Beheer
Risico's en projectmatig werken
Inleiding.
Projectmanagement = risicomanagement
Voordelen
expliciet risicomanagement
Risicomanagement
Risicosessie
/ identificatie van risico's.
Kwantificeren
en prioriteren.
Beheersmaatregelen.
De
beheersing van risico’s.
En
verder
Het
risico van risicomanagement
Kansenmanagement
Black Swans
Onvoorzien
Een
risico is een gebeurtenis die kan optreden en waarvan de gevolgen negatief zijn
voor een project.
Risico
wordt doorgaans als volgt "gedefinieerd":
Risico
= kans x gevolg
Dit
geeft weer dat een risico groter is wanneer de kans van optreden en/of de
gevolgen van optreden groter zijn. Het geeft ook weer dat een groot gevolg
gecombineerd met een minimale kans tot een overzienbaar risico leidt, evenals
een grote kans met een minimaal gevolg.
Risicomanagement
bestaat uit het identificeren van risico's, het kwantificeren van kansen en
gevolgen en het vaststellen en uitvoeren van beheersmaatregelen.
Ik
heb al eens betoogd dat projectmatig
werken
in feite een vorm van risicomanagement is[i].
Toch is er een tendens om risicomanagement expliciet te implementeren binnen het
projectmatig werken. Sterker nog, de term “risico´s” wordt vaak
als beheersaspect toegevoegd aan de trits tijd, geld, kwaliteit, informatie en organisatie.
Ik
blijf er ambivalente gevoelens bij houden. Een goede projectleider is van nature continue bezig met die activiteiten
die vanuit risicomanagement worden benoemd als beheersmaatregelen. De dagelijks
activiteiten van de projectleider en zijn team overlappen als het goed is de beheersmaatregelen. Is dat niet zo dan
mag, wat mij betreft, worden getwijfeld aan de capaciteiten van die projectleider en zijn teamleden.
Toch
sta ik zeker niet afwijzend tegenover risicomanagement. Het grote voordeel
schuilt er in dat ook voor de niet direct betrokkenen expliciet bekend is wat er
zoal speelt. Soms kunnen die personen zelfs een positieve bijdrage leveren aan
het reduceren of wegnemen van een risico. Om die bijdrage te leveren moeten ze
wel van de vigerende risico's op de hoogte zijn. Expliciet risicomanagement
draagt daaraan bij.
Ook
prettig is dat niet direct betrokkenen niet volledig verrast zijn indien zich
een bepaald risico daadwerkelijk voordoet. Door de risicoanalyse zijn zij er op
voorbereid. Dat scheelt boze blikken en onnodige wrijving. Hoewel… Ik heb ook
weleens gehoord “Hoe kan dat nou? Dat risico was bekend, hoe kan het zich dan
toch voordoen?!” Dat was een raadslid. Tja, projecten zijn per definitie niet
risicovrij. Ondanks alle beheersmaatregelen kan een risico toch optreden.
Verder
geldt dat zelfs in de meest
uitgebreide risicosessies een bepaald risico niet onderkend wordt. Wie nog nooit
heeft gehoord van het afpalingrecht van een eendenkooi, molenrecht of de wet op
de lokaalspoorwegen kan bij een ruimtelijk project gemakkelijk de fout ingaan.
En: wie kent alle wetten?
Daarnaast zijn er optredende risico’s die echt door niemand (te) voorzien
zijn. Wie had 9/11 voorzien?
Risico’s
die plaatsvinden zijn vaak de risico’s die je niet voorzag. Dat zijn
risico’s die niet in een risicoanalyse naar boven kwamen.
De via een risicoanalyse gedefinieerde risico’s komen in de analyse omdat je
er al bekend mee bent. Je kent ze al. De hoogte van de gevolgen in de worst case
is bovendien gebaseerd op ervaringen tot nu toe. Dus: op de worst case tot nu
toe. Maar, zegt Nassim Nicholas Taleb in Antifragile,
de laatste worst case tot nu toe was ernstiger dan de voorgaande bekende worst
case. Waarom zou de volgende worst case dan niet weer veel erger kunnen zijn? We
weten het niet.
