Project Management

006 Risicomanagement

26 nov 202410 minuten leestijd

Projectmanagement © Hogeschool PXL

OLOD: 42TIN1250 Projectmanagement
Opleiding: Professionele bachelor in de Toegepaste informatica
Departement: PXL-Digital
Lectoren: Lowie Vangaal, Jan Castermans

Inleiding

Het doel van een risicoanalyse is het bepalen van de kans dat een dreiging zich voordoet en de gevolgen daarvan:

DEFINITIE: Risico

Risico = Kans x Gevolg

De risicoanalyse is de eerste stap binnen het risicomanagementproces.

Doel

Een risicoanalyse benoemt bedreigingen en brengt ze in kaart. Per bedreiging wordt de kans van het optreden ervan bepaald en wordt vervolgens berekend wat als gevolg de schade is die op zou kunnen optreden als een bedreiging zich daadwerkelijk voor doet.

Op grond van een risicoanalyse kan je de volgende maatregelen nemen:

  • preventie: het voorkomen dat iets gebeurt of het verminderen van de kans dat het gebeurt;
  • repressie: het beperken van de schade wanneer een bedreiging optreedt;
  • correctie: het instellen van maatregelen die worden geactiveerd zodra iets is gebeurd om het effect hiervan (deels) terug te draaien
  • acceptatie: geen maatregelen, men accepteert de kans en het mogelijke gevolg van een bedreiging;
  • manipulatie: het wijzigen van parameters in de berekening om tot een gewenst resultaat te komen.

De bedoeling van een risicoanalyse is dat er na de analyse wordt vastgesteld op welke wijze de risico’s beheerst kunnen worden, of teruggebracht tot een aanvaardbaar niveau. Daarbij wordt naast een risicoanalyse ook een kosten en baten analyse uitgevoerd. Op voorhand hoeft niet ieder risico te worden afgedekt: wanneer de kosten van de maatregelen om een risico te beperken hoger zijn dan de mogelijke schade, dan kan besloten worden het risico te accepteren. Het permanent uitvoeren van risicoanalyses wordt Risico Management (ook wel Risk Management of Risk Control) genoemd.

Positieve en Negatieve risico’s


Risicomanagement richt zich op het identificeren, beoordelen en prioriteren van risico’s, gevolgd door het coördineren van economische middelen om deze risico’s te minimaliseren, te beheersen of te elimineren. Risico’s kunnen worden beschouwd als kansen (positieve risico’s) of bedreigingen (negatieve risico’s).

Positief risico

Positieve risico’s, ook wel kansen genoemd, zijn onvoorziene gebeurtenissen of omstandigheden die, mochten ze zich voordoen, een gunstig effect op de projectdoelen of bedrijfsdoelstellingen hebben. Positieve risico’s proberen we dus niet te vermijden, maar te omarmen of te versterken, omdat ze kunnen leiden tot betere prestaties of voordelen voor de organisatie.

Voorbeelden van positieve risico’s:

  1. Marktkansen: Een bedrijf zou kunnen ontdekken dat er een aanzienlijke vraag is naar een van zijn bijproducten, wat een nieuwe bron van inkomsten kan worden.
  2. Technologische vooruitgang: Een nieuw softwareplatform kan onverwachts toelaten om processen te verbeteren en daardoor kosten te besparen.
  3. Project versnelling: Tijdens de bouw van een nieuwe faciliteit wordt een effectievere bouwmethode gevonden die de voltooiing van het project zou kunnen versnellen en dat zou kunnen leiden tot een eerder dan verwachte marktintroductie.

Risicostrategie voor positieve effecten

Exploiteren

Of uitbuiten (Engels: Exploit), wat betekent dat je probeert zoveel mogelijk voordeel eruit te halen. Het is het tegenovergestelde van vermijden, dus je maakt juist gebruik van de gebeurtenis.

