RISMAN-methodiek
Basisprincipes van risicomanagement
Risicomanagement bij programma en projecten betekent het “systematisch toepassen van activiteiten met betrekking tot communicatie, overleg, vaststelling van de context voor het identificeren, analyseren, evalueren behandelen, monitoren en beoordelen van risico’s.”
Risico = het effect van onzekerheid op het behalen van doelstellingen.
De belangrijkste doelstellingen van risicomanagement zijn:
• Beter integraal/bestuur/management
• Betere financiële prestaties
• Betere reputatie
• Naleving van wet- en regelgeving
• Reductie van verliezen
• Verbetering van bestuur en de interne beheersing
RISMAN-methodiek
De projecten van het programma werken volgens de RISMAN-methode. Binnen een risicomanagement-proces worden vier fasen onderscheiden. Dit zijn: risico’s inventariseren, risico’s kwantificeren en analyseren, formuleren beheersmaatregelen voor de risico’s en het monitoren en evalueren van de risico’s.
1. Risico's inventariseren
Voor het inventariseren van de risico’s wordt het doel van de risicosessie bepaald. Vervolgens wordt de scope met bijbehorende uitgangspunten vastgesteld. Dit is van belang omdat een project, net als de risicolijst, dynamisch is.
Een risicoanalyse dient plaats te vinden bij de start van een nieuwe projectfase.
Bij het inventariseren van de risico’s wordt vanuit verschillende invalshoeken naar de verschillende op te leveren onderwerpen c.q. productieonderdelen gekeken. Als leidraad voor de inventarisatie kan een risicoanalysekader gehanteerd worden. De doelstelling van de sessie bepaalt welk analysekader wordt gebruikt. Het analysekader is opgesteld om de scope en diepgang van de risicoanalyse af te kaderen en de risico’s op systematische wijze te kunnen inventariseren. Zo wordt vanuit verschillende invalshoeken naar de onderdelen van het project gekeken.
Risico’s voor het risicodossier worden geformuleerd in termen van Incident – Oorzaak – Gevolg.
Klik hier voor een voorbeeld van een RISMAN-risicoanalysekader.
2. Kwantificeren en analyse
Om tot een overzicht te komen van de belangrijkste risico’s worden alle risico’s gekwantificeerd door de kans van optreden en de bijbehorende gevolgen in ten minste tijd en geld in te schatten. Optionele gevolgklassen zijn gevolgen voor kwaliteit, imago of veiligheid.
Eerst wordt het effect van het risico ingeschat als “worst case scenario” en vervolgens de bijbehorende kans van optreden.
De directe gevolgen voor tijd en geld worden apart van elkaar ingeschat. De gevolgen voor de cashflow kunnen in tweede instantie en naar aanleiding van de risico’s natuurlijk wel worden ingeschat door middel van een aparte analyse.
Allocatie is onderdeel van de analyse
Risicoallocatie is het toedelen van de verantwoordelijkheid voor een risico aan een contractspartij. Dat wil zeggen dat die partij verantwoordelijk wordt voor het beheersen van dat risico en ook de gevolgen draagt indien het risico zich voordoet.
Niet alle risico’s zijn vrijelijk overdraagbaar tussen opdrachtgever en opdrachtnemer. Er zijn risico’s die “van nature” of vanuit wet- en regelgeving bij de (publieke) opdrachtgever horen. Denk aan risico’s die direct samenvallen met een publiekrechtelijke taak: droge voeten, veiligheid. Denk ook aan risico’s waarvan de gevolgen zodanig groot kunnen zijn dat die door een private opdrachtnemer simpelweg niet te dragen of tegen een redelijke prijs te verzekeren zijn: zoals risico’s in de ondergrond.
Het heeft geen zin om als opdrachtgever te betalen voor het laten beheersen van een risico door een opdrachtnemer, indien die opdrachtgever uiteindelijk toch verantwoordelijk en aansprakelijk is voor de negatieve gevolgen.
Benoemen risico-eigenaren is onderdeel van “analyse”
Zodra helder is welke contractpartij verantwoordelijk is voor het risico als het optreedt, kunnen de risico-eigenaren worden benoemd. Een risico-eigenaar heeft mandaat om het risico te beïnvloeden. De risico-eigenaar hoeft geen lid te zijn van het project- of programmateam. Wel is het een persoon binnen de organisatie van de verantwoordelijke contractpartij. De risico-eigenaar is verantwoordelijk voor het bedenken en uitvoeren van de beheersmaatregel. Hij kan een actiehouder benoemen voor het uitvoeren van de acties. De actiehouder kan een persoon zijn buiten de organisatie van de verantwoordelijke contractpartij.
3. Formuleren beheersmaatregelen
De beheersmaatregelen en de daarbij behorende kosten worden geformuleerd voor de belangrijkste risico’s. Een risico kan een proactieve of een reactieve beheersmaatregel hebben. Door de oorzaak te elimineren van een risico wordt het risico vermeden (proactief). Door een beheersmaatregel op de oorzaak te zetten kan de kans dat het risico optreedt worden verminderd (proactief). Door een beheersmaatregel op het gevolg van het risico te zetten kan het negatieve effect van het risico op het project worden verminderd (reactief).
Zodra beheersmaatregelen zijn benoemd worden de actiehouders aangewezen voor de uitvoering van de beheersmaatregelen. Beheersmaatregelen worden SMART geformuleerd en hebben een deadline. Bij het formuleren van beheersmaatregelen kan als denkmodel gebruik gemaakt worden van de afbeelding hiernaast met beheersopties.
4. Monitoren en evalueren
De adviseur risicomanagement monitort het uitvoeren van de beheersmaatregelen. Verder evalueert de adviseur risicomanagement het risicodossier met het IPM-team. Het risicodossier is net zo dynamisch als het project. Voortschrijdend inzicht of wijzigingen in scope, tijd of geld hebben direct invloed op het risicoprofiel. Beheersmaatregelen zijn uitgevoerd en hebben mogelijk impact gehad. Sommige risico’s zijn inmiddels wellicht niet meer van toepassing en er kunnen nieuwe risico’s zijn ontstaan. Alle mutaties worden in de risicoanalyse bijgewerkt in een actueel risicodossier.