Ook bij grote webprojecten zul je als projectmanager een gedegen risicomanagement moeten uitvoeren. De meeste PM's beschrijven de risico's in hun PID of projectplan, maar vergeten hierop te sturen. Ook kun je door middel van goed risicomanagement het eigenaarschap van het risico bij de juiste persoon of partij 'leggen'. Een PM is niet altijd verantwoordelijk voor de risico's die kunnen optreden; vaak kan een stuurgroep of risico eigenaar (degene die het meest gebaat is dat het risico niet optreedt) worden aangesproken om effort te steken in het voorkomen van het risico.

Hoe bepaal je de risico's?

Mijpalen

Eén van de eerste zaken die een PM gaat doen is het beschrijven van zijn/haar project en de eventuele mijlpalen. Deze mijlpalen vormen de basis voor het definiëren van de risico's. Een mijlpaal kan een release zijn, maar ook het opleveren van een document, een decharge-moment, etc. Probeer zo veel mogelijk mijlpalen te definiëren en deze te koppelen aan een (globale) planning.

Aannames

Nadat je de mijlpalen hebt gedefiniëerd, kun je aannames beschijven, waarop je deze mijlpalen hebt gebaseerd. Wat heb je nodig om een mijlpaal te bereiken? Beschrijf dit in een positieve uiting (dus niet: "er mogen geen resources uitvallen ivm de Mexicaanse griep"!, maar "we hebben genoeg resources beschikbaar tijdens deze fase"). Meestal zijn dit vrij basale zaken, zoals:

• release wordt goed opgeleverd en voldoet aan de kwaliteitseisen
• er is genoeg draagvlak voor deze nieuwe interface
• alle partijen zijn op tijd aangehaakt

Door deze aannames te beschrijven, geef je aan wat je nodig hebt om de kans zo groot mogelijk te maken dat je een mijlpaal haalt. Deze lijst kan gemakkelijk bestaan uit 20-30 aannames.

Risico's

De risico's liggen natuurlijk in het verlengde van de aannames. Wat gebeurt er als een aanname niet gerealiseerd wordt? Hier liggen de risico's. Nu kun je zelfs zeer veel risico's opnoemen, aangezien je ook veel aannames hebt gedefiniëerd. De volgende stap is het bepalen van de impact van het risico en de kans die je met dit risico loopt. De ABCD RiskManagement methodiek (Assumption Based Communication Dynamics) is hier een goed middel voor.

In een matrix kun je een risico goed plaatsen met behulp van de factoren Vertrouwen (in de dit schema Stability) en Impact (in dit schema Sensitivity). In beide gevallen scoort D het laagst (D=weinig vertrouwen, D=hoge impact).

Heb je een risico die hoger ligt dan CC (CC, CD, DC en DD) dan zul je als PM deze moeten melden en hierop gaan sturen (regelmatig!). Ook andere risico's die lager ingeschaald zijn, kunnen opeens het risico-kwadrant komen tijdens het project. Hierop moet je dus ook blijven anticiperen.

Alle risico's (dus ook degene die niet in het risico-kwadrant liggen) die je loopt kun je in een Risk Bubble plaatsen. Deze Risk Bubble geeft in de tijd aan wanneer een risico zich gaat voordoen en maakt duidelijk aan oa. de opdrachtgever wat voor risico's op je afkomt tijdens het project.

Ook zal de opdrachtgever of andere belanghebbenden duidelijk worden, dat ook zij verantwoordelijk zijn voor het voorkomen van de risico's (ook degene die niet in het risico-kwadrant liggen). Hierdoor kun je ook als PM de verantwoordelijkheid van de risico's mede neerleggen bij deze partijen.