Inleiding.
Projectmanagement = risicomanagement

Voordelen expliciet risicomanagement
Risicomanagement
Risicosessie / identificatie van risico's.
Kwantificeren en prioriteren.
Beheersmaatregelen.
De beheersing van risico’s.
En verder
Het risico van risicomanagement
Kansenmanagement  
Black Swans

Onvoorzien

Inleiding

Een risico is een gebeurtenis die kan optreden en waarvan de gevolgen negatief zijn voor een project.

Risico wordt doorgaans als volgt "gedefinieerd":

Risico = kans x gevolg

Dit geeft weer dat een risico groter is wanneer de kans van optreden en/of de gevolgen van optreden groter zijn. Het geeft ook weer dat een groot gevolg gecombineerd met een minimale kans tot een overzienbaar risico leidt, evenals een grote kans met een minimaal gevolg.

Risicomanagement bestaat uit het identificeren van risico's, het kwantificeren van kansen en gevolgen en het vaststellen en uitvoeren van beheersmaatregelen.

Projectmanagement = risicomanagement

Ik heb al eens betoogd dat projectmatig werken in feite een vorm van risicomanagement is[i]. Toch is er een tendens om risicomanagement expliciet te implementeren binnen het projectmatig werken. Sterker nog, de term “risico´s” wordt vaak als beheersaspect toegevoegd aan de trits tijd, geld, kwaliteit, informatie en organisatie.

Ik blijf er ambivalente gevoelens bij houden. Een goede projectleider is van nature continue bezig met die activiteiten die vanuit risicomanagement worden benoemd als beheersmaatregelen. De dagelijks activiteiten van de projectleider en zijn team overlappen als het goed is de beheersmaatregelen. Is dat niet zo dan mag, wat mij betreft, worden getwijfeld aan de capaciteiten van die projectleider en zijn teamleden.

Voordelen expliciet risicomanagement

Toch sta ik zeker niet afwijzend tegenover risicomanagement. Het grote voordeel schuilt er in dat ook voor de niet direct betrokkenen expliciet bekend is wat er zoal speelt. Soms kunnen die personen zelfs een positieve bijdrage leveren aan het reduceren of wegnemen van een risico. Om die bijdrage te leveren moeten ze wel van de vigerende risico's op de hoogte zijn. Expliciet risicomanagement draagt daaraan bij.

Ook prettig is dat niet direct betrokkenen niet volledig verrast zijn indien zich een bepaald risico daadwerkelijk voordoet. Door de risicoanalyse zijn zij er op voorbereid. Dat scheelt boze blikken en onnodige wrijving. Hoewel… Ik heb ook weleens gehoord “Hoe kan dat nou? Dat risico was bekend, hoe kan het zich dan toch voordoen?!” Dat was een raadslid. Tja, projecten zijn per definitie niet risicovrij. Ondanks alle beheersmaatregelen kan een risico toch optreden.

Verder geldt dat zelfs  in de meest uitgebreide risicosessies een bepaald risico niet onderkend wordt. Wie nog nooit heeft gehoord van het afpalingrecht van een eendenkooi, molenrecht of de wet op de lokaalspoorwegen kan bij een ruimtelijk project gemakkelijk de fout ingaan. En: wie kent alle wetten?
Daarnaast zijn er optredende risico’s die echt door niemand (te) voorzien zijn. Wie had 9/11 voorzien?

Risico’s die plaatsvinden zijn vaak de risico’s die je niet voorzag. Dat zijn risico’s die niet in een risicoanalyse naar boven kwamen.
De via een risicoanalyse gedefinieerde risico’s komen in de analyse omdat je er al bekend mee bent. Je kent ze al. De hoogte van de gevolgen in de worst case is bovendien gebaseerd op ervaringen tot nu toe. Dus: op de worst case tot nu toe. Maar, zegt Nassim Nicholas Taleb in Antifragile, de laatste worst case tot nu toe was ernstiger dan de voorgaande bekende worst case. Waarom zou de volgende worst case dan niet weer veel erger kunnen zijn? We weten het niet.