Expliciet
risicomanagement begint met een risicosessie. Aanwezig zijn diegenen die het
project goed kennen en moeten realiseren. Daarnaast kan het zinvol zijn om er
mensen bij te halen die het soort projecten waar het om gaat heel goed kennen,
mensen met heel veel ervaring. Tijdens de sessie worden (vaak aan de hand van
een checklist, steekwoorden of invalshoeken) brainstormenderwijs allerlei
risico’s naar voren gebracht en vastgelegd.
Sommigen
vinden het heel belangrijk om een scherp onderscheid te maken tussen risico’s
en gebeurtenissen. Een gebeurtenis is iets dat zich voordoet waardoor een risico
optreedt. Het risico is dan logischerwijs het gevolg van de gebeurtenis. Zelf
vind ik dat wat academisch van aard. Het kan bovendien een goedlopende
brainstorm behoorlijk frustreren. Ik hecht dan ook niet zozeer aan dit verschil.
Voor het beheersen van risico’s is dit onderscheid niet zo relevant.
Als
de risico’s zijn geïnventariseerd dan kunnen de kansen en gevolgen voor de
doorlooptijd en de kosten worden geschat.
Wat
goed werkt is wanneer verschillende personen of groepen eerst los van elkaar de
kansen schatten dat zich iets voordoet, en de gevolgen van een risico voor de
doorlooptijd en de kosten kwantificeren. Daarna kunnen de resultaten worden
vergeleken. Bij grote afwijkingen tussen de personen/groepen levert het gesprek
vaak nieuwe inzichten op. Op basis daarvan komt men toch weer gemakkelijk tot
consensus.
Hierna
een voorbeeld van de kwantificering van de gevolgen voor tijd en geld. Bij deze
semikwantitatieve methode worden de kans en het gevolg voor tijd en geld in
klassen verdeeld. Uiteraard moet de hoogte van de tijd- en geldeenheden worden
aangepast aan de aard en omvang van het project. Voor een project als de
Betuweroute is een risico van EUR 25.000,- klein, voor een productontwikkeling
binnen een klein bedrijf kan dat bedrag een enorm risico vormen.
Lage
scores (hier groen gekleurd) geven lage risico's weer. Deze behoeven weinig tot
geen aandacht. Ze zijn aanvaardbaar voor het project.
Hoge
scores (hier rood gekleurd) geven hoge risico's weer. Deze risico's zijn niet
aanvaardbaar. Voor deze risico's moeten beheersmaatregelen worden getroffen.
Let
wel: alles wat gecalculeerd wordt ziet er wetenschappelijker en exacter uit dan
kwalitatieve informatie. Maar, het is geen wetenschap, het is slechts een
hulpmiddel. Alle uitkomsten hangen bovendien van de input af.
Als een ervaren projectleider aangeeft dat
aandacht voor een bepaald risico essentieel is, dan is dat net zo
"waar", als wanneer een risico met de hoogste score uit een
kwantificering komt. Dit soort rekenarij is aantrekkelijk, maar zeker niet
superieur aan het rommelige en ongrijpbare denken van een ervaren projectleider.
Koester ervaring!
De
vermenigvuldiging van de kansen met de gevolgen (tijd en/of geld) leidt tot een
rangvolgorde van de risico’s. Sommige risico’s behoeven nauwelijks aandacht,
anderen vragen om beheersmaatregelen.
Als een risico niet hoog scoort, maar ervaren mensen zien het risico wel als
essentieel, geef het dan ook een hoge prioriteit.
Beheersmaatregelen
zijn de acties die ondernomen worden om de risico’s te beheersen.
Beheersmaatregelen zijn er op gericht de kans van optreden te verkleinen en/of
de gevolgen van optreden te beperken. Naast concrete acties kan ook gedacht
worden aan accepteren, vermijden, verleggen of verzekeren van risico’s.
Bij
het verleggen van risico’s moet altijd nagedacht worden of verleggen überhaupt
wel verstandig is. Een gouden regel in het risicomanagement is dat de partij die
het risico het beste kan beheersen deze ook het beste kan dragen. Het verleggen
van risico’s naar partijen die deze niet kunnen beheersen is onverstandig. Ook
al is dit vaak praktijk. Opdrachtgevers hebben
de neiging alle risico's die zij lopen te willen reduceren tot nul. Helaas vaak
door het risico dan maar te verleggen. Een kwalijke en contraproductieve zaak.
