Een risico is geen issue en omgekeerd
Een factor die veel project managers stiefmoederlijk behandelen is het beheren van risico's. De meeste project managers weten dat het beheren van risico's een erg belangrijke taak is in een project, maar meestal wordt er weinig tijd en moeite aan gespendeerd. Constraints zoals tijd, scope en budget hebben een directe impact op een project en een risico niet. Toch is dit een verkeerde instelling, want zoals het bekende spreekwoord luidt: voorkomen is beter dan genezen.
Er bestaat veel onduidelijkheid over wat juist een issue en een risico is. Een issue is een probleem waarmee de project manager te kampen heeft in een project. Dit kan zijn dat een teamlid onverwacht ziek wegvalt, de infrastructuur het plots niet meer doet of een onderdeel dat niet meer in voorraad is. Praktisch alles kan een issue zijn en hier komt het probleemoplossende vermogen van de project manager aan te pas. Een risico daarentegen is een gebeurtenis die niet vaststaat, maar kan gebeuren. Als een belangrijk teamlid al ettelijke dagen met een lopende neus rondwandelt, weet je dat die ziek kan vallen. Risk management gaat dus over het anticiperen op mogelijke gebeurtenissen en hoe je hier het best op reageert. Des te vroeger je kan anticiperen op een risico, des te groter het profijt. Een proactieve ingesteldheid is dus een onontbeerlijke kwaliteit van een project manager als het aankomt op risk management.
Niet enkel voor negativisten
Risico's hebben een negatieve bijklank en in de realiteit hebben de meeste risico's ook een negatief karakter. Zij worden threats (dreigingen) genoemd, maar er bestaan ook positieve risico's en die worden opportunities (opportuniteiten) genoemd. Een threat is bijvoorbeeld de duurder wordende olieprijzen en voor een project kan olie een erg belangrijke bron van input zijn. Een oplossing voor dit risico is bijvoorbeeld gebruik maken van hedging. Een opportuniteit kan zijn dat een project nood heeft aan een transportmiddel en wanneer het autosalon plaatsvindt, krijg je in die periode een fikse korting. Dit is dus ook een risico, maar dan één met een positief karakter.
Elk risico, of het nu een threat of opportunity is, wordt getaxeerd op twee kenmerken: probabiliteit en impact. De probabiliteit meet de kans in welke mate het risico zich zal voordoen en de impact meet de kracht van het risico wanneer het zich voordoet. Aan de hand van een vermenigvuldiging van deze twee factoren wordt de urgentie van een risico bepaald. De meest dringende risico's worden eerst behandeld en hiervoor wordt een actie geïmplementeerd. Het is echter belangrijk om te weten dat de meeste risico's niet volledig kunnen worden geëlimineerd. Aan het resterende deel van dit risico kan je weinig anders doen dan aanvaarden of je moet heel het gehele risico vermijden.
Strategie
Zodra een project begint, is het raadzaam een risk strategy of een risk plan op te stellen. In de praktijk wordt dit amper gedaan omdat risk management nog vrij onvolwassen is in meeste bedrijven. Wanneer een bedrijf of een programma al een risk strategy of plan heeft, kan dit worden overgenomen voor een project. Indien dit niet het geval is, loont het de moeite om op een bondige manier samen te vatten wat risico's precies zijn, hoe men er dient mee mee om te gaan, welke verantwoordelijkheden er zijn, in welke categorieën ze kunnen ingedeeld worden, de toleranties voor risico's en hoe risico's worden opgevolgd en gecommuniceerd. Dit lijkt op het eerste gezicht een nutteloze oefening van bladvulling, maar het maakt de leden van een projectteam wel bewust van hoe er met risico's dient om te gaan. Het is niet de bedoeling dat dit een dode letter blijft, maar de project manager dient het belang van risk management te onderstrepen bij de kick-off meeting.
