Wat doen we met risico’s die werkelijke bedreigingen vormen bij IT-projecten? | deel 1

In de eerste editie van een serie Risicomanagement-blogs  gaan we in op de basisbegrippen rondom risicomanagement. Vragen die worden beantwoord zijn: wat zijn risico’s, hoe pak je risicomanagement doeltreffend aan en waar begin je mee?

Wat zijn risico’s?

Een risico is:

  • een gebeurtenis (situatie)
  • die al dan niet optreedt (kans)
  • waardoor negatief ervaren invloed (schade) op het project en / of activiteit (proces, dienst, taak etc.) ontstaat
  • welke de te behalen doelstellingen c.q. kritieke succesfactoren van het project en / of activiteit ondergraven dan wel onbereikbaar maken.

Risicomanagement

Risicomanagement is het proces waarmee de organisatie risico’s beheersbaar maakt of maatregelen neemt om risico’s te voorkomen. Voor risicomanagement bestaan diverse methodes die worden gehanteerd, deze methodes komen veelal neer op de volgende stappen:

1)       Situatieanalyse: fase waarin de specifieke situatie in kaart wordt gebracht met als doel mogelijk relevante risico’s te identificeren,

2)       Beoordeling: fase waarin de gevonden risico’s geclassificeerd worden en effectieve tegenmaatregelen worden gedefinieerd,

3)      Uitvoering & Monitoring: fase waarin de maatregelen geïmplementeerd en bewaakt worden. Tijdens deze fase wordt op specifieke momenten geëvalueerd of de gekozen aanpak -op basis van de situatieanalyse en beoordeling-  nog de gewenste resultaten oplevert dan wel dat de aanpak aangepast moet worden.

De essentie van een goede risicoanalyse is dat:

  • deze interdisciplinair wordt opgepakt zodat risico’s niet beperkt worden tot specifieke vakgebieden of werkterreinen,
  • de doelstelling niet is om zoveel mogelijk risico’s te identificeren, maar alleen de meest relevante.



Hoe doe je dit in de praktijk: doelgerichte situatieanalyse

Doordat we als adviesbureau in veel verschillende situaties risico’s tegen komen, hebben we in de loop der tijd gezien dat in bepaalde vergelijkbare situaties oorzaken van risico’s veelal vaker terugkeren dan wel structureel optreden. In onze adviesopdrachten hebben we veel ‘maatregelen’ ook in de praktijk kunnen toepassen, inclusief het vaststellen van de effectiviteit ervan.

Hierdoor zijn wij in staat om op een doeltreffende wijze samen met de klant een goede situatieanalyse te maken. Afhankelijk van de situatie kiezen we voor een top-down of bottom-up benadering of voor een combinatie van beide. Door gebruik te maken van diverse checklists en uitvraagtechnieken kunnen we snel oorzaken herkennen en risico’s prioriteren.

De analyse kan beginnen tijdens de offertefase waarin een opdrachtgever een vraagstuk aan ons voorlegt. In deze intake starten wij op hoofdlijn met de situatieanalyse, om zo een klantspecifieke (maatwerk-)offerte te kunnen opstellen. De offerte houdt rekening met de risico’s die door de klant geïdentificeerd zijn, risico´s die wij zelf afleiden uit het intakegesprek en eventueel aanwezige vooraf of achteraf ontvangen documentatie.

Tijdens de uitvoering van opdracht blijven we op specifieke momenten de situatie monitoren waarbij onder andere wordt geëvalueerd of de inzichten en de voorgestelde aanpak nog wel in lijn met elkaar zijn.

Best Practices

Bij het uitbrengen van offertes en tijdens het uitvoeren van opdrachten maken wij gebruik van eigen tools, best practices en opgedane algemene kennis.

Ter illustratie van het onderscheid tussen de verschillende soorten van ‘tools’ introduceren we de volgende metafoor:

Middelen

  • Tools: Engelse sleutel
  • Best Practice: handleiding voor Volvo 440
  • Algemene Kennis: opleiding tot automonteur

Situatie

  • Motor van een Volvo 440 wordt te heet.
  • Monteur onderzoekt de auto en maakt daarbij gebruik van kennis uit zijn opleiding tot automonteur, de handleiding van de Volvo 440, zijn eigen ervaring en een bepaald type sleutel om bepaalde onderdelen los te schroeven om goed te kunnen kijken

Conclusie: Het koelsysteem van de Volvo 440 moet worden vervangen.

In mijn volgende blog zal ik stil staan hoe je met de in bovenstaande stap geïdentificeerde risico’s van IT-projecten de fase beoordeling in kunt gaan.

Plaats een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.