Het doel van het thema Risico is het identificeren, beoordelen en beheersen van onzekerheid, en daardoor het project betere mogelijkheden geven om te slagen.
Risico:

Een gebeurtenis die een effect kan hebben op het halen van de doelen van het project.

Risico management:
  • Identificeren van potentiele risico's;
  • Inschatten van de kans en de impact van risico's;
  • Beheersen: mogelijke acties vaststellen, risico-eigenaren toewijzen, acties uitvoeren en bewaken.
Risico in projecten

Risico's zijn onlosmakelijke verbonden met projecten omdat een project per definitie iets nieuws en dus onbekends doet! Er zijn allerlei gebieden waarop gebeurtenissen kunnen optreden die een effect op het project kunnen hebben. Een niet uitputtende lijst van risicocategorieën is als volgt:

  • Economisch/Financieel;
  • Politiek;
  • Wet- en Regelgeving;
  • Organisatie/Mensen;
  • Techniek;
  • Natuur/Milieu.
Risicomanagementaanpak
Elk project moet een Risicomanagementaanpak opstellen. Deze moet uiteraard aansluiten bij standaards en werkwijzen die al bestaan in de organisatie of het programma waar het project deel van uitmaakt. De benadering van risicomanagement wordt door het project vastgelegd in de Risicomanagementaanpak, die onderdeel is van de PID . Hierin moet ook vastgelegd worden hoe de Stuurgroep tegenover risico's staat: de risk tolerance (risicotolerantie) is het niveau van risico dat bij overschrijding tot een exception leidt ( en dus tot escalatie). Voor de hele organisatie kan gesproken worden van "risicobereidheid" (risk appetite): welke risico's worden door de organisatie acceptabel geacht?
Risicomanagementprocedure
Het managen van risico's in een project is niet een eenmalige activiteit: op verschillende tijdstippen in het project kan er nieuwe informatie beschikbaar komen die het nodig maakt om de risico's opnieuw te bezien.

Risicomanagementprocedure

Identificeren

Bij het identificeren van risico's moeten van ieder risico de volgende aspecten begrepen worden:

  • Risico-oorzaak: Dit zou een beschrijving moeten zijn van de bron van het risico, dat wil zeggen de gebeurtenis of situatie die aanleiding geeft tot het risico. Deze worden vaak aangeduid als risk drivers. Het zijn zelf geen risico's, maar de potentiële triggers voor risico's. Ze kunnen intern of extern zijn ten opzichte van het project.
  • Risicogebeurtenis: Dit zou een beschrijving moeten zijn van het domein van onzekerheid in termen van de bedreiging of kans.
  • Risico-effect: Dit zou een beschrijving moeten zijn van de impact(s) die het risico zou hebben op de projectdoelstellingen als het werkelijkheid zou worden.
Beoordelen

Om te kunnen bepalen of een mogelijke gebeurtenis een bedreiging of een kans biedt, en of er aandacht aan geschonken moet worden, is het nodig om elk risico in te schatten. Dit betekent dat er voor potentiële gebeurtenissen de kans en de impact bepaald moeten worden. Daarnaast is het goed om de nabijheid van het risico te bepalen.

Er zijn veel verschillende manieren om risico's te beoordelen en PRINCE2 heeft geen voorkeur voor de ene techniek boven de andere. Wel is het aan te bevelen te streven naar een vorm van kwantificeren zodat risico's makkelijker met elkaar vergeleken kunnen worden.

Als laatste stap in risico's beoordelen moet bepaald worden of het totaal aan risico's in het project aanvaardbaar is.