Drie redenen daarvoor:
-
Ten eerste geeft dit schijnzekerheid. Immers: heb je het risico verlegd naar een
partij die het niet kan dragen, en gaat deze partij eraan failliet dan ben je
verder van huis. Failliete partners in een proces geven heel veel ellende, en
financieel is er weinig meer op te verhalen.
-
Ten tweede leidt het onterecht verleggen van risico's tot indekgedrag door de
partij die het risico krijgt toebedeeld. Juridificatie van het proces is vaak
het gevolg. In ieder geval wordt het proces stroever dan gewenst.
Een stroever of gejuridificeerd proces leidt niet tot succesvollere projecten.
-
Ten derde: iemand die een project initieert moet beseffen dat projecten niet
risicovrij zijn. Als opdrachtgever moet je
domweg accepteren dat er sommige risico's zijn waarvoor geen afdoende
beheersmaatregelen bestaan. Als initiatiefnemer hoort het tot je lot dat je
dergelijke risico's aanvaardt. Een risico-inschatting is dan ook altijd
onderdeel van de keuze voor het starten van een project en voor het doorzetten
van het project na de afronding van iedere fase.
Hieronder
een voorbeeld van een risicotabel. De rubricering komt uit de Risman methode.
Voorbeeld van een risicotabel
Het
bijhouden van risicolijstjes en het braaf aflopen daarvan in vergaderingen heeft
doorgaans niet veel effect. Dat wordt al gauw risicomanagement voor de vorm,
terwijl het niet of nauwelijks een bijdrage levert aan echt risicobewustzijn.
Dat komt neer op risicomanagement voor de vorm. De lijstjes leiden een eigen
leven. Doorgaans een erg stil bestaan. Ze maken geen deel uit van het bewustzijn
van de projectleider en diens medewerkers.
Beter
is het om die acties die er echt toe doen op te nemen in de actielijsten van
andere overleggen. Actielijsten waar echt voortgangsbewaking op plaatsvindt. In
die overleggen moet dan wel aandacht voor risico’s zijn, maar niet om aan
“risicomanagement te doen”.
Wanneer
risicomanagement overmatig aandacht krijgt, dan kan het idee postvatten dat een
project zo vol van risico's is, dat niemand meer een volgende stap durft te
doen. Stagnatie is het gevolg. In het Engels noemt men dit: "paralysis
by analysis".
Ten
slotte nog dit. Projecten bieden ook heel veel kansen. Vaak zijn nevendoelen
gemakkelijk in een project op te nemen, waardoor er meer wordt bereikt dan het
oorspronkelijk beoogde projectresultaat. Soms is door projecten (of delen van
projecten) te combineren veel geld te besparen.
Het
is dus slim om in de risicosessie ook naar kansen te kijken en deze mee te
nemen.
Overigens
noemen hardcore risicoanalisten dit dan positieve risico's!
Nassim Nicholas Taleb behandeld in zijn boek The
Black Swan uitzonderlijke gebeurtenissen die een enorme invloed hebben,
maar die niemand ziet aankomen. Wat een black swan is beschrijft Taleb zelf het
beste:
What we call here a Black
Swan (and capitalize it) is an event with the following three attributes.
First, it is an outlier, as it lies outside the realm of regular
expectations, because nothing in the past can convincingly point to its
possibility. Second, it carries an extreme impact. Third, in spite of its
outlier status, human nature makes us concoct explanations for its occurrence
after the fact, making it explainable and predictable. I stop and summarize the
triplet: rarity, extreme impact, and retrospective (though not prospective)
predictability.
Soms
wordt ook de term "act of god" gebruikt. Als voorbeeld wordt dan soms
het risico genoemd dat een vliegtuig op jouw project neerstort. Vrijwel
onmogelijk. Maar juist 9/11 noemt Taleb als voorbeeld van een black swan.
