Nadat je hebt bepaald op welke wijze risicomanagement wordt ingevuld binnen de organisatie en de randvoorwaarden hebt vastgelegd, kun je de stappen van risicomanagement doorlopen (het realiseren).
Dit betreft het daadwerkelijk toepassen van risicomanagement bij projecten, programma’s of organisaties.
Risicomanagement als cyclisch proces
Risicomanagement kan worden gezien als een cyclisch proces dat bestaat uit vijf stappen. Het start met het doen een integrale risicoanalyse, vervolgens het vastleggen en uitvoeren beheersmaatregelen, dan het evalueren van beheersmaatregelen en tenslotte naar het uitvoeren van een update van de risicoanalyse.
Stap 1: uitvoeren integrale risicoanalyse
De eerste stap is het inzichtelijk maken van de stand van zaken op een bepaald moment. Dit gebeurt door het uitvoeren van een integrale risicoanalyse. Deze risicoanalyse kan worden uitgevoerd volgens de RISMAN-methode en bestaat uit een aantal stappen. Deze worden hieronder verder beschreven.
Stap 2: vaststellen van beheersmaatregelen
Uit de risicoanalyse is voor de belangrijkste risico’s een aantal mogelijke beheersmaatregelen naar voren gekomen. Het managementteam of de projectleiding besluit welke maatregelen hiervan daadwerkelijk worden genomen. Dit gebeurt op basis van een inschatting van enerzijds het verwachte effect van de beheersmaatregel en anderzijds de kosten of inspanning die de beheersmaatregel vergt. Tevens wordt vastgesteld wie de beheersmaatregelen daadwerkelijk gaat uitvoeren en/of wie verantwoordelijk is voor de uitvoering.
Het resultaat is een lijstje met daarin achtereenvolgens opgenomen:
- Het risico.
- De vastgestelde beheersmaatregel.
- De verantwoordelijke persoon.
Stap 3: implementeren van beheersmaatregelen
De verantwoordelijke personen zorgen er vervolgens voor dat de maatregelen daadwerkelijk worden genomen.
Stap 4: evalueren van beheersmaatregelen
Op regelmatige basis dient te worden gekeken of de beheersmaatregelen zijn uitgevoerd en/of de maatregelen het gewenste effect hebben gehad.
Stap 5: uitvoeren update van de risicoanalyse
Na de evaluatie van de beheersmaatregelen moet een update worden gemaakt van de lijst met risico’s, zoals die oorspronkelijk is voortgekomen uit de risicoanalyse. Dit houdt in dat wordt bekeken welke risico’s nog steeds optreedbaar zijn en welke niet. Ook worden mogelijke nieuwe risico’s geïnventariseerd en toegevoegd aan de lijst.
Uitvoeren van de risicoanalyse
Voor het uitvoeren van de risicoanalyse worden vier stappen doorlopen:
Vaststellen doel
Door vast te stellen waar de risicoanalyse op gericht is (wat het doel is), wordt in de terminologie van de risicoanalyse de ‘ongewenste topgebeurtenis’ vastgesteld. Een ‘ongewenste topgebeurtenis’ is die situatie waarvan de projectleider of opdrachtgever niet wil dat deze zich voordoet.
In kaart brengen risico’s
Tijdens de risicoanalyse worden de risico’s aan de hand van o.a. de volgende invalshoeken in kaart gebracht, zodat een integraal beeld wordt verkregen (bij elke risicoanalyse wordt opnieuw bekeken welke invalshoeken daadwerkelijk van toepassing zijn):
- Politiek/bestuurlijk
- Financieel/economisch
- Juridisch/wettelijk
- Technisch
- Organisatorisch
- Geografisch/ruimtelijk
- Maatschappelijk.
Vaststellen belangrijkste risico’s
Het vaststellen van de belangrijkste risico’s kan op veel manieren. Twee veel gebruikte methoden zijn:
- Het verdelen van punten over de lijst met risico’s.
- Voor de individuele risico’s de kans van optreden en het gevolg van optreden apart beoordelen met getallen.
In kaart brengen beheersmaatregelen
In essentie is een aantal maatregelen mogelijk:
- Vermijden. Hierbij wordt de kans/mogelijkheid van optreden van een bepaald risico opgeheven; het risico wordt vermeden.
- Verminderen. Hierbij wordt beoogd de oorzaak of het gevolg van het risico te verkleinen. Indien getracht wordt de oorzaak te verkleinen wordt deze maatregel vooraf uitgevoerd. Bij een gevolggerichte maatregel is het echter zo dat men van te voren nadenkt over de maatregelen en eventuele voorbereidingen treft, maar dat men de daadwerkelijke maatregel pas treft op het moment dat het risico optreedt.
- Overdragen. Overdragen van een risico leidt niet direct tot het wegnemen van het risico, maar wel tot een risicovermindering omdat verwacht of afgesproken wordt dat een andere partij in staat zal zijn het risico te managen of te dragen.
- Accepteren. Er kan ook voor worden gekozen om een risico te accepteren. Vaak houdt dit in dat je hiervoor extra geld opneemt in je raming of dat je de planning aanpast.