In de jaren negentig van de vorige eeuw kreeg risicomanagement als apart aandachtsgebied binnen het projectmanagement voor het eerst uitgebreid aandacht als apart beheersingsinstrument. Daarvoor was risicodenken deel van het domein van de projectleider. Onder de noemer risicomanagement werd het omgaan met risico’s steeds explicieter gemaakt. In de infrastructuur werd de RISMAN-methode ontwikkeld. En overal ontstonden risico-overzichten met beheersmaatregelen. Daarna kwamen de top 3-, top 5- top 10-risicolijsten. Al gauw werden die een verplicht onderdeel van projectplannen en rapportages.
Intussen is risicomanagement volledig geïnstitutionaliseerd. Waar je ook komt, risicomanagement is een (verplicht) onderdeel van de projectbeheersing geworden. En daarmee is het een verplichte oefening geworden. Iets voor de projectbeheersers, lijkt het wel. Want die gaan er toch over?! Er worden uitgebreide overzichten bijgehouden. Overzichten waar … niemand iets mee doet, behalve op de momenten waarop ze verplicht moeten worden bijgewerkt.
Intussen zijn de managers tevreden. Want die zien dat de risico’s aandacht krijgen, dat de risico’s beheerst worden. Toch?
Maar, is dat wel zo?
Ik zie overal de hoeveelheid projectmanagers groeien. Overal schieten PMO’s (Project Management Offices) uit de grond. Er wordt steeds meer mankracht op beheersing gezet. En, leidt dat tot meer beheersing? Ik betwijfel het.
Wetenschappelijk onderzoek (lees hierover in: “Bezwaren rond best practices”) wijst uit dat de initiële risicosessies een bijdrage leveren aan de beheersing, maar alles wat daarna komt niet. Dat betekent dus dat het gros van de tijd die wordt besteed aan risicomanagement verspilde moeite is.
Risicobeheering is een belasting geworden die projecten duurder maakt dan nodig is. Het is uit de hand gelopen.
Zo ken ik een projectomgeving waar voor een project dat op een oor na opgeleverd was nog een top 3-lijst met risico’s moest worden opgenomen in een voortgangsrapportage. De risico’s die werden genoemd, waren de moeite amper meer waard. Dat zal iedereen met enige projectervaring beamen.
Alle risicomanagement komt voort uit het basisidee dat projecten niet goed af kunnen lopen doordat er risico's optreden. Als die risico's van tevoren te identificeren zouden zijn en als je beheersmaatregelen zou nemen om die risico’s te voorkomen of te mitigeren, dan zou het project beter moeten lopen. Zo is de gedachte.
Maar ...
Als je kijkt naar projecten uit het heden of verleden waar geen geformaliseerd risicomanagement werd gepleegd en die toch slaagden, dan zou je weleens tot een heel andere gedachte kunnen komen. Het zou mij niet verbazen. Ik weet dat het sluiten van verzekeringen, het voorkomen van onwelgevallige gebeurtenissen en het nemen van voorzorgsmaatregelen om de gevolgen van problemen te verkleinen ook al gebeurden voor er risicomanagement was. Veel dingen die onder die noemer gebeuren, zijn namelijk alledaagse kost voor projectleiders die het risicodenken, vaak zonder dat expliciet te beseffen, hebben geïnternaliseerd.
Risicomanagement heeft zaken wat explicieter gemaakt. Risicosessies zijn een waardevolle activiteit om een project goed te doordenken en om zorgen die bij individuen leven boven tafel te krijgen. Voor de rest voegt risicomanagement niets toe.
Lees ook: “Risicogestuurd projectmanagement?” en "Kahneman, Sibony en Sunstein over onzekerheid"