Risicomanagement is verantwoordelijkheid van de hele organisatie

Onderzoek uit 2014 door de CEB, een Amerikaans onderzoeksinstituut, laat een rechtstreeks verband zien tussen managementaandacht en de kans dat een risico zich voordoet. Tevens is onderzocht hoe managers hun aandacht verdelen over risicocategorieën. Het bleek dat managementaandacht voor het onderwerp ‘strategische veranderingen’ slechts 6% was, terwijl grote risico’s zich daar juist het vaakst voordoen (86%). Aan ‘financial reporting risks’ besteedt het management maar liefst 39% van zijn risicotijd, terwijl de kans dat zich daar een groot risico voordoet ‘maar’ 2% is.

5 niveau’s

Zeker nu veranderingen en projecten aan de orde van de dag zijn, is het belangrijk om het risicomanagement bij ‘projectmatige’ veranderingen goed tegen het licht te houden. Op alle ‘niveaus’ in een organisatie moet aandacht zijn voor risicomanagement. Natuurlijk moet ieder niveau zich wel met z’n eigen risico’s bezighouden, namelijk de risico’s waar hij of zij op zijn plaats in de organisatie wat aan kan doen.

Op alle ‘niveaus’ in een organisatie moet aandacht zijn voor risicomanagement. Elk niveau moet zich wel bezighouden met de risico’s waar hij vanuit zijn positie wat aan kan doen.

Ik onderscheid vijf niveaus en geef hieronder kort weer waar op elk niveau aandacht voor zou moeten zijn.

1. Onafhankelijk risicomanagement

De risicomanagementrol die belegd is bij een onafhankelijke toezichthouder, handelt in opdracht van het bestuur van de organisatie waarbinnen projecten worden uitgevoerd. Bij grotere organisaties is dit vaak een auditafdeling. Bij middelgrote organisaties kan dit een controller zijn met risicomanagement in zijn portefeuille.

Bij grotere organisaties is de risicomanagementrol vaak belegd bij een auditafdeling.

In deze rol zal de risicomanager vooral in de gaten houden of op alle niveaus en alle relevante momenten voldoende aandacht is voor risicomanagement rondom de veranderprojecten. Hij zal toetsen uitvoeren op de werking van het systeem en steekproefsgewijs zijn eigen audits willen uitvoeren, conform de eigen (jaar)planning.

Primaire doel van deze ‘audits’ is vaststellen dat het systeem goed werkt en afleggen van externe verantwoording. Extern verantwoorden – de laatste jaren enorm in aandacht toegenomen – betekent rekenschap afleggen aan externe belanghebbenden of externe toezichthouders. De toezichthouder kan zo vaststellen of de organisatie grip heeft op haar projecten.

Lees ook dit artikel over auditen: Waarderend auditen maakt het auditproces weer leuk

2. Risicomanagement in de portfolioboard

Binnen de portfolioboard worden de verschillende projecten en programma’s van een organisatie ten opzichte van elkaar gemanaged. Goed portfoliomanagement is cruciaal voor het bereiken van organisatiedoelen. Zeker bij grotere organisaties met verschillende bedrijfsonderdelen is het vaak de enige manier om gericht te kunnen sturen op de vernieuwingsagenda.

Goed portfoliomanagement kan helpen om de organisatie naar de gewenste situatie toe te laten ontwikkelen door de relatie te leggen met de doelstellingen en de ‘streefarchitectuur’. Risicomanagement bij portfolio’s richt zich vooral op de impact van alle samenhangende projecten op de organisatie. Kernvraag is: kan onze organisatie deze veelheid aan projecten en veranderingen wel aan? Natuurlijk helpt het ook om bij de uitvoering van verschillende projecten de onderlinge afhankelijkheden, zowel bij de techniek, de capaciteit als de financiën te bewaken.

De risicomanager op het niveau van het portfolio houdt zich bezig met vragen als:

Kunnen we als organisatie dit (grote) aantal veranderingen wel aan?
Wat is het risico voor het hele verandertraject als één project uitloopt?
Zijn er ontwikkelingen in onze omgeving die van invloed kunnen zijn op onze projecten?
Kan ons management de veranderingen, over alle projecten heen, wel trekken?
Wat is onze (strategische) afhankelijkheid van een beperkt aantal leveranciers?

3. Risicomanagement in de stuurgroep

De risicomanager zal zich als lid van de stuurgroep vooral richten op de risico’s bij het niet behalen van de doelen van de opdrachtgever of stuurgroep. Bij het bepalen van de koers moet vastgesteld worden dat de voorgenomen verandering bijdraagt aan de doelstellingen van de organisatie. Vaak is een businesscase een goede basis.

Daarnaast kijkt de risicomanager hoe effectief de sturing van het veranderproces verloopt. Daaronder vallen: een goede verantwoordelijkheidsverdeling; het opstellen van de plannen (projectplan, businesscase) en het organiseren van het project (structuur, regie en coördinatie, communicatie). Maar ook de aanwezigheid van procedures, regels en richtlijnen, zoals een projectmanagementmethodiek of het voldoen aan wet- en regelgeving.

Als lid van de stuurgroep opereert de risicomanager op het niveau van de opdrachtgever en helpt de stuurgroep om de projectrisico’s en de impact voor het bedrijf te managen.

