Incepta@IT B.V. IT-Consultant Projectmanagement. Consultancy in Almere

Tag: Bowtie

  • Stakeholdermanagement voor IT-projectmanagers: belangen in kaart, risico’s onder controle

    Elk IT-project heeft er last van. Een directeur die halverwege het project andere prioriteiten stelt. Een security-officer die pas in de laatste fase aanschuift. Een leverancier die belangrijke informatie achterhield. Dit gebeurt niet omdat mensen onwillig zijn, maar vaak omdat er geen gedeeld beeld was van wie welke rol speelt, wat er op het spel staat en welke risico’s er schuilen in de samenwerking met elkaar.

    Stakeholdermanagement lost dat op, als je het maar serieus aanpakt.

    Wie zijn jouw stakeholders eigenlijk?

    In IT-projecten is de kaart van stakeholders vaak ingewikkelder dan in veel andere sectoren. Je hebt te maken met een combinatie van technische en niet-technische betrokkenen, elk met zijn eigen, belangen en verwachtingen. Bovendien begrijpen ze elkaar soms niet omdat het jargon wat ze gebruiken vaak heel verschillend is.

    Je kunt als stakeholders denken aan eindgebruikers, applicatiebeheerders, enterprise architecten, security-officers, directie, inkopers en externe leveranciers. Het Freeman-model is een nuttig hulpmiddel om deze partijen overzichtelijk in kaart te brengen: de organisatie staat centraal, met daaromheen een netwerk van stakeholders met onderlinge relaties.

    Wat IT-projecten uniek maakt, is dat stakeholders niet alleen belangen hebben bij het eindresultaat, maar ook actief invloed uitoefenen op het proces. Een enterprise architect die zich niet gehoord voelt, kan bijvoorbeeld besluiten blokkeren. Een leverancier die niet op tijd wordt betrokken, draagt oplossingen aan die niet passen binnen het bestaande applicatielandschap. Deze problemen hebben vaak gevolgen voor de doorlooptijd, kosten en kwaliteit van het project.

    Cirkelvormig schema met de organisatie centraal en stakeholdergroepen (eindgebruikers, leveranciers, directie, security-officer, etc.) als knooppunten eromheen met onderlinge relaties.

    Prioriteren: wie verdient welke aandacht?

    Niet elke stakeholder vraagt om dezelfde hoeveelheid tijd en moeite. De Mendelow-matrix biedt een handige structuur: stakeholders worden ingedeeld op basis van hun invloed én hun betrokkenheid bij het project.

    • Hoge invloed, hoge betrokkenheid → Betrek ze actief bij het project en werk met ze samen,
    • Hoge invloed, lage betrokkenheid → Informeer ze goed, want hun steun is noodzakelijk; we willen ze tevreden houden.
    • Lage invloed, hoge betrokkenheid → Houd ze betrokken en geef informatie zo veel als nodig is.
    • Lage invloed, lage betrokkenheid → Monitor ze en beschouw ze als actieve toeschouwers bij het project.

    Deze indeling is alleen niet statisch. De positie van stakeholders kan verschuiven gedurende een project. Een eindgebruiker die in de beginfase weinig invloed lijkt te hebben, kan halverwege het project een belangrijke rol spelen bij de acceptatietest. Het is daarom belangrijk om je stakeholderkaart regelmatig bij te werken. Een goed ritme hiervoor is bijvoorbeeld na elke sprint review of aan het begin van een nieuw kwartaal.

    Vier kwadranten met invloed (verticaal) en betrokkenheid (horizontaal), met per kwadrant de bijbehorende strategie. Maakt de prioriteringslogica direct visueel.

    De bowtie-methode risicoanalyse toepassen op je stakeholders

    Waar stakeholdermanagement en risicomanagement samenkomen, wordt het boeiend. De bowtie-methode biedt een gestructureerde manier om per stakeholdergroep de aanwezige risico’s te analyseren.

    De redenatie hier achter is simpel maar krachtig: stakeholders zijn niet alleen betrokkenen bij een project, ze zijn tegelijkertijd een potentieel een bron van risico’s, maar kunnen ook een risicobeheersing maatregel zijn.

