Op deze pagina wordt de RIsMAN-methodiek toegelicht, een gestructureerde aanpak voor het in kaart brengen, analyseren en beheersen van risico’s binnen projecten. De methodiek helpt om risico’s op een consistente manier te inventariseren, te kwantificeren en effectief te beheren gedurende de projectlevenscyclus.
Basisprincipes van risicomanagement
Risicomanagement bij programma en projecten betekent het “systematisch toepassen van activiteiten met betrekking tot communicatie, overleg, vaststelling van de context voor het identificeren, analyseren, evalueren behandelen, monitoren en beoordelen van risico’s.”
Risico = het effect van onzekerheid op het behalen van doelstellingen.
De belangrijkste doelstellingen van risicomanagement zijn:
- Beter integraal/bestuur/management
- Betere financiële prestaties
- Betere reputatie
- Naleving van wet- en regelgeving
- Reductie van verliezen
- Verbetering van bestuur en de interne beheersing
De infographic toont een cyclisch proces voor risicomanagement, bestaande uit vier stappen die met pijlen in een gesloten kringloop met elkaar zijn verbonden.
Bovenaan in het midden staat een blauw kader met de tekst “Risico’s inventariseren”. Vanuit dit kader loopt een gebogen rode pijl naar rechts, richting de volgende stap.
Rechts staat een blauw kader met de tekst “Kwantificeren en analyse”. Dit onderdeel gaat over het analyseren en kwantificeren van de geïnventariseerde risico’s. Vanuit dit kader loopt een gebogen rode pijl naar beneden.
Onderaan in het midden staat een blauw kader met de tekst “Formuleren beheersmaatregelen”. Dit geeft aan dat op basis van de analyse maatregelen worden bepaald om risico’s te beheersen. Vanuit dit kader loopt een gebogen rode pijl naar links.
Links staat een blauw kader met de tekst “Monitoren en evalueren”. Dit onderdeel beschrijft het volgen van de risico’s en de effectiviteit van de genomen maatregelen. Vanuit dit kader loopt een gebogen rode pijl omhoog, terug naar “Risico’s inventariseren”.
De pijlen geven aan dat risicomanagement een doorlopend en herhalend proces is. Na het monitoren en evalueren worden risico’s opnieuw geïnventariseerd, waarna de cyclus opnieuw begint. De infographic benadrukt daarmee dat risicomanagement geen eenmalige activiteit is, maar een continu proces van bijstellen en verbeteren.
RISMAN-methodiek
De projecten van het programma werken volgens de RISMAN-methode. Binnen een risicomanagement-proces worden vier fasen onderscheiden. Dit zijn: risico’s inventariseren, risico’s kwantificeren en analyseren, formuleren beheersmaatregelen voor de risico’s en het monitoren en evalueren van de risico’s.
1. Risico's inventariseren
Voor het inventariseren van de risico’s wordt het doel van de risicosessie bepaald. Vervolgens wordt de scope met bijbehorende uitgangspunten vastgesteld. Dit is van belang omdat een project, net als de risicolijst, dynamisch is.
Een risicoanalyse dient plaats te vinden bij de start van een nieuwe projectfase.
Bij het inventariseren van de risico’s wordt vanuit verschillende invalshoeken naar de verschillende op te leveren onderwerpen c.q. productieonderdelen gekeken. Als leidraad voor de inventarisatie kan een risicoanalysekader gehanteerd worden. De doelstelling van de sessie bepaalt welk analysekader wordt gebruikt. Het analysekader is opgesteld om de scope en diepgang van de risicoanalyse af te kaderen en de risico’s op systematische wijze te kunnen inventariseren. Zo wordt vanuit verschillende invalshoeken naar de onderdelen van het project gekeken.
Risico’s voor het risicodossier worden geformuleerd in termen van Incident – Oorzaak – Gevolg.
2. Kwantificeren en analyse
Om tot een overzicht te komen van de belangrijkste risico’s worden alle risico’s gekwantificeerd door de kans van optreden en de bijbehorende gevolgen in ten minste tijd en geld in te schatten. Optionele gevolgklassen zijn gevolgen voor kwaliteit, imago of veiligheid.
Eerst wordt het effect van het risico ingeschat als “worst case scenario” en vervolgens de bijbehorende kans van optreden.
De directe gevolgen voor tijd en geld worden apart van elkaar ingeschat. De gevolgen voor de cashflow kunnen in tweede instantie en naar aanleiding van de risico’s natuurlijk wel worden ingeschat door middel van een aparte analyse.
Allocatie is onderdeel van de analyse
Risicoallocatie is het toedelen van de verantwoordelijkheid voor een risico aan een contractspartij. Dat wil zeggen dat die partij verantwoordelijk wordt voor het beheersen van dat risico en ook de gevolgen draagt indien het risico zich voordoet.
