En kritisk suksessfaktor for å få prosesshjulet til å gå rundt er at det er innarbeidet et risikostyringsregime i organisasjonen, hvor regelmessige oppdateringer og gradvise forfininger av risikobildet inngår i prosjektets etablerte arbeidsmetode. Alle risikoer følger samme syklus, bestående av å identifisere, registrere, vurdere, håndtere og følge opp hver risiko. I tillegg har vi behov for å planlegge, rapportere, styre og følge opp risikoarbeidet. Vi skal se litt nærmere på hvordan hver av disse prosesstrinnene kan gjøres.
Identifisere risiko
Identifisering av ny risiko foregår på mange måter. Det kan være prosjektleder som oppdager en ny utfordring i prosjektet, et spørsmål i et rapporteringsmøte eller et aksjonspunkt fra et ledermøte. Men aktiviteten som genererer flest nye risikoer er naturlig nok dedikerte risikoworkshops. En risikoworkshop er en strukturert brainstorming for å avdekke nye risikoer som truer oppnåelse av målsetningene eller åpner for nye muligheter. Deltagelsen i risikoworkshopen bør være bredt sammensatt slik at alle relevante fagdisipliner er representert. Jeg anbefaler å bruke en stor risikomatrise trykket i plakatstørrelse, gjerne 1,5 x 1,5 meter, som henges opp på veggen. Hver deltager skriver sine innspill til risiko på store Post-it-lapper og fester disse på risikomatrisen. Det skaper god dynamikk og involvering i gruppen. En effekt av en slik risikoworkshop er også at det blir luftet ut bekymringer, frustrasjoner og alle blir hørt, samtidig som det blir satt lys på risikoene slik at alle i prosjektet oppnår en felles situasjonsforståelse. Det er ikke strenge formaliteter til å beskrive risiko i denne fasen, men vi vil gjerne ha med hva det er som kan skje (hendelse), mulige årsaker til hendelsen og hvilke konsekvenser det kan føre til, og kanskje litt diskusjon om aktuelle tiltak om tiden tillater. For å sette hendelsen i riktig perspektiv kan det være greit å starte med formuleringen «Det er en risiko for at …». Hvis kreativiteten stopper opp under brainstormingen er det alltid effektivt å ta frem en plansje med standard årsakskategorier, en såkalt «prompt-liste», for å få frem risiko fra et bredere perspektiv.
Workshopdeltagere med risikoerfaring ønsker gjerne å få vite skaladefinisjonene for sannsynlighet og konsekvens, slik at innspillene til ny risiko blir plassert korrekt i risikomatrisen. Jeg forsøker derimot å avvise disse diskusjonene om skala. Formålet med risikoworkshopen er å avdekke ny risiko og beskrive innholdet av risikoen, ikke en presis risikovurdering, det kommer senere i et mindre fora. I workshopen er det forslagsstillers opplevelse av risikoen som skal komme frem.
Registrere risiko
Risiko som truer oppnåelse av prosjektets mål registreres og følges opp i et risikoregister. Et risikoregister holder regnskap over prosjektets risikoer. Hver risiko registreres med en risikohendelse, årsaker til at hendelsen kan opptre og konsekvenser dersom risikoen inntreffer. Risikoregisteret inneholder også ansvarlig risikoeier, risikostatus og eventuelle risikoreduserende tiltak, samt støtte for risikoanalyser og oppfølging av både risiko og tiltak.
Gode formuleringer av risikotittel er en av de mer krevende oppgavene innen risikostyring.
Innspill til ny risiko fra en risikoworkshop eller andre kilder må sammenlignes og avstemmes med allerede registrerte risikoer og andre innspill. Noen innspill står på egne ben som ny risiko i risikoregisteret, andre er allerede godt dekket av eksisterende risiko, mens noen gir nyttig tilleggsinformasjon til årsaks- eller konsekvensbeskrivelsene av allerede registrert risiko. Det vil av og til også komme forslag til ny risiko som ikke er en reell risiko for prosjektet. Disse må avvises eller «omplasseres» til der de hører hjemme. Syretesten for å sjekke om et risikoforslag er en risiko for prosjektet eller ikke, består av en sjekk mot prosjektets mål. Dersom risikoen ikke påvirker noen av prosjektmålene er det heller ikke en risiko for prosjektet, pr. definisjon.
