Renée is risicomanager bij een financiële dienstverlener die zich bezighoudt met consumptieve kredieten. Dit bedrijf is onderdeel van een beursgenoteerd, buitenlands concern. Voor het beheer van kredietportefeuille is met de agile-scrum aanpak een software applicatie ontwikkeld, waarop risicosturing is toegepast.
Over de aanpak ‘agile-scrum’ zijn allerlei beschrijvingen in omloop. Je kunt het zien als een flexibele én gedisciplineerde aanpak, waarin wordt gewerkt met multidisciplinaire, zelfstandige teams. In korte periodes van bijvoorbeeld twee weken – de sprints – worden werkende onderdelen van het eindproduct opgeleverd. In dit geval ging het om het ontwikkelen van een software applicatie voor de kredietverlening. De afdeling operationeel risicomanagement van de financiële dienstverlener in dit voorbeeld benut een risicomanagementcyclus, die is afgeleid van de internationale richtlijnen COSO-ERM en ISO 31000. Dit riep bij Renée de vraag op in welke mate een dergelijke risicomanagementcyclus eigenlijk binnen het genoemde ICT-project wordt toegepast. Ze was nieuwsgierig naar de resultaten ervan, en naar de eventuele knelpunten en oplossingen. Die zou ze immers kunnen gebruiken voor een volgend ICT-project binnen de organisatie. Zo vervult Renée haar rol als risicomanager dus ook als die van verbeteraar.Tijdgebrek
Wat waren de bevindingen van haar analyse? In de hectiek van het ICT-project bleek de risicomanagementcyclus vooral op papier en beperkt toegepast. Een hoofdreden was tijdgebrek. De risicomanagementcyclus was namelijk nieuw voor de drukbezette betrokkenen. Het was daardoor zoeken naar hoe de risicostappen effectief en efficiënt binnen de agile-scrum aanpak konden worden toegepast. Op good practices kon niet worden teruggevallen. De relatie tussen doelen en risico’s bleek niet helder, evenals de risicobereidheid van de betrokkenen. Renée heeft hier de nodige lessen uit getrokken. Risicosturing moet vanaf het allereerste begin van het project worden toegepast, en continu worden volgehouden gedurende het hele project. De rol en invulling van risicosturing binnen dergelijke projecten moet vooraf met de betrokkenen worden afgestemd. De risico’s moeten worden vastgelegd in een praktisch risicodossier, dat, let wel, dagelijks moet worden besproken in de daily stand ups van de sprints van agile-scrum. In dergelijke projecten kunnen risico’s namelijk dagelijks wijzigen. Dit alles betekent dat het aantal risico’s hanteerbaar moet zijn. Visualisering van risico’s in handige charts kan hierbij goed helpen. Kortom, genoeg aspecten waar Renée als risicomanager met ambities richting risicoleiderschap stevig haar tanden in kan zetten. Dit zijn enkele voorbeelden van vaardigheden voor risicoleiderschap, die Renée heeft ontwikkeld en haar hebben geholpen. Vaardigheid: alle risicostappen zetten en als cyclus blijven herhalen Dit betekent dat Renée de betrokkenen van het project zowel lineair als cyclisch met risico’s leert omgaan. Dit begint met te kunnen dromen wat de zes algemene risicostappen zijn, vanuit heldere en gedeelde doelen. Deze stappen hebben we al besproken in het hoofdstuk over risicoleiderschap, voorafgaand aan de praktijkvoorbeelden (zie het whitepaper risicoleiderschap in de praktijk) Daarbij moeten álle zes stappen op een praktische wijze worden doorlopen. Immers, zonder doelen geen risico’s en zonder inzicht in de risicoclassificatie kan bijvoorbeeld geen besluit worden genomen over al dan niet te nemen maatregelen. Zonder dergelijke bewuste keuzes kan niet worden beoordeeld of deze maatregelen werken en wordt er dus niets geleerd. Het tegenovergestelde ontstaat door de opeenvolgende stappen juist wél allemaal te zetten. De stappen worden periodiek herhaald omdat de context en risico’s continue veranderen, zeker in de meeste ICT-projecten. Een risicoleider is dus in staat om de alle risicostappen cyclisch te kunnen laten toepassen in bestaande processen en methoden, zoals agile-scrum.Vaardigheid: Dynamiek hanteren
Renée erkent de dynamiek van risico’s. Dit maakt ze duidelijk met haar aanbeveling om in de daily stand ups van de sprints de relevante dagelijks risico’s kort door te nemen. Dit betekent tevens dat ze inziet dat classificaties van risico’s feitelijk eigenlijk niets meer zijn dan momentopnamen. Risico’s kunnen morgen zo maar anders worden ingeschat en tot andere keuzes leiden. Heldere principes kunnen hierbij leidend zijn en houvast bieden. Een dergelijke dynamische benadering van risicosturing sluit naadloos aan op de agile-scrum benadering. Beide benaderingen vragen om een paradoxale ‘formele flexibiliteit’, en daarmee wendbaarheid – het agile aspect – voor het effectief kunnen omgaan met onzekerheden, risico’s én kansen.Vaardigheid: Interacties doorzien
Iets anders wat Renée onderkent betreft de interacties tussen risico’s. Zoals onderdelen van de softwareapplicatie in interactie met elkaar en de buitenwereld staan, zo geldt dat ook voor de bijbehorende onzekerheden.
De softwareontwikkeling uit dit voorbeeld heeft zowel kenmerken van tamme als wilde vraagstukken. Dat is waarschijnlijk ook een van de redenen waarom door de organisatie voor een flexibele agile-scrum projectaanpak is gekozen. Dit betekent de leden van het scrumteam, ieder vanuit hun eigen expertise, de relevante interacties tussen risico-oorzaken en risico-gevolgen in beeld moeten hebben. Dit om waar nodig tijdig te kunnen ingrijpen en het project zo beheersbaar te houden.
Naast deze vaardigheden herken je samen met Renée waarschijnlijk ook een aantal andere waardevolle competenties voor risicoleiderschap. Bijvoorbeeld het kunnen accepteren van kleine verspillingen, door het verschil tussen effectief en efficiënt scherp te hebben, en het tijdig opmerken van afwijkingen of fouten. Uiteindelijk komt veel hiervan samen in de vaardigheid om steeds weer scherpe keuzes te kunnen én durven maken.
- Meer over risicoleiderschap in het whitepaper: Risicoleiderschap in de praktijk >>>
Martin van Staveren staat voor anders omgaan met onzekerheden, risico’s en kwaliteit. Hij promoveerde op het proefschrift Risk, Innovation & Change. Vanuit risicobureau VSRM adviseert hij organisaties in allerlei sectoren over realistisch en werkbaar risicomanagement. Ook is hij kerndocent aan de Executive Masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Hij is auteur van de boeken Risicogestuurd werken in de praktijk en Risicoleiderschap: doelgericht omgaan met onzekerheden.
