Risicoregister opstellen voor je project

Wanneer moet je een risicoregister opstellen voor je project?

Volgens de IPMA-competentiestandaard en de PRINCE2-methode stel je het risicoregister op tijdens de initiatiefase van een project, vóórdat je daadwerkelijk met de uitvoering begint. Dit geldt voor elk project waarbij meerdere partijen betrokken zijn, budgetten van meer dan enkele duizenden euro's worden ingezet, of waarbij een deadline maatschappelijke of commerciële gevolgen heeft. Als jouw organisatie werkt met een projectcharter of een projectinitiatiedocument (PID), dan hoort het risicoregister daar standaard bij. Het register moet beschikbaar zijn voordat de stuurgroep of opdrachtgever groen licht geeft voor de uitvoeringsfase.

Er zijn situaties waarbij een vereenvoudigd risicoregister volstaat, bijvoorbeeld bij interne verbeterprojecten met een looptijd korter dan zes weken en een beperkt team. Toch is het ook dan verstandig om minimaal de vijf grootste risico's te documenteren. Bij projecten die vallen onder Europese aanbestedingsregels of overheidssubsidies is een volledig risicoregister vrijwel altijd een formele eis van de subsidieverstrekker of aanbestedende dienst. Controleer vooraf de contractuele eisen van jouw opdrachtgever of financier om te bepalen hoe uitgebreid het register moet zijn.

Wat heb je nodig vooraf?

Voordat je begint met het opstellen van het risicoregister, verzamel je een aantal basisdocumenten. Je hebt minimaal nodig: het projectcharter of de projectopdracht, de scope-omschrijving, een eerste planning of mijlpalenplan, het beschikbare budget, en een overzicht van de betrokken stakeholders. Daarnaast is het nuttig om eerdere projectevaluaties of 'lessons learned'-rapporten binnen jouw organisatie op te vragen, zodat je van bekende valkuilen kunt leren. Als er al een risicobeleid op organisatieniveau bestaat, gebruik dat dan als kader voor de risicotolerantie die je hanteert.

De voorbereiding die de meeste tijd kost, is het samenstellen van een goed risicoworkshop-team. Nodig minimaal de projectmanager, één of twee domeinexperts, een vertegenwoordiger van de opdrachtgever en bij voorkeur iemand met financiële kennis uit. Plan deze sessie minimaal één tot twee weken voor de formele projectstart, zodat bevindingen nog verwerkt kunnen worden in het projectplan. Reserveer ook tijd om de risicoscorematrix te bepalen: welke schaal gebruik je voor impact en waarschijnlijkheid, en welke drempelwaarden gelden als 'hoog risico' binnen jouw organisatie?

Stappenplan: zo doe je het

Stap 1 — Identificeer alle risico's. Organiseer een risicoworkshop met jouw projectteam en relevante stakeholders. Gebruik technieken zoals brainstormen, een checklist op basis van eerdere projecten, of de PESTLE-analyse (politiek, economisch, sociaal, technologisch, juridisch, omgeving) om risico's vanuit meerdere invalshoeken te benoemen. Schrijf elk risico op als concrete dreiging, bijvoorbeeld 'leverancier levert materialen drie weken te laat'. Streef naar volledigheid boven perfectie in deze fase. Raadpleeg https://www.ipma.nl/ voor erkende risico-identificatiemethoden.

Stap 2 — Scoor elk risico op impact en waarschijnlijkheid. Ken aan elk geïdentificeerd risico een score toe op een schaal van 1 tot 5 voor zowel de kans dat het risico optreedt (waarschijnlijkheid) als de gevolgen als het daadwerkelijk gebeurt (impact). Vermenigvuldig deze twee scores om de risicoscore te berekenen (impact × waarschijnlijkheid). Een risico met impact 4 en waarschijnlijkheid 3 krijgt score 12. Risico's boven een vooraf bepaalde drempel, bijvoorbeeld score 9 of hoger, classificeer je als 'hoog risico' en behandel je met prioriteit.

Stap 3 — Stel een risico-eigenaar aan. Wijs voor elk risico één verantwoordelijke persoon aan: de risico-eigenaar. Dit is de teamlid of stakeholder die het beste in positie is om het risico te bewaken en maatregelen uit te voeren. Zonder een duidelijke eigenaar blijven risico's onbeheerd. Leg de naam van de risico-eigenaar vast in het register, samen met diens contactgegevens. Zorg dat elke risico-eigenaar expliciet akkoord gaat met de verantwoordelijkheid en begrijpt wat er van hem of haar wordt verwacht.