    Kijk naar de linkerkant van de bowtie: welke oorzaken kunnen leiden tot een ongewenste gebeurtenis? Denk aan een enterprise architect die niet tijdig wordt betrokken, een directeur die de projectscope informeel uitbreidt, of een leverancier die onvoldoende zicht heeft op de bestaande IT-architectuur. Dit zijn oorzaken die je kunt koppelen aan bepaalde stakeholdergroepen.

    Aan de rechterkant van de analyse komt de vraag naar voren: als het toch misgaat, welke maatregelen kunnen dan de gevolgen beperken? Ook hier hebben stakeholders een actieve rol. Een goed geïnformeerde security-officer die vroeg in het project is aangehaakt, kan de kans op kostbare hersteltrajecten later aanzienlijk verkleinen. Een eindgebruiker die regelmatig meedenkt via sprint reviews, merkt afwijkingen sneller op dan een formele acceptatietest die pas aan het eind plaatsvindt

    Door je stakeholderkaart te verbinden aan een bowtie-analyse, maak je de overstap van reactief naar proactief. Je krijgt niet alleen zicht op wie er bij het project betrokken is, maar ook waar de kwetsbaarheden zitten en welke stakeholders je als barrière kunt inzetten.

    Bowtie-diagram waarbij stakeholdergroepen expliciet zijn gelinkt aan oorzaken (links) en beheersmaatregelen (rechts). Verbindt de twee methoden visueel.

    Hoe enterprise architectuur te gebruiken is

    Een van de meest ondergewaardeerde hulpmiddelen in stakeholdermanagement is de bestaande enterprise architectuur. Veel IT-projectmanagers benutten architectuurdocumentatie voornamelijk intern. Dit is een gemiste kans.

    De enterprise architectuur biedt een objectief en gedeeld referentiekader dat je kunt gebruiken bij conflicterende belangen. Wanneer een zakelijke stakeholder vraagt om een oplossing die indruist tegen de architectuurprincipes, maakt een visueel architectuuroverzicht het gesprek concreter dan abstracte argumenten over technische schuld of risico’s op de lange termijn.

    Bovendien helpt datzelfde overzicht niet-technische stakeholders te begrijpen waarom bepaalde keuzes worden gemaakt. Dit vergroot het begrip tussen technische en niet-technische betrokkenen, wat vaak een bron van spanning is in IT-projecten.

    Zet de enterprise architectuur actief in tijdens bijeenkomsten met stakeholders. Gebruik het niet alleen als een presentatie van feiten, maar als een onderwerp voor discussie. Vraag stakeholders hoe hun wensen passen binnen het bestaande landschap. Alleen die vraag al bevordert realisme en zorgt voor meer draagvlak.

    Wat je direct kunt doen

    Op basis van de combinatie van stakeholdermanagement, risicodenken en enterprise architectuur zijn er enkele praktische aanpakken die echt het verschil maken.

    Breng je stakeholders goed in kaart; gebruik het Freeman-model om ook de minder voor de hand liggende betrokkenen te ontdekken. De leverancier die jij ziet als uitvoerder kan voor de directie wel eens een strategische partner zijn.

    Koppel elke stakeholdergroep aan je bowtie; benoem duidelijk welke oorzaken en gevolgen bij welke stakeholders horen. Dit maakt je risicoanalyse concreet en je communicatie gericht.

    Gebruik architectuurprincipes als ondersteuning; wanneer belangen botsen, helpt de enterprise architectuur om het gesprek terug te brengen naar onpartijdige uitgangspunten.

    Combineer feedbackmomenten; een sprint review biedt je groepsfeedback, terwijl een kort één-op-één gesprek erna zorgt voor verdere verdieping. Deze combinatie geeft je een veel vollediger beeld dan wanneer je slechts één methode gebruikt.

    Houd je stakeholderkaart actueel; een verouderd overzicht kan een vals gevoel van controle geven. Zorg ervoor dat je een vaste update plant in je projectritme.

    Visueel stappenplan stakeholdermanagement. Geschikt als snelle samenvatting en deelbare afbeelding op social media.

    Stakeholdermanagement als fundament, niet als bijzaak

    IT-projecten falen zelden alleen door technische problemen. Vaak zijn het miscommunicatie, onduidelijke verwachtingen of het te laat betrekken van stakeholders die de oorzaak vormen.

