Een praktisch begin met risicomanagement: organiseer risicosessies voor projecten!

Risicomanagement ‘in leven’ houden is een uitdaging op zich. En toch is het belangrijk. Dat ziet u bijvoorbeeld ook aan de AVG waarin de DPIA (Data Protection Impact Assessment) nadrukkelijk terugkomt. Maar, hoe start je nu? Organiseer risicosessies voor projecten! Begin klein en start met het inrichten van risicomanagement in de projecten. Hieronder een praktische handleiding hoe de organisatie dat vorm kan geven. 

Zorg ervoor dat (project)managers bij het opstarten van een project contact met de risicomanager opnemen. De risicomanager kan de projectleider helpen bij de volgende drie stappen. Is er geen formele risicomanager? Vraag bijvoorbeeld de controller of manager bedrijfsvoering om (tijdelijk) die rol te vervullen. 

Stap 1: Voorbereiden van de risicosessie 

Voorafgaand aan een sessie moeten de doelen en scope vastgesteld worden.

• Maak een planning voor de risicosessies. Eén sessie duurt gemiddeld drie uur. • Bepaal de deelnemers en nodig hen uit. Denk bij mogelijke deelnemers aan projectleden, maar ook medewerkers vanuit verschillende (relevante) afdelingen. Het kan prettig zijn om een externe projectleider uit te nodigen, wie de sessie naar doelen en scope laat verlopen en kennis en inzicht verschaft in de aanpak van risico’s, maatregelen en prioritering.

Stap 2: Organiseren van de eerste risicosessie 

Na een zorgvuldige voorbereiding is het tijd voor de sessie. Bespreek onder andere de volgende onderwerpen:

• Bespreek de bekende risico's en bedenk nieuwe risico’s. • Vervolgens wordt er per risico aan de plenaire deelnemers gevraagd om beheersmaatregelen te bedenken. Per maatregel moet er bekeken worden wat de verhouding is tussen de benodigde inspanning (geschat in geld of tijd) en het te verwachten effect. Wees reëel in de inschatting! • Verwerk alle risico’s in een risicoregister. Hierdoor ontstaat een duidelijk overzicht van de risico’s en beheersmaatregelen.

Stap 3: Organiseren van een tweede risicosessie 

Na de eerste risicosessie organiseert u binnen twee weken een tweede risicosessie, waarin u de volgende onderwerpen bespreekt: • Analyseren en kwantificeren van de risico’s. Bij stap één is er al een risicoregister opgesteld. Zaak is nu om een risicoregister vast te stellen waar iedereen blij mee is. • Daarna is het tijd om prioritering toe te wijzen aan de risico’s, middels kans en impact. • Het laatste onderdeel van de tweede risicosessie is – uiteraard – het evalueren van de risicosessie. Na uitvoering van de risicosessies zijn risico’s goed bekend bij de projectleden én kan de risico-inventarisatie verbeterd worden. Heeft u ondersteuning nodig? Audittrail kan ondersteunen als externe projectleider. Wenst u meer handvatten? Lees dan het uitgebreide artikel op Audittrail.nl. 

Auteur: Rick Bazuin, Adviseur Governance, Risk en Compliance en Auditor bij Audittrail