Risico: Onduidelijke scope bij start project

Vandaag gaan we in op het risico: Onduidelijke scope bij start project

De scope moet niet verward worden met het doel. De scope hangt daar echter wel mee samen maar gaat in op wat we allemaal wel en wat we juist niet bij onze verandering mee moeten wegen. Waar zijn we precies verantwoordelijk voor en wat valt daarbuiten?

Een onduidelijke scope zorgt ervoor dat we veel meer activiteiten op ons bordje krijgen. De tijdslijnen komen onder druk te staan omdat de bezetting het niet meer aan kan. Doordat de tijdslijnen onder druk staan bestaat het risico dat er meer geld bij moet om extra capaciteit in te schakelen. Waarschijnlijk wordt het resultaat er ook negatief door beïnvloed. Maar dat hangt er vanaf in hoeverre we op kunnen schalen tijdens de uitvoering.

Risico: Opdracht (het doel) is onduidelijk

Vandaag gaan we in op het risico: Opdracht (het doel) is onduidelijk

Ons wordt gevraagd een bepaalde verandering in gang te zetten. Het risico bestaat dat we te snel aan de slag gaan en vooraf het doel te gemakkelijk accepteren. Maar als het doel niet duidelijk is dan is de kans groot dat we dat doel nooit zullen bereiken.

Een onduidelijk gedefinieerd doel zorgt ervoor dat de kans op overschrijdingen enorm toeneemt. Het heeft impact op het budget, de tijd en het resultaat. We weten immers niet wat het doel is en weten ook niet wanneer dat bereikt is. Kans bestaat dat we tussentijds flink bij moeten sturen om een nog enigszins acceptabel resultaat te kunnen leveren. Bijsturen zorgt ervoor dat er meer geld en tijd nodig is.

Zorg er dus voor dat de opdracht vooraf duidelijk is en dat het doel zo SMART mogelijk geformuleerd is.

Beat the Change: Als verandering de enige constante is

“Als verandering de enige constante is en als we weten dat projecten falen…
dan is Beat the Change het middel dat helpt”

Teveel projecten en veranderingen falen: de budgetten worden overschreden, de tijdslijnen niet gehaald en het resultaat laat te wensen over. Dat weten we allemaal. Wat we misschien niet weten is dat er een manier is om veranderingen beter te managen. Want Beat the Change zorgt ervoor dat we de complexiteit en de risico’s van veranderingen en projecten vooraf inzichtelijk hebben.

We moeten onszelf en onze organisatie en haar processen, producten en diensten continu blijven verbeteren. Maar als veranderingen:
• vaak mislukken;
• onzekerheid geven;
• complex en risicovol zijn;
• (veel) geld én tijd vereisen;
• geen garantie geven op succes;
• en kosten voordat ze baten opleveren.
dan moeten we onze werkwijze drastisch veranderen om meer succes te boeken. Het risico is simpelweg te groot dat de veranderingen duurder uitvallen dan begroot, meer tijd kosten dan gepland en minder opleveren dan gehoopt.

In dit blog zullen we de komende maanden de complexiteitsfactoren en risico’s behandelen die invloed kunnen hebben op veranderingen. Op dinsdag gaan we nader in op complexiteit en op donderdag behandelen we de risico’s. Deze aspecten maken onderdeel uit van de methode en geven inzicht in wat het voor jouw veranderingen kan betekenen.

Voordat je aan een uitgebreide analyse begint wil je weten of een dergelijke analyse wel nodig is. Je wilt niet onnodig analyseren, je wilt niet teveel tijd kwijt zijn maar je wilt ook niet dat je vooraf had kunnen weten wat er fout kon gaan. Download daarom hier de quick scan.

Had CORE(BI) dit kunnen voorkomen…

Het is algemeen bekend dat projecten veelal over budget en tijd heen gaan en dat het resultaat nog wel eens te wensen overlaat (understatement want in 80 tot 90 procent van de projecten is dit het geval). Juist daarom heb ik een gebruiksvriendelijke methode ontwikkeld waarmee we naast de business case ook het belang van de verandering meewegen in ons besluit. Daarna kijken we naar de complexiteit en de risico’s van het project of de verandering zodat ze beter gemanaged kunnen worden.

