Kansen benutten
Wat bedoelen we met kansen? In een bestaand project is een calculatie gemaakt van de hoeveelheid werk die moet worden verricht om de vereiste doelstelling conform het afgesproken resultaat en tijdig te kunnen halen. Op basis hiervan worden medewerkers aangenomen om het werk te doen. Er wordt een risico (bedreiging) onderkend: Door de complexiteit en het vele werk zouden werkzaamheden wel eens kunnen uitlopen waardoor een cruciale opleverdatum in gevaar komt. Dit risico is geaccepteerd en wordt bewaakt.
Na enige weken verandert de scope van het project om commerciële redenen. Er vindt een herschikking plaats van de prioriteiten, waardoor de oorspronkelijke doelstelling onhaalbaar wordt indien aan de gekozen werkwijze wordt vastgehouden. Gedwongen door deze omstandigheden buigt het team zich over alternatieven en wordt het idee geboren om het werk te automatiseren middels (nog nieuw te ontwikkelen) software. Dit idee wordt uitgevoerd en blijkt ook later in het project aanmerkelijke tijdsbesparing op te leveren. Bovendien is deze software ook na oplevering een prachtige tool voor het beheer van het opgeleverde systeem. De oorspronkelijke bedreiging werd omgebogen tot een kans (er kwam budget voor het alternatief vrij) en het gehele project en de beheerorganisatie hadden hier voordeel van.
In onze visie is een project dan ook in control als doelstellingen centraal staan en zowel bedreigingen als kansen in beeld zijn en beheerst resp. benut worden. Wij zijn van mening dat met name het benutten van kansen nog veel te weinig aandacht krijgt.
Risicomanagement kan dus nog beter helpen een project in control te krijgen als naast de bedreigingen ook kansen in beeld worden gebracht en maatregelen worden bedacht om die kansen te benutten. Dit vereist een dynamiek tussen opdrachtgever en opdrachtnemer, die wij later in dit artikel nog nader zullen bespreken.
Projectgericht
Mede op basis van externe druk, zoals hierboven beschreven, nemen we waar dat risicomanagement binnen de meeste projecten al op één of andere manier is ingericht. Veel projecten tuigen zelfs een compleet eigen risicomanagementsysteem op en sommige managers projectbeheersing maken risicodossiers in MsExcel en meten de invloed van risico’s op raming en planning. Zelfs bij aanbestedingen worden steeds vaker expliciete risicoanalyses gedaan om de risico’s zo goed mogelijk over de contractpartijen te verdelen.
Dit is op zich goed, maar vaak constateren we dat risicomanagement teveel intern (project)gericht is. Een project staat uiteraard niet op zich, maar moet bijdragen aan het behalen van de doelstellingen van de organisatie of het programma waarvan het onderdeel uitmaakt. Om de projecten in control te laten zijn, zullen ze qua risicoprofiel dienen aan te sluiten bij de organisatiedoelstellingen en haar ‘risk-appetite’, het geheel aan risico dat een organisatie wenst te nemen inclusief bestaande beheersing (netto-risico).
Ondernemen is risico’s nemen. Het is zeer wel mogelijk dat organisaties bepaalde risico’s, hoe groot ook, accepteren zonder verdere beheersing. Op het moment dat een organisatie een gezamenlijke ‘risk-appetite’ vaststelt (geaccepteerd risicoprofiel), biedt dit een globaal kader waarbinnen een keuze over risico’s gemaakt kan worden. Risicomanagement binnen projecten is veel krachtiger als het onderdeel uitmaakt van, en in lijn is met, een overkoepelend proces op bedrijfs-, programma- of portfolioniveau.