De
vraag is wat wij hiermee moeten in projectmanagement. Deels is overmacht te
verzekeren. In Nederland zijn de risico's van partijen ook enigszins beschermt
doordat het recht op redelijkheid en billijkheid is gebaseerd. Een black swan is
een geval van overmacht, partijen zullen juridisch niet aan bijvoorbeeld
einddata gehouden kunnen worden. Evengoed heb je een ramp in je project. Je daar
op voorbereiden kan je niet, want een black swan is niet te voorzien. Als je
toch het optreden van een black swan als risico op zou nemen (wat goed zou
kunnen) dan valt deze in de categorie: hoogst onwaarschijnlijk (maar met extreme
gevolgen). Binnen projectmanagement is dit een categorie waar je normaal
gesproken geen beheersmaatregelen op zet. Zou je het wel doen dan prijs je jouw
project uit de markt.
Vaak
worden risico’s gebruikt om een budget voor onzekerheden te bepalen. Een veel
gebruikte methode is dan om per risico de kans van optreden met de kosten van de
gevolgen te vermenigvuldigen. Vervolgens worden de verkregen bedragen bij elkaar
opgeteld. Het resulterende bedrag is dan het risicobudget.
Ik
hecht daar niet veel waarde aan. Heb je een risico met een kans van 1%, maar met
een gevolg van EUR 1.000.000,-, dan heb je daarvoor dus een risicobudget van EUR
1.000,-. Doet het risico zich voor, dan heb je dus niets aan je budget, het is
veel te klein. Pas bij een groot aantal projecten, een echte portefeuille, kan
een dergelijke risicobudget gemiddeld uitkomen. Dan is het op portefeuilleniveau
zinvol.
Voor
het bepalen van de post “onvoorzien” in de raming heeft het ook weinig zin.
Soms komt uit een benadering zoals hiervoor geschetst een dermate laag
risicobudget dat het absoluut niet spoort met ervaringsgetallen voor die soort
projecten. Vertrouw dan maar op de ervaringsgetallen.
Verder
is het een gegeven dat geïdentificeerde risico’s zelf juist niet onvoorzien
zijn. Ze zijn juist voorzien, alleen de kans dat ze zich voordoen verschilt. Het
is een illusie dat zich naast geïdentificeerde risico’s geen onvoorziene
zaken meer voor zouden kunnen doen. Wie dat denkt: droom zacht. Het is eerder
een gegeven dat je bij langlopende complexe projecten altijd een of meer zaken
zal tegenkomen die niemand had voorzien, ook niet in de vorm van risico’s. Een
post “onvoorzien” blijft dus een noodzaak.
November 2004, uitgebreid in juni 2011,
augustus 2012, februari 2013 en maart 2013
Toevoeging 4 september
2011
By "watching"
your risks, are you effectively reducing them or are you giving yourself the
feeling that you are doing your duty? Are you like a chief executive officer or
just an observing press officer? Is such illusion of control harmful?
Uit: Fooled
by Randomness,
Nassim Nicholas Taleb. Boekbespreking
van dit boek.
Toevoeging 19 mei 2013
Willen
we het resultaat van een project graag realiseren, dan moeten we (meer) risico's
accepteren. Zijn de risico's te groot ten opzichte va de verwachte voordelen,
dan moeten we het project niet uitvoeren.
Psychologists have learned a fair amount about risk. We now know that people
will accept a thousand times as much risk for technologies or situations that
are voluntary rather than mandatory. You don’t have a choice where you get
your tap water, so you are less tolerant in regard to its safety than you might
be from using a cell phone of your choice. We also know that acceptance of a
technology’s risk is proportional to its corresponding perceived benefits.
More gain is worth more risk. And, finally, we know that the acceptability of
risk is directly influenced by how easy it is to imagine both the worst case and
the best benefits, and that these are determined by education, advertising,
rumor, and imagination. The risks that the public thinks are most significant
are those in which it is easy to think of examples where the risk comes to
fruition in a worst-case scenario. If it can plausibly lead to death, it’s
“significant.”
Uit: What
Technology Wants, Kevin Kelly. Boekbespreking
van dit boek.
Toevoeging 9 december
2013
In zekere zin geldt het volgende voor alle
projecten. Want wie kan pretenderen dat er in zijn project geen "unforeseeable
uncertainties" zijn?
In particular Christoph
Loch and its colleagues demonstrate the irrelevance of traditional risk
management techniques in project confronted to what they called unforeseeable
uncertainties. Indeed in this situation where unknown unknowns may appear,
it’s impossible to anticipate the risks and thus to prepare beforehand.
