Risicoanalyse: brede of smalle inventarisatie

Risicoanalyse: brede of smalle inventarisatie

Ik ben Lex van der Loo en heb tot eind 2018 gewerkt bij I-Interim Rijk (IIR). De IIR is een pool van programma- en interimmanagers bij het ministerie van Binnenlandse Zaken, waar we ons voornamelijk met ICT- en organisatievraagstukken bezighouden. We worden uitgeleend aan andere ministeries om leuke en lastige klussen op te knappen. Ik heb de laatste jaren veel gebruik gemaakt van Spilter in allerlei workshops binnen de overheid. Spilter heb ik geïntroduceerd bij IIR en een groepje collega’s werkt van tijd tot tijd met Spilter. Inmiddels ben ik met pensioen bij het ministerie maar nog wel werkzaam als ZZP-er met mijn bedrijf Van der Loo-Consulting.

De afgelopen jaren heb ik risicoanalyses met Spilter uitgevoerd bij verschillende overheidsprojecten en -programma’s. Die bijeenkomsten waren vaak de eerste gestructureerde stappen om risicomanagement op een hoger plan te brengen. In een aantal gevallen was er wel door een enkeling in het project een eerste risico-inventarisatie gedaan; een eerste beeld van één medewerker. Van professioneel risicomanagement was meestal (nog) geen sprake.

Mijn aanpak bestaat uit de volgende stappen:

  • Enkele startgesprekken met de projectmanager (de senior responsable owner (SRO)) en een paar mensen uit zijn directe omgeving;
  • Gevolgd door een voorstel voor de aanpak;
  • Soms is het nodig om een stakeholderanalyse uit te voeren, mede om te bepalen wie betrokken worden bij de initiële risicoanalyse;
  • Dan in elk geval twee bijeenkomsten: een bijeenkomst om de risico’s in beeld te brengen en te classificeren en een bijeenkomst om maatregelen te bedenken. Ik splits die bijeenkomsten bij voorkeur, omdat de mind-set van de deelnemers anders is.
  • Tot slot na de bijeenkomsten steevast een schriftelijke rapportage die ik dan vaak met de opdrachtgever bespreek. Vaak is dan ook iemand aangewezen die in het project verantwoordelijk wordt voor het risicomanagement.

In de voorbereidingsfase sondeer ik bij de SRO wat de dominante opvatting is over het managen van risico’s. Bij veel overheidsorganisaties was dat in het verleden bijna altijd: risico-mijden. Daar komt echter onder invloed van modern leiderschap een kentering in! Ik beschrijf twee varianten:

  1. In het eerste geval is de reflex van de SRO: “Ik wil ALLE risico’s in kaart hebben en afgewogen en voorzien van maatregelen.” (variant 1)
  2. In het tweede geval vindt een zakelijke afweging plaats. De SRO wil dan: “de BELANGRIJKSTE risico’s in beeld hebben en mijn organisatie in een zodanige stand dat we snel kunnen reageren op onvoorzienbare gebeurtenissen.” (variant 2)

 

Hoe zien nu de typische bijeenkomsten er in die twee gevallen uit?

Variant 1: Traditioneel worden bij variant één in een eerste ronde alle denkbare risico’s in beeld gebracht. Vaak meteen gecategoriseerd. Na de inventarisatie volgt steevast een ronde om al die risico’s met de deelnemers te delen. Dat is van belang om ervoor te zorgen dat de beelden over de mogelijke risico’s convergeren. Dat kost meestal veel tijd en vraagt naast enige behendigheid van de facilitator ook een behoorlijk uithoudingsvermogen van de deelnemers. Voordeel hiervan is dat bij de meeste deelnemers vanaf dat moment ook de meeste risico’s wel min of meer in beeld zijn. Voordeel is ook dat alle deelnemers al “hun eieren kwijt kunnen”. Dat is inherent aan de voorbereidingsinstructie aan de deelnemers: “Bedenk mogelijke risico’s die tijdens het project kunnen optreden”.