I risikoregisteret er risikoen beskrevet i detalj med både årsaker og konsekvenser. Når risikoen skal brukes i rapportering er det bruk for en kortere risikotittel for å referere til risikoen. Gode formuleringer av risikotittel er en av de mer krevende oppgavene innen risikostyring. Det er en risiko for at noe kan skje. Hva er det som kan skje? Og hva vil denne hendelsen føre til? Det er en risiko for at <hendelse> fører til <konsekvens>, eller <hendelse> på grunn av <årsak> fører til <konsekvens>. Det er ikke nødvendig å ta forbehold om at «dersom/hvis» hendelsen inntreffer, alle risikoer har mindre enn 100 % sannsynlighet for å inntreffe. Vi skal beskrive situasjonen som kan oppstå. Det er viktig å få med en konsekvens i risikotittelen, gjerne den mest alvorlige, slik at lesere av risikorapporten forstår hva denne risikoen kan føre til. Ettersom ordet mulighet kan ha dobbel betydning på norsk, både «sannsynlighet» og «opportunity», kan risikoformuleringen for mulighet f.eks. se slik ut: Det oppstår en mulighet ved at <hendelse> kan føre til <positiv konsekvens>.
Vurdere risiko
Det er først når vi har en god beskrivelse av risikoen med mulige årsaker og konsekvenser at vi har grunnlag for å vurdere risikoen i en kvalitativ risikoanalyse. For alvorlig risiko kan det være behov for å gjøre en årsaksanalyse. Bruk gjerne et fiskebensdiagram (også kjent som Ishikawa-diagram) for å avdekke flere av årsakene til risikoen. Basert på årsakene til risikoen vurderer vi sannsynlighetsverdien for at risikoen kan inntreffe på en skala, gjerne fra 1 til 5, hvor 1 er meget liten og 5 er svært stor. Tilsvarende vurderer vi konsekvensverdi basert på konsekvensbeskrivelsen, også på en skala fra 1 til 5 hvor 1 er marginal og 5 er svært alvorlig (trussel) eller svært verdifull (mulighet). Mens sannsynlighetsverdien er fundert på det samlede årsaksbildet, tar vurderingen av konsekvensverdien utgangspunkt i det prosjektmålet som risikoen påvirker i størst grad, altså en worst case betraktning for trusler eller best case i tilfelle en mulighet.
Det er gjerne definerte skalaer for sannsynlighet og konsekvens i organisasjonen og programmet. Hvis ikke bør prosjektet definere sine egne. Disse er nyttige ved sammenligning av risiko mellom prosjekter og for å kalibrere risikonivået i en organisasjon, men innen et prosjekt er den innbyrdes rekkefølgen av risikoene vel så viktig som plassering i henhold til en skaladefinisjon. Vær oppmerksom på at konsekvensskalaen vil kunne variere på ulike nivå i en organisasjon, økonomi vil for eksempel ha høyere risikoakseptansenivå på programnivå enn på prosjektnivå. Skalaen for sannsynlighet bør være den samme i hele organisasjonen.
Risiko måles mot prosjektmål som tid, kost og kvalitet, men kan også inneholde andre bransjespesifikke mål, f.eks. sikkerhet, HMS og omdømme. Det vil typisk være en konsekvensskala for hver av disse prosjektmålene for både trusler og muligheter. I tabellen under er det vist eksempler på hvilken effekt trusler og muligheter kan ha på prosjektmålene.
Det er ofte mange meninger om hvor alvorlig en ny risiko er. Når det skal fastsettes sannsynlighet og konsekvens for en risiko er det derfor viktig å høre alle synspunkter og begrunnelser for de ulike meningene. Men etter at alle har blitt hørt er det risikoeier som har siste ordet når sannsynlighetsverdi og konsekvensverdi skal registreres eller oppdateres. Det er han eller hun som er ansvarlig for risikoen, håndteringen av den og som ofte blir mest berørt av konsekvensene dersom risikoen inntreffer, som også må ta ansvar for fastsettelse av sannsynlighetsverdi og konsekvensverdi. Ofte tar prosjektleder selv rollen som risikoeier, men det er ikke nødvendigvis den beste løsningen for prosjektet. Det kan være mer effektivt å delegere en godt beskrevet problemstilling i form av en risiko til en annen person i prosjektet som sitter nærmere sakens kjerne.
