LRP FONDSEN /ABONNEMENTEN/REKENINGEN release 2.1 Koos Willemse.
5 februari 2007 Risicomanagement Een hulpmiddel bij projecten en bedrijfsvoering Koos van Bekkum.
-
Upload
ivo-pauwels -
Category
Documents
-
view
217 -
download
0
Transcript of 5 februari 2007 Risicomanagement Een hulpmiddel bij projecten en bedrijfsvoering Koos van Bekkum.
5 februari 2007
RisicomanagementEen hulpmiddel bij projecten en bedrijfsvoering
Koos van Bekkum
5 februari 2007Risicomanagement2
Doel van de workshop:
• Risicomanagement behoort tot onze standaard uitrusting
• Effectief gebruik draagt bij aan de slagingskans van programma’s en projecten
5 februari 2007Risicomanagement3
Stellingen:
1. R is slechts een onderdeel(tje) van een project eens/oneens
2. Projectmanagement is een vorm van R eens/oneens
3. R kost teveel tijd en levert weinig op eens/oneens
4. M en S projecten hebben een R manager eens/oneens
5. SWOT analyse is eigenlijk R management eens/oneens
5 februari 2007Risicomanagement4
Theorie: …hoe zit het ook al weer…
• Internet: ruim 263.000 hits (adviesbureaus, opleidingen)
• Burgerlijk wetboek art 141: “… RvC ten minste eenmaal per jaar op de hoogte stellen van …de algemene en financiële risico’s…”
• Referentieraamwerk: Committee of Sponsoring Organizations (COSO). Australian AS/NZS 4360 geldt als wereld standaard
• Risicocategorieën: Overstromingen (Limburg), Financien (Enron, Barings Bank), Gebouwen (Explosie Belgie), Processen (input, throughput, output), Mensen (ziekte), Projecten (verlopen als “een tocht op een wildwaterrivier”), Ruimtevaart, Kernenergie (Tjernobyl), IT (virus), Omgeving (beurs) etc.
• Kortom: risico’s op alle domeinen van het leven.
5 februari 2007Risicomanagement5
Theorie: …hoe zit het ook al weer…
Risico:
• Een risico is een ongewenste gebeurtenis die zich al dan niet kan voordoen en die kan leiden tot extra kosten en/of vertraging
• Een risico in de projectcontext kan worden gezien als een factor die de succesvolle beëindiging van een project in gevaar kan brengen of kan leiden tot kostenoverschrijdingen, tijdsoverschrijdingen en/of kwalitatieve tekortkomingen
• Risico = de kans op het optreden van een gebeurtenis, die negatief gevolg voor de betrokkene met zich mee kan brengen
Risicomanagement:
• Het tijdig herkennen, analyseren en onderzoeken van alle – qua omvang materiële – risico’s welke de mogelijkheden van KPN om haar doelstellingen te behalen negatief beïnvloeden, inclusief de activiteiten om de risico’s te verkleinen of te voorkomen. Het gaat hierbij om risico’s die betrekking hebben op mensen, goederen en activiteiten.
5 februari 2007Risicomanagement6
Theorie: …hoe zit het ook al weer…
Issue:
• Een issue is een gebeurtenis die zich nu voordoet, die het project/programma beïnvloedt en actief behandeld en opgelost moet worden
Issue oplossing strategie:
• Het stapsgewijs behandelen, adresseren en oplossen van issues d.m.v. informatie verzamelen, verantwoordelijkheid toewijzen aan degen die het issue moet oplossen (eigenaarschap), registreren en bewaken. Er zijn project issues, stakeholder issues en issues vanuit andere bronnen. Na onderzoek kan blijken dat een issue mogelijk later in de tijd zich kan voordoen en wordt verder als risico behandeld.
5 februari 2007Risicomanagement7
Theorie: …hoe zit het ook al weer…
Opportunity:
• Een mogelijkheid die zich spontaan of “aangewakkerd” voordoet, waardoor het project/programma meer voordelen (benefits) kan bieden dan vooraf gedefinieerd zijn.