Je kan ervoor kiezen om de gebeurtenis met de vertraging, eerder aan te aanpakken met andere middelen, zodat je in plaats van 3 weken vertraging, 2 weken eerder gereed bent. Het bijkomende voordeel is dat de kritische gebeurtenis naar voren haalt, zodat je eerder in het proces eventuele tegenvallers kan herstellen indien nodig.

Een voorbeeld van andere middelen, snellere machines, het trainen van het team of een andere logistiek.

Verbeteren

Het verbeteren (Engels: Enhance) is het tegenovergestelde van verminderen. Je kan de oorzaak of het effect verbeteren, zodat er positieve effecten ontstaan.

Zo kan je iedere dag je planning bijstellen met het team, in plaats van wekelijks, zodat je waar nodig het proces kan verbeteren. Dit zou je anders kunnen inrichten, extra machines inzetten of juist minder waardoor je versnelt of minder kosten kwijt bent.

Accepteren

Je accepteert het risico, bijvoorbeeld omdat de beheersmaatregelen geen voordelen bieden. Er is een bereidheid om ervan te profiteren, als de gebeurtenis zich voordoet, zonder hier actief aandacht aan te besteden.

Delen

Het delen (Engels: Share) van een positief effect is het tegenovergestelde van overdragen. Je deelt een gebeurtenis met een positief effect met je partner, omdat je partner beter in staat is om deze gebeurtenis uit te voeren. Dit zijn activiteiten, die een positief effect hebben op de doelstelling.

Negatief risico

Negatieve risico’s, of bedreigingen, zijn daarentegen gebeurtenissen of omstandigheden die, mochten ze zich voordoen, schadelijk zouden zijn voor de projectdoelen of bedrijfsdoelstellingen. Deze risico’s probeert de organisatie te vermijden, te verkleinen of te beheersen.

Voorbeelden van negatieve risico’s:

  1. Marktveranderingen: Veranderingen in consumentenvoorkeuren of nieuwe concurrentie kunnen leiden tot dalende verkoop en winst.
  2. Juridische kwesties: Nieuwe regelgeving kan beperkingen opleggen waardoor de bedrijfsactiviteiten worden beperkt of extra kosten vereist zijn.
  3. Projectvertraging: Tijdens de bouw van een nieuw kantoor kan er een vertraging optreden door een gebrek aan materialen, wat leidt tot kostenoverschrijdingen en gemiste deadlines.

Risicostrategie voor negatieve effecten

Vermijden

Op zijn Engels is dit “Avoid” en dit betekent dat je het risico vermijdt, door de activiteit niet laten plaatsvinden of dat je de oorzaak helemaal elimineert.

Verminderen

Het verminderen van het risico, of het mitigeren (in het Engels mitigate) genoemd. Dit kan op twee manieren:

  1. de oorzaak aanpakken
  2. het effect aanpakken

Accepteren

Je accepteert het risico, bijvoorbeeld omdat de beheersmaatregelen geen voordelen bieden. De baten van de beheersmaatregelen zijn kleiner dan het risico zelf. Of het risico is niet ernstig genoeg etc.

Verzekeren

Je draagt het risico over aan een verzekeringsmaatschappij. Het risico en het effect ervan is te groot om zelf te dragen. In dit geval kan je het overdragen aan een verzekeringsmaatschappij, die hierop een risicoanalyse loslaat. Denk aan een autoverzekering of een zorgverzekering.

Overdragen aan een ander

Je kan het risico en of het effect ervan overdragen aan je partner, klant en/of een andere partij. Het kan dat je partner het risico kan beheersen en/of dragen in welk opzicht dan ook.

Product-en Projectrisico’s

In de context van risicomanagement onderscheiden we productrisico’s en projectrisico’s.