Als ik dan een artikel lees waarbij een Aardwarmteproject een strop van 21 miljoen euro is dan vraag ik me af of we dit hadden kunnen voorkomen of in ieder geval de schade hadden kunnen beperken door een CORE(BI)-analyse uit te voeren.

Ik zoek nog een aantal projecten die als pilot kunnen dienen. Sta jij aan de vooravond van een complex project of zit je al in de uitvoeringsfase en loop je tegen uitdagingen aan? Laat het me weten, misschien kunnen we nog op tijd ingrijpen om het geen blok aan jouw been te maken.

7 kenmerken van succesvolle ondernemers

Wat maakt maakt iemand nu een winnaar? Je moet, volgens Sprout, in ieder geval de juiste dingen doen en die tot in perfectie uitvoeren. 7 kenmerken waarmee jij de regisseur wordt van je eigen succes.

Succesvolle ondernemers:
1. Nemen risico’s
2. Brengen focus aan
3. Trekken hun eigen plan
4. Visualiseren altijd een eindpunt
5. Blijven altijd doorklimmen
6. Weten te overtuigen
7. Weten hun trots opzij te zetten

Top 10 risico’s en kansen in 2013

Prijsdruk en kostenbesparing zijn de grootste risico’s voor ondernemingen in 2013. Wachten op economisch herstel is geen optie meer bij het bedrijfsbeleid. Maar er zijn ook kansen in dit economisch onzekere jaar. Die liggen onder meer in innovatieve producten, diensten en activiteiten. Ernst & Young stelde een top 10 samen van zowel de risico’s als de kansen voor 2013.

Risicos.Kansen.jpg

Het hele artikel lees je op deondernemer.nl.

(Groot) MKB doet weinig aan risico analyse

Ondernemen is risico nemen”: zo wordt vaak gezegd. Maar blind risico’s nemen is niet voldoende om een succesvolle organisatie te runnen. Als we deze stelling combineren met de uitspraak: “hoe hoger het risico, hoe hoger het rendement”, dan zouden we al snel kunnen concluderen dat we enorme risico’s moeten lopen om maar zoveel mogelijk rendement te halen. Er is een keerzijde aan het nemen van risico’s en juist de risico’s die je niet (vooraf) hebt gezien of verkeerd hebt ingeschat, zijn de risico’s die je wel eens duur kunnen komen te staan.

De oplossing is simpel: voer risico analyse in en de risico’s worden beheersbaar. Binnen het (groot) MKB wordt echter nog weinig aan risico analyse gedaan. De redenen daarvoor zijn diffuus en een aantal van die redenen zijn in dit artikel verwerkt en worden beantwoord.

Omdat wij geloven dat het volgende motto veel beter is: Ondernemen is risico’s beheersen!

Download het hele artikel hier: [wpdm_file id=8]

Miljoenenbrand om ‘dagje vrij’

Een 24-jarige dokwerker wilde zo graag naar huis dat hij de kernonderzeeër waar hij aan werkte in brand heeft gestoken. De schade aan de boot is ruim 400 miljoen dollar (bron).

Nu kun je natuurlijk een keer een slechte dag hebben en de balen hebben van je werk. Maar om daarvoor nou een onderzeeër in de brand te steken gaat wel erg ver. Ach, een incident zul je denken en gelukkig lijkt het daar ook op. Toch gebeuren dit soort zaken meer dan we denken alleen is de schadepost dan minder groot.

Het is altijd moeilijk om hard te maken maar: er zullen altijd medewerkers zijn die naar hun werk komen omdat ze nu eenmaal geld moeten verdienen. Werk is niet de uitdaging maar juist een vervelende onderbreking van het weekend. Het merendeel van die ongemotiveerde medewerkers zal gewoon zijn of haar werk doen en stipt om 5 uur de spullen pakken. Maar er lopen er ook tussen die een groot gevaar kunnen vormen voor een bedrijf.