Stap 4 — Bepaal de responsstrategie per risico. Kies voor elk risico een van de vier standaard PRINCE2- en IPMA-strategieën: vermijden (de oorzaak wegnemen), overdragen (risico beleggen bij een derde partij zoals een verzekeraar of leverancier), beperken (kans of impact verkleinen met concrete maatregelen), of accepteren (bewust niets doen en eventuele gevolgen opvangen). Beschrijf per risico de concrete actie die bij de gekozen strategie hoort, inclusief een deadline voor de uitvoering van die maatregel.

Stap 5 — Documenteer het register en plan reviewmomenten. Leg alle risico's, scores, eigenaren en responsstrategieën vast in een gestandaardiseerd register-format. Dit mag in een spreadsheet, een projectmanagementsysteem of een online tool. Zorg dat het document toegankelijk is voor alle projectbetrokkenen. Plan vervolgens vaste reviewmomenten, minimaal bij elke projectfase-overgang of maandelijks bij langlopende projecten, om het register te actualiseren. Nieuwe risico's worden toegevoegd, vervallen risico's worden afgesloten en scores worden herzien op basis van nieuwe informatie.

Kosten en doorlooptijd

De directe kosten voor het opstellen van een risicoregister zijn voornamelijk arbeidskosten. Reken in 2026 op gemiddeld zes tot twaalf uur voor de initiële opstelling bij een middelgroot project, inclusief workshop-voorbereiding, de sessie zelf en de documentatie achteraf. Bij een intern uurtarief van veertig tot negentig euro per uur kom je uit op een kostenpost van tweehonderd veertig tot ruim duizend euro. Wil je een externe IPMA-gecertificeerde projectmanager inhuren voor de begeleiding, dan liggen dagdelen-tarieven in 2026 doorgaans tussen de zeshonderd en elfhonderd euro, afhankelijk van certificeringsniveau en ervaring.

De doorlooptijd van voorbereiding tot een goedgekeurd risicoregister bedraagt bij een gestructureerde aanpak twee tot vijf werkdagen. De workshop zelf duurt gemiddeld twee tot vier uur. Daarna heb je één tot twee dagen nodig voor uitwerking en interne afstemming. Als het register formeel goedgekeurd moet worden door een stuurgroep of externe opdrachtgever, tel daar dan nog twee tot vijf werkdagen bij op voor reviewcycli en eventuele aanpassingen. Houd rekening met agenda-uitdagingen bij het plannen van de workshop, vooral wanneer externe stakeholders moeten aansluiten.

Veelgemaakte fouten

De meest voorkomende fout is dat het risicoregister eenmalig wordt opgesteld en daarna in de la verdwijnt. Een register zonder regelmatige updates verliest snel zijn waarde en geeft een vals gevoel van controle. Een tweede veelgemaakte fout is het te abstract formuleren van risico's, zoals 'communicatieproblemen', waardoor niemand weet welke concrete maatregel nodig is. Formuleer risico's altijd specifiek en meetbaar. Ten derde worden risico-eigenaren te vaak aangesteld zonder hun expliciete instemming of zonder duidelijke verwachtingen, wat leidt tot eigenaarschap op papier maar niet in de praktijk. Verder wordt de risicoworkshop regelmatig overgeslagen ten gunste van een snelle invulling door de projectmanager alleen, waardoor blinde vlekken ontstaan. Betrek altijd meerdere perspectieven. Raadpleeg de richtlijnen op https://www.ipma.nl/ om veelvoorkomende valkuilen per projectfase te vermijden.

Wat na afloop?

Na het opstellen van het risicoregister verwerk je het als vast onderdeel in jouw projectrapportage-cyclus. Bij elke statusrapportage geef je een update over de top-risico's: zijn scores veranderd, zijn maatregelen uitgevoerd en zijn er nieuwe risico's toegevoegd? Aan het einde van het project archiveer je het register als onderdeel van het projectdossier. Gebruik het bij de afsluiting als input voor een 'lessons learned'-sessie, zodat jouw organisatie bij volgende projecten eerder en beter kan anticiperen. Bewaar het projectdossier minimaal zeven jaar conform de fiscale bewaarplicht, of langer als contractuele verplichtingen dat vereisen.