PRM: Product Risk Management - Deel 1: nieuwe discipline?

Laatst zat ik met een goede vriend en tevens projectmanager te praten en ik kreeg zin om hem
een beetje te stangen..
En dus vroeg ik hem naar de risico's in zijn project.. Vaak een heikel punt.
Jazeker, die had hij goed in scope en hij deed ook goed aan risico mitigatie. Prima dus. Dus
vroeg ik hem naar de top-3 product risico's.

"Product risico's - wat zijn dat?" vroeg hij. Tja, zei ik - dat zijn de risico's, die het product dat
jou project straks gaat opleveren de business kan aandoen - ten minste, als het niet goed
functioneert. Ik zag aan zijn ogen dat hij nu aan het twijfelen was gebracht. Moedig zei hij:
dat hebben wij onder controle, iedereen werkt zorgvuldig en wij hebben ervaren mensen. En
we doen ook aan gestructureerd testen. Vanuit zijn standpunt helder - en een extra puntje: hij
deed ook aan gestructureerd testen?
Hij had nog een extra duwtje nodig..  Dus vroeg ik hem: hoe weet je dat het effect van deze
tegenmaatregelen in verhouding van het eventuele risico staan; heb je een Product Risico
Analyse gedaan? Nu had ik hem waar ik hem wilde hebben. Eerlijk -zoals hij is- zei hij: nee,
wat is dat precies - een product risico analyse - en hoe manage ik dat dan?

Al snel kwamen wij samen tot de conclusie dat een projectrisico twee aspecten inhoudt: een
business perspectief en een technisch perspectief. En ontspon zich een levendig gesprek over
wat ik vanaf nu "Product Risico Management" wil noemen.

 Definities , die ik in deze context wil hanteren:

Product = het (software) product, dat een project als deliverable gaat opleveren.
Product Risico = de schade, die het product de business kan aandoen.

Dit Product Risico Management (PRM) belicht ik in deze blog vanuit het business
perspectief.
Dit is volgens mij ook het juiste perspectief om dit thema te belichten.

In drie opeenvolgende blogs wil ik ter discussie stellen:

1) PRM wat is dat en voor wie?
2) Hoe kwantificeer je het Product Risico?
3) Hoe beleg je Product Risico Mitigatie?

Risico Management - een goede gewoonte

Risico management is een gezonde activiteit voor zowel projecten als ook voor bedrijven.
Immers: minder risico betekend voor bedrijven meer zekerheid en stabiliteit om de diensten
te leveren en producten te produceren.

Prince2 onderkent verschillende typen risico's:

  Business Risico
 Project Risico

Maar er is meer dan dat..

Het vergeten Risico

In de dagelijkse praktijk zie ik dat er stelselmatig bij het opzetten en uitvoeren van projecten
een zeer belangrijk risico buiten beschouwing blijft: het Productrisico. Productrisico analyse
richt zich op de schade, die het product de Business kan aandoen - als het foutief werkt of
zelfs geheel uitvalt.

Product Risico Management (PRM) is dan de discipline, die zich richt op het managen van
juist dit type risico.
Let wel: er is ook een technische kijk op productrisico's, maar daar hebben wij het niet over.
Deze blog beschouwt het product risico vanuit het business perspectief.

Cost Contingency reserveren

Goed gebruik is om in het kader van risicomanagement een potje te reserveren dat je
aanwendt ter bestrijding van het risico. Dat geldt zowel voor IT projecten, als ook voor
business projecten en business veranderings trajecten en programma's.
Cost Contigency heeft een relatie met de grote van de schade en de kans, dat die zal optreden.
Doorgaans wordt zo'n 10% van het zo in geld gekwantificeerde risico aangewend om het
risico te bestrijden.

Wiens Risico?
Een belangrijke vraag, die gesteld moet worden is: wiens risico is het Product Risico nu
eigenlijk? Dat van de Business of van het Project?
Product risico staat niet expliciet genoemd in Prince2 . Wel geeft Prince2 aan dat het tot de
verantwoordelijkheid van het Project Board behoort om de business risicos te managen. Dit is
beschreven in Directing a Project (DP).
Prince2 geeft wel een aanwijzing: Product Risico Management is een onderdeel van Business
Risk Management [ref: Prince2, H 8.3, Types of Risk).  En dat bevind zich veelal buiten het
gezichtsveld van het IT project, dat houdt zich slechts met project risico's bezig. Strikt gezien
is het product risico dus geen zorg van het project - tenzij het dat expliciet wordt gemaakt.
Dat is mestal de redenen, dat Product Risk mitigatie niet wordt opgenomen in de scope van
het project.

Product Risico Management zou je daarom ook niet binnen het project moeten positioneren,
maar onafhankelijk van een project en wel zodanig dat het ook daadwerkelijk in staat en het
mandaat heeft om de belangen van de business te behartigen.

Conclusie

 Product Risico Management is van belang voor de business en dient daarom ook
vanuit business perspectief benaderd te worden.
 Product Risico Management valt daarmee doorgaans niet binnen de scope van een
project.

Mijn volgende BLOG zal gaan over het kwantificeren van het product risico.