5 februari 2007Risicomanagement8
Theorie: …hoe zit het ook al weer…
• Imago • Publieke houding t.o.v. E.M. straling • publieke waardering van het bedrijf
• verdeling verantwoordelijkheden • Beheersing processen • Naleving van procedures
• Produktkwalteit • Netwerkproblemen • Informatie beveiliging • Afhankelikheid van leveranciers
• Beschikbaarheid personeel • Kennis van medewerkers • Ziekte • Ongelukken • Veiligheid op het werk
• Revenue assurance • Bad debt • Fraude • Valuta schommelingen
• Storm • Overstromig • Bliksem
• Produkt aansprakelijkheid • wettelijke vereisten • Licenctie voorwaarden • Arbo vereisten
Society
Organisational
Technical
HRMl
Financial
Nature
Legal Strategic
• Internationale samenwerking • Partnerschappen • Reorganisaties • Visie
Doelen
• Imago • Publieke houding t.o.v. E.M. straling • publieke waardering van het bedrijf
• verdeling verantwoordelijkheden • Beheersing processen • Naleving van procedures
• Produktkwalteit • Netwerkproblemen • Informatie beveiliging • Afhankelikheid van leveranciers
• Beschikbaarheid personeel • Kennis van medewerkers • Ziekte • Ongelukken • Veiligheid op het werk
• Revenue assurance • Bad debt • Fraude • Valuta schommelingen
• Storm • Overstromig • Bliksem
• Produkt aansprakelijkheid • wettelijke vereisten • Licenctie voorwaarden • Arbo vereisten
Society
Organisational
Technical
HRMl
Financial
Nature
Legal Strategic
Society Society
Organisational Organisational
Technical Technical
HRMl HRM
Financial Financial
Nature Nature
Legal Legal Strategic Strategic
• Internationale samenwerking • Partnerschappen • Reorganisaties • Visie
Doelen
Risicomodel 1: helpt bij categoriseren
5 februari 2007Risicomanagement9
Theorie: …hoe zit het ook al weer…Risico model 2 (AS/NZS 4360: ESTABLISH THE CONTEXT)
• The Internal Context
Business, social, regulatory, cultural, competitive, financial environment, political environment, SWOT of the org., int.stakeholders, key business drivers
• The External Context
Culture, ext. stakeholders, structure, capabilities in terms of resources
• The Risk Management Context
Goals, objectives, strategy, scope, parameters of activities
• Develop Criteria
Based on: operational, technical, financial, legal, social, humanitarian
• Define the Structure
Subdividing the activity in process, project or change into a set of elements or steps in order to provide a logical framework
5 februari 2007Risicomanagement10
Theorie: …hoe zit het ook al weer…
Risicomanagement PROCES:
Analyse:
• Risico’s identificeren
• Eigenaarschap en categorie bepalen
• Evalueren
• Risico reducerende categorie bepalen
• Actie(s) bepalen
Managen:
• Implementeren oplossingen
• Monitoren en rapporteren effectiviteit
• Opnieuw evalueren
Analyse
managen
5 februari 2007Risicomanagement11
Risicomanagement binnen KPN:• Risicomanagement platform:
– Corporate Security
– Audit
– Corporate Treasury & Risk Management/ Risicobeheer & Assurantie
– Corporate Legal Affairs
5 februari 2007Risicomanagement12
Tool 1:
• Internet
• Riskman bij SOx: lijkt veel op onderstaande grafiek
• Is eenvoudig zelf te maken in Excel
Kans van optreden
Impact
25% 50% 75% 100%
Groot
Gemiddeld
Klein
XXX
X
X
X
5 februari 2007Risicomanagement13
Tool 2 (■□□□):
R isk log (versie 1.4, juni 2006)
Project naam (project name): Winning team Voor grafiek maken: Filter uitzetten en kies CTRL-q
Risico = de kans dat een gebeurtenis zich voordoet met negatieve gevolgen voor het project/programma
Id
A
Risico omschrijving(risk description)
B
Aange-melddoor:(author)C
Datum aan-melding(date identified)D
Kans (probability)
E
Kans
Impact (severity)
G
Impact
Risico grootte (weight)
I
Status (status mutation)
J
1 Risico A AB 15-5-2006 Zeer hoog (95%) 4 Catastrofaal 380
2 Risico B BC 1-6-2006 Klein (25%) 4 Catastrofaal 100 3 Risico C BC 1-6-2006 Gemiddeld (50%) 1 Klein 50
Risicomanager/pm (name): Koos
Voor grafiek maken: Filter uitzetten en kies CTRL-q Datum laatst bijgewerkt (date update): 1-jun-06
Risico categorie(category)
K
Niveau(level)
L
Risico actiecategorie(cat. action)M
Besluit welke actie(decision)
N
Actiehouder(owner)
O
Actualiteit (proximity)
P
Proxim
Priority
R
Hoe volgen(measure)
S
programma strat contingency Wegnemen onzekerheden
MH 4 Max. 1 maand 2280 voortgang
Extern (klant) proj prevention 4 Max. 1 maand 600 mngt team
Extern (klant) strat prevention Verder uitdiepen TG/PT 2 Max.6 maanden100 mngt team
5 februari 2007Risicomanagement14
Tool 2 (□■□□): Risico analyse project x
0
1
2
3
4
5
0 25 50 75 100 125
Kans (Probability)
Imp
act
(Sev
erit
y)
Risico A
Risico B
Risico C
5 februari 2007Risicomanagement15
Tool 2 (□□■□):
I ssue logProjectnaam (project name): Winning team
Versie 1.4 juni 2006
Issue = a problem, query, concern or change request that affects the programme and requires management interventions and action to resolve.
