Risicoanalyse en -management

Abstract

Risicoanalyse en -management is een belangrijke projectmanagementpraktijk om ervoor te zorgen dat er zo min mogelijk verrassingen optreden terwijl uw project loopt. Hoewel we de toekomst nooit met zekerheid kunnen voorspellen, kunnen we een eenvoudig en gestroomlijnd risicomanagementproces toepassen om de onzekerheden in de projecten te voorspellen en het optreden of de impact van deze onzekerheden te minimaliseren. Dit verhoogt de kans op een succesvolle afronding van het project en vermindert de gevolgen van deze risico’s.

Dit artikel presenteert het gestructureerde Risicomanagementproces dat bij Nokia Siemens Networks wordt gevolgd en dat helpt crisissituaties te voorkomen en lering te trekken uit fouten die in het verleden zijn gemaakt. Het benadrukt dat effectieve en vroegtijdige risico-identificatie en -management het bereiken van projectdoelen veiligstelt, wat leidt tot lagere herbewerkingskosten.

Inleiding

Projectteamleden op verschillende niveaus identificeren en behandelen risico’s in verschillende smaken. Zonder een gestructureerd kader voor risicomanagement is dit echter niet effectief, omdat dit leidt tot:

• Incomplete effectevaluatie, leidend tot verlies van:
  • Kennis van de totale impact op de projectdoelstellingen, zoals scope, tijd, kosten, en kwaliteit
  • Identificatie van secundaire of nieuwe risico’s die voortvloeien uit de reeds geïdentificeerde risico’s
• Tekort aan transparantie en een communicatiekloof binnen en buiten het team

Het is dus zeer belangrijk voor elke projectorganisatie om een effectief risicomanagement raamwerk op te zetten. Het instellen van een dergelijke praktijk als een projectteam cultuur zorgt ervoor:

• Consistente en gerichte risico-identificatie en -management
• Projectvoortgang zoals gewenst, met zo min mogelijk afwijkingen of verrassingen, en in lijn met project- en organisatiedoelstellingen
• Erg vroege en effectieve communicatie van project issues naar organisatie en project stakeholders
• Een effectief team building tool, als team buy-in en acceptatie is verzekerd

Tabel 1 laat zien dat risicomanagement een iteratief proces is en elk facet van risicomanagement moet worden gepland en gevolgd tijdens elke fase van het project.

Het risicomanagementraamwerk dat bij Nokia Siemens Networks wordt gevolgd, biedt richtlijnen voor:

• Continue risico-identificatie
• Risico-evaluatie
• Risicobeperking en definitie van voorzorgsmaatregelen
• Risicobewaking en -beheersing
• Risico-identificatie-efficiëntiemeting

Het risicomanagementraamwerk biedt ook sjablonen en hulpmiddelen, zoals:

• Een risicoregister voor elk project om de geïdentificeerde risico’s en problemen bij te houden
• Een risico-checklist, die een richtlijn is om risico’s te identificeren op basis van de projectlevenscyclusfasen
• Een risicoregister, Dit is een opslagplaats voor alle risico’s die tot nu toe in projecten zijn geïdentificeerd

Raamwerk voor risicomanagement

Raamwerk voor risicomanagement

Het door de organisatie voorgeschreven raamwerk voor risicomanagement wordt herzien en aangepast om het risicomanagementplan voor het project te definiëren wanneer het project wordt gestart. Het risicomanagementplan bevat deze definities en richtlijnen:

• Lijst van mogelijke risicobronnen en -categorieën
• Impact- en waarschijnlijkheidsmatrix
• Risicoreductie- en actieplan
• Contingency plan
• Risicodrempel en metrieken

Risico-identificatie

Risico’s moeten zo vroeg mogelijk in het project worden geïdentificeerd en aangepakt. Risico-identificatie wordt gedaan gedurende de gehele levenscyclus van het project, met speciale nadruk op de belangrijkste mijlpalen.