    Stakeholdermanagement is dan ook niet slechts een administratieve taak; het vormt de basis voor je projectbeslissingen, helpt risico’s te beheersen en draagt bij aan het creëren van draagvlak.

    Door je stakeholderkaart te combineren met de bowtie-methode en de enterprise architectuur als gemeenschappelijke uitgangspunten te hanteren, ontwikkel je een strategie waarbij belangen en risico’s geen onverwachte complicaties meer zijn, maar beheersbare elementen.

    Wil je sparren over hoe je stakeholdermanagement, risicoanalyse en enterprise architectuur samenkomt in jouw IT-project? Neem contact op, ik denk graag met je mee.

  • Bowtie risicomanagement: helder inzicht in risico’s, in één oogopslag

    Veel risicoanalyses eindigen als een document dat na één lezing in een la verdwijnt. De bowtie methode werkt anders: één schema dat oorzaken, maatregelen en gevolgen tegelijk in beeld brengt en dat is iets dat iedereen in de kamer begrijpt, ook buiten de risicomanagementafdeling of werkgroep.

    Dat verklaart waarom de methode in zoveel sectoren opduikt: van veiligheidsmanagement en operationeel risicomanagement tot IT-projecten en compliance-vraagstukken.

    Wat is bowtie risicomanagement?

    Bowtie risicomanagement is een methode om risico’s visueel weer te geven. Het model heeft de vorm van een vlinderdas, vandaar de naam bowtie.

    In het midden staat de centrale gebeurtenis: het moment waarop het risico werkelijkheid wordt. Links staan de dreigingen of oorzaken die daartoe kunnen leiden. Rechts staan de mogelijke gevolgen.

    Daartussen komen de beheersmaatregelen: preventieve maatregelen aan de linkerkant voorkomen dat het misgaat, mitigerende maatregelen aan de rechterkant beperken de schade als het toch gebeurt.

    Zo zie je in één schema het risico zelf, welke barrières de organisatie heeft ingericht én waar die barrières ontbreken.

    Herkomst van de bowtie methode

    De methode heeft haar wortels in de olie- en gasindustrie. Shell ontwikkelde de aanpak in de jaren negentig als hulpmiddel voor het beheersen van procesrisico’s in gevaarlijke omgevingen. Het Energy Institute (Londen) formaliseerde de methode later en publiceerde in 2008 de eerste uitgebreide richtlijn: Bowtie methodology: A Guide to Best Practice. Sindsdien is de methode overgenomen in uiteenlopende sectoren, van luchtvaart en chemie tot gezondheidszorg en IT.

    Hoe werkt een bowtie-analyse?

    Concreet voorbeeld met een cyberrisico als centrale gebeurtenis (bijv. datalek), dreigingen zoals phishing en zwak wachtwoord, en maatregelen zoals MFA en encryptie. Maakt de methode direct toepasbaar voor de IT-doelgroep.

    Een bowtie-analyse brengt een risico in zes stappen in kaart:

    1. Kies een risico of scenario — bepaal welk risico je wilt analyseren.
    2. Benoem de centrale gebeurtenis — het moment waarop het misgaat.
    3. Inventariseer de dreigingen — welke oorzaken kunnen tot die gebeurtenis leiden?
    4. Breng preventieve maatregelen in kaart — wat voorkomt dat het gebeurt?
    5. Beschrijf de gevolgen — wat is de impact als het toch misgaat?
    6. Benoem mitigerende maatregelen — wat beperkt de schade?

    Zo brengt bowtie risicomanagement in één schema in

    Waarom kiezen organisaties voor de bowtie methode?

    De bowtie methode combineert eenvoud met diepgang. Begrijpelijk voor een breed publiek, sterk genoeg voor complexe risico’s.

    Veel risicoanalyses bestaan uit uitgebreide tabellen of lange documenten die niemand meer openslaat. Een bowtie maakt direct zichtbaar hoe oorzaken, maatregelen en gevolgen samenhangen, in één overzichtelijk schema, zonder dat je tien pagina’s hoeft door te spitten.

    De methode verandert ook hoe teams over risico’s praten. In plaats van gevaren opnoemen, stel je de vraag of bestaande maatregelen echt voldoende zijn. Dat levert andere gesprekken op dan een spreadsheet met RAG-statussen.