Risicomanagement

Risicosessie / identificatie van risico's

Expliciet risicomanagement begint met een risicosessie. Aanwezig zijn diegenen die het project goed kennen en moeten realiseren. Daarnaast kan het zinvol zijn om er mensen bij te halen die het soort projecten waar het om gaat heel goed kennen, mensen met heel veel ervaring. Tijdens de sessie worden (vaak aan de hand van een checklist, steekwoorden of invalshoeken) brainstormenderwijs allerlei risico’s naar voren gebracht en vastgelegd.

Sommigen vinden het heel belangrijk om een scherp onderscheid te maken tussen risico’s en gebeurtenissen. Een gebeurtenis is iets dat zich voordoet waardoor een risico optreedt. Het risico is dan logischerwijs het gevolg van de gebeurtenis. Zelf vind ik dat wat academisch van aard. Het kan bovendien een goedlopende brainstorm behoorlijk frustreren. Ik hecht dan ook niet zozeer aan dit verschil. Voor het beheersen van risico’s is dit onderscheid niet zo relevant.

Kwantificeren en prioriteren

Als de risico’s zijn geïnventariseerd dan kunnen de kansen en gevolgen voor de doorlooptijd en de kosten worden geschat.

Wat goed werkt is wanneer verschillende personen of groepen eerst los van elkaar de kansen schatten dat zich iets voordoet, en de gevolgen van een risico voor de doorlooptijd en de kosten kwantificeren. Daarna kunnen de resultaten worden vergeleken. Bij grote afwijkingen tussen de personen/groepen levert het gesprek vaak nieuwe inzichten op. Op basis daarvan komt men toch weer gemakkelijk tot consensus.

Hierna een voorbeeld van de kwantificering van de gevolgen voor tijd en geld. Bij deze semikwantitatieve methode worden de kans en het gevolg voor tijd en geld in klassen verdeeld. Uiteraard moet de hoogte van de tijd- en geldeenheden worden aangepast aan de aard en omvang van het project. Voor een project als de Betuweroute is een risico van EUR 25.000,- klein, voor een productontwikkeling binnen een klein bedrijf kan dat bedrag een enorm risico vormen.

Lage scores (hier groen gekleurd) geven lage risico's weer. Deze behoeven weinig tot geen aandacht. Ze zijn aanvaardbaar voor het project.

Hoge scores (hier rood gekleurd) geven hoge risico's weer. Deze risico's zijn niet aanvaardbaar. Voor deze risico's moeten beheersmaatregelen worden getroffen.

Let wel: alles wat gecalculeerd wordt ziet er wetenschappelijker en exacter uit dan kwalitatieve informatie. Maar, het is geen wetenschap, het is slechts een hulpmiddel. Alle uitkomsten hangen bovendien van de input af.
Als een ervaren projectleider aangeeft dat aandacht voor een bepaald risico essentieel is, dan is dat net zo "waar", als wanneer een risico met de hoogste score uit een kwantificering komt. Dit soort rekenarij is aantrekkelijk, maar zeker niet superieur aan het rommelige en ongrijpbare denken van een ervaren projectleider. Koester ervaring!

De vermenigvuldiging van de kansen met de gevolgen (tijd en/of geld) leidt tot een rangvolgorde van de risico’s. Sommige risico’s behoeven nauwelijks aandacht, anderen vragen om beheersmaatregelen.
Als een risico niet hoog scoort, maar ervaren mensen zien het risico wel als essentieel, geef het dan ook een hoge prioriteit.

Beheersmaatregelen

Beheersmaatregelen zijn de acties die ondernomen worden om de risico’s te beheersen. Beheersmaatregelen zijn er op gericht de kans van optreden te verkleinen en/of de gevolgen van optreden te beperken. Naast concrete acties kan ook gedacht worden aan accepteren, vermijden, verleggen of verzekeren van risico’s.

Bij het verleggen van risico’s moet altijd nagedacht worden of verleggen überhaupt wel verstandig is. Een gouden regel in het risicomanagement is dat de partij die het risico het beste kan beheersen deze ook het beste kan dragen. Het verleggen van risico’s naar partijen die deze niet kunnen beheersen is onverstandig. Ook al is dit vaak praktijk. Opdrachtgevers hebben de neiging alle risico's die zij lopen te willen reduceren tot nul. Helaas vaak door het risico dan maar te verleggen. Een kwalijke en contraproductieve zaak. Drie redenen daarvoor:

- Ten eerste geeft dit schijnzekerheid. Immers: heb je het risico verlegd naar een partij die het niet kan dragen, en gaat deze partij eraan failliet dan ben je verder van huis. Failliete partners in een proces geven heel veel ellende, en financieel is er weinig meer op te verhalen.