Niet alle risico’s zijn vrijelijk overdraagbaar tussen opdrachtgever en opdrachtnemer. Er zijn risico’s die “van nature” of vanuit wet- en regelgeving bij de (publieke) opdrachtgever horen. Denk aan risico’s die direct samenvallen met een publiekrechtelijke taak: droge voeten, veiligheid. Denk ook aan risico’s waarvan de gevolgen zodanig groot kunnen zijn dat die door een private opdrachtnemer simpelweg niet te dragen of tegen een redelijke prijs te verzekeren zijn: zoals risico’s in de ondergrond.
Het heeft geen zin om als opdrachtgever te betalen voor het laten beheersen van een risico door een opdrachtnemer, indien die opdrachtgever uiteindelijk toch verantwoordelijk en aansprakelijk is voor de negatieve gevolgen.
Benoemen risico-eigenaren is onderdeel van “analyse”
Zodra helder is welke contractpartij verantwoordelijk is voor het risico als het optreedt, kunnen de risico-eigenaren worden benoemd. Een risico-eigenaar heeft mandaat om het risico te beïnvloeden. De risico-eigenaar hoeft geen lid te zijn van het project- of programmateam. Wel is het een persoon binnen de organisatie van de verantwoordelijke contractpartij. De risico-eigenaar is verantwoordelijk voor het bedenken en uitvoeren van de beheersmaatregel. Hij kan een actiehouder benoemen voor het uitvoeren van de acties. De actiehouder kan een persoon zijn buiten de organisatie van de verantwoordelijke contractpartij.
3. Formuleren beheersmaatregelen
De beheersmaatregelen en de daarbij behorende kosten worden geformuleerd voor de belangrijkste risico’s. Een risico kan een proactieve of een reactieve beheersmaatregel hebben. Door de oorzaak te elimineren van een risico wordt het risico vermeden (proactief). Door een beheersmaatregel op de oorzaak te zetten kan de kans dat het risico optreedt worden verminderd (proactief). Door een beheersmaatregel op het gevolg van het risico te zetten kan het negatieve effect van het risico op het project worden verminderd (reactief).
De infographic toont een schema dat verschillende manieren van omgaan met een risico weergeeft. Links staat een wit kader met rode rand met de tekst “Risico”. Vanuit dit kader lopen twee pijlen naar rechts, die het risico opsplitsen in twee hoofdkeuzes: zelf dragen of overdragen.
Zelf dragen
De bovenste pijl vanuit “Risico” leidt naar een blauw kader met de tekst “Zelf dragen”.
Vanuit dit kader vertakken drie pijlen naar drie blauwe kaders, die de mogelijke strategieën bij zelf dragen weergeven:
- Vermijden
- Verminderen
- Accepteren
Bij de strategie Verminderen lopen aanvullende pijlen naar twee blauwe kaders rechts daarvan:
- Oorzaak
- Gevolg
Dit geeft aan dat bij het verminderen van een risico kan worden ingegrepen op de oorzaak van het risico of op het gevolg ervan.
Overdragen
De onderste pijl vanuit “Risico” leidt naar een rood kader met de tekst “Overdragen”. Vanuit dit kader vertakken drie pijlen naar drie rode kaders, die aangeven aan wie het risico kan worden overgedragen:
- Verzekeren
- OG / partner (opdrachtgever of partner)
- Opdrachtnemer
De infographic laat hiermee zien dat een risico óf binnen de eigen organisatie wordt gehouden, met verschillende manieren om ermee om te gaan, óf wordt overgedragen aan een andere partij via verzekering, samenwerking of contractuele afspraken.
Het schema maakt duidelijk dat de keuze voor een risicostrategie bepalend is voor wie het risico draagt en op welke manier het wordt beheerst of afgedekt.
Zodra beheersmaatregelen zijn benoemd worden de actiehouders aangewezen voor de uitvoering van de beheersmaatregelen. Beheersmaatregelen worden SMART geformuleerd en hebben een deadline. Bij het formuleren van beheersmaatregelen kan als denkmodel gebruik gemaakt worden van de afbeelding hiernaast met beheersopties.
4. Monitoren en evalueren
De adviseur risicomanagement monitort het uitvoeren van de beheersmaatregelen. Verder evalueert de adviseur risicomanagement het risicodossier met het IPM-team. Het risicodossier is net zo dynamisch als het project. Voortschrijdend inzicht of wijzigingen in scope, tijd of geld hebben direct invloed op het risicoprofiel. Beheersmaatregelen zijn uitgevoerd en hebben mogelijk impact gehad. Sommige risico’s zijn inmiddels wellicht niet meer van toepassing en er kunnen nieuwe risico’s zijn ontstaan. Alle mutaties worden in de risicoanalyse bijgewerkt in een actueel risicodossier.