Risico-identificatie is een van de belangrijkste onderwerpen in de reguliere project status en rapportage vergaderingen. Sommige risico’s kunnen direct duidelijk zijn voor het projectteam – bekende risico’s; andere zullen meer rigoureus te ontdekken zijn, maar zijn nog steeds voorspelbaar.

Het medium voor het vastleggen van alle geïdentificeerde risico’s gedurende het project is het risicoregister, dat wordt opgeslagen in de centrale projectserver.

De volgende hulpmiddelen en richtlijnen worden gebruikt om risico’s te identificeren op een gestructureerde en gedisciplineerde manier, die ervoor zorgt dat geen significant potentieel risico over het hoofd wordt gezien.

1. Risicobronnen

2. Risicocategorie

Risicocategorie geeft een lijst van gebieden die vatbaar zijn voor risicogebeurtenissen. De organisatie beveelt algemene standaard categorieën aan, die moeten worden uitgebreid op basis van het type project.

Risk Analysis

Risk analysis involves examining how project outcomes and objectives might change due to the impact of the risk event.

Als de risico’s eenmaal zijn geïdentificeerd, worden ze geanalyseerd om de kwalitatieve en kwantitatieve impact van het risico op het project vast te stellen, zodat passende stappen kunnen worden ondernomen om ze te beperken. De volgende richtlijnen worden gebruikt om risico’s te analyseren.

3. Waarschijnlijkheid dat risico zich voordoet

1. Hoge waarschijnlijkheid – (80 % ≤ x ≤ 100%)
2. Middelmatige-hoge waarschijnlijkheid – (60 % ≤ x < 80%)
3. Medium-Lage waarschijnlijkheid – (30 % ≤ x < 60%)
4. Lage waarschijnlijkheid (0 % < x < 30%)

4. Risico-impact

1. Hoog – Catastrofaal (Rating A – 100)
2. Medium – Cruciaal (waardering B – 50)
3. Laag – Marginaal (waardering C – 10)

Als leidraad voor de effectclassificatie wordt de volgende matrix gebruikt:

De score vertegenwoordigt de ondergrenzen voor de classificatie van risico’s uitgaande van “normale” omstandigheden. Een opwaardering van de score naar het volgende of zelfs volgende + 1 niveau is noodzakelijk, indien het risico wordt beïnvloed door kritische factoren zoals:

• Hoe belangrijk de specifieke klant is
• Of het project kritisch is voor de verdere ontwikkeling van de relatie met de klant
• Het risico is al in beeld bij de klant
• Specifieke boetes voor afwijkingen van projectdoelen zijn overeengekomen in het contract met de klant

5. Risicoblootstelling

De risicoblootstelling of risicoscore is de waarde die wordt bepaald door vermenigvuldiging van de impactrating met de risicokans, zoals weergegeven in Exhibit 5.

De kleuren geven de urgentie van de risicoresponsplanning weer en bepalen de rapportageniveaus.

6.

6. Tijdsbestek waarbinnen het risico optreedt

Het tijdsbestek waarbinnen dit risico een impact zal hebben, wordt bepaald. Dit wordt ingedeeld in een van de volgende:

Naast het classificeren van risico’s volgens bovenstaande richtlijnen, is het ook noodzakelijk om de impact op kosten, planning, scope en kwaliteit zo gedetailleerd mogelijk te beschrijven op basis van de aard van het risico.

7. Risico-indelingsvoorbeelden:

Risk Response Planning

Er zijn misschien geen snelle oplossingen om alle risico’s van een project te verminderen of te elimineren. Sommige risico’s moeten over langere perioden strategisch worden beheerd en verminderd. Daarom moeten actieplannen worden uitgewerkt om deze risico’s te verminderen. Deze actieplannen moeten het volgende omvatten:

• Risicobeschrijving met risicobeoordeling
• Beschrijving van de actie om het risico te verminderen
• Eigenaar van de risico-actie
• Toegezegde datum van voltooiing van de risico-actie

Alle risico-actieplannen moeten worden toegewezen aan de persoon die is aangewezen om het actieplan uit te voeren.