Na de uitwisseling van de ingevoerde risico’s, worden de risico’s gescoord op kans en impact. Vervolgens wordt gekeken naar kans x impact van hoog naar laag. Dan wordt aan de hand van de spreiding in de scores gesproken over de uiteenlopende beelden die de deelnemers hebben over kans en impact. Doordat veel risico’s besproken worden, blijven de discussies soms wat “aan de oppervlakte”. De SRO wil doorgaans alle (zo veel mogelijk) risico’s bespreken.

Variant 2: In het tweede geval is de instructie aan de deelnemers: “Bedenk maximaal twee grote risico’s die tijdens het project kunnen optreden.” Tijdens de bijeenkomst wordt in een eerste ronde gevraagd om het grootste risico van de twee. Doordat het aantal te bespreken risico’s nu veel kleiner is dan bij variant één is er meer tijd om beelden te delen met de deelnemers en is de diepgang in de discussie ook vaak wat groter.

Na zo’n eerste rond kunnen de deelnemers dan desgewenst in de tweede ronde nog hun tweede grote risico opgeven en herhalen we dezelfde procedure. Mijn ervaring is dat mensen soms op basis van de eerste discussie hun aanvankelijk tweede risico niet meer melden. Na deze twee ronden worden ook hier de risico’s gescoord op kans en impact. De uitkomsten in beide varianten zijn in een tweede sessie voorzien van mitigerende maatregelen.

De vervolgacties in beide varianten zullen gericht zijn op het “in place” krijgen van risicomanagement passend bij de bedrijfscultuur.

Belangrijkste verschillen

In variant 1 ligt de nadruk op prioritering en het periodiek nauwgezet bijwerken van de (meestal) lange lijst van potentiële risico’s en bijbehorende maatregelen. In het project zal deze risicomanager (als rol of als functie, afhankelijk van de omvang van het project) zich vooral moeten richten op het periodiek opnieuw uitvoeren van de brede risicoanalyse (gevoed door de reeds in beheer zijnde risico’s). Deze aanpak hoort bij een organisatie die vooral risicomijdend wil/moet opereren. Ook past hierbij een periodieke rapportage over de status van verschillende risico’s.

In variant 2 ligt de nadruk op het wendbaar houden van de organisatie. De risicomanager moet ervoor zorgen dat de projectorganisatie snel kan schakelen als zich een onvoorzien risico voordoet. De projectmanager moet ervoor zorgen dat de omgeving van het project en vooral de SRO begrijpt hoe risicomanagement hier zijn plaats krijgt. Leidraad hierbij is een beeld dat niet alles te voorzien valt, maar dat je wel klaar kunt zijn om onmiddellijk en gepast op te treden als zich een risico feitelijk voordoet. De risicomanager zal ook hier periodiek opnieuw een risico-inventarisatie moeten uitvoeren.

Als je vaak een risicoanalyse van de variant 1 hebt uitgevoerd is het een leuke uitdaging om – als dat past in de cultuur van de organisatie – eens een variant 2 uit te proberen. Echter altijd in overeenstemming met je opdrachtgever. En met Spilter gaat het aan die kant van de ondersteuning gelukkig nooit mis.

Wil je een keer van gedachten wisselen? 0655887044

Lex van der Loo

Wielstraat 71
6658 BC Beneden Leeuwen
loo@xs4all.nl

Related Blogs

Posted by admin | 27/03/2019
Van idee naar impact – succesvol brainstormen met 500+ deelnemers
Van idee naar impact – succesvol brainstormen met 500+ deelnemers Gebaseerd op onze ervaringen met brainstormsessies met een groot aantal deelnemers hebben we enkele belangrijke stappen vastgesteld. Want gezamenlijk met...
Posted by admin | 27/03/2019
Spilter 5 – meer waarde voor ieder gebruik
Spilter 5 is een logisch vervolg op Spilter 4. De belangrijkste vernieuwing binnen Spilter 5 is het Dashboard waarbij u data uit sessies kunt vergelijken en visualiseren met widgets. Hierdoor...
Posted by admin | 13/12/2018
Strategic Prototyping
Strategic Prototyping Door Mariette van Muijen van ILUMY Tips geven of tips laten geven Live, in sessies, zou ik zelf niet snel tips geven. Ik geloof in het potentieel van...