- Ten tweede leidt het onterecht verleggen van risico's tot indekgedrag door de partij die het risico krijgt toebedeeld. Juridificatie van het proces is vaak het gevolg. In ieder geval wordt het proces stroever dan gewenst.
Een stroever of gejuridificeerd proces leidt niet tot succesvollere projecten.

- Ten derde: iemand die een project initieert moet beseffen dat projecten niet risicovrij zijn. Als opdrachtgever moet je domweg accepteren dat er sommige risico's zijn waarvoor geen afdoende beheersmaatregelen bestaan. Als initiatiefnemer hoort het tot je lot dat je dergelijke risico's aanvaardt. Een risico-inschatting is dan ook altijd onderdeel van de keuze voor het starten van een project en voor het doorzetten van het project na de afronding van iedere fase.

Hieronder een voorbeeld van een risicotabel. De rubricering komt uit de Risman methode.

 

Voorbeeld van een risicotabel

De beheersing van risico’s

Het bijhouden van risicolijstjes en het braaf aflopen daarvan in vergaderingen heeft doorgaans niet veel effect. Dat wordt al gauw risicomanagement voor de vorm, terwijl het niet of nauwelijks een bijdrage levert aan echt risicobewustzijn. Dat komt neer op risicomanagement voor de vorm. De lijstjes leiden een eigen leven. Doorgaans een erg stil bestaan. Ze maken geen deel uit van het bewustzijn van de projectleider en diens medewerkers.

Beter is het om die acties die er echt toe doen op te nemen in de actielijsten van andere overleggen. Actielijsten waar echt voortgangsbewaking op plaatsvindt. In die overleggen moet dan wel aandacht voor risico’s zijn, maar niet om aan “risicomanagement te doen”.

En verder

Het risico van risicomanagement

Wanneer risicomanagement overmatig aandacht krijgt, dan kan het idee postvatten dat een project zo vol van risico's is, dat niemand meer een volgende stap durft te doen. Stagnatie is het gevolg. In het Engels noemt men dit: "paralysis by analysis".

Kansenmanagement

Ten slotte nog dit. Projecten bieden ook heel veel kansen. Vaak zijn nevendoelen gemakkelijk in een project op te nemen, waardoor er meer wordt bereikt dan het oorspronkelijk beoogde projectresultaat. Soms is door projecten (of delen van projecten) te combineren veel geld te besparen.

Het is dus slim om in de risicosessie ook naar kansen te kijken en deze mee te nemen.

Overigens noemen hardcore risicoanalisten dit dan positieve risico's!

Black Swans

Nassim Nicholas Taleb behandeld in zijn boek The Black Swan uitzonderlijke gebeurtenissen die een enorme invloed hebben, maar die niemand ziet aankomen. Wat een black swan is beschrijft Taleb zelf het beste:

What we call here a Black Swan (and capitalize it) is an event with the following three attributes.
First, it is an
outlier, as it lies outside the realm of regular expectations, because nothing in the past can convincingly point to its possibility. Second, it carries an extreme impact. Third, in spite of its outlier status, human nature makes us concoct explanations for its occurrence after the fact, making it explainable and predictable. I stop and summarize the triplet: rarity, extreme impact, and retrospective (though not prospective) predictability.

Soms wordt ook de term "act of god" gebruikt. Als voorbeeld wordt dan soms het risico genoemd dat een vliegtuig op jouw project neerstort. Vrijwel onmogelijk. Maar juist 9/11 noemt Taleb als voorbeeld van een black swan.

