“Agile
en Scrum brengen mij veel goeds, maar we zijn misschien ook wel iets
kwijtgeraakt”. Herken je dat gevoel? In dit blog zet ik graag de
spotlights op risicoanalyse en risicomanagement. Want waar zijn die
eigenlijk gebleven? In de watervaltijd deden we het heel expliciet, met
Product Risico Analyse workshops bijvoorbeeld. Maar nu we, gelukkig,
massaal agile en Scrum hebben omarmd doen we het hooguit nog impliciet,
of helemaal niet meer. Is dat erg? Niet altijd, maar soms wel. Als je
wat meer aandacht wilt vragen voor risico’s en risicomitigatie in jouw
organisatie of jouw team, lees dan even verder. Als het je aanspreekt,
schrijf je dan in voor de Valori avond over dit thema. En misschien zijn
onze Scrum pillen met bijsluiter ook iets voor je.
Scrumdamentalisten
Je kent ze vast wel: scrumdamentalisten die vinden dat je niet over
risico's moet praten. Als je gewoon 'scrum doet' loop je vanzelf tegen
de risico's aan en dan draai je ze de nek om. Klaar, just in time! Als
agile coach en CAT trainer (Certified Agile Tester) vind ik dat best aantrekkelijk. Maar als geestelijk vader van de PRIMA-aanpak voor product risicoanalyse en ISACA gecertificeerd risico-auditor wil ik er in dit blog graag wat meer van zeggen.
Geen risico? Geen gedoe!
Je denkt nu dat ik ten strijde ga trekken tegen de hierboven genoemde
scrumdamentalisten. Maar dat is niet mijn bedoeling. Want denken in
kansen en mogelijkheden is natuurlijk veel leuker en motiverender dan
denken in risico's. Scrum heeft met zijn focus op business waarde goede
papieren: we denken in mogelijkheden en niet in problemen. En als je de
plank een keer echt misslaat heb je nooit meer dan 1 sprint weggegooid.
Daarom: als de belangen en de risico's niet al te groot zijn dan hoef je
van mij niet over risico's te praten. Hou ze gewoon impliciet
binnen de perken zonder extra workshops, activiteiten, lijsten en
administraties die het agile proces weer topzwaar maken.
Wil je toch iets meer doen? Dan is de AgRAM aanpak interessant voor je.
Keep Scrum lean, add just 'AgRAM'
AgRAM staat voor Agile Risico Analyse en Management
(of als je wilt: Mitigatie). Het is een concrete agile aanpak van
risico's die we enkele jaren terug samen met een klankbordgroep met
onder andere RABO, KPN, VGZ, Bol.com, Politie NL en Ministerie van EZ
hebben ontwikkeld. We hebben in binnen- en buitenland allerlei
presentaties en workshops verzorgd die zonder uitzondering hoog werden
gewaardeerd om hun praktische toepasbaarheid. Daarna waren we druk met
allerlei andere dingen, maar de vraag en de relevantie zijn niet minder
geworden. Vandaar weer de spotlights.
Hoe expliciet wil je het hebben?

Zoals gezegd: er zijn goede redenen om niet te veel over risico's te praten maar ze impliciet te adresseren. Er zijn ook goede redenen om er wél over te praten en meer expliciete aandacht aan risico's te geven. De figuur hierboven zet ze voor je op een rijtje.
Bovenaan
staan twee redenen die voor de ware agile professional moeilijk te
verteren zijn, omdat ze niet direct bijdragen aan een beter product en
hooguit indirect waarde toevoegen. Toch kunnen het hele goede en zelfs
doorslaggevende argumenten zijn voor expliciete risicomaatregelen.over risico's te praten maar ze impliciet te adresseren. Er zijn ook goede redenen om er wél over te praten en meer expliciete aandacht aan risico's te geven. De figuur hiernaast zet ze voor je op een rijtje.
De onderste drie argumenten zijn naar mijn mening van directe waarde
voor de kwaliteit en de acceptatie van de deliverables van het scrumteam
en moeten juist de agile professional aanspreken.
Kortom, als de belangen en de (business) risico's groot zijn dan moet
je een meer expliciet risicoproces hebben. Maar dan wel zo dat je Scrum
niet alsnog topzwaar maakt en de velocity en productiviteit frustreert. Ik denk dat wij daar met de AgRAM benadering in geslaagd zijn.
Borg je risico’s in ‘gewoon Scrum’
Je brengt de verschillende risicotypen - we onderkennen er vier - onder in het reguliere scrum proces 'as is'. De ‘beslistabel' hieronder laat zien hoe.

Op deze manier gaat risicobeheersing naadloos op je agile aanpak, conform de Scrum Guide en het Scaled Agile Framework (voor de HIP items: Hardening, Innovation, Planning).
Resultaat: lean risicomanagement, auditors en testers blij
Resultaat: risicoanalyse en -beheersing liften gewoon mee met de
normale activiteiten en producten. Het team hoeft geen extra dingen te
doen. Met een minimum aan overhead maak je veel partijen blij en voor
auditors wordt de risicomitigatie traceerbaar en controleerbaar.
Tool voor visualisatie

Wat we ook nog aanraden is iets van risicovisualisatie op of naast het scrumbord. Dat kan bijvoorbeeld met de "risicoplot" die je maakt met de gratis Excel risicoplot tool. Hoe meer een user story rechtsboven in het rood staat, hoe alerter je als team moet zijn met ontwikkelen en testen. Het mooie van deze visualisatie is dat het helemaal past in het referentiekader van het team: je ziet de user stories als bollen met omvang (Story Points), value (impact) en faalkans. Alleen de faalkans is geen standaard attribuut in de product backlog, dus die voeg je op enig moment toe, bij voorkeur in de sprint planning tijdens het pokeren. Het voordeel van deze visualisatie ten opzichte van bijvoorbeeld een risk burndown chart is dat het geen nieuwe risico-entiteiten introduceert zoals een risk burndown chart wel doet.
Tot zover voor nu
Als je vragen of betere ideeën hebt of gewoon meer wilt weten, laat
het merken in een reactie op deze post. Lijkt me leuk! Of nog beter:
schrijf je in voor onze thema avond ‘Agile Risicomanagement’. In deze
avond is alle ruimte om met mede-professionals van gedachten te wisselen
en ervaar je aan den lijve hoe AgRAM werkt. Door het zelf te doen, aan
de hand van een zeer concrete case.