Denne historien deler erfaringene fra ansvarlig Risk Manager i tre store offentlige IKT-programmer og er ment som veiledning og inspirasjon for andre i lignende roller. Jeg har i denne artikkelen ikke forsøkt å ta for meg alle aspekter av risikostyring, men har valgt ut teknikker og tilnærminger som virker for meg – min beste praksis, som også er i tråd med intensjonene i ISO 31000, PMI og PRINCE2-familien.
Risikostyring er det mest effektive virkemiddelet for å oppnå suksess i prosjekter!
Hva er et vellykket prosjekt?
Risikostyring er det mest effektive virkemiddelet for å sikre at prosjekter lykkes, men hva vil det si å lykkes med et prosjekt? Prosjektet er vellykket når prosjektmålene er oppnådd. Mange vil hevde at det ikke er tilstrekkelig, at det er andre resultater som er minst like viktige, for eksempel brukertilfredshet og langsiktig gevinst. Det er ingen motsetning her, det krever bare at brukertilfredshet og langsiktig gevinst også må være prosjektmål. Dette er effektmål som ikke alltid kan måles ved prosjektavslutning, men som må følges opp av gevinstansvarlig i organisasjonen etter at prosjektet er avsluttet, sammen med tilhørende effektrisiko som sikrer at også disse målene oppnås i et vellykket prosjekt.
Hvorfor risikostyring?
Vi vurderer jo risiko hele tiden, det er et av våre viktigste overlevelsesinstinkter. Bare vi skal krysse veien beregner vi hvor god risikomargin vi har til neste bil, helt automatisk. Hvorfor trenger vi da et eget fagfelt innen prosjektledelse for å håndtere risiko? Fordi risikoer i prosjekter er komplekse og berører mange aktører som vi må kunne kommunisere med. Vi trenger et felles «språk» å kommunisere om risiko på. Vi ønsker å holde regnskap med prosjektets utfordringer og unngå overraskelser. Vi bruker risikovurderinger til å prioritere oppgaver og ta informerte beslutninger. Vi vil vite om risiko som inntreffer slik at vi kan forberede oss. Risikostyring er på mange måter det motsatte av brannslukking. Og vi vil gjerne vite at risikoene i prosjektet er håndtert, slik at vi sover bedre. Risikostyring er en systematisk og proaktiv arbeidsmetode for å få kontroll med prosjektet ved å forstå og redusere usikkerhet.
Risikostyring rydder veien for prosjektet frem til fjelltoppen og sikrer måloppnåelse.
Legg merke til at risikoanalyser får stadig nye anvendelser i form av risikobaserte prioriteringer innen kvalitetsstyring, sikkerhet, testing og mange andre fagområder. Men i denne historien fokuserer jeg på risiko i prosjektgjennomføring. Alle referanser til prosjekt kan erstattes med program eller delprosjekt avhengig av hvor i organisasjonen du jobber.
Jeg tenker på prosjekter som en reise til et mål, som jeg ser for meg som en fjelltopp, definert ved prosjekts målsetninger. Risikostyring bruker en risikoradar for å kartlegge alle hindringer og mulige snarveier på veien til dette målet – eller fjelltoppen. Denne radaren kan se rundt neste sving og over bakketoppene som ligger foran prosjektet, slik at prosjektet kan iverksette tiltak for å rydde disse hindringene av veien før prosjektet treffer dem og utnytte beste rute til toppen. Risikostyring rydder veien for prosjektet frem til fjelltoppen og sikrer måloppnåelse.
Hva er risiko?