De vraag is wat wij hiermee moeten in projectmanagement. Deels is overmacht te verzekeren. In Nederland zijn de risico's van partijen ook enigszins beschermt doordat het recht op redelijkheid en billijkheid is gebaseerd. Een black swan is een geval van overmacht, partijen zullen juridisch niet aan bijvoorbeeld einddata gehouden kunnen worden. Evengoed heb je een ramp in je project. Je daar op voorbereiden kan je niet, want een black swan is niet te voorzien. Als je toch het optreden van een black swan als risico op zou nemen (wat goed zou kunnen) dan valt deze in de categorie: hoogst onwaarschijnlijk (maar met extreme gevolgen). Binnen projectmanagement is dit een categorie waar je normaal gesproken geen beheersmaatregelen op zet. Zou je het wel doen dan prijs je jouw project uit de markt.

Onvoorzien

Vaak worden risico’s gebruikt om een budget voor onzekerheden te bepalen. Een veel gebruikte methode is dan om per risico de kans van optreden met de kosten van de gevolgen te vermenigvuldigen. Vervolgens worden de verkregen bedragen bij elkaar opgeteld. Het resulterende bedrag is dan het risicobudget.

Ik hecht daar niet veel waarde aan. Heb je een risico met een kans van 1%, maar met een gevolg van EUR 1.000.000,-, dan heb je daarvoor dus een risicobudget van EUR 1.000,-. Doet het risico zich voor, dan heb je dus niets aan je budget, het is veel te klein. Pas bij een groot aantal projecten, een echte portefeuille, kan een dergelijke risicobudget gemiddeld uitkomen. Dan is het op portefeuilleniveau zinvol.

Voor het bepalen van de post “onvoorzien” in de raming heeft het ook weinig zin. Soms komt uit een benadering zoals hiervoor geschetst een dermate laag risicobudget dat het absoluut niet spoort met ervaringsgetallen voor die soort projecten. Vertrouw dan maar op de ervaringsgetallen.

Verder is het een gegeven dat geïdentificeerde risico’s zelf juist niet onvoorzien zijn. Ze zijn juist voorzien, alleen de kans dat ze zich voordoen verschilt. Het is een illusie dat zich naast geïdentificeerde risico’s geen onvoorziene zaken meer voor zouden kunnen doen. Wie dat denkt: droom zacht. Het is eerder een gegeven dat je bij langlopende complexe projecten altijd een of meer zaken zal tegenkomen die niemand had voorzien, ook niet in de vorm van risico’s. Een post “onvoorzien” blijft dus een noodzaak.

November 2004, uitgebreid in juni 2011, augustus 2012, februari 2013 en maart 2013

 

Toevoeging 4 september 2011
By "watching" your risks, are you effectively reducing them or are you giving yourself the feeling that you are doing your duty? Are you like a chief executive officer or just an observing press officer? Is such illusion of control harmful?
Uit: Fooled by Randomness, Nassim Nicholas Taleb. Boekbespreking van dit boek.

Toevoeging 19 mei 2013

Willen we het resultaat van een project graag realiseren, dan moeten we (meer) risico's accepteren. Zijn de risico's te groot ten opzichte va de verwachte voordelen, dan moeten we het project niet uitvoeren.
Psychologists have learned a fair amount about risk. We now know that people will accept a thousand times as much risk for technologies or situations that are voluntary rather than mandatory. You don’t have a choice where you get your tap water, so you are less tolerant in regard to its safety than you might be from using a cell phone of your choice. We also know that acceptance of a technology’s risk is proportional to its corresponding perceived benefits. More gain is worth more risk. And, finally, we know that the acceptability of risk is directly influenced by how easy it is to imagine both the worst case and the best benefits, and that these are determined by education, advertising, rumor, and imagination. The risks that the public thinks are most significant are those in which it is easy to think of examples where the risk comes to fruition in a worst-case scenario. If it can plausibly lead to death, it’s “significant.”
U
it: What Technology Wants, Kevin Kelly. Boekbespreking van dit boek.