Hij houdt zich bezig met vragen als:

Zijn de verantwoordelijkheden in de stuurgroep en de projectorganisatie goed belegd? Met andere woorden: heeft de voorzitter van de stuurgroep voldoende mandaat om de verandering in de organisatie door te voeren? Heeft de stuurgroep de juiste capaciteiten om de projectuitvoering aan te sturen en de baten ook binnen te halen? Hoe wordt er gestuurd op het realiseren van de baten?
Vragen die een relatie leggen tussen de organisatiedoelen en de projectdoelen. Wat gebeurt er als het project niet de verwachte baten oplevert? Kan de organisatie met beperktere baten haar doelstellingen op een andere manier realiseren?
Doen zich kansen voor waardoor de doelstellingen die het project nastreeft versneld worden bereikt of vergroot?
Is de opdrachtverstrekking aan de projectmanager scherp genoeg? Is de stuurgroep voldoende in staat om bij te sturen?
Zijn de voorwaarden in de omgeving van het project voldoende ingeregeld? Vragen hierbij: is de uitgangssituatie voldoende helder beschreven? Kan de toegezegde capaciteit worden geleverd?
Wat zijn de kritische mijlpalen in het project? Is het mogelijk om mijlpalen te benoemen waarop bijgestuurd kan worden of waarop het project stopgezet kan worden?
Kunnen bepaalde risico’s buiten de organisatie worden ondergebracht? Kan bijvoorbeeld een leverancier bepaalde risico’s dragen of kan men deze verzekeren bij derde partijen?

4. Riscomanager toegevoegd aan het veranderproject

Dit is de meest bekende vorm van risicomanagement rond projectmatige veranderingen. Hier staat risicomanagement in het teken van de projectuitvoering. Risicomanagement is een verantwoordelijkheid van de projectleider, de risicomanager ondersteunt hem en inventariseert, analyseert en bewaakt de projectrisico’s.

Projectdoelen hebben altijd te maken met tijd, scope, kwaliteit en geld. Projectrisico’s zijn gebeurtenissen die ertoe leiden dat het project uitloopt, dat het budget wordt overschreden of dat de afgesproken kwaliteit niet wordt bereikt. Uit meerjarig internationaal onderzoek van de Standish Group blijkt dat in ruim 60% van de gevallen de afgesproken opleverdatum wordt overschreden. Bij ongeveer eenzelfde aantal projecten wordt het budget overschreden.In 40% van de gevallen wordt de afgesproken kwaliteit niet opgeleverd en is er na afloop van het project nog veel reparatie nodig.

De risicomanager ondersteunt de projectmanager om zijn project op tijd, binnen budget en tegen de afgesproken functionaliteit en kwaliteit uit te voeren.

De risicomanager ondersteunt de projectmanager om zijn project op tijd, binnen budget en tegen de afgesproken functionaliteit en kwaliteit uit te voeren. Hij is vooral bezig met de risico’s die het projectresultaat in de weg staan.

Juist in zijn adviseursrol komt de risicomanager vaak in een lastige spagaat. Op het moment dat er binnen het project risico’s ontstaan die naar zijn mening niet adequaat worden opgelost of waarover onvoldoende indringend wordt gerapporteerd, heeft hij een lastige uitdaging. Vanuit zijn verantwoordelijkheid voor de gehele organisatie heeft hij de plicht hierover te melden aan de stuurgroep, maar dit kan haaks staan op het projectresultaat.

5. Onderdeel van de projectorganisatie

Met name bij grotere of risicovolle projecten is risicomanagement vaak in ieder van de deelprojecten of in de verschillende fases van het project belegd. Risicomanagement staat hierbij primair in het teken van het beheersen en beheerst krijgen van het project, dit in opdracht van de direct verantwoordelijke.

Tot slot

Het is mijn overtuiging dat alleen als op alle niveaus het risicomanagement is ingericht en iedereen zich houdt aan zijn rol, daadwerkelijk gestuurd wordt op succesvolle uitvoering van projecten. Wilt u hier meer over lezen, vorig jaar is hier boek over verschenen met als titel ‘Risicomanagement bij veranderingen: voor opdrachtgevers’. Ik ben benieuwd naar uw reactie.

Peter Noordam is management consultant en adviseert over complexe inrichtings- en sturingsvraagstukken. Peter verzorgt colleges op universiteiten en opleidingsinstituten. Hij is auteur van managementliteratuur waarbij praktijk en theorie bij elkaar worden gebracht.

https://www.sigmaonline.nl/2015/06/kwaliteit-van-risicogestuurd-werken/

5 niveau’s

1. Onafhankelijk risicomanagement

2. Risicomanagement in de portfolioboard

3. Risicomanagement in de stuurgroep

4. Riscomanager toegevoegd aan het veranderproject

5. Onderdeel van de projectorganisatie

Tot slot

De systeemleer in auditing

Hoe kan Lean helpen bij een crisis?

Groencertificaten zorgen voor aantoonbaar duurzame warmte

Audits op afstand?

Gevolgen van coronacrisis voor accreditatie

Boom Management Podcast: Managementmodellen en meer met Patrick Kooij

Nieuwe podcastserie over het versnellen van de circulaire economie

5 niveau’s

1. Onafhankelijk risicomanagement

2. Risicomanagement in de portfolioboard

3. Risicomanagement in de stuurgroep

4. Riscomanager toegevoegd aan het veranderproject

5. Onderdeel van de projectorganisatie

Tot slot

Mis nooit meer de nieuwste inzichten met de gratis nieuwsbrief van Boom Management!