Organisatiebreed
In veel organisaties wordt op verschillende manieren aan risicomanagement gedaan. Het is dus van belang om gebruik te maken van de kennis en ervaring op dit gebied en zoveel mogelijk aan te sluiten bij de bestaande werkwijze binnen de organisatie. In het project wordt zo veel tijd en energie bespaart in het opstellen van nieuwe formats of methoden. Door de koppeling van het projectrisicomanagement aan bestaande communicatie- en rapportagestructuren weet iedereen in de organisatie de informatie vanuit het project ook op de juiste waarde te schatten. Het risicomanagement van het project staat dan niet alleen, maar gaat mee in het totale risico-overzicht van de organisatie of het programma.
Risicomanagement volgt de bestaande zeggenschapstructuren zodat de risico’s op het juiste niveau opgepakt worden. Veel risico’s die in projecten onderkend worden, zijn exogeen van karakter. Ze kunnen niet beïnvloed worden door het project(team) en vallen eigenlijk ook niet direct onder de verantwoordelijkheid van het project. Door aan te haken op de organisatiebrede risicomanagementrapportages is er een podium om deze bespreekbaar te maken. Bovendien kan dan de verantwoordelijkheid van de risico’s belegd worden aan personen in de organisatie die wel invloed op de risico’s kunnen uitoefenen. De informatie uit de risicoanalyse van het project kan dan integraal worden afgewogen tegen de organisatiedoelstellingen.
Integraal onderdeel
Het is wel van belang om de focus van de risicoanalyse zo te kiezen dat deze aansluit op de strategische doelstellingen van de organisatie1. Het projectrisicomanagement is dan een integraal onderdeel geworden van het organisatiebrede risicomanagement dat zowel top-down als bottom-up ingestoken moet worden (zie figuur 2). De focus wordt top-down bepaald waarna de risicoanalyse vervolgens bottom-up informatie oplevert die na prioritering op het juiste niveau in de organisatie belandt. Typische projectrisico’s worden binnen het project beheerst, terwijl meer strategische en exogene risico’s de lijn ingaan.
De noodzakelijkheid om deze risicoafweging centraal te kunnen maken, wordt ook geconcludeerd in het rapport van de Algemene Rekenkamer inzake risicobeheersing HSL-Zuid. Doordat de HSL-Zuid op basis van een ingewikkeld stelsel van contracten is aanbesteed in combinatie met een gebrek aan integrale aansturing, is het adequaat managen van risico’s en tegenvallers bij de aanleg en exploitatie bemoeilijkt.
Ook inhoudelijk gezien kan door aanhaking op organisatiebrede risicomanagementinitiatieven de kwaliteit van het risicomanagement worden verbeterd. De volledigheid van de analyse en de kwaliteit van de beheersmaatregelen kunnen geoptimaliseerd worden door bijvoorbeeld een centrale risicomanager aan de projectanalyses te laten deelnemen. Zijn frisse blik voorkomt projectblindheid. Door zijn kennis en ervaring van de organisatie en haar programma’s en projecten kunnen risico’s en beheersmaatregelen worden ingebracht die elders in de organisatie beproefd zijn. Hierdoor wordt het leereffect in de organisatie versterkt. Het verhoogt de effectiviteit van het risicomanagement voor het project en de organisatie.
Het programma Ruimte voor de Rivier, dat bestaat uit een veertigtal maatregelen (projecten) om het Nederlandse stroomgebied van de grote rivieren beter te beschermen tegen overstromingen, werkt op deze manier met risicomanagement. Door op zowel programmaniveau als op projectniveau eenzelfde risicomanagementmethodiek te hanteren, is het mogelijk om beter te sturen op belangrijke risico’s. Immers, op die manier worden exogene risico’s voor projecten door de programmadirectie integraal opgepakt en afgewogen. Daarnaast kan specifieke projectkennis rondom risico’s bij andere projecten worden ingebracht, zodat er vroegtijdig en pro-actief op bepaalde zaken kan worden ingespeeld. Dit alles kan natuurlijk slechts functioneren wanneer er in een open en transparante omgeving over risico’s gecommuniceerd kan worden, met over en weer vertrouwen.