1. Plannen voor risicorespons

Voor elk risico moet een risicorespons worden gedocumenteerd in het risicoregister in overleg met de belanghebbenden. De projectmanager moet hiervoor zorgen.

Risicoresponsplannen zijn gericht op de volgende doelstellingen:

1. Het elimineren van het risico
2. Het verlagen van de kans dat het risico zich voordoet
3. Verlaging van de impact van het risico op de projectdoelstellingen

Risicoresponsplannen hebben meestal gevolgen voor tijd en kosten. Het is daarom verplicht de tijd en kosten voor het gedefinieerde responsplan zo nauwkeurig mogelijk te berekenen. Dit helpt ook bij het selecteren van een responsplan uit de alternatieven, en bij het nagaan of het responsplan duurder is of meer impact heeft op een van de projectdoelstellingen dan het risico zelf.

Na succesvolle implementatie van een set responsplannen, kan de score van een risico in overleg met de stakeholders worden verlaagd.

Voorbeelden:

2. Risicotriggers

Voor elk risico moet in het risicoregister een trigger worden gedocumenteerd. De trigger geeft de risicosymptomen of waarschuwingssignalen aan. Het geeft aan dat een risico zich heeft voorgedaan of zich zal voordoen. De risicotrigger geeft ook een indicatie van wanneer een bepaald risico zich naar verwachting zal voordoen.

Voorbeelden:

3. Risk Ownership

De basisregel is dat de verantwoordelijkheid voor het managen van alle risico’s in het project bij de projectmanager ligt.

Op basis van deze basisregel moet een Risk Owner (die niet noodzakelijkerwijs de projectmanager is) worden bepaald en benoemd in het Risk Register. De risico-eigenaar is normaal gesproken degene die het beste het risico kan bewaken, maar kan ook degene zijn die het beste de gedefinieerde tegenmaatregelen kan aansturen. De risico-eigenaar is verantwoordelijk voor het onmiddellijk rapporteren van veranderingen in de status van de risicotrigger en voor het aansturen van de gedefinieerde tegenmaatregelen.

Voorbeelden:

Risicobewaking en -beheersing

Risicobewaking en -beheersing omvat:

• Het identificeren van nieuwe risico’s en het plannen ervan
• Het bijhouden van bestaande risico’s om te controleren of:
  • Herbeoordeling van risico’s is nodig
  • Een of meer risicovoorwaarden zijn geactiveerd
  • Monitoring van risico’s die in de loop van de tijd kritischer kunnen worden
  • Aanpak van de resterende risico’s die een langere-termijn, geplande en beheerde aanpak met risicoactieplannen vereisen
• Herindeling van risico’s

  Voor de risico’s die niet kunnen worden afgesloten, moet de kriticiteit in de loop van de tijd afnemen door de uitvoering van het actieplan. Als dit niet het geval is, is het actieplan mogelijk niet effectief en moet het worden heroverwogen.

• Risicorapportage

  Het risicoregister wordt voortdurend bijgewerkt, van risico-identificatie tot risicoresponsplanning en statusupdate tijdens risicomonitoring en -controle. Dit project risicoregister is de primaire risicorapportage tool en is beschikbaar in de centrale project server, die toegankelijk is voor alle stakeholders.

Risico monitoring en controlling of risk review is een iteratief proces dat gebruik maakt van voortgangsrapportages en deliverable status om risico’s te monitoren en te beheersen. Dit wordt mogelijk gemaakt door verschillende statusrapporten, zoals kwaliteitsrapporten, voortgangsrapporten, vervolgrapporten, enzovoort.

