Een praktisch begin met risicomanagement: organiseer risicosessies voor projecten!

Risicomanagement ‘in leven’ houden is een uitdaging op zich. En toch is het belangrijk. Dat ziet u bijvoorbeeld ook aan de AVG waarin de DPIA (Data Protection Impact Assessment) nadrukkelijk terugkomt. Maar, hoe start je nu? Begin klein en start met het inrichten van risicomanagement in de projecten. Hieronder een praktische handleiding hoe de corporatie dat vorm kan geven.

Organiseer voor elk nieuw project risicosessies. Zorg ervoor dat (project)managers bij het opstarten van een project contact met de risicomanager opnemen. De risicomanager kan de projectleider helpen bij de volgende drie stappen. Is er geen formele risicomanager? Vraag bijvoorbeeld de controller of manager bedrijfsvoering om (tijdelijk) die rol te vervullen.

Stap 1: Voorbereiden van de risicosessie
Voorafgaand aan een sessie moeten de doelen en scope vastgesteld worden.

• Maak een planning voor de risicosessies. Eén sessie duurt gemiddeld drie uur.
• Bepaal de deelnemers en nodig hen uit. Denk bij mogelijke deelnemers aan projectleden, maar ook medewerkers vanuit verschillende (relevante) afdelingen. Het kan prettig zijn om een externe projectleider uit te nodigen wie de sessie naar doelen en scope laat verlopen en kennis en inzicht verschaft in de aanpak van risico’s, maatregelen en prioritering.

Stap 2: Organiseren van de eerste risicosessie
Na een zorgvuldige voorbereiding is het tijd voor de sessie. Bespreek onder andere de volgende onderwerpen:

• Bespreek alle bekende en bedenk nieuwe risico’s.
• Vervolgens wordt er plenair per risico aan de deelnemers gevraagd om beheersmaatregelen te bedenken. Deelnemers moeten per maatregel bekijken wat de verhouding is tussen de benodigde inspanning (in geld of tijd) die de deelnemers hiervoor hebben ingeschat en het te verwachten effect. Wees reëel in de inschatting!
• Verwerk alle risico’s in een risicoregister. Hiermee ontstaat een duidelijk overzicht van de risico’s en beheersmaatregelen.

Stap 3: Organiseren van een tweede risicosessie
Binnen twee weken organiseert u nog een risicosessie, waarin u de volgende onderwerpen bespreekt:
• Analyseren en kwantificeren van de risico’s. Bij stap één is er al een risicoregister opgesteld. Zaak is nu om een risicoregister vast te stellen waar iedereen blij mee is.
• Daarna is het tijd om prioritering toe te wijzen aan de risico’s, middels kans en impact.
• Het laatste onderdeel van de tweede risicosessie is – uiteraard – het evalueren van de risicosessie.

Na uitvoering van de risicosessies zijn risico’s goed bekend bij de projectleden én kan de risico-inventarisatie verbeterd worden. Heeft u ondersteuning nodig? Audittrail kan ondersteunen als externe
projectleider. Wenst u meer handvatten? Lees dan het uitgebreide artikel op Audittrail.nl.

Auteur: Rick Bazuin, Adviseur Governance, Risk en Compliance en Auditor bij Audittrail

Up-to-date blijven? Meld u dan aan voor onze tweemaandelijkse nieuwsbrief

Plaats een reactie

38 − 31 =