Id Issue omschrijvingissue description)
Aangemelddoor:(author)
Datum aan-melding(data identified)
Financial impact (euro)
Impact (severity)
1 No cooperation with TI-team AB 24-3-2006 > 1million Critical
2 Conflicting requirements AB 100k - <500k Major
3 Supplier does not agree BC 50k - <100k Critical
Issue manager/pm (name): KoosDatum laatst bijgewerkt (date update): 1-jun-06
Issue = a problem, query, concern or change request that affects the programme and requires management interventions and action to resolve.
Status (status mutation)
Issue categorie(category)
Niveau(level)
Besluit welke actie(decision)
Actie-houder(owner)
programma strat Wegnemen onzekerheden MH
planning proj Verder uitdiepen TG/PT
programma strat Inventariseren TG
5 februari 2007Risicomanagement16
Tool 2 (□□□■):
Opportunity logProjectnaam (project name): Winning team
Versie 1.4 juni 2006
Opportunity = where the plan could be more effectively or where there could be additional benefits to the organisation
Id Kans omschrijvingopportunity description)
Aange-melddoor:(author)
Datum aan-melding(data identified)
Oorzaak(likely cause)
Promotie(promotion action)
Actie om effect te maximaliseren(exploiting action)
1 Time to market eerder AB 24-3-2006 Leverancier levert eerder Eerdere betaling Bijstelling kostenplaatje
2 Kosten reductie BC 15-6-2006 Gebruik dezelfde resource voor activiteit a
Afspraak met resource managers
Waardering opdarchtgever zichtbaar maken
Opportunity manager/pm (name): KoosDatum laatst bijgewerkt (date update): 1-jun-06
Actie als de kans zich voordoet(triggers)
Financial impact (euro)
Impact (severity)
Status (status mutation)
Actie-houder(owner)
Voorbereiding test en training starten, zodat "go live" moment eerder plaats vind
100k - <500k High
MH
bijstelling plan < 50k Low
TG/PT
5 februari 2007Risicomanagement17
Tool 3: AS/NZS 4360 Risk register
Analysis Rerence The risk What can
happen?
(event)
How can
it
happen?
What can
happen?
(consequ-
ences)
Identify
existing
controls
Effectiveness
and
implementation
of existing
controls Likelihood Consequences Level of
risk
Risk
priority
Treat
risk
Y/N
Further
action
Function/Activity: Compiled by: Date:
Date of risk review: Reviewed by: Date:
The consequences of an event
happening
Reference The risk:
what can happen and
how it can happen Consequence Likelihood
Adequacy of existing
controls
Consequence
rating
Likelihood
rating
Level of
risk
Risk priority
Komen ook bij andere tools voor
5 februari 2007Risicomanagement18
Case: 1/3Company card
In het kader van Security is het noodzakelijk dat KPN de Company Cards van tijd tot tijd vervangen worden. Nu zijn er veel tijdelijke passen, passen met verkeerde bevoegdheden wat parkeren en toegang tot gebouwen betreft, “zwerfpassen” die opgegeven zijn als verloren, maar toch nog gebruikt worden etc. Ook verloopt het proces met de AP-passen erg traag. Met de nieuwe passen kunnen nieuwe faciliteiten beschikbaar komen. Zo’n operatie is complex en komt gelukkig niet vaak voor. Omdat het om de veiligheid van personen en gebouwen gaat is de opdrachtgever, de RvB, nauw betrokken; de vervanging moet uiterst zorgvuldig plaats vinden. Het gaat om veel mensen, dus het efficiënt omgaan met de kosten is ook belangrijk. Het budget is € 350k. Tevens mag de “duale” periode, waarin de oude en de nieuwe kaarten werken niet te lang duren. De opdrachtgever is pas tevreden als de hele operatie “geruisloos”, snel en binnen het budget verloopt. De activiteiten zijn deels voor VGF; met de andere afdelingen moeten goede (plannings) afspraken worden gemaakt. VGF levert de projectleider.
