Embed Size (px)
Citation preview
PRM: Product Risk Management - Deel 2: kwantificeren
Mijn vorige blog 'Product Risico Analyse, een nieuwe Discipline?' ging over PRM (Product Risico Management) wat is dat en voor wie?
Daarbij ben ik tot de conclusie gekomen dat PRM van belang is voor de business, maar PRM doorgaans niet binnen de scope van een project valt en dus defacto snel over het hoofd wordt gezien.
Definitie: Product Risico = de schade, die het product de business kan aandoen.
Nu wil ik stil staan bij het kwantificeren van het Product Risico vanuit business perspectief.
Let wel: er is ook een technische kijk op productrisico's, maar daar hebben wij het niet over. Deze blog beschouwt het product risico vanuit het business perspectief.
Hoe groot is de eventuele schade?
De eventuele schade kan simpelweg worden onderverdeeld in drie soorten schade:
1. Directe schade
Dit is de schade, die een bedrijf leidt door de effecten van het defecte product. Dit zijn onder meer de personeelskosten, waar geen productie meer tegenover staat. Ook een groter aantal support calls van klanten ten gevolge van een computerstoring (productrisico) kunnen leiden tot kosten. Uiteindelijk moet ook gedacht worden aan de kosten, die een bedrijf maakt om de schade te herstellen en de effecten (productie achterstand etc.) te compenseren. Dit alles is vrij eenvoudig in harde euro's te schatten en uit te drukken.
2. Indirecte schade
Dit is de schade, die andere bedrijven of organisaties leiden ten gevolge van het defecte software product. Dat zijn bij voorbeeld toeleveranciers en afnemers, maar ook ketenpartners
in distributie ketens. Doorgaans leidt dit soort schade tot claims en die zijn zeker in euro's gekwantificeerd. Het probleem is dat bedrijven dit soort getallen niet graag vrijgeven.
3. Reputatie schade
Dit is de schade aan het imago en de aantrekkelijkheid van het bedrijf. Dit leidt tot teruglopen van opdrachten of zelfs tot klanten, die een andere leverancier of ketenpartner gaan zoeken. Deze schade is weliswaar te kwantificeren, maar dat is over het algemeen niet gemakkelijk uit te voeren.
Kans
Wat is eigenlijk de kans dat testen van een software product minstens een of meer serieuze bevindingen oplevert?Een serieuze bevinding, die als deze in productie zou zijn opgetreden zeker voor meer dan een dag uitvallen van het systeem tot gevolg heeft? Uit ervaring weten wij dat dit nagenoeg altijd het geval is. Daarom stel ik dat deze kans in de praktijk 100% is. De formule Risico = Effect x Kans kan dus simpelweg worden vereenvoudigd tot Risico = Effect. Het is dus nagenoeg zeker dat het risico optreedt.
Voorbeeld
Laten we even wat gaan rekenen. Stel je hebt een distributiecentrum (http://en.wikipedia.org/wiki/Warehouse), waar goederen tijdelijk worden opgeslagen. Het gaat mij om de manier van denken en de manier om het product risico te berekenen en uit te drukken in geld.
Directe schade: Het is vrij eenvoudig te schatten hoeveel medewerkers in het distributiecentrum werken. En je kunt gerust stellen dat bij een showstopper het systeem er uit ligt en er geen goederenbewegingen meer plaats vinden. Dat betekend dat de medewerkers geen productie leveren. Stel een gemiddeld distributiecentrum heeft 100 tot 200 orderpikkers en een orderpikker kost zo'n 50 € per uur, dan komen wij op zo'n 5,000.- tot 10,000.- € per uur aan directe schade, omdat tegenover deze kosten geen productie staat. Voor het gemak verwaarlozen wij in dit voorbeeld support calls en inhuur van extra personeel om de
achterstand weg te werken.Als wij stellen dat een showstopper in 8 uur gefixed is, dan komen wij op 40.000,- tot 80.000,- € per showstopper aan directe schade.
Indirecte schade: Uit ervaring weet ik dat claims van ketenpartners van distributiecentra doorgaans uit komen tussen zo'n 1,000,000.- en 5,000,000.- € per dag, dat het distributiecenter niet kan leveren en ook geen goederen kan opnemen. Het is een redelijke uitdaging om achter de echte bedragen te komen omdat dit door de bedrijven goed geheim gehouden wordt.
Reputatie schade: Dit is zeer lastig te kwantificeren en je kunt doorgaans met het schatten van de directe en indirecte schade al je punt maken.
Conclusie
De directe schade aan de business is doorgaans goed zichtbaar te maken, dan wel te schatten. Ook al neem je grote stappen en verwaarloos je het een en ander.
De indirecte (keten)schade is wat lastiger te achterhalen, maar kan wel worden geschat.
Het gaat niet om de exacte getallen, maar om de manier van benaderen. De Business kan dan met hun eigen cijfers het rekensommetje maken.
Het loont om de schade te voorkomen door de product risico's te mitigeren.
Iemand, die zegt dat dit niet te schatten is, die is bezig een excuse te maken zodat hij de schade niet hoeft in te schatten. En laten wij eerlijk wezen - er staan zeker belangen op het spel voor die genen, die niet zichtbaar willen maken hoeveel risico er daadwerkelijk door de business gelopen wordt. Stel dat de business weet hoe er met hun belang wordt omgesprongen..
Mijn volgende BLOG zal gaan over hoe je Product Risico Mitigatie zou moeten beleggen en hoe je de product risico mitigatie effectief vorm kunt geven.