De medewerker heeft al toegang tot allerlei informatie, systemen en andere waardevolle zaken van het bedrijf. Hoe gefrustreerder hij of zij raakt hoe groter het gevaar. En ja, dat gevaar heb je waarschijnlijk niet zien aankomen. Misschien is deze medewerker wel netjes gescreend toen hij binnen kwam, maar hoeveel jaar geleden was dat? En betekent een screening niet alleen maar dat men nooit ergens voor gepakt is? Het geeft geen absolute zekerheid dat iemand niets op zijn kerfstok heeft.

De signalen van je medewerkers moet je dus goed in de gaten houden en dat is als security manager een moeilijke zaak. Je kent immers niet alle medewerkers persoonlijk en hebt al helemaal geen zeggenschap over ze. Je zult dus een goede verstandhouding moeten hebben met de middenmanagers binnen jouw bedrijf en je moet ervoor zorgen dat zij je informeren als ze afwijkende signalen opvangen.

En dan nog blijft het een moeilijke zaak want dit soort incidenten kondigen zich meestal niet van te voren aan. Zeker in tijden waarin er flink gereorganiseerd wordt binnen organisaties neemt het risico van gefrustreerde medewerkers sterk toe. Er wordt bezuinigd en de medewerkers zien hun jaarlijkse loonsverhoging verdampen en op een bonus hoeven ze wat jou betreft al helemaal niet te rekenen.

Aan deze kant van het verhaal zitten natuurlijk 2 zijden. Vanuit de organisatie vind je het niet meer dan logisch dat je geen loonsverhogingen geeft in moeilijke tijden, dat is immers geen recht dat de medewerker verworven heeft. De medewerker denkt daar heel anders over en heeft ieder jaar nog een loonsverhoging ontvangen dus men vindt dat ze er recht op hebben. Twee kanten van de medaille, zullen we maar zeggen.

Dit mag misschien allemaal niet zo belangrijk lijken maar toch moet je de medewerkers niet onderschatten. Hoe meer er intern bezuinigd en gereorganiseerd wordt hoe groter de kans dat medewerkers gefrustreerd raken en als dat vuurtje zich aanwakkert dan kan het zomaar zo zijn dat jouw bedrijf ook in de (virtuele) brand staat.

Hou je oren en ogen goed open en kijk hoe tevreden of gefrustreerd de medewerkers zijn. Misschien moet je het hoger management waarschuwen en na gaan denken over aanvullende beveiligings- en managementmaatregelen om de risico’s beheersbaar te houden.

VNG ondersteunt gemeenten bij ICT-beveiliging

Gisteren gaven we al aan dat het met de beveiliging van veel overheidsinstellingen nog slecht gesteld is terwijl de overheid de boetes die ze op wil leggen aan bedrijven flink verhoogd. Ik vind nog steeds dat we met een publiek-private samenwerking moeten proberen de beveiliging van de BV Nederland te verhogen en zal zelf mijn steentje bijdragen door het volgende bericht onder jullie aandacht te brengen.

De Vereniging Nederlandse Gemeenten (VNG) gaat actief gemeenten ondersteunen om hun ICT-beveiliging beter op orde te krijgen. In oktober moet daarvoor een permanent bureau worden opgericht (bron).

Nu is het natuurlijk nog helemaal de vraag hoe serieus dit punt wordt opgepakt, maar er lijkt een begin te worden gemaakt en dat is al meer dan we jaren kunnen zeggen. Het is te hopen dat er niet over een nacht ijs wordt gegaan en dat er eerst goed nagedacht wordt over de structuur die we kunnen hanteren.

Dus niet direct met allerlei standaard lijstjes komen maar aangeven hoe gemeenten “in control” kunnen komen en hoe ze beter sturing kunnen geven. Het bestuur moet duidelijk gemaakt worden wat informatiebeveiliging is, hoe het samenhangt met risicomanagement en waar Compliance dan om de hoek kan komen kijken.

Dit initiatief is zowel een kans als een bedreiging. Pakken we het verkeerd aan dan zitten we nog jaren vast aan een imperfecte aanpak met alle gevolgen van dien. Het risico is dat we teveel gaan denken vanuit de beveiligingsmaatregelen zonder dat we de risico’s als uitgangspunt nemen. Als dat het geval wordt dan gaan er miljarden gespendeerd worden aan maatregelen die weinig bijdragen aan de echte informatiebeveiliging.

