Risicobeheersing is het systematisch identificeren, beoordelen en beheersen van risico's die de uitvoering van een opdracht kunnen bedreigen. Bij aanbestedingen wordt dit steeds vaker als apart onderdeel gevraagd in de inschrijving. De opdrachtgever wil zien dat je niet alleen kunt leveren, maar ook weet wat er mis kan gaan.
Niet te verwarren met het risicodossier. Dat gaat over de risico's van het aanbestedingsproces zelf, vanuit het perspectief van de inkoper. Risicobeheersing in je inschrijving gaat over jouw aanpak als uitvoerder.
Opdrachtgevers zijn risico-avers. Logisch. Ze besteden publiek geld en willen geen verrassingen. Een inschrijver die proactief nadenkt over risico's, straalt betrouwbaarheid uit. En betrouwbaarheid scoort.
Maar er speelt iets anders. De meeste inschrijvers behandelen risicobeheersing als een verplicht nummertje. Een tabelletje met drie risico's, drie maatregelen, klaar. Beoordelaars prikken daar doorheen. Ze hebben al honderden van die standaardtabellen gezien. Wat opvalt is een inschrijver die echt nagedacht heeft over de specifieke risico's van deze opdracht.
Bij IT-aanbestedingen gaat het over dataverlies, migratiefouten, downtime. Bij facilitaire contracten over personeelstekort, materiaalprijzen, seizoenspieken. Bij bouwprojecten over vergunningen, bodemgesteldheid, omgevingsklachten. Generieke risico's bestaan niet. Elk project heeft zijn eigen profiel.
De kern van risicobeheersing is een risicoanalyse. Je brengt risico's in kaart, beoordeelt ze op kans en impact, en beschrijft per risico een beheersmaatregel. Klinkt simpel. Is het niet.
Een voorbeeld. Je schrijft in op een driejarig schoonmaakcontract voor een zorginstelling. De risicoanalyse bevat onder andere:
Risico: hoog ziekteverzuim in wintermaanden. Kans: hoog. Impact: middel. Maatregel: flexibele schil van vier inval-medewerkers die bekend zijn met de locatie en het hygieneprotocol. Zij draaien minimaal twee diensten per maand mee om ingewerkt te blijven.
Dat is specifiek. Dat is geloofwaardig. Vergelijk het met: "Bij ziekteverzuim zetten wij vervanging in." Dat zegt niks.
De beste risicoanalyses werken met een risicomatrix. Kans op de ene as, impact op de andere. Risico's in het rode kwadrant (hoge kans, hoge impact) krijgen preventieve maatregelen. Risico's in het gele kwadrant krijgen reactieve maatregelen. Groene risico's accepteer je, maar je monitort ze.
Drie patronen zien we steeds terugkomen.
Eerste patroon: te weinig risico's benoemen. Als je drie risico's opschrijft voor een complex meerjarig contract, denkt de beoordelaar niet "die hebben het goed onder controle". Die denkt: "die hebben niet goed nagedacht". Acht tot twaalf risico's is realistischer voor een gemiddelde opdracht.
Tweede patroon: alleen externe risico's benoemen. Weer, ziekte, leveranciers. Maar je eigen organisatie is ook een risicofactor. Wat als je projectleider vertrekt? Wat als je groeicapaciteit niet aankan? Interne risico's benoemen toont volwassenheid. Het is ongemakkelijk, maar het scoort.
Derde patroon: maatregelen die niet bij het risico passen. "Risico: stijgende materiaalprijzen. Maatregel: wij monitoren de markt." Dat is geen maatregel. Een maatregel is: "Wij sluiten raamovereenkomsten met twee leveranciers voor minimaal twaalf maanden, waarmee we prijsstijgingen tot 8% opvangen zonder meerkosten voor de opdrachtgever."
Een veelgemaakte denkfout: risicobeheersing stopt na de inschrijving. Niet dus. De sterkste inschrijvingen beschrijven een continu proces. Maandelijkse risico-evaluaties. Kwartaalrapportages aan de opdrachtgever. Een escalatieproces als risico's werkelijkheid worden.
Sommige opdrachtgevers vragen hier expliciet om. Ze willen een "levend" risicoregister dat gedurende de contractperiode wordt bijgehouden. Beschrijf dan hoe dat register eruitziet, wie het beheert, hoe vaak het wordt geactualiseerd en hoe de opdrachtgever inzage krijgt.
Toch een kanttekening. Overdrijf het niet. Een risicobeheersingsplan van twintig pagina's voor een opdracht van twee ton is disproportioneel. Pas de diepgang aan op de omvang en complexiteit van het contract. Dat is ook een vorm van professionaliteit.
Lees het beschrijvend document zorgvuldig op risico-gerelateerde signaalwoorden. "Continuïteit", "borging", "beschikbaarheid", "afhankelijkheid": dat zijn hints dat de opdrachtgever risicobewustzijn verwacht. Speel daarop in.
Gebruik je ervaring uit eerdere projecten. Heb je bij een vergelijkbaar contract te maken gehad met een concreet risico dat je succesvol hebt beheerst? Beschrijf dat. Niet als anekdote, maar als bewijs dat je risicobeheersing meer is dan papier. Beoordelaars waarderen ervaring boven theorie.
Wijs verantwoordelijkheden toe. Niet "het projectteam bewaakt risico's" maar "de contractmanager voert maandelijks een risico-evaluatie uit en rapporteert afwijkingen binnen 24 uur aan de opdrachtgever". Concreet. Meetbaar. Geloofwaardig.
Bron: Aanbestedingswet 2012
Bron: Aanbestedingswet 2012