Van tob- naar toprisico’s door het toepassen van een goede beheersstrategie
Van de risicomanager wordt verwacht dat hij/zij de toprisico’s in beeld brengt. In 9 van de 10 gevallen zijn de toprisico’s de risico’s met de hoogste risicoscore in het risicodossier. Dat wil zeggen waarschijnlijkheid van optreden vermenigvuldigd met de impact. Echter geeft dit wel het juiste beeld van wat de toprisico’s zijn? Vanuit het risicomanagement zie ik een drietal redenen dier ervoor zorgen dat niet de juiste toprisico’s in beeld zijn:
1. Het niet voeren van een duidelijke bewust gekozen beheersstrategie;
2. Het niet relateren van risico’s aan doelstellingen
3. De semi-kwantitatieve methode
Kunnen we hiervoor een goede oplossing bedenken?
Het niet voeren van een duidelijk bewust gekozen beheersstrategie
“Daar hebben we weer die vervelende vent met dat lange lijstje”. Ik denk dat de risicomanager vaak zo wordt getypeerd. Dat ‘te lange lijstje’ is echter vanuit mijn optiek helemaal niet nodig als we bij de (contract-)voorbereiding meer focus hebben voor de gewenste beheersstrategie. De literatuur kent 4 soorten beheersstrategieën te weten: vermijden, beheersen, overdragen en accepteren die een samenhang kennen met de mate van de waarschijnlijkheid van optreden en de impact. In figuur 1 wordt de relatie tussen de waarschijnlijkheid van optreden/ impact en de te voeren beheersstrategie op hoofdlijn weergegeven.
Ik pleit voor meer bewustwording van de te volgen beheersstrategie. Waarom? Heel eenvoudig: hoe vaak hoor je de Opdrachtnemer zeggen ik kan dit risico niet beheersen? Is dit risico voor mij? In mijn optiek komt dit doordat bij het opstellen van een contract te weinig wordt nagedacht over welke partij het beste het risico kan beheersen. Daarnaast ‘last ,but not least’ zie ik in veel risico’s oorzaken welke niet enkel door bijvoorbeeld de Opdrachtnemer te beheersen zijn. Neem bijvoorbeeld de oorzaak Onduidelijke contracteisen bij een risico omtrent het niet op orde hebben van het opleverdossier.
Ook kan door het bewust omgaan met de beheersstrategie, het risicodossier beknopter worden gemaakt. De kleine waarschijnlijkheid van optreden vs. grote gevolg risico’s worden nogal eens in het risicodossier opgenomen. Vaak betreffen het risico’s waar geen/nauwelijks meer beheersmaatregelen voor te treffen zijn. Bijvoorbeeld het risico Opdrachtnemer gaat failliet. Het is zaak dat deze risico’s duidelijk zijn binnen de lijnorganisatie van de Opdrachtgever en dat het klip-en-klaar is dat het project dit risico niet kan dragen. Door ze op te nemen in het risicodossier worden de risico’s ook onderdeel van het risicobudget. En dat is niet juist. Een ding is zeker: als deze risico’s optreden dan is het budget hiervoor niet toereikend. Advies is: bewust met deze risico’s in de lijnorganisatie om te gaan, maar ze niet op te nemen in het risicodossier. Wel is het verstandig dit type risico in de contractvoorbereidingsfase mee te nemen en hier bewust je eisen voor op te stellen (in geval van zorg).
Het kan voorkomen dat het te kostbaar is om maatregelen te treffen om het risico te reduceren. In dat geval zal er binnen de lijnorganisatie een bewuste keuze moeten worden gemaakt of het risico geaccepteerd kan worden. Het advies is om deze risico’s niet (elke keer) op te nemen in de risicodossiers. Wel is het zaak dat mensen zich bewust zijn van deze risico’s en dat ze eventueel een plek krijgen binnen een raming en/of planning, zodat ze inzichtelijk blijven.
Terugkomend op die lange risicolijsten. Door het maken van een keuze omtrent de te voeren beheersstrategie kan de lengte van het risicodossier worden gereduceerd. Tevens kunnen de risico’s die worden overgedragen aan bijvoorbeeld een Opdrachtnemer of verzekeraar worden voorzien van een andere allocatie. Je kan er voor kiezen deze risico’s in beeld te houden, zoals bijvoorbeeld wordt gedaan binnen systeemgerichte contractbeheersing (SCB). Op basis van een risico-tolerantiematrix worden risico’s die belegd zijn bij de Opdrachtnemer getoetst. Advies is deze per gevolg (bijv. Imago, kwaliteit etc.) te bepalen. Immers een risico dat slechts op 1 gevolg scoort zal minder snel in de top 10 terechtkomen dan een risico dat op alle gevolgen scoort.
