Risicomanagement in een agile setting

“Agile en Scrum brengen mij veel goeds, maar we zijn misschien ook wel iets kwijtgeraakt”. Herken je dat gevoel? In dit blog zet ik graag de spotlights op risicoanalyse en risicomanagement. Want waar zijn die eigenlijk gebleven? In de watervaltijd deden we het heel expliciet, met Product Risico Analyse workshops bijvoorbeeld. Maar nu we, gelukkig, massaal agile en Scrum hebben omarmd doen we het hooguit nog impliciet, of helemaal niet meer. Is dat erg? Niet altijd, maar soms wel. Als je wat meer aandacht wilt vragen voor risico’s en risicomitigatie in jouw organisatie of jouw team, lees dan even verder. Als het je aanspreekt, schrijf je dan in voor de Valori avond over dit thema. En misschien zijn onze Scrum pillen met bijsluiter ook iets voor je.

Scrumdamentalisten

Je kent ze vast wel: scrumdamentalisten die vinden dat je niet over risico's moet praten. Als je gewoon 'scrum doet' loop je vanzelf tegen de risico's aan en dan draai je ze de nek om. Klaar, just in time! Als agile coach en CAT trainer (Certified Agile Tester) vind ik dat best aantrekkelijk. Maar als geestelijk vader van de PRIMA-aanpak voor product risicoanalyse en ISACA gecertificeerd risico-auditor wil ik er in dit blog graag wat meer van zeggen.

Geen risico? Geen gedoe!

Je denkt nu dat ik ten strijde ga trekken tegen de hierboven genoemde scrumdamentalisten. Maar dat is niet mijn bedoeling. Want denken in kansen en mogelijkheden is natuurlijk veel leuker en motiverender dan denken in risico's. Scrum heeft met zijn focus op business waarde goede papieren: we denken in mogelijkheden en niet in problemen. En als je de plank een keer echt misslaat heb je nooit meer dan 1 sprint weggegooid. Daarom: als de belangen en de risico's niet al te groot zijn dan hoef je van mij niet over risico's te praten. Hou ze gewoon impliciet binnen de perken zonder extra workshops, activiteiten, lijsten en administraties die het agile proces weer topzwaar maken.

Wil je toch iets meer doen? Dan is de AgRAM aanpak interessant voor je.

Keep Scrum lean, add just 'AgRAM'

AgRAM staat voor Agile Risico Analyse en Management (of als je wilt: Mitigatie). Het is een concrete agile aanpak van risico's die we enkele jaren terug samen met een klankbordgroep met onder andere RABO, KPN, VGZ, Bol.com, Politie NL en Ministerie van EZ hebben ontwikkeld. We hebben in binnen- en buitenland allerlei presentaties en workshops verzorgd die zonder uitzondering hoog werden gewaardeerd om hun praktische toepasbaarheid. Daarna waren we druk met allerlei andere dingen, maar de vraag en de relevantie zijn niet minder geworden. Vandaar weer de spotlights.

Hoe expliciet wil je het hebben?

Zoals gezegd: er zijn goede redenen om niet te veel over risico's te praten maar ze impliciet te adresseren. Er zijn ook goede redenen om er wél over te praten en meer expliciete aandacht aan risico's te geven. De figuur hierboven zet ze voor je op een rijtje.

Bovenaan staan twee redenen die voor de ware agile professional moeilijk te verteren zijn, omdat ze niet direct bijdragen aan een beter product en hooguit indirect waarde toevoegen. Toch kunnen het hele goede en zelfs doorslaggevende argumenten zijn voor expliciete risicomaatregelen.over risico's te praten maar ze impliciet te adresseren. Er zijn ook goede redenen om er wél over te praten en meer expliciete aandacht aan risico's te geven. De figuur hiernaast zet ze voor je op een rijtje.

De onderste drie argumenten zijn naar mijn mening van directe waarde voor de kwaliteit en de acceptatie van de deliverables van het scrumteam en moeten juist de agile professional aanspreken.

Kortom, als de belangen en de (business) risico's groot zijn dan moet je een meer expliciet risicoproces hebben. Maar dan wel zo dat je Scrum niet alsnog topzwaar maakt en de velocity en productiviteit frustreert. Ik denk dat wij daar met de AgRAM benadering in geslaagd zijn.

Borg je risico’s in ‘gewoon Scrum’

Je brengt de verschillende risicotypen - we onderkennen er vier - onder in het reguliere scrum proces 'as is'. De ‘beslistabel' hieronder laat zien hoe.

Op deze manier gaat risicobeheersing naadloos op je agile aanpak, conform de Scrum Guide en het Scaled Agile Framework (voor de HIP items: Hardening, Innovation, Planning).

Resultaat: lean risicomanagement, auditors en testers blij

Resultaat: risicoanalyse en -beheersing liften gewoon mee met de normale activiteiten en producten. Het team hoeft geen extra dingen te doen. Met een minimum aan overhead maak je veel partijen blij en voor auditors wordt de risicomitigatie traceerbaar en controleerbaar.

Tool voor visualisatie

Wat we ook nog aanraden is iets van risicovisualisatie op of naast het scrumbord. Dat kan bijvoorbeeld met de "risicoplot" die je maakt met de gratis Excel risicoplot tool. Hoe meer een user story rechtsboven in het rood staat, hoe alerter je als team moet zijn met ontwikkelen en testen. Het mooie van deze visualisatie is dat het helemaal past in het referentiekader van het team: je ziet de user stories als bollen met omvang (Story Points), value (impact) en faalkans. Alleen de faalkans is geen standaard attribuut in de product backlog, dus die voeg je op enig moment toe, bij voorkeur in de sprint planning tijdens het pokeren. Het voordeel van deze visualisatie ten opzichte van bijvoorbeeld een risk burndown chart is dat het geen nieuwe risico-entiteiten introduceert zoals een risk burndown chart wel doet.

Tot zover voor nu

Als je vragen of betere ideeën hebt of gewoon meer wilt weten, laat het merken in een reactie op deze post. Lijkt me leuk! Of nog beter: schrijf je in voor onze thema avond ‘Agile Risicomanagement’. In deze avond is alle ruimte om met mede-professionals van gedachten te wisselen en ervaar je aan den lijve hoe AgRAM werkt. Door het zelf te doen, aan de hand van een zeer concrete case.