    Zwakke plekken zijn snel zichtbaar: waar ontbreken maatregelen, waar staat er maar één barrière tussen dreiging en gevolg? En omdat het schema visueel is, werkt het in presentaties, audits en trainingen, ook voor mensen zonder een Risicomanagement achtergrond.

    Wanneer gebruik je bowtie risicomanagement?

    Bowtie risicomanagement is breed toepasbaar: veiligheidsrisico’s, operationele risico’s, technische storingen, cyberrisico’s, kwaliteitsrisico’s, compliance-vraagstukken en projectrisico’s. De methode is het meest waardevol bij scenario’s met grote impact — waarbij veiligheid, continuïteit of reputatie op het spel staat.

    Iconen of visueel overzicht van de zeven toepassingsgebieden (veiligheid, IT, kwaliteit, compliance, etc.). Maakt de breedte van de methode in één oogopslag duidelijk.

    Een voorbeeld uit de praktijk: voor een opdrachtgever met een besloten netwerkomgeving voerden we een bowtie-analyse uit rondom netwerkuitval. De centrale gebeurtenis: het netwerk valt uit. Links in het schema kwamen de dreigingen in beeld, dit ging van technische storingen tot ontbrekende of onvoldoende procedures en richtlijnen, waardoor medewerkers bij uitval niet weten hoe te handelen.

    Rechts stonden de gevolgen. De operationele impact was direct duidelijk, maar wat de analyse ook blootlegde: bij uitval zonder heldere externe communicatie kan reputatieschade ontstaan. Klanten die niet tijdig worden geïnformeerd, trekken dan hun eigen conclusies. Dat risico was vooraf niet als zodanig benoemd.

    De mitigerende maatregelen aan de rechterkant van de bowtie richtten zich daarom op twee sporen: technisch herstel én communicatie. Een communicatieprotocol, wie informeert wie, wanneer en met welke boodschap, werd als expliciete maatregel opgenomen naast de technische herstelstappen.

    Voordelen van bowtie risicomanagement

    De voordelen van bowtie risicomanagement zijn het grootst voor organisaties die risico’s actief willen beheersen, niet alleen registreren.

    Een bowtie brengt een risico compact in beeld en toont direct welke barrières aanwezig zijn — en welke ontbreken. Daardoor wordt het stellen van prioriteiten concreter: je ziet niet alleen waar het goed zit, maar ook waar het dun is. Risico’s worden bespreekbaar buiten de bijvoorbeeld de risicoanalyse werkgroep, omdat het schema geen specialistische kennis vereist om te lezen. En de methode werkt even goed voor analyse als voor communicatie, training en evaluatie.

    Aandachtspunten bij een bowtie-analyse

    De bowtie methode oogt eenvoudig, maar de kwaliteit staat of valt met de inhoud. Een goede analyse vraagt om scherpe keuzes en realistische inzichten.

    Formuleer de centrale gebeurtenis helder en benoem dreigingen zo concreet mogelijk. Controleer of maatregelen echt effectief zijn, maak onderscheid tussen preventieve en mitigerende maatregelen en leg verantwoordelijkheden duidelijk vast.

    Een bowtie is daarmee geen mooi schema om te bewaren, het wordt daarmee echt een werkinstrument.

    Bowtie als continu hulpmiddel

    De methode stopt niet bij de analyse. Organisaties die er het meeste uithalen, gebruiken een bowtie als terugkerend referentiekader, ze gebruiken het als basis voor audits, verbeteracties, incidentevaluaties en periodieke reviews van beheersmaatregelen. In projecten werkt het ook goed als gedeeld risicoschema voor het hele team.

    Afsluitend

    Bowtie risicomanagement brengt dreigingen, maatregelen en gevolgen samen in één model. Het geeft snel overzicht, maakt risico’s bespreekbaar en laat zien waar de organisatie staat, zowel op papier als in de praktijk.

    Wil je risico’s duidelijker in beeld brengen? Dan is de bowtie methode een goed startpunt. 

    Heeft jouw organisatie hulp nodig bij het opzetten van een risicoanalyse? Wil je graag zien hoe dit in de praktijk werkt? Neem contact met ons op!