Plannen
Na het identificeren en beoordelen van risico's moet voor elk risico bepaald worden wat het project eraan gaat doen: er moet een risk reponse worden vastgesteld. Hierin geldt dat de actie voor een risico in verhouding staat met de schade die het risico kan veroorzaken bij optreden. Omgekeerd is het ook niet raadzaam een groot bedrag uit te geven aan een kans, als het behaalde voordeel gering zal zijn! Om op kansen en bedreigingen te reageren kan het project van verschillende soorten acties gebruik maken.
Implementeren

Om ervoor te zorgen dat risico-acties werkelijk worden uitgevoerd en dat er op toe wordt gezien dat ze werken, stelt PRINCE2 voor om voor elk risico de volgende verantwoordelijkheden vast te stellen:

  • Risico-eigenaar
    Iemand die ervoor verantwoordelijk is alle aspecten van een risico (inclusief de acties) te managen;
  • Risico-actiehouder
    Iemand aan wie een risicoactie is toegewezen.
Maatregelen voor risico's
Bedreiging Kans
Vermijden
De kans tot nul terugbrengen, of de impact tot nul terugbrengen.
Benutten
Een kans aangrijpen om ervoor te zorgen dat die zich zal voordoen en dat de impact zal worden gerealiseerd.
Reduceren
Impact en/of kans verlagen
Calamiteitenplan voorbereiden
Een actie die wordt uitgevoerd wanneer het risico toch optreedt.
Overdragen
Ervoor zorgen dat de financiële impact verzacht wordt.
Vergroten
Maatregelen nemen die de kans en de impact verhogen.
Delen
Tegen- en meevallers worden gedeeld door Klant en Leverancier.
Accepteren
De bewuste keuze om geen maatregelen te nemen ten aanzien van een risico.
Afwijzen/Reject
De bewuste keuze om geen gebruik van een kans te maken.
Communiceren

De status van de risico's van het project moeten voortdurend onderwerp van communicatie zijn. De Stuurgroep en andere stakeholders moeten op de hoogte gehouden worden van de kansen en bedreigingen in het project om hun verantwoordelijkheid hierin te kunnen nemen.

PRINCE2 maakt de risico status daarom ook onderwerp van een aantal managementproducten:

  • Checkpointrapport;
  • Hoofdpuntenrapport;
  • Fase-eindrapport;
  • Projecteindrapport;
  • Leerpuntenrapport.
Risicoregister

Om informatie over alle risico's beschikbaar te hebben in het project beveelt PRINCE2 het gebruik van een Risicoregister aan. Hierin wordt voor alle risico's de relevante informatie vastgelegd.

Managementproducten

Met het thema Risico hangen de volgende managementproducten samen:

  1. Risicomanagementaanpak
    Hierin wordt beschreven hoe het project het thema Risico gaat aanpakken.
  2. Risicoregister
    In dit managementproduct worden alle relevante gegevens over de risico's bijgehouden.
De managementproducten bekijken

Minimum eisen

Om in het thema Risico volgens PRINCE2 te werken is minimaal nodig:

  • Een Risicomanagementaanpak waarin tenminste:
    • hoe risico's geïdentificeerd en beoordeeld worden,
    • hoe risicomaatregelen gepland en geïmplementeerd worden en hoe er over het risicomanagement in het project gecommuniceerd gaat worden;
    • hoe van risico's beoordeeld wordt welke impact ze hebben op de business case;
  • de rollen en verantwoordelijkheden voor risicomanagement;
  • Eén of andere vorm van een Risicoregister waarin geïdentificeerde risico's en beslissingen over de analyse, het management en de review daarvan worden vastgelegd;
  • Zeker stellen dat projectrisico's geïdentificeerd, beoordeeld, gemanaged en gereviewd worden gedurende het project;
  • Gebruikmaken van leerpunten als input voor risico-identificatie en -management.
Minimaal te gebruiken managementproducten

Daarnaast moeten de volgende managementproducten opgesteld en bijgehouden worden:

  1. Risicomanagementaanpak
    Hierin wordt beschreven hoe het project het thema Risico gaat aanpakken.
  2. Risicoregister
    In dit managementproduct worden alle relevante gegevens over de risico's bijgehouden.