Risk Reviews zijn een verplicht onderdeel van mijlpaalvergaderingen en/of reguliere projectvergaderingen, maar ze kunnen ook worden uitgevoerd tijdens afzonderlijk geplande risk review meetings. Deze risico-evaluaties moeten regelmatig worden gehouden. De frequentie kan ook worden bepaald op basis van het algehele risiconiveau van een project.

Risico Drempel

De risicoprioriteiten moeten worden vastgesteld om de aandacht te richten op waar dat het meest kritisch is. De risico’s met de hoogste risicoblootstelling hebben de hoogste prioriteit.

Risico’s met een lage blootstelling kunnen uit de risicobeperkingsplannen worden geschrapt, maar moeten later in het project mogelijk opnieuw worden bekeken.

Het mandaat van de organisatie is dat als de projecten ten minste één “Zeer hoog” risico of meer dan drie “Hoge” risico’s hebben, het management en de belanghebbenden om advies moeten worden gevraagd, omdat het project een hoog risico op mislukking loopt. Dit is de aanbevolen risicodrempel. Projecten kunnen de drempel aanpassen op basis van de behoeften van het project.

Meting van risico-efficiëntie

Risicometrics

De efficiëntie van risicoanalyse en -beheer wordt gemeten door tijdens de projectafsluiting de volgende metrics vast te leggen. De analyseresultaten worden gebruikt om de geleerde lessen te ontcijferen, die worden bijgewerkt in de database met geleerde lessen van de organisatie.

• Aantal risico’s dat zich voordeed / Aantal risico’s dat werd geïdentificeerd
• Was de impact van de risico’s zo ernstig als oorspronkelijk gedacht?
• Hoeveel risico’s kwamen terug?
• Hoe verschillen de werkelijke problemen en kwesties in een project van de voorziene risico’s?

Risk Audit

Dit is een onafhankelijke deskundige analyse van risico’s, met aanbevelingen om de volwassenheid of effectiviteit van risicomanagement in de organisatie te verbeteren. Dit evalueert:

• Hoe goed zijn we in het identificeren van risico’s?
• Uitputtendheid en granulariteit van geïdentificeerde risico’s
• Effectiviteit van mitigatie of contingency plan
• Linkage van project risico’s aan organisatorische risico’s

Dit is niet een “proces naleving” audit, maar een hulpmiddel om de kwaliteit van risico-identificatie en risico-analyse te verbeteren. Dit wordt ook gebruikt als een forum om goede praktijken van risicomanagement tussen verschillende projecten in de organisatie te benchmarken en te identificeren.

De risico-audit wordt uitgevoerd door een groep van onafhankelijke domein of technische experts door middel van documentatie review en interviews. De belangrijkste resultaten van deze risico-audit zijn:

• Op maat gemaakte checklist om de risico’s van een project te evalueren
• Identificeer gebieden die van belang zijn voor risico-analyse voor een project (risico taxonomie)
• Risico radar – risico-vatbare gebieden van de productgroep
• Mogelijke extra risico’s geïdentificeerd op basis van de review
• Top 10 risico’s in de organisatie van belangrijke projecten, die aandacht van het management vereisen

Conclusie

Risicomanagement wordt het meest uitdagende aspect van het managen van softwareprojecten. Hoewel we de toekomst nooit met zekerheid kunnen voorspellen, kunnen we een eenvoudig en gestroomlijnd risicomanagementproces toepassen om de onzekerheden in de projecten te voorspellen en het optreden of de impact van deze onzekerheden te minimaliseren.

Risicomanagement helpt niet alleen bij het vermijden van crisissituaties, maar helpt ook bij het herinneren aan en leren van fouten uit het verleden. Dit verhoogt de kans op een succesvolle afronding van het project en vermindert de gevolgen van die risico’s.

Dit is zeker niet het einde van de reis voor ons over het effectieve risicomanagement. Het is een voortdurend leerproces om onze praktijken voortdurend te kunnen verbeteren en zo onze procesefficiëntie te verhogen.