Misschien ken je het verloop met het zogenaamd voldoen aan SOx (Sarbanes-Oxley). Hierbij zijn ook miljarden verloren gegaan omdat we niet meer nadachten over het “waarom” maar gewoon domweg de maatregelen implementeerden “omdat het moest”. De “lessons learned” van SOx zouden we goed kunnen gebruiken om te onderzoeken waar we de beveiliging structureel beter kunnen regelen.

Ik ben heel benieuwd wat de aanpak zal zijn en welke partijen erbij betrokken zullen worden. Mij mogen ze altijd benaderen want mijn handen jeuken en ik heb nog wel wat interessante strategieën om het structureel beter in te regelen waarbij we niet uitgaan van de maatregelen maar juist van de risico’s. We houden het voor je in de gaten en zullen zien of ze deze kans oppakken of voorbij laten gaan.

Regering wil boete slechte beveiliging verhogen

De regering wil de boete voor slechte beveiliging bij bedrijven die persoonsgegevens laten lekken opschroeven. Waar bedrijven in een concept-wetsvoorstel 200.000 euro boete konden krijgen, wordt dat in het definitieve voorstel 450.000 euro. De boete kan opgelegd worden aan elk bedrijf waarvan persoonsgegevens zijn uitgelekt (bron).

Hoe vaak horen we binnen bedrijven niet dat we die beveiligingsmaatregelen nemen omdat het nu eenmaal van de Compliance afdeling moet? Ik hoor het al jaren om me heen en het lijkt er op dat niemand zich meer afvraagt waarom Compliance er eigenlijk op controleert.

Nu zijn er natuurlijk Compliance afdelingen die zelf ook geen flauw idee hebben en die zich vergeten af te vragen waarom ze eigenlijk controleren. Maar er zijn ook veel competente Compliance medewerkers te vinden.

Laten we er iets verder op inzoomen. Er zijn regels om risico’s af te dekken. Als we kunnen achterhalen welke risico’s dat zijn dan kunnen we daar goede “controls” op zetten. We moeten dus niet langer controleren om te controleren maar we moeten controleren om risico’s af te dekken. Als wij goed voor ogen hebben welke risico’s dat zijn dan kunnen we dat aan de medewerkers uitleggen en dan wordt het voor iedereen een stuk duidelijker waarom we sommige beveiligingsmaatregelen nemen.

En, toegegeven, er zijn binnen bedrijven veel, heel veel, beveiligingsmaatregelen die niet terug te leiden zijn tot een risico. Daarom pleit ik zelf altijd voor minder maatregelen in plaats van meer maatregelen en alles dicht spijkeren.

Het gaat hier te ver om alles volledig uit de doeken te doen (daar kun je hele boeken over schrijven als het moet en je mag me altijd vragen dan kom ik het bij een bak koffie aan je toelichten). Zaak is wel dat we verder kijken dan onze neus lang is en laten we dan bovenstaand artikel als voorbeeld nemen.

Je zou kunnen denken dat we maatregelen nemen om te voorkomen dat we een boete krijgen (voor veel bedrijven is dit ook zo, het gaat om kosten en omzet). Maar het gaat ook om imago. Je wilt dus maatregelen nemen om je imago te beschermen. Dat is allemaal leuk en aardig, maar uiteindelijk gaat het er natuurlijk om dat je de gegevens van je klanten beschermd. Dat is de reden dat we beveiliging moeten inregelen en dan is het opleggen van boetes slechts een pressiemiddel om het voor elkaar te krijgen.

We moeten als bedrijven niet langer “compliant” willen zijn, nee, we moeten er naar streven om “in control” te zijn. Hiermee beschermen we de gegevens van onze klanten en voorkomen we dat we hoge boetes krijgen. Er is nog een lange weg te gaan en die weg begint bij het bewust worden van de zaken die we moeten regelen en met name het antwoord op de vraag: waarom we dat moeten regelen.