Productrisico’s

Productrisico’s zijn gerelateerd aan de kwaliteit en uitvoering van het uiteindelijke product of de dienst die wordt geleverd. Deze risico’s hebben direct invloed op de bruikbaarheid, veiligheid en klanttevredenheid van het product of de dienst. Als productrisico’s niet goed worden beheerd, kunnen ze resulteren in het falen van het product op de markt, wat kan leiden tot financiële verliezen, reputatieschade en in sommige gevallen juridische gevolgen.

Voorbeelden van productrisico’s:

  1. Technische defecten: Een nieuw ontworpen smartphone kan serieuze hardwareproblemen kennen die tot veel garantieclaims leiden.
  2. Niet-voldoen aan normen: Een voedselproduct dat niet voldoet aan de wettelijke gezondheids- en veiligheidsnormen, kan leiden tot recalls en gezondheidswaarschuwingen.
  3. Verouderdheid: Software die niet regelmatig wordt geüpdatet kan snel verouderen en zijn waarde voor gebruikers verliezen.

Projectrisico’s

Projectrisico’s hebben betrekking op de planning en uitvoering van een project en kunnen van invloed zijn op de oplevering, het budget, de scope en de tijdslijnen. Deze risico’s kunnen de succesvolle voltooiing van een project in de weg staan. Het gaat hier om interne en externe factoren die kunnen leiden tot het niet behalen van projectdoelstellingen.

Voorbeelden van projectrisico’s:

  1. Resource tekort: Onvoldoende gekwalificeerde medewerkers kunnen ertoe leiden dat het project vertraging oploopt of dat het eindproduct niet aan de kwaliteitseisen voldoet.
  2. Budgetoverschrijding: Kostenstijgingen voor materialen of arbeid kunnen het voorgestelde budget overschrijden, waardoor financiële middelen tekortschieten.
  3. Planning en tijdslijnen: Onverwachte vertragingen, zoals slecht weer bij een bouwproject, kunnen leiden tot gemiste deadlines en contractuele boetes.

Effectief risicomanagement vereist dat beide typen risico’s worden geïdentificeerd en beheerd. Bij het managen van productrisico’s is de focus vaak op kwaliteitscontrole en het verzekeren dat het product aan de klantverwachtingen en -eisen voldoet. Bij projectrisico’s ligt de focus op projectmanagement, inclusief tijdbeheer, budgetcontrole, resourceplanning, en communicatie. Beide vormen van risicomanagement zijn essentieel om de kans te vergroten dat een project niet alleen op tijd en binnen het budget wordt voltooid, maar ook dat het eindproduct aan de kwaliteitsstandaarden voldoet en succesvol is in de markt.

Maturiteit van een organisatie

Een organisatie kan zichzelf de vraag stellen: In welke mate voldoet ons risicomanagement aan de doelstellingen van de organisatie over de levenscycli van onze producten?
Afhankelijk van de graad van maturiteit (zie afbeelding ‘Graden van Risicomaturiteit’) zal een organisatie zijn risicobeheer dus anders aanpakken. Het is niet voor elke organisatie passend om het hoogste niveau van volwassenheid na te streven.