Risiko er definert som en usikker hendelse eller situasjon som, dersom den inntreffer, vil påvirke oppnåelse av mål. Effekten av hendelsen på målene kan være positiv eller negativ. Positiv effekt på målene omtales som mulighet, mens negativ effekt er en trussel. I daglig tale er risiko gjerne negativt ladet og arbeidet med risikostyring dreier seg oftest om trusler, men innen risikostyringsfaget består risiko av både trusler og muligheter. Større bruk av muligheter i prosjektene er et stort uutnyttet potensiale, en mulighet i seg selv. Når en trussel (negativ risiko) inntreffer får vi et problem eller på engelsk issue. Når en mulighet (positiv risiko) inntreffer får vi en gevinst. Det er en sterk kobling mellom effektstyring, inkludert gevinster, og risikostyring.
Effektrisiko er risiko for at prosjektet ikke oppnår ønsket verdi av investeringen.
Prosjektledere har all sin oppmerksomhet på å levere i henhold til prosjektets definerte omfang, kost og innenfor prosjektets levetid. Det er flott, men innebærer en liten hake. Resultatene fra klassiske prosjekter gir sjelden gevinst eller effekt før etter at prosjektet er avsluttet. Risikostyring må derfor også sikre at prosjektet forbereder for måloppnåelse av effektmålene, selv om det er noen andre, gjerne i linjen, som er ansvarlig for effektoppnåelsen. Effekt- eller gevinstrisiko kan defineres som risiko for at organisasjonen ikke oppnår en målbar forbedring som følge av leveransene fra prosjektet, eller sagt på en annen måte; effektrisiko er risikoen for at prosjektet ikke oppnår ønsket verdi av investeringen. Utfordringen her er selvfølgelig at risikoene kan inntreffe etter at prosjektet er avsluttet. For å sikre at disse risikoene ivaretas også etter prosjektets levetid må risikoene ved prosjektavslutning overføres til organisasjonen som skal drifte og forvalte produktene fra prosjektet. For å bedre forståelsen for hvordan denne overgangen gjøres i praksis, må vi se på de forskjellige risikorollene som hører hjemme i en prosjektorganisasjon.
Organisering
For å få til en effektiv risikostyring i et program er det flere roller som må kjenne til sine oppgaver og ansvar i gjennomføringen av risikostyringsaktiviteter.
Prosjektleder er ansvarlig for risikostyringen i eget prosjekt. Det er andre roller som kan bistå og fasilitere prosessen, men det er alltid prosjektleder som sitter med ansvaret for at det blir gjort og at innholdet i risikoregisteret er relevant. Prosjektleder utnevner også risikoeier for hver risiko som er registrert i prosjektets risikoregister. Hver risiko er en godt beskrevet «oppdragspakke» som egner seg for prosjektleder å delegere til risikoeier. Risikoeier er gjerne den som føler konsekvensene av risikoen «på kroppen» og er ansvarlig for å følge opp tildelt risiko og tilhørende tiltak. Risikoeier planlegger risikotiltak og tildeler tiltakene til tiltaksansvarlige. For effektrisiko bør risikoeier være samme person som gevinstansvarlig, tilknyttet drift- og forvaltningsorganisasjonen. Tiltaksansvarlig er ansvarlig for at risikotiltaket blir gjennomført, men er ikke nødvendigvis den som selv gjennomfører.
I tillegg til rollene over er alle prosjektmedlemmer ansvarlige for å melde fra om risiko de ser som kan true oppnåelse av prosjektets målsetninger.
De fleste prosjektledere ønsker også en Risk Manager å sparre med, ikke bare om risiko, men om prosjektledelse generelt
Risk Manager eller Risikokoordinator på norsk, er ansvarlig for å lede, støtte og følge opp risikostyringen i prosjektet. Han eller hun fasiliterer risikostyringsaktivitetene, følger opp risikostyringsprosessen, bevisstgjør alle i prosjektet om betydningen av risikoarbeidet og utvikler organisasjonens kompetanse om risikostyring.