Kortom: Alle Company Cards moeten vervangen worden. Het gaat om 10.000 KPN-ers. Het is nu 1 mei 2005. De deadline is 1 oktober 2005.
• Doorloop de stappen van het risicomanagementproces
5 februari 2007Risicomanagement19
Case:
Company card
In het kader van Security is het noodzakelijk dat KPN de Company Cards van tijd tot tijd vervangen worden. Nu zijn er veel tijdelijke passen, passen met verkeerde bevoegdheden wat parkeren en toegang tot gebouwen betreft, “zwerfpassen” die opgegeven zijn als verloren, maar toch nog gebruikt worden etc. Ook verloopt het proces met de AP-passen erg traag. Met de nieuwe passen kunnen nieuwe faciliteiten beschikbaar komen. Zo’n operatie is complex en komt gelukkig niet vaak voor. Omdat het om de veiligheid van personen en gebouwen gaat is de opdrachtgever, de RvB, nauw betrokken; de vervanging moet uiterst zorgvuldig plaats vinden. Het gaat om veel mensen, dus het efficiënt omgaan met de kosten is ook belangrijk. Het budget is € 350k. Tevens mag de “duale” periode, waarin de oude en de nieuwe kaarten werken niet te lang duren. De opdrachtgever is pas tevreden als de hele operatie “geruisloos”,
snel en binnen het budget verloopt. De activiteiten zijn deels voor VGF; met de andere afdelingen moeten goede (plannings) afspraken worden gemaakt. VGF levert de projectleider.
Kortom: Alle Company Cards moeten vervangen worden. Het gaat om 10.000 KPN-ers. Het is nu 1 mei 2005. De deadline is 1 oktober 2005.
Analyse: Managen:
• Risico’s (Issue’s, Kansen) identificeren • Implementeren oplossingen
• Eigenaarschap en categorie bepalen • Monitoren en rapporteren effectiviteit
• Evalueren • Opnieuw evalueren
• Risico reducerende categorie bepalen
• Actie(s) bepalen
RisicoIssue
Kans
I
I
R
R
K
RR
R
5 februari 2007Risicomanagement21
Case:
s = strategisch (o.a. partners, visie)sa = samenleving (o.a imago)w = weth = hrm (o.a. beschikbaarheid)p = product/dienstn = natuurf = financieelo = organisatie (o.a. verantwoordelijkheden)k = kwaliteitc = communicatiet = tijd/planning
bijvoorbeeld:
Risicomanager/pm (name): Koos
Voor grafiek maken: Filter uitzetten en kies CTRL-q Datum laatst bijgewerkt (date update): 30-jul-06
Risico categorie(category)
K
Niveau(level)
L
Risico actiecategorie(cat. action)M
Besluit welke actie(decision)
N
Actiehouder(owner)
O
Actualiteit (proximity)
P
Proxim
Priority
R
Hoe volgen(measure)
S
veiligheid strat contingency Extra sequrity security 1 3 Max. 3 maanden600 extra controle
veiligheid proj contingency Extra sequrity security 1 3 Max. 3 maanden300 klachten
financieel proj reduction Budget controle fin 1 4 Max. 1 maand 300 mngt team
hardware proj prevention pilot IT 1 3 Max. 3 maanden300 mngt team
software proj prevention pilot IT1 3 Max. 3 maanden200 mngt team
doorlooptijd proj acceptance Strakke sturing pl 1 2 Max.6 maanden150 mngt team
organisatie oper reduction project overleg pl 1 5 Elk moment 400 klachten
comm. oper prevention communicatie pl 2 4 Max. 1 maand 300 mngt team
R isk log (versie 1.4, juni 2006)
Project naam (project name): Company card Voor grafiek maken: Filter uitzetten en kies CTRL-q
Risico = de kans dat een gebeurtenis zich voordoet met negatieve gevolgen voor het project/programma
Id
A
Risico omschrijving(risk description)
B
Aange-melddoor:(author)C
Datum aan-melding(date identified)D
Kans (probability)
E
Kans
Impact (severity)
G
Impact
Risico grootte (weight)
I