Eén van de belangrijkste documenten bij een project is het risk register en dit dient bij de aanvang van een project te worden aangemaakt. Het risk register verzamelt alle risico's en geeft daarnaast nog andere informatie: wie het risico heeft ingevoerd, wanneer het was ingevoerd, risicocategorie, beschrijving van het risico, probabiliteit en impact, actie op het risico, status van het risico, wie beheert het risico en wie neemt actie op het risico. Het is van cruciaal belang dat alle teamleden gemachtigd zijn om het risk register te gebruiken. Enkel op deze manier kan gewaarborgd worden dat alle risico's worden geïdentificeerd en behandeld. Het risk register is zo belangrijk omdat dit document gebruikt wordt om risico's te identificeren, te behandelen, op te volgen en af te sluiten. Het is dus met andere woorden het kloppende hart van het risk management in een project.
Risico's identificeren
Wanneer een risk strategy of plan is gecreëerd, volgt er een continu proces van risico's identificeren, evalueren, acties bedenken, deze acties implementeren, de status van risico's opvolgen en alle acties communiceren. Dit klinkt als een goed gevulde boterham, maar in de praktijk gaat dit vliegensvlug. De eerste stap is dus het identificeren van risico's. Deze risico's kunnen van alle hoeken en kanten komen: van stakeholders over gebruikers tot de leden van het project zelf. Elk risico kan een divers karakter hebben, maar meestal zijn ze gelinkt aan de triple constraint: tijd, budget en scope. Documenten die handig zijn bij het bedenken van risico's zijn het projectplan en lessons learned van vorige projecten. Er kunnen ook risk workshops of brainstorm sessies worden geïdentificeerd om risico's te identificeren, hoewel dit niet vaak wordt gedaan. Belangrijker is om alle projectleden toe te laten een risico in te voeren in het risk register omwille van de eerder vermelde redenen.
Evalueren
De criteria probabiliteit en impact verdienen veel aandacht, want zij bepalen de urgentie van een risico. Het risk register wordt meestal periodiek besproken (tijdens de wekelijkse project meeting) en het is belangrijk dat de project manager de urgentie van nieuw geïntroduceerde risico's verifieert met andere projectleden. Zodoende worden risico's geprioriteerd. Andere, minder belangrijke risico's mogen echter niet uit het oog worden verloren, dus is het ook raadzaam om deze te overlopen, maar dan misschien minder courant (één keer om de twee weken bijvoorbeeld).
Een manier om te bepalen welke risico's eerst worden bepaald, is een probability and impact matrix. Op de horizontale as staat de impact en op de verticale as de probabiliteit. Een vermenigvuldiging van deze twee factoren, bepaalt de urgentie van een risico. Deze matrix bestaat voor zowel threats als opportunities. Aan de uitkomst van deze vermenigvuldiging kan een actieplan zijn gekoppeld. Wanneer een risico een heel erg grote probabiliteit en impact heeft, kan een project manager beslissen om dit risico te vermijden (in bovenstaande matrix zouden alle risico's die in het rode vlak komen, worden vermeden). Risico's met een lage urgentie (groene zone) kunnen ddan bijvoorbeeld tweewekelijks worden besproken
Reageren en implementeren
In deze fase wordt de aard van het risico onderzocht om hier een antwoord op te bedenken. Prince2 en PMBoK delen threats en opportunities in een aantal categorieën. Voor threats zijn dit avoid, reduce, transfer, share en accept. Voor opportunities zijn dit exploit, enhance, share en reject. Elke categorie heeft een andere strategie om te antwoorden op een risico. Avoid is het project wijzigen zodat het risico zich niet meer voordoet, reduce probeert om de impact of probabiliteit van een risico te verminderen, transfer beoogt het verhuizen van een risico naar een andere partij (gebeurt vooral bij financiële zaken, bv. een verzekering) en share deelt de verantwoordelijkheid van een risico over twee of meerdere partijen. Exploit zorgt ervoor dat het risico zich zeker zal voordoen, enhance verhoogt de probabiliteit of impact van het risico en reject is een besluit om het risico niet te nemen.
