Risicomanagement verantwoordelijkheid van de hele organisatie
Te vaak zie je in de praktijk dat organisaties hun risicomanagement hebben ingericht voor de ‘going concern’, met als gevolg dat de aandacht voor risicomanagement bij veranderingen te wensen overlaat. Peter Noordam, adviseur bij Bisnez Management, gaat in op hoe goed ingebed risicomanagement in de veranderportefeuille van toegevoegde waarde kan zijn voor de realisatie van strategische doelstellingen.
Onderzoek uit 2014 door de CEB, een Amerikaans onderzoeksinstituut, laat een rechtstreeks verband zien tussen managementaandacht en de kans dat een risico zich voordoet. Tevens is onderzocht hoe managers hun aandacht verdelen over risico categorieën. Het bleek dat managementaandacht voor het onderwerp ‘strategische veranderingen’ slechts 6% was, terwijl grote risico’s zich daar juist het vaakst voordoen (86%). Aan ‘financial reporting risks’ besteedt het management maar liefst 39% van zijn risicotijd, terwijl de kans dat zich daar een groot risico voordoet ‘maar’ 2% is.
Zeker nu veranderingen en projecten aan de orde van de dag zijn, is het belangrijk om het risicomanagement bij ‘projectmatige’ veranderingen goed tegen het licht te houden. Op alle ‘niveaus’ in een organisatie moet aandacht zijn voor risicomanagement. Natuurlijk moet ieder niveau zich wel met zijn eigen risico’s bezig houden, namelijk de risico’s waar hij of zij op zijn plaats in de organisatie wat aan kan doen. Ik onderscheid vijf niveaus en geef hieronder kort weer, waar op elk niveau aandacht voor zou moeten zijn.
Onafhankelijk risicomanagement
De risicomanagementrol die belegd is bij een onafhankelijke toezichthouder handelt in opdracht van het bestuur van de organisatie waarbinnen projecten worden uitgevoerd. Bij grotere organisaties is dit vaak een auditafdeling, bij middelgrote organisaties kan dit een controller zijn met risicomanagement in zijn of haar portefeuille.
In deze rol zal de risicomanager vooral in de gaten houden of op alle niveaus en alle relevante momenten voldoende aandacht is voor risicomanagement rondom de veranderprojecten. Hij/zij zal toetsen uitvoeren op de werking van het systeem en steekproefsgewijs zijn/haar eigen audits willen uitvoeren, conform de eigen (jaar)planning. Primaire doel van deze ‘audits’ is vaststellen dat het systeem goed werkt en afleggen van externe verantwoording. Extern verantwoorden – de laatste jaren enorm in aandacht toegenomen – betekent rekenschap afleggen aan externe belanghebbenden of externe toezichthouders. De toezichthouder kan zo vaststellen of de organisatie grip heeft op haar projecten.
Risicomanagement in de portfolioboard
Binnen het portfolioboard worden de verschillende projecten en programma’s van een organisatie ten opzichte van elkaar gemanaged. Goed portfoliomanagement is cruciaal voor het bereiken van organisatiedoelen.
Zeker bij grotere organisaties met verschillende bedrijfsonderdelen is het vaak de enige manier om gericht te kunnen sturen op de vernieuwingsagenda. Goed portfoliomanagement kan helpen om de organisatie naar de gewenste situatie toe te laten ontwikkelen door de relatie te leggen met de doelstellingen en de ‘streefarchitectuur’. Risicomanagement bij portfolio’s richt zich vooral op de impact van alle samenhangende projecten op de organisatie. Kernvraag is: kan onze organisatie deze veelheid aan projecten en veranderingen wel aan? Natuurlijk helpt het ook om bij de uitvoering van verschillende projecten de onderlinge afhankelijkheden, zowel bij de techniek, de capaciteit als de financiën te bewaken.
De risicomanager op het niveau van het portfolio houdt zich bezig met vragen als:
- Kunnen we als organisatie dit (grote) aantal veranderingen wel aan?
- Wat is het risico voor het hele verandertraject als één project uitloopt?
- Zijn er ontwikkelingen in onze omgeving die van invloed kunnen zijn op onze projecten?
- Kan ons management de veranderingen, over alle projecten heen, wel trekken?
- Wat is onze (strategische) afhankelijkheid van een beperkt aantal leveranciers?
Risicomanagement in de stuurgroep
De risicomanager zal zich als lid van de stuurgroep vooral richten op de risico’s bij het niet behalen van de doelen van de opdrachtgever of stuurgroep. Bij het bepalen van de koers moet vastgesteld worden dat de voorgenomen verandering bijdraagt aan de doelstellingen van de organisatie. Vaak is een business case een goede basis.
