteringsacties moeten uitvoeren. Net zo belangrijk is het om de hooggespannen verwachtingen terug te brengen tot reële proporties en te benadrukken dat risicomanagement niets meer en niets minder is dan het in kaart brengen van risico’s en oplossingen. Het echte werk, namelijk het daadwerkelijk doorvoeren van oplossingen is een zaak die de organisatie zelf ter hand moet nemen en niet op het bordje van het risicomanagement moet leggen. Het initiatief voor risicomanagement ligt in veel gevallen bij de opdrachtgever van het project. De projectmanager is soms de enige die minder gelukkig is met de (in zijn ogen) van hogerhand opgelegd risicomanagement. Soms beschouwt hij het als een inbreuk op zijn doen en laten, soms zelfs als bedreigend. Dit soort mechanismen hebben niets te maken met de techniek van risicomanagement maar alles met het met verstand toepassen ervan. Dat toepassen kan soms bijzonder lastig zijn. Het vraagt om een zekere senioriteit en autoriteit, sociale vaardigheden en een goed politiek gevoel om het spel met de opdrachtgever, projectleider en andere betrokkenen goed te kunnen spelen. Risicomanagement gaat over projectrisico's Risico’s zijn er in alle soorten en maten en blijven zeker niet beperkt tot het projectniveau. Meestal is dat wel de insteek bij risicomanagement; je wilt immers weten waar het project misschien last van gaat krijgen. Bij inventarisatie blijkt echter dat risico’s soms ook betrekking hebben op het product (iets willen maken wat we technisch niet aankunnen), op de organisatie (onduidelijke ophanging van het project binnen de organisatie) of op externe zaken (onduidelijke wettelijke regelgeving). De neiging bestaat om alle risico’s en verbeteringsacties naar het projectniveau te tillen. Het is niet terecht om alle ellende bij het project neer te leggen. Risico´s moeten daar worden aangepakt waar ze thuishoren. Wat soms optreedt bij risicomanagement is dat de scope in eerste instantie beperkt is tot het niveau van het project, maar geleidelijk wordt verbreed tot bovenliggende niveaus. Als binnen een organisatie projecten structureel verkeerd worden ingericht, verantwoordelijkheden tussen opdrachtgever en projectmanager vaak onduidelijk zijn, kortom veel risico’s niet projectspecifiek maar generiek van aard zijn, is het zaak de aandacht niet te blijven richten op projectniveau, maar op hogere niveaus in te grijpen. Prof.dr.ir. Fred Heemstra is hoogleraar Bedrijfskunde en Informatica aan de Open Universiteit Nederland en seniorconsultant bij KWD Resultaatmanagement te Nieuwegein. Ruud Snel is seniorconsultant bij KWD Resultaatmanagement te Nieuwegein.Een uitgebreid rapport over risicomanagement kan men opvragen bij f.heemstra@chello.nl.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in