Risk Manager må velge hvor mye han eller hun skal «hjelpe» prosjektet med risikoarbeidet. Jeg har forsøkt litt ulike tilnærminger, uten å komme frem til en fasit. Det er fristende å ta over redigering av prosjektets risikoregister under Risk Review-møtene. Det gir bedre risikofaglige formuleringer, konsekvent bruk av skalaer, begrunnelse av endringer, effektiv møtegjennomføring, men med fare for at prosjektleder og risikoeiere mister eierskap til innholdet. Avhengig av funksjonalitet i risikoverktøyet krever også rapporteringen en del manuelt arbeid. Dersom det mangler funksjonalitet for å generere en risikomatrise basert på utvalgte risikoer, tilbyr jeg meg gjerne å plotte risikoene inn i en risikomatrise i Powerpoint for prosjektet – som en kompensasjon for mangelfull verktøystøtte. På den måten oppnår jeg konsistent risikorapportering og unngår klager på kjedelige manuelle rutiner.
Som nevnt innledningsvis gjelder alt som skrives om prosjekter i denne artikkelen også for et program. For større programmer vil det være flere risikokoordinatorer, én Risikokoordinator Program og lokale Risikokoordinator Prosjekt for de største prosjektene. Sammen utgjør disse en risikoorganisasjon i programmet som koordinerer seg i et risikoforum.
Alle som har en risikorolle i programmet har behov for å utveksle erfaringer og koordinere seg. Risikoforum er et risikofaglig koordineringsforum for prosjektrisiko som støtter risikoarbeidet i prosjektene, harmoniserer praksis, for eksempel lik bruk av konsekvensskala, utveksler erfaringer innen prosess, praksis og verktøystøtte, samt deltar sammen på kompetanseutvikling og bidrar til en bevisstgjøring av betydningen av risikostyring i organisasjonen.
Et koordineringsforum over programmet, på tvers av virksomhetsområdene i organisasjonen, refereres gjerne til som et Risk Management Board (RMB). RMB kan ta på seg ytterligere risiko-governance-oppgaver på vegne av organisasjonen, slik som fastsettelse av risiko-policy, felles skalaer for sannsynlighet og konsekvens, felles maler for risikorapportering og risikoakseptansekriterier og oppfølging av etterlevelse av risikostyringsprosessen.
Risikoregisteret danner et verdifullt beslutningsunderlag med ulike risikoprofiler for alternative veivalg i prosjektet. Ikke bare har vi et godt bilde av dagens risikosituasjon, men med en regelmessig oppfølging av risiko slik som beskrevet her, kan vi følge utviklingen av hver risiko over tid. Denne historiske sporingen av sannsynlighetsverdi og konsekvensverdi kan også ekstrapoleres til å forutsi trender videre fremover for prosjektet. En rød risiko som har stått stille i fire måneder vil ikke forsvinne neste uke, med mindre det skjer noe drastisk. De fleste prosjektledere ønsker også en Risk Manager å sparre med, ikke bare om risiko, men om prosjektledelse generelt. Men dette avhenger selvsagt av Risk Managers bakgrunn og erfaring.
Arbeidsprosess
En kritisk suksessfaktor for å få prosesshjulet til å gå rundt er at det er innarbeidet et risikostyringsregime i organisasjonen, hvor regelmessige oppdateringer og gradvise forfininger av risikobildet inngår i prosjektets etablerte arbeidsmetode. Alle risikoer følger samme syklus, bestående av å identifisere, registrere, vurdere, håndtere og følge opp hver risiko. I tillegg har vi behov for å planlegge, rapportere, styre og følge opp risikoarbeidet. Vi skal se litt nærmere på hvordan hver av disse prosesstrinnene kan gjøres i de påfølgende artiklene, der vi ser på «Identifisering og vurdering» (del 2) og «Håndtere og rapportere» risiko (del 3).
Holte Consulting tilbyr prosjektrådgivning og ressurser med bred kompetanse innen ulike bransjer og fagfelt. Vi mener at det å komme tett på våre kunder og nærmest bli en av dem skaper løsninger som varer.