Uitgebreide risico-analyse voor IT projecten

In de risico-analyse is de uitspraak “Risico = Kans maal Gevolg” algemeen bekend, maar welke grootheden moet je gebruiken? Wat is de betekenis van de getallen in een risico-analyse? Welke maatregelen horen vervolgens bij een bepaalde risico grootte? Dit artikel geeft antwoord op deze vragen.

Bepaling van het Kans-getal

De bepaling van de kans (K) dat een risicogebeurtenis zich in een project voordoet is een kwestie van inschatting en ervaring met eerdere voorvallen. Het is dan ook verstandig om het Kansgetal in teamverband te bepalen. Dit kan met dezelfde methode als van het schatten van de kosten. Eén van de volgende getallen vullen we in de formule in voor K.

• K(1) = 0,1 Bijna niet denkbaar.
• K(2) = 0,2 Praktisch onmogelijk.
• K(3) = 0,5 Denkbaar maar onwaarschijnlijk.
• K(4) = 1 Onwaarschijnlijk maar mogelijk in een grensgeval.
• K(5) = 3 Ongewoon.
• K(6) = 6 Zeer wel mogelijk.
• K(7) = 10 Te verwachten.

Als een benoemd projectrisico zich op meerdere plaatsen binnen een project kan voordoen moeten K met dat aantal vermenigvuldigen. Als een benoemd projectrisico zich in het verleden in andere projecten binnen de organisatie heeft voorgedaan moeten we K met dat aantal vermenigvuldigen.

Bepaling van het Schade-getal

De gevolgen van een risico kunnen erg verschillen door de mate waarin ze zich openbaren. Als we vooraf bepalen hoe groot de impact van een risico is kunnen we de te nemen maatregelen daarop afstemmen. Immers hoe zwaarder de maatregel, hoe hoger de kosten. Daarom moeten we het spreekwoordelijke schieten met een kanon op een mug voorkomen.

Daarom passen we voor een juiste inschatting van de mogelijke schade binnen IT projecten een objectieve rekenwijze toe. Door het gebruik van deze rekenwijze is het tevens mogelijk om de projectrisico’s onderling te vergelijken.

Een risico is van materieel belang wanneer het gevolgen heeft voor de begroting van het project als het probleem zich daadwerkelijk voordoet. In de accountantswereld noemt men dit materialiteit. De omvang van het probleem bepaalt dus de materialiteit. Voor IT projecten gaan we er van uit dat we met een groot risico te maken hebben als de materialiteit boven de 1% uitkomt. De kostenschatting (zie De driepunten techniek voor het schatten van kosten) wordt hier als projectbegroting in de berekening meegenomen.

Financiële risico-analyse

Als de financiële schade als gevolg van een risico groter kan zijn dan 1% van de projectbegroting merken we de schade als hoog aan. Indien de financiële gevolgen tussen 0.5% en 1% van de projectbegroting kunnen liggen wordt de schade als gemiddeld aangemerkt. De schade merken we als laag aan als de financiële gevolgen kleiner zijn dan 0.5% van de projectbegroting.

Hierbij kijken we echter niet naar de begroting van de individuele fases. Het risico moeten we dus inschatten ten opzichte van de totale projectbegroting. Tevens moeten we beoordelen of het risico een telkens terugkerende fout of een eenmalige fout betreft. Als sprake is van een terugkerende fout, moeten om het percentage te berekenen ook alle plekken in het project waar het risico voorkomt worden meegerekend.

S = ( mogelijke schade / kostenschatting ) * 100

Bij het bepalen van de schade is het tevens van belang welke aspecten daarbij worden meegenomen. Primair is echter het financiële aspect van belang. Dit omdat het eindoordeel over het project in hoge mate van het financiële aspect afhangt. Daarnaast zijn er aspecten belang zoals het imago van de organisatie en het politieke risico. Deze aspecten kunnen we omrekenen naar een bedrag. Bijvoorbeeld wat het kost om een beschadigd imago te herstellen. Voor de bepaling van het percentage moeten eerst alle mogelijke schadebedragen opgeteld worden.

Risico-analyse: Risico berekenen en maatregelen nemen

Per projectrisico wordt het volgende risico-analyse formulier ingevoerd:

Projectrisico:	[Beschrijving van het risico]
S:	[Schade berekend volgens formule, met toevoeging van het  aspect]
K:	[Kans bepaald volgens methode, in waarde en  omschrijving]
R = K * S	[Berekend risico]
Maatregelen hoog risico  (R > 10)	[Nemen van preventieve maatregelen.  Escalatie van het risico naar de opdrachtgever. Overwegen stopzetten van het project]
Maatregelen gemiddeld  risico (R<10 en R> 5)	[Nemen van maatregel die het risico reduceren. Overdragen van het risico naar andere verantwoordelijke.]
Maatregelen laag risico  (R < 5)	[Acceptatie van het risico. Nemen van maatregelen die het risico reduceren. Daarom nemen van eenvoudige preventieve maatregelen.]

Voorbeeld risico-analyse:

Projectrisico:	Ziekte. Op de afdeling waarvoor de software ingevoerd gaat worden was in de afgelopen jaren een hoger ziekte verzuim dan gemiddeld. In de risico-analyse wordt dus rekening gehouden met het risico van 10 extra ziekte dagen tijdens het project.
S:	Schatting van de projectbegroting is 2.000.000 euro.  De mogelijke schade is 10 * 1000 = 10.000 euro.  S = ( 10.000/2.000.000 ) * 100 = 0,5%
K:	In het verleden hebben 2 projecten met dit risico te kampen gehad.  Het is daarom Zeer wel mogelijk.  K = 6 * 2. K = 12
R = K * S	R = 12 * 0,5. R = 6
Maatregelen gemiddeld  risico (R<10 en R> 5)	Nemen van maatregel die het risico reduceren: Het project werkt door met aan te wijzen plaatsvervangers. De projectleider let ook op het wel en wee van de medewerkers. De projectleider houdt contact met de zieke medewerkers. Tijdens het project worden activiteiten ondernomen die de groepsband versterken. Overdragen van het risico naar andere verantwoordelijken: De lijnmanager dient aandacht te schenken aan het ziekteverzuim. HR dient aandacht te schenken aan het ziekteverzuim. HR dient zieke medewerkers intensief te begeleiden.

Discussieer mee op LinkedIn.