Det er mest vanlig å bruke en 5×5 matrise for å vurdere prosjektrisiko, med sannsynlighet i den vertikale y-aksen og konsekvens i den horisontale x-aksen. Vi er alle nokså dårlige til å gjøre kvalitative vurderinger, spesielt er det vanskelig å bedømme sannsynligheten for at noe usikkert vil inntreffe. For en engangsvurdering ville derfor en 3×3 matrise med lav, middels og høy i hver akse vært tilstrekkelig, men for å kunne synliggjøre endringer i vurdering over tid er det ønskelig med større oppløsning. Noen velger derfor 10×10 for å plotte risiko. Men det mest vanlige er som nevnt en 5×5 matrise, også kalt en standard Boston square risikomatrise, som et kompromiss mellom skjønnsmessig synsing og behovet for å vise risikoens bevegelser over tid.
Trusselmatrisen er delt i et grønt, gult og rødt felt, hvor organisasjonens risikostyringspolicy setter krav til håndteringen av risiko innen hvert felt. Noen organisasjoner har også innført et oransje felt mellom gult og rødt for å gi et fjerde tiltaksnivå. Mulighetsmatrisen gis gjerne en oppdeling i blåfarger. Når trusselmatrisen og mulighetsmatrisen settes sammen kan det bli som i figuren under.
For prosjektrisiko er det mest hensiktsmessig å bruke en 2-faktor risikoanalyse bestående av sannsynlighet og konsekvens, slik som beskrevet her. Men Risk Managers bør også kjenne til 3-faktor risikoanalyse, som måler trussel, verdi og sårbarhet, og som brukes innen andre fagområder som f.eks. informasjonssikkerhet. Fordelen med 2-faktor risikoanalysen er at den er enkel, rask i bruk, presis nok for oppfølging av dynamisk prosjektrisiko og ikke minst god å kommunisere med via en risikomatrise med sannsynlighet og konsekvens på aksene. For de som ønsker en sammenligning av 2-faktor og 3-faktor risikovurderinger kan jeg anbefale denne FFI-rapporten.
Det er begrenset hvor mange risikoreduserende tiltak et prosjekt kan gjennomføre samtidig på en forsvarlig måte.
Det er flere formål med å vurdere sannsynlighet og konsekvens for hver risiko i prosjektet. Det mest åpenbare er en fastsettelse av hver enkelt risikos alvorlighetsgrad. Når alle risikoene sees i sammenheng gir de også et bilde av prosjektets totale risikoeksponering som kan kommuniseres med prosjektets foresatte. En fargerik risikomatrise bidrar også til å visualisere prosjektets tilstand i en statusrapport. Men den grunnleggende hensikten er en prioritering og utvelgelse av risikoer som må håndteres. Det er begrenset hvor mange risikoreduserende tiltak et prosjekt kan gjennomføre samtidig på en forsvarlig måte. En kombinasjon av sannsynlighet og konsekvens gir oss et godt mål på hvilke risikoer som krever håndtering først.
Vurderingen som gjøres her er som nevnt en kvalitativ risikoanalyse som tar for seg hver enkelt risiko. I en tidlig fase av prosjektet, eller ved større endringer, vil det også være behov for å gjøre en kvantitativ risikoanalyse, bedre kjent som en usikkerhetsanalyse. Den kvantitative risikoanalysen er ikke opptatt av hver enkelt risiko, men prosjektets totale risikoeksponering og beregner den samlede risikoen i kr eller timer. Usikkerhetsanalysen brukes for å fastsette prosjektets budsjett, inkludert behov for usikkerhetsavsetninger. Det er mest vanlig å kjøre usikkerhetsanalyser på kost, men det er også nyttig å gjennomføre usikkerhetsanalyser på tid. Usikkerhetsanalyser gjennomføres gjerne i regi av programmets økonom eller kontroller, med Risk Manager som bidragsyter for hendelsesusikkerhet. Det er også usikkerhetsanalyser som brukes av ekstern kvalitetssikrer i Finansdepartementets KS-regime, som Holte Consulting har lang erfaring med.
Håndtere risiko
Med identifiserte, registrerte og vurderte risikoer er det opp til prosjektorganisasjonen å velge de grep som skal til for å håndtere den totale risikoen i prosjektet. I neste og siste delartikkel vil vi gå nærmere inn på de siste aktivitetene i arbeidsprosessen for risikostyring, nemlig håndtering og rapportering av risiko.
Holte Consulting tilbyr prosjektrådgivning og ressurser med bred kompetanse innen forskjellige fagfelt. Vi tror at det å komme tett på våre kunder og bli en av dem skaper løsninger som kan vare.