Het niet relateren van risico’s aan doelstellingen
Naast het onvoldoende voeren van een duidelijke beheersstrategie merk ik dat de risico’s niet gerelateerd worden aan de doelstellingen. We inventariseren, analyseren en actualiseren risico’s, maar op welke (project-)doelstellingen zij invloed hebben is onvoldoende duidelijk. Ik vraag me af of er bij het formuleren van de doelstellingen voldoende is nagedacht over wat men beoogd te bereiken. Dit verklaart wellicht ook waarom doelstellingen vaak niet helder/meetbaar zijn. Wanneer is het nu een succes?
Is het erg dat er geen risico’s hangen aan een doelstelling? Nee dat hoeft niet per definitie erg te zijn, wel is het zo dat er bewust moet worden gekeken of het logisch is dat er geen risico’s aan de specifieke doelstelling te relateren zijn.
De semi-kwantitatieve methode
Voor het kwantificeren van risico’s maken we vaak gebruiken van een semi-kwantitatieve benadering. Dit is namelijk lekker eenvoudig. Bij het kwantificeren van een risico wordt een schatting gemaakt van de kans- en gevolgklassen. Voor de gevolgklassen wordt een inschatting gemaakt voor het effect op het budget, tijd (in relatie tot het behalen van een mijlpaal), kwaliteit, omgeving, veiligheid en imago. Met behulp van de kwantifceringstabellen kunnen de risico’s worden voorzien van een waarschijnlijkheids- en gevolgklassen. Dit resulteert uiteindelijk in een totaalscore van het risico.
Mooi dan kunnen we nu onze toprisico’s in beeld brengen! Maar is dat wel zo? Wat zegt zo’n lijstje?
Nee lijstjes zijn niet mooi, zeker niet omdat risicomanagement vaak met lijstjes wordt geassocieerd. Bij het toepassen van een volledige kwantificering, waarbij de verwachting wordt vermenigvuldigd met een absoluut bedrag of tijd, zou dit zelfs niet mogelijk zijn geweest. Hierdoor is het in dat geval logischerwijs nodig dat toprisico’s per gevolg worden weergegeven. Het gegenereerde lijstje (op basis van de semi-kwantitatieve methode) van toprisico’s heeft een aantal aspecten waar het geen rekening mee houdt:
• Relatie met projectdoelstelling;
• Relatie met risktolerantie;
• De weging van de gevolgklassen is vaak even zwaar (natuurlijk kun je dit wel aanpassen);
• Relatie met fase waarin risico kan optreden;
• Relatie met fase waarin beheersmaatregelen moeten worden getroffen;
• Relatie met risico-allocatie.
Daarnaast constateer ik dat toprisico’s vaak lang bovenaan de lijstjes blijven staan, omdat ze of niet/nauwelijks beheersbaar zijn of dat het containerrisico’s betreffen. Zijn dit nu tob- op toprisico’s?
Hoe lossen we het op?
Het aandacht besteden aan de vraag ‘wat is een toprisico?‘ is 1 maar het bieden van de oplossing is 2. De stappen die ik voorstel:
1. Besteedt aandacht aan de kennis over de doelstellingen: weet iedereen wat de doelstellingen zijn en wat er mee beoogd wordt?
2. Formuleer alleen risico’s die de (project)doelstellingen bedreigen
3. Bepaal wat acceptabel is qua risicoscore. Advies is doe dit per aspect.
4. Bepaal de beheersstrategie/ bepaal welke actor het beste in staat is het risico te beheersen. Sta wel stil bij het feit dat de beheersstrategie overdragen ook een prijs heeft.
5. Maak onderscheid in de fase waarin het risico kan optreden
6. Maak een dashboard waarin niet alleen de toprisico’s op totaal score in beeld worden gebracht maar probeer ook op aspect te rapporteren
7. Maak visueel wat de raakvlakken zijn van de risico’s met de doelstellingen.
Probeer het eens uit, maak jezelf er niet makkelijk van af. Pas een duidelijk gekozen beheersstrategie toe. Bewaak de relatie tussen de projectdoelstellingen en de risico’s en je zult zien dat (op termijn) het risicodossier beknopter is en dat er minder weerstand is tegen het bespreken van de risico’s. Risicomanagement wordt ineens als leuk en effectief beschouwd. Daarnaast kom je mijn inziens nu wel tot een goed antwoord op de vraag over Wat de Toprisico’s zijn.