Daarnaast kijkt de risicomanager hoe effectief de sturing van het veranderproces verloopt. Daaronder vallen: een goede verantwoordelijkheidsverdeling, het opstellen van de plannen (projectplan, business case) en het organiseren van het project (structuur, regie en coördinatie, communicatie). Maar ook de aanwezigheid van procedures, regels en richtlijnen, zoals een projectmanagementmethodiek of het voldoen aan wet- en regelgeving.
Als lid van de stuurgroep opereert de risicomanager op het niveau van de opdrachtgever en helpt de stuurgroep om de projectrisico’s en de impact voor het bedrijf te managen.
Hij/zij houdt zich bezig met vragen als:
- Zijn de verantwoordelijkheden in de stuurgroep en de projectorganisatie goed belegd?
Met andere woorden: heeft de voorzitter van de stuurgroep voldoende mandaat om de verandering in de organisatie door te voeren? Heeft de stuurgroep de juiste capaciteiten om de projectuitvoering aan te sturen en de baten ook binnen te halen? Hoe wordt er gestuurd op het realiseren van de baten? - Vragen die een relatie leggen tussen de organisatiedoelen en de projectdoelen. Wat gebeurt er als het project niet de verwachte baten oplevert? Kan de organisatie met beperktere baten haar doelstellingen op een andere manier realiseren?
- Doen zich kansen voor waardoor de doelstellingen die het project nastreeft versneld worden bereikt of vergroot?
- Is de opdrachtverstrekking aan de projectmanager scherp genoeg? Is de stuurgroep voldoende in staat om bij te sturen?
- Zijn de voorwaarden in de omgeving van het project voldoende ingeregeld? Vragen hierbij: is de uitgangssituatie voldoende helder beschreven? Kan de toegezegde capaciteit worden geleverd?
- Wat zijn de kritische mijlpalen in het project? Is het mogelijk om mijlpalen te benoemen waarop bijgestuurd kan worden of waarop het project stopgezet kan worden?
- Kunnen bepaalde risico’s buiten de organisatie worden ondergebracht? Kan bijvoorbeeld een leverancier bepaalde risico’s dragen of kan men deze verzekeren bij derde partijen?
Riscomanager toegevoegd aan het veranderproject
Dit is de meest bekende vorm van risicomanagement rond projectmatige veranderingen. Hier staat risicomanagement in het teken van de projectuitvoering. Risicomanagement is een verantwoordelijkheid van de projectleider, de risicomanager ondersteunt hem/haar en inventariseert, analyseert en bewaakt de projectrisico’s.
Projectdoelen hebben altijd te maken met tijd, scope, kwaliteit en geld. Projectrisico’s zijn gebeurtenissen die er toe leiden dat het project uitloopt, dat het budget wordt overschreden of dat de afgesproken kwaliteit niet wordt bereikt. Uit meerjarig internationaal onderzoek van de Standish Group blijkt dat in ruim 60% van de gevallen de afgesproken opleverdatum wordt overschreden. Bij ongeveer eenzelfde aantal projecten wordt het budget overschreden. In 40% van de gevallen wordt de afgesproken kwaliteit niet opgeleverd en is er na afloop van het project nog veel reparatie nodig.
De risicomanager ondersteunt de projectmanager om zijn/haar project op tijd binnen budget tegen de afgesproken functionaliteit en kwaliteit uit te voeren. Hij/zij is vooral bezig met de risico’s die het projectresultaat in de weg staan.
Juist in zijn adviseursrol komt de risicomanager vaak in een lastige spagaat. Op het moment dat er binnen het project risico’s ontstaan die naar zijn/haar mening niet adequaat worden opgelost of waarover onvoldoende indringend wordt gerapporteerd, heeft hij/zij een lastige uitdaging. Vanuit zijn/haar verantwoordelijkheid voor de gehele organisatie heeft hij/zij de plicht hierover te melden aan de stuurgroep, maar dit kan haaks staan op het projectresultaat.
Onderdeel van de projectorganisatie
Met name bij grotere of risicovolle projecten is risicomanagement vaak in ieder van de deelprojecten of in de verschillende fases van het project belegd. Risicomanagement staat hierbij primair in het teken van het beheersen en beheerst krijgen van het project, dit in opdracht van de direct verantwoordelijke.
Het is mijn overtuiging dat alleen als op alle niveaus het risicomanagement is ingericht en iedereen zich houdt aan zijn rol, daadwerkelijk gestuurd wordt op succesvolle uitvoering van projecten.
Afgelopen jaar bracht Peter Noordam samen met Melle de Vries het boek ‘Risicomanagement bij veranderingen’ uit. In het managementboek gaan de auteurs dieper in op hoe opdrachtgevers integraal risicomanagement kunnen toepassen om meer grip en control te krijgen op hun programma’s.