Status (status mutation)
J
1 Toegang KPN-gebouw open (onzorgvuldige kaart omwisseling)
pl 1 1-5-2006 Gemiddeld (50%) 3 Ernstig 150
2 Toegang KPN gebouw dicht (onzorgvuldige kaart omwisseling)
pl 1 1-5-2006 Klein (25%) 3 Ernstig 75
3 Kosten lopen uit de hand (10.000 mensen, 350 k€ budget)
pl 2 1-5-2006 Klein (25%) 2 Gemiddeld 50
4 Kaart werkt niet pl 3 1-5-2006 Klein (25%) 3 Ernstig 75 5 Verkeerde faciliteiten pl 3 1-5-2006 Klein (25%) 2 Gemiddeld 50 6 Duale periode langer pl 4 1-5-2006 Hoog (75%) 1 Klein 75 7 Samenwerking onvoldoende pl 5 1-5-2006 Klein (25%) 2 Gemiddeld 50 8 Meer nazorg (vanwege tijdgebrek) pl6 1-5-2006 Gemiddeld (50%) 1 Klein 50
5 februari 2007Risicomanagement22
Case: 3/3
Risico analyse project x
0
1
2
3
4
5
0 25 50 75 100 125
Kans (Probability)
Imp
act
(Sev
erit
y)
Toegang KPN-gebouw open (onzorgvuldige kaartomwisseling)
Toegang KPN gebouw dicht (onzorgvuldige kaartomwisseling)
Kosten lopen uit de hand (10.000 mensen, 350 k€budget)
Kaart werkt niet
Verkeerde faciliteiten
Duale periode langer
Samenwerking onvoldoende
Meer nazorg (vanwege tijdgebrek)
bijvoorbeeld:
5 februari 2007Risicomanagement23
Case: 3/3bijvoorbeeld:
I ssue logProjectnaam (project name): Company card Issue manager/pm (name): Koos
Versie 1.4 juni 2006 Datum laatst bijgewerkt (date update): 30-jul-06
Issue = a problem, query, concern or change request that affects the programme and requires management interventions and action to resolve.
Id Issue omschrijvingissue description)
Aangemelddoor:(author)
Datum aan-melding(data identified)
Financial impact (euro)
Impact (severity)
Status (status mutation)
Issue categorie(category)
Niveau(level)
Besluit welke actie(decision)
Actie-houder(owner)
1 Passen met verkeerde bevoegdheden opdr.gever 1-5-2006 < 50k Major sequrity proj 100% controle seq.1
2 Traag proces met AP-passen opdr.gever 1-5-2006 50k - <100k Significant proces proj Top 3 oorzaken oplossen V&F 1
Opportunity logProjectnaam (project name): Company card Opportunity manager/pm (name): Koos
Versie 1.4 juni 2006 Datum laatst bijgewerkt (date update): 30-jul-06
Opportunity = where the plan could be more effectively or where there could be additional benefits to the organisation
Id Kans omschrijvingopportunity description)
Aange-melddoor:(author)
Datum aan-melding(data identified)
Oorzaak(likely cause)
Promotie(promotion action)
Actie om effect te maximaliseren(exploiting action)
Actie als de kans zich voordoet(triggers)
Financial impact (euro)
Impact (severity)
Status (status mutation)
Actie-houder(owner)
1 Kortings faciliteiten voor EP en AP bij KPN, Het Net, Planet, XS4All
pl 5 15-6-2006 Meer "eigen" faciliteiten mogelijk
Communicatie EP en AP met mogelijk kortingsactie. Kaart is voldoende legitimatie.
Veel korting op bepaalde producten
Bij faciliteiten afspraken met leverancier.
< 50k Low
pl 1
2 Kosten reductie pl 3 1-7-2006 Traag lopend AP proces toegang gebouwen, versnellen door Comp.card met "standaard AP faciliteiten" te maken, die bij elke balie (beveiligd) te wijzigen is.
Afspraak met resource managers, projectleiding, opdrachtgever
In pilot meenemen Bijstelling opdracht < 50k Low
pl 1
5 februari 2007Risicomanagement24
Conclusie:
• Risicomanagement en Projectmanagement horen bij elkaar
• Hoe “zwaarder” een project hoe explicieter aan risicomanagement gedaan moet worden (coördinatie)
• Gebruik bestaande tools als hulpmiddel bij risicomanagement
• ….