GraadUitleg
Niveau 1: Ad hoc Een organisatie die het risicomanagement ad hoc heeft ingericht, reageert op ongunstige gebeurtenissen op het moment dat ze zich voor doen. Risicomanagement vindt veelal incidenteel plaats (vaak na druk van buitenaf). Er is geen sprake van rapportages of van monitoring van risico’s.
Niveau 2: Oriënterend Een organisatie waarbij het risicomanagement in volwassenheidsniveau oriënterend zit, heeft een eerste aanzet gemaakt voor de inrichting van het risicomanagement. De focus ligt daarbij vooral op financiële risico’s en risico’s rond wetgeving. Een kleine groep mensen in de organisatie is zich ervan bewust hoe belangrijk risicomanagement is.
Niveau 3: Basis op ordeEen organisatie die de basis op orde heeft op het gebied van risicomanagement heeft alle elementen in de basis ingericht, maar is nog steeds voornamelijk reactief ten aanzien van risicomanagement. Risicomanagement ligt bij deze organisaties vooral bij het bestuur, het management en de bedrijfsvoering/control. Risicomanagement is nog een losstaand ‘iets’. De verbindingen met strategie en beleid, cultuur en besluitvorming zijn nog beperkt.
Niveau 4: Proactief Organisaties die het volwassenheidsstadium proactief hebben bereikt, hebben een gestructureerd risicomanagementproces op alle niveaus binnen de organisatie. Risicomanagement is een integraal onderdeel van de besluitvorming en belicht zowel kansen als bedreigingen. De risico bereidheid is benoemd, er wordt gebruikgemaakt van scenarioanalyses en er is een koppeling met prestatiemanagement.
Niveau 5: Intelligent Bij organisaties die het hoogste volwassenheidsniveau intelligent realiseren, is risicomanagement volledig geïntegreerd in de besluitvorming en wordt risicomanagement ook gebruikt om vooruit te kijken. Er is sprake van continue en actieve sturing op risico’s op alle niveaus binnen de organisatie. Een aantal sleutelwoorden voor dit soort organisaties is ‘integraliteit, professionaliteit, samenhang en optimalisatie’.

Caption


Afbeelding: Graden van Risicomaturiteit

Risicoanalyse technieken

Inleiding

Een risicoanalyse kan uitgevoerd worden op 2 manieren:

Kwalitatieve methodeKwantitatieve methode
Schattingen makenRisico’s kwantificeren in meetbare criteria,meestal uitgedrukt in financiële gevolgen

Risk Matrix

zie video Risk and How to Use a Risk Matrix

Risicoregister

In de matrix maak je enkele risico’s inzichtelijk. In de volgende fase dienen de risico’s aangepakt te worden. Een organisatie kan hiervoor gebruikmaken van een risicoregister (zie Afbeelding - Het risicoregister). Een risicoregister is een belangrijk onderdeel van elk succesvol risicomanagementproces en helpt mogelijke vertragingen te vermijden die zich bij een project kunnen voordoen.
Het is hierbij mogelijk om prioriteiten en actiepunten in uit te werken. Hoe mitigeer je een probleem? Is er een contingentieplan beschikbaar? Wie is verantwoordelijk voor een bepaald risico en wat is de status van het risico?

Caption


Afbeelding: Het risicoregister

Fault tree analyse

De foutenboomanalyse (Fault Tree Analysis, FTA) is een methode om diepgaand te onderzoeken wat er fout kan gaan met de dienstverlening, het proces of het product.
Bij elke faalvorm wordt de vraag gesteld: wat is de oorzaak? Zo ontstaan er, naar beneden toe, grondoorzaken van de faalvormen van het proces of product. De foutenboomanalyse is handig uit te voeren aan de hand van de functiestructuur, en kan aan de hand van objectieve gegevens de output berekenen van een risico.

Doel en belang

De foutenboom brengt visueel in kaart wat fout kan gaan met het product, en dit door bij elke faalvorm de vraag te stellen: “Hoe komt dit, wat is de oorzaak hiervan?”. Zo wordt een (omgekeerde) boom bekomen, die naar beneden toe de (achterliggende) grondoorzaken van het product toont.

Een opgestelde functiestructuur is handig als basis voor de foutenboomanalyse: bij elk onderdeel of elke functie kan de vraag gesteld worden: “Wat kan hiermee fout gaan?”.

Hoe een foutenboom opstellen?

• Plaats bovenaan de boom een mogelijk defect.
• Geef alle mogelijke oorzaken van het defect aan de hand van logische structuren (EN, OF,…) aan.
• Diep dit uit tot op een niveau dat het probleem duidelijk zichtbaar is. In de volgende stappen wordt bekeken wat het gevolg en de ernst van het probleem is, en worden naar oplossingen gezocht.

Caption


Afbeelding: Een foutenboomanalyse voor een fiets

Bibliografie