Professional Documents
Culture Documents
Mijn vorige blog 'Product Risico Analyse, een nieuwe Discipline?' ging over PRM (Product
Risico Management) wat is dat en voor wie?
Daarbij ben ik tot de conclusie gekomen dat PRM van belang is voor de business, maar PRM
doorgaans niet binnen de scope van een project valt en dus defacto snel over het hoofd wordt
gezien.
Definitie: Product Risico = de schade, die het product de business kan aandoen.
Nu wil ik stil staan bij het kwantificeren van het Product Risico vanuit business perspectief.
Let wel: er is ook een technische kijk op productrisico's, maar daar hebben wij het niet over.
Deze blog beschouwt het product risico vanuit het business perspectief.
1. Directe schade
Dit is de schade, die een bedrijf leidt door de effecten van het defecte product. Dit zijn onder
meer de personeelskosten, waar geen productie meer tegenover staat. Ook een groter aantal
support calls van klanten ten gevolge van een computerstoring (productrisico) kunnen leiden
tot kosten. Uiteindelijk moet ook gedacht worden aan de kosten, die een bedrijf maakt om de
schade te herstellen en de effecten (productie achterstand etc.) te compenseren. Dit alles is
vrij eenvoudig in harde euro's te schatten en uit te drukken.
2. Indirecte schade
Dit is de schade, die andere bedrijven of organisaties leiden ten gevolge van het defecte
software product. Dat zijn bij voorbeeld toeleveranciers en afnemers, maar ook ketenpartners
in distributie ketens. Doorgaans leidt dit soort schade tot claims en die zijn zeker in euro's
gekwantificeerd. Het probleem is dat bedrijven dit soort getallen niet graag vrijgeven.
3. Reputatie schade
Dit is de schade aan het imago en de aantrekkelijkheid van het bedrijf. Dit leidt tot teruglopen
van opdrachten of zelfs tot klanten, die een andere leverancier of ketenpartner gaan zoeken.
Deze schade is weliswaar te kwantificeren, maar dat is over het algemeen niet gemakkelijk
uit te voeren.
Kans
Wat is eigenlijk de kans dat testen van een software product minstens een of meer serieuze
bevindingen oplevert?
Een serieuze bevinding, die als deze in productie zou zijn opgetreden zeker voor meer dan
een dag uitvallen van het systeem tot gevolg heeft? Uit ervaring weten wij dat dit nagenoeg
altijd het geval is. Daarom stel ik dat deze kans in de praktijk 100% is. De formule Risico =
Effect x Kans kan dus simpelweg worden vereenvoudigd tot Risico = Effect. Het is dus
nagenoeg zeker dat het risico optreedt.
Voorbeeld
Indirecte schade: Uit ervaring weet ik dat claims van ketenpartners van distributiecentra
doorgaans uit komen tussen zo'n 1,000,000.- en 5,000,000.- € per dag, dat het
distributiecenter niet kan leveren en ook geen goederen kan opnemen. Het is een redelijke
uitdaging om achter de echte bedragen te komen omdat dit door de bedrijven goed geheim
gehouden wordt.
Reputatie schade: Dit is zeer lastig te kwantificeren en je kunt doorgaans met het schatten
van de directe en indirecte schade al je punt maken.
Conclusie
De directe schade aan de business is doorgaans goed zichtbaar te maken, dan wel te
schatten. Ook al neem je grote stappen en verwaarloos je het een en ander.
Het gaat niet om de exacte getallen, maar om de manier van benaderen. De Business
kan dan met hun eigen cijfers het rekensommetje maken.
Iemand, die zegt dat dit niet te schatten is, die is bezig een excuse te maken zodat hij de
schade niet hoeft in te schatten. En laten wij eerlijk wezen - er staan zeker belangen op het
spel voor die genen, die niet zichtbaar willen maken hoeveel risico er daadwerkelijk door de
business gelopen wordt. Stel dat de business weet hoe er met hun belang wordt
omgesprongen..
Mijn volgende BLOG zal gaan over hoe je Product Risico Mitigatie zou moeten beleggen en
hoe je de product risico mitigatie effectief vorm kunt geven.