Toevoeging 9 december 2013

In zekere zin geldt het volgende voor alle projecten. Want wie kan pretenderen dat er in zijn project geen "unforeseeable uncertainties" zijn? 
In particular Christoph Loch and its colleagues demonstrate the irrelevance of traditional risk management techniques in project confronted to what they called unforeseeable uncertainties. Indeed in this situation where unknown unknowns may appear, it’s impossible to anticipate the risks and thus to prepare beforehand.
Bron: Lenfle, S., 'Toward a genealogy of project management: Sidewinder and the management of exploratory projects', paper EGOS 2012 Conference, juli 2012 

Toevoeging 23 augustus 2014

Dobelli stelt in het "De kunst van het verstandige handelen" enkele behartenswaardige zaken over onzekerheid/ambiguïteit en risico’s. Eerst het verschil. Van een risico weten we dat het zich met een bepaalde kans kan voordoen en we kennen de gevolgen. We kunnen vaststellen of we dit risico durven te nemen of niet. Onzekerheden vallen daarbuiten, onzekerheden vallen in het terrein van het onbekende. "Met risico kun je rekening houden, met onzekerheid niet."
Maar we hebben liever met bekende waarschijnlijkheden te maken dan met het onbekende.
"Daarom proberen we ambiguïteit in de categorie van het risico te dwingen, waar ze eigenlijk helemaal niet past.
Citaten uit: De kunst van het verstandige handelen, Rolf Dobelli . Boekbespreking van dit boek. Dit boek bij managementboek.nl en bij bol.com.

Toevoeging 11 juli 2015

Uitspraak Karel de Bakker over waar het echt om gaat bij risicomanagement:
"Wat kan ons tegenhouden in het bereiken van onze doelstellingen. En wat kunnen we daar aan doen?"


[i] Markensteijn, P.H., Risicomanagement, wat is er nieuw aan?, www.markensteijn.com/risicomanagement.htm, 2001

Aanvullende informatie op deze website

Projectcontrol
Over de projectbeheersingsfunctie.

Projectcontroller
Over de rol van de projectcontroller.

Het niet planbare
Over onverwachte zaken, calamiteiten en hoe daarmee om te gaan.

Fouten, risico's en onvoorzien
Over overmoed, volatiliteit en fragiliteit.

Innovatie
Innovatie en projecten, een onmogelijke combinatie?

Mintzberg en projectmanagement
Over het  artikel van Mintzberg: "The Managers Job: Folklore and Fact" en de implicaties daarvan voor projectleiders, opdrachtgevers en projectmatig werken in het algemeen.

Sunk Costs
Over besluitvorming bij projecten met grote kostenoverschrijdingen.

Fouten, risico's en onvoorzien
Over overmoed, volatiliteit en fragiliteit.

Nul scenario's
Hoe maak je duidelijk wat er gebeurt, wanneer er geen besluit wordt genomen?

Maginotlinie
Waarom "lessons learned" slechts schijnveiligheid genereren.

Robert Fritz en risicogestuurd projectmanagement
Gerichtheid op het wegnemen van risico’s staat echte creatie in de weg.

 

Aanvullende informatie op internet

http://www.risnet.nl/inhoud_ankers.asp?id=42
De hoofdstappen van het risicomanagementproces op de website van het Kennisnetwerk Risicomanagement Risnet.

www.risman.nl
Website over de RISMAN-methode.

http://markensteijn.com/cgi-bin/weblog_basic/index.php?p=493
Opdracht geven zonder risico?

http://markensteijn.com/cgi-bin/weblog_basic/index.php?p=1936
Risicogestuurd projectmanagement?

http://markensteijn.com/cgi-bin/weblog_basic/index.php?p=2241
Risicosturing en wetgeving.

http://www.markensteijn.com/index.php/weblog/424-krijgskunde-en-risicomanagement

Krijgskunde en risicomanagement.

http://www.debee.nl/downloads/Dialogue-on-Risk-1st-edition.pdf
"Dialogue on Risk", Karel de Bakker.

 

Algemene informatie

Nassim Nicholas Taleb, The Black Swan, Random House, 2007 (Dit boek op bol.com en op managementboek.nl)

Boekbespreking The Black Swan: http://markensteijn.com/cgi-bin/weblog_basic/index.php?p=966

Nassim Nicholas Taleb, Antifragile Random House, 2012 (Dit boek op bol.com en op managementboek.nl)

Boekbespreking Antifragile: http://markensteijn.com/cgi-bin/weblog_basic/index.php?p=1308

Rolf Dobelli, De kunst van het verstandige handelen.

Boekbespreking van De kunst van het verstandige handelen: http://markensteijn.com/cgi-bin/weblog_basic/index.php?p=1740