Risicomanagement niet tot project beperken
Pleidooi voor organisatiebrede inbedding
Kent u projecten waarbij vooraf al alles vaststaat? Nee, dan moeten we het eens hebben over risicomanagement. Governance en projectmanagement introduceren risicomanagement in verschillende vormen binnen vele sectoren als een belangrijke tool om de organisatie of projecten ‘in control’ te brengen. Het werkt, maar is geen wondermiddel.
Tijd- en budgetoverschrijdingen komen nog steeds voor. Kijk maar naar grote infraprojecten. Ook in kleinere projecten die dagelijks in organisaties worden uitgevoerd, is dat het geval. De vraag rijst dan ook wat ervoor nodig is om projecten wel in control te krijgen. Risicomanagement kan de projectbeheersing ondersteunen.
Controle of beheersing is een subjectief begrip, geen objectief gegeven. Totale controle is Utopia! Toch is risicomanagement het instrument bij uitstek om een grote bijdrage te leveren aan het beheerÂsen van een project. Om effectief te zijn dient er echter wel wat te veranderen. Risicomanagement zou zich niet alleen moeten toespitsen op negatieve zaken (bedreigingen), maar juist ook op positieve (kansen). Het moet meer aansluiten bij organisatiebrede initiatieven en er moet meer aandacht komen voor een goede risicomanagementculÂtuur, namelijk vertrouwen. Vertrouwen, zowel tussen opdrachtgever en opdrachtnemer als binnen het projectteam.
Standaard benadering
De drang naar het in control hebben van projecten wordt steeds groter en de perceptie van beheersing neemt af. Men stuurt op het uitvoeren van alle activiteiten in overeenstemming met de afgesproken opdracht en het afgesproken plan. Steeds meer worden hiervoor standaard projectmethodieken gebruikt, zoals PRINCE2. Deze methodieken kenmerken zich door een procesmatige aanpak van projectmanagement. De processen definiëren de managementactiviteiten die gedurende het project worden uitgevoerd. Daarnaast kennen ze bepaalde componenten die binnen deze activiteiten worden toegepast. Voorbeelden hiervan zijn ‘controls’ en ‘management of risk’. De controls moeten garanderen dat het op elk niveau, voor het eerstvolgend hogere managementniveau mogelijk is om:
– projectvoortgang te monitoren;
– resultaten te vergelijken met het projectplan;
– plannen te reviewen tegen toekomstige situaties;
– problemen te detecteren;
– correctieve acties te initiëren en
– vervolgactiviteiten te autoriseren.
Risicomanagement dient ervoor te zorgen dat bedreigingen geen of geringe invloed hebben op de afgesproken opdracht en het afgesproken plan. Risicoanalyse en risicobeheersing worden als instrumenten gebruikt (zie figuur 1).
Onvolwassen
Figuur 1 komt rechtstreeks uit het PRINCE2-handboek. De afbeelding laat zien dat binnen PRINCE2 het risicomanagementproces éénrichtingsverkeer is. Er is een initiële analyse, maar na het implementeren van de maatregelen wordt niet opnieuw geanalyseerd. Of dit moet verstopt zijn in de kreet beheersing. Het niet herhalen van de risicoanalyse is een fenomeen dat wij vaak aantreffen binnen projecten. Daaruit blijkt de onvolwassenheid van dit proces binnen een methodiek die hoe langer hoe meer wordt toegepast en de facto in veel organisaties als ‘de standaard’ wordt gezien.
Deze strakke benadering van control (alle activiteiten worden uitgevoerd in overeenstemming met de afgesproken opdracht en het afgesproken plan) heeft nog een ander nadeel. Er geen ruimte om op een creatieve manier kansen te benutten die zich gedurende de looptijd van het project voordoen en kunnen helpen bij het realiseren van de projectdoelstellingen. Het op deze manier uitvoeren van het risicomanagementproces schept al helemaal geen ruimte voor identificatie en benutten van kansen.