Bron: Lenfle, S., 'Toward a genealogy of
project management: Sidewinder and the management of exploratory projects',
paper EGOS 2012 Conference, juli 2012
Toevoeging 23 augustus
2014
Dobelli stelt in het "De kunst van
het verstandige handelen" enkele behartenswaardige zaken over
onzekerheid/ambiguïteit en risico’s. Eerst het verschil. Van een risico weten
we dat het zich met een bepaalde kans kan voordoen en we kennen de gevolgen. We
kunnen vaststellen of we dit risico durven te nemen of niet. Onzekerheden vallen
daarbuiten, onzekerheden vallen in het terrein van het onbekende. "Met
risico kun je rekening houden, met onzekerheid niet."
Maar we hebben liever met bekende waarschijnlijkheden te maken dan met het
onbekende.
"Daarom proberen we ambiguïteit in de categorie van het risico te
dwingen, waar ze eigenlijk helemaal niet past.”
Citaten uit: De
kunst van het verstandige handelen, Rolf Dobelli . Boekbespreking
van dit boek. Dit
boek bij managementboek.nl en bij
bol.com.
Toevoeging 11 juli 2015
Uitspraak Karel de Bakker over waar het echt
om gaat bij risicomanagement:
"Wat kan ons tegenhouden in het bereiken van onze doelstellingen. En wat kunnen we daar aan
doen?"
Toevoeging 11 oktober 2015
Karel de Bakker heeft wetenschappelijk
onderzoek gedaan naar de effectiviteit van risicomanagement. De resultaten van
zijn onderzoek (vastgelegd in
Aanvullende informatie op deze website
Projectcontrol
Over de projectbeheersingsfunctie.
Projectcontroller
Over de rol van de projectcontroller.
Het niet planbare
Over onverwachte zaken, calamiteiten en hoe daarmee om te gaan.
Fouten,
risico's en onvoorzien
Over overmoed, volatiliteit en fragiliteit.
Innovatie
Innovatie en projecten, een onmogelijke combinatie?
Mintzberg en projectmanagement
Over het artikel van Mintzberg: "The Managers Job:
Folklore and Fact" en de implicaties daarvan voor projectleiders,
opdrachtgevers en projectmatig werken in het algemeen.
Sunk Costs
Over besluitvorming bij projecten met grote kostenoverschrijdingen.
Fouten, risico's en onvoorzien
Over overmoed, volatiliteit en fragiliteit.
Nul scenario's
Hoe maak je duidelijk wat er gebeurt, wanneer er geen besluit wordt genomen?
Maginotlinie
Waarom "lessons learned" slechts schijnveiligheid genereren.
Aanvullende informatie op internet
http://www.risnet.nl/inhoud_ankers.asp?id=42
De hoofdstappen van het risicomanagementproces op de website van het
Kennisnetwerk Risicomanagement Risnet.
www.risman.nl
Website over de RISMAN-methode.
http://markensteijn.com/cgi-bin/weblog_basic/index.php?p=493
Opdracht geven zonder risico?
http://markensteijn.com/cgi-bin/weblog_basic/index.php?p=1936
Risicogestuurd projectmanagement?
http://markensteijn.com/cgi-bin/weblog_basic/index.php?p=2241
Risicosturing en wetgeving.
http://www.debee.nl/downloads/Dialogue-on-Risk-1st-edition.pdf
"Dialogue on Risk", Karel de Bakker.
Algemene informatie
Nassim Nicholas Taleb, The
Black Swan, Random House, 2007 (Dit
boek op bol.com en op
managementboek.nl)
Boekbespreking
The Black Swan: http://markensteijn.com/cgi-bin/weblog_basic/index.php?p=966
Nassim Nicholas Taleb, Antifragile
Random
House, 2012 (Dit
boek op bol.com en op
managementboek.nl)
Boekbespreking Antifragile:
http://markensteijn.com/cgi-bin/weblog_basic/index.php?p=1308
Rolf Dobelli, De
kunst van het verstandige handelen.
Boekbespreking van De kunst van het
verstandige handelen: http://markensteijn.com/cgi-bin/weblog_basic/index.php?p=1740