Fallback plans worden gebruikt wanneer het eerste antwoord op een risico niet lukt. Een bouwondernemer kan een verzekering nemen wanneer een werknemer schade berokkent bij een derde partij (het transfereren van een risico). Wanneer de schade niet wordt gedekt door de verzekering, kan de project manager een apart budget vrijmaken om dit soort risico's te dekken. Dit is dan een fallback plan. Een ander soort risico is een secundair risico dat ontstaat wanneer een antwoord op een risico wordt geïmplementeerd. Wanneer een bouwondernemer een verzekering afsluit, bestaat er het risico dat dit contract minder punten dekt dan bij andere verzekeraars. Het secundaire risico is dan dat minder schadegevallen door deze verzekering worden gedekt.
Het is nuttig om al deze manieren te kennen hoe je op een risico kan reageren, maar in de praktijk prevaleert vooral het gezond verstand. Meestal volstaat het om naar de oorzaak van een risico te kijken om te bedenken hoe je hier op kan reageren. Verreweg de meeste risico's zijn gerelateerd aan mogelijke ongemakken in een project of de beperkingen van de triple constraints (budget, scope en tijd). Er bestaat geen toverformule om een vlekkeloze implementatie van een antwoord op een risico te garanderen, maar een gestructureerde aanpak kan al veel helpen. Gebruik het risk register actief om een antwoord te formuleren, zodat iemand het antwoord ook daadwerkelijk kan implementeren. Achteraf kan het risk register worden gebruikt om te verifiëren of de persoon in kwestie daadwerkelijk actie heeft ondernomen. Dit neemt niet veel tijd in beslag, maar het is vooral een kwestie om een projectteam hier op te trainen, zodat het routine wordt.
Communiceren en opvolging
Wanneer een antwoord op een risico is geïmplementeerd, betekent dit niet het einde van dit risico. Er moet immers gecontroleerd worden dat de actie daadwerkelijk heeft geholpen. Meten is weten en dat geldt zeker bij deze controles. Project managers zijn misschien iets te dol op metrieken, maar in dit geval is het wel een absolute noodzaak. Wanneer er geen metrieken worden gebruikt, bestaat er immers het gevaar dat een gevolg van een risico is weggenomen, maar niet de oorzaak. Metrieken kunnen niet altijd gebruikt worden, maar voor risico's gerelateerd aan de triple constraints is dit meer dan wenselijk wil je een project onder controle houden. Een veel gebruikte methode is de variatieanalyse die de baselines van een project vergelijkt met de huidige waarden (bv. huidige voortgang van een project vs geplande voortgang van een project).
Projectrisico's kunnen een grote impact hebben en daarom is het handig dat elk lid van het projectteam op de hoogte is van de risico's. Een risk register geeft iedereen transparantie over de status van risico's. Risico's worden ook wekelijks besproken op project meetings, maar deze vergaderingen hebben de neiging om lang aan te slepen. Daarom is het aangeraden om enkel de meest urgente risico's te behandelen en de minder belangrijke risico's bijvoorbeeld om de twee, drie of vier weken. In de voortgangsrapporten wordt beschreven hoe risico's zijn aangepakt en wat het effect is van een actie. Zo weet de executive en/of program manager of er nog grote risico's zijn in het project. Tot slot worden de belangrijkste risico's en de antwoorden erop beschreven in een lessons learned. Zo kunnen gelijkaardige risico's in de toekomst op een gelijkaardige manier worden behandeld en hoeft een project manager het wiel niet opnieuw heruit te vinden. Natuurlijk geldt het omgekeerde ook: een lessons learned kan een waardevolle bron van informatie zijn hoe je een bepaald risico aanpakt.
Geen opmerkingen:
Een reactie posten