Home Opdrachtgevers ICT'ers Over Spronk Openstaande aanvragen Links Column Contact
 
Columns:

Come on, it can’t go wrong every time…

auteur: Drs. Karel de Bakker PMP

Project en risico zijn onlosmakelijk met elkaar verbonden. Net als ICT project en succes, of misschien beter gezegd, ICT project en het ontbreken van succes. Dat heeft ook zo z’n voordelen; het levert in elk geval steeds weer voldoende materiaal om over na te denken, om over te praten of te schrijven. Zoals nu door mij in deze column.

Projecten, risico’s en succes intrigeren mij al zolang ik werkzaam ben in de ICT. Door de jaren heen is het beeld misschien iets rooskleuriger geworden1, maar over het algemeen is het niet positief gesteld met ICT projecten en hun succes. Te vaak duren ze te lang, kosten ze te veel en leveren ze te weinig op.

Na zo’n constatering verschijnt dan met enige regelmaat de oproep om meer te gaan doen aan risicoanalyse en risicomanagement. De Algemene Rekenkamer gaat alle mislukte ICT projecten bij de overheid sinds 2000 in kaart brengen, en concludeert in één van haar tussentijdse rapporten betreffende een mislukt ICT project dat er ten onrechte geen risicoanalyse is uitgevoerd2. De Royal Academy of Engineering constateert in haar rapport3: “Risk management is critical to success in complex projects but is seldom applied effectively in the case of IT and software”. Op zichzelf is dat een mooie ontwikkeling, zeker indien je zoals ik met project risicomanagement je brood probeert te verdienen, maar toch, er knaagt iets …

Want als risicomanagement het verschil uitmaakt tussen slagen en falen van een project, en we zijn daar echt van overtuigd, waarom passen we het dan niet vaker toe? En waarom zeggen project managers dat ze risicomanagement toepassen, maar komen ze meestal niet verder dan het invullen van een obligaat vragenlijstje? Zonder dat er uit de resultaten conclusies worden getrokken of acties worden opgestart? Wat heeft het voor zin om risico’s in getallen uit te drukken (kans maal effect) als de hoogte van de kans volledig uit de lucht is gegrepen, en niet gebaseerd is op ervaringsgegevens?

Na een aantal jaren als project manager en project risk manager gewerkt te hebben, kreeg ik in maart van 2007 de kans om me in bovenstaande vragen te verdiepen via een tijdelijke onderzoeksaanstelling bij de faculteit Bedrijfskunde van de Rijksuniversiteit Groningen. En wat blijkt? Er zijn intussen vanuit onderzoek een aantal interessante dingen bekend die nog niet zijn doorgedrongen tot in de ICT projectwereld. Maar er zijn ook een aantal zaken waar het onderzoek nog maar moeilijk de vinger achter kan krijgen. En gelukkig worden er ook praktijkervaringen bevestigd door onderzoek dat is uitgevoerd.

Om met dat laatste te beginnen; risicomanagement wordt inderdaad vaak niet toegepast in projecten4. En als het wordt toegepast, dan is het vaak alleen risico identificatie wat wordt uitgevoerd; vervolgstappen blijven meestal achterwege. Wat we ons misschien minder realiseren is dat het tijdig opleveren van een project samenhangt met de mate waarin we in staat zijn en bereid zijn om risico’s zichtbaar en correct te registreren, de risicolijst (meestal een MS Excel sheet) te onderhouden en risico’s toe te wijzen aan een eigenaar5. Verder geldt dat de basis voor problematische projecten vaak al wordt gelegd in de fase van de vaststelling van de business case6; mensen zijn structureel te optimistisch bij het maken van schattingen en ze verdraaien bewust de werkelijkheid om hun project geaccepteerd te krijgen.

Het huidige risicomanagement gaat uit van single-cause, single-effect, maar in de praktijk blijken risico’s en gevolgen elkaar te beïnvloeden; dat kan zijn versterken of verzwakken. Dit multi-cause, multi-effect model kan tot gevolg hebben dat het bewust managen van een risico leidt tot een verslechtering van de totale situatie. Niets doen is in zo’n geval beter dan ingrijpen. Het mag duidelijk zijn dat het lastig is om in de praktijk te onderkennen wanneer een situatie zodanig is dat je beter niet kunt ingrijpen. Laat staan dat het mogelijk nog lastiger is om als manager te besluiten om in zo’n geval niets te doen.

Maar er zijn ook een aantal zaken waarvan we niet weten hoe ze in elkaar zitten. Zo is er weinig bekend over het rendement van risicomanagement en weten we weinig over de condities waaronder risicomanagement effectief is. Verder weten we niet welke mechanismen er aan het werk zijn die er voor zorgen dat risicomanagement werkzaam is binnen een project. Komt het omdat risicomanagement er voor zorgt dat we een beter inzicht krijgen in de planning van het project, of komt het misschien omdat projectmedewerkers zich meer verantwoordelijk gaan voelen en gedragen als ze weten wat de risico’s zijn en wat zij er aan kunnen doen? Als we daar meer over te weten kunnen komen, dan kunnen we vervolgens werken aan het verbeteren van het instrumentarium van risicomanagement indien dat nodig mocht blijken te zijn, en er voor zorgen dat risicomanagement vaker en beter wordt toegepast. Uiteindelijk is dat mijn doel; onderzoek combineren met praktijktoepassing. Ik hoop dat tijdens mijn onderzoek en bij de afronding ervan in 2009 mijn onderzoeksresultaten bijdragen aan een betere uitvoering van risicomanagement in de praktijk van ICT projecten.

Juist in de ICT wereld staan onderzoek en praktijk nog ver van elkaar af. Daar waar het in de medische wereld gemeengoed is geworden dat bedrijven een deel van hun zoektocht naar nieuwe of verbeterde producten uitbesteden aan onderzoeksinstituten en universiteiten, is dat in de ICT wereld veel minder vaak het geval. Ik zie wel langzaam aan een kentering optreden, en ik hoop van harte dat dit doorzet. Want ik ben er intussen van overtuigd dat onderzoek en praktijk, ook in de ICT, veel aan elkaar kunnen hebben.

Mensen die naar aanleiding van deze column een reactie willen geven of interesse hebben in het onderzoek worden vriendelijk verzocht om contact op te nemen met de auteur.

Drs. Karel de Bakker PMP
Faculteit Economie en Bedrijfskunde
Vakgroep Business & ICT
k.f.c.de.bakker@rug.nl

 

  1. Ernst & Young, ICT Barometer, ICT Projecten, juni 2007
  2. Computable, 12 oktober 2007, pagina 6.
  3. Royal Academy of Engineering, The Challenge of Complex IT Projects, 2004
  4. Raz, T., Shenhar, A., Dvir, D., 2002. “Risk management, project success, and technological uncertainty”, in: R&D Management 32, 2, pp 101-109.
  5. Cooke-Davies, T., 2000. Towards Improved Project Management Practice; Uncovering the evidence for effective practices through empirical research (diss.), published by Dissertation.com
  6. Flyvbjerg, B., 2003. Mega projects & Risk, Cambridge.