I forrige delartikkel så vi på arbeidsprosessene som omhandler å identifisere og vurdere risiko. Første delartikkel tok for seg bakgrunnen for hvorfor vi jobber med risikostyring. I denne delartikkelen ser vi på de siste arbeidsprosessene, som omhandler håndtering og rapportering av risiko.
Del 2: Identifisere og vurdere
Med identifiserte, registrerte og vurderte risikoer er det opp til prosjektorganisasjonen å velge de grep som skal til for å håndtere den totale risikoen i prosjektet.
Håndtere risiko
Når vi har vurdert sannsynlighet og konsekvens for alle prosjektets risikoer kan vi måle disse opp mot prosjektets eller organisasjonens risikoakseptansenivå. Det mest vanlige er at risikoakseptansenivået følger linjen mellom gul og rød sone i risikomatrisen. Risikoer i rød sone er ikke akseptable og må behandles, risikoer i gul sone må vurderes, mens grønne risikoer ikke krever tiltak. Selv om dette er utgangspunktet åpner de fleste organisasjoner for skjønnsmessige vurderinger og unntak. Det kan være røde risikoer som ligger utenfor prosjektets kontroll og som man må leve med, eller det kan være risiko som er en mulighet i en del av organisasjonen og en alvorlig trussel i en annen.
Vi er ofte ivrige etter å komme i gang med tiltak for å redusere risikoen, men det er et spørsmål som det er viktig å ta stilling til først: Hvilken strategi skal vi velge for å håndtere denne risikoen? Kanskje risikoen er til å leve med og vi kan akseptere risikoen, hvis det skjer så skjer det, gjerne hvis tiltakene vil koste mer enn konsekvensen av risikoen. Eller kanskje det er mulig å unngå risikoen ved å fjerne årsaken eller finne en annen løsning som ikke har samme risiko. Enkelte risikoer kan vi overføre eller kjøpe oss ut av, sette bort som et oppdrag eller kjøpe en forsikring hvor andre tar ansvaret for konsekvensene dersom risikoen inntreffer. Men den mest vanlige strategien er å redusere eller mitigere risikoen ved å iverksette risikoreduserende tiltak. I den siste tiden har en ny strategi også kommet med i verktøykassen, eskalere risikoen oppover i organisasjonen, gjerne til et nivå med fullmakter og budsjetter til å iverksette tyngre tiltak. Det finnes også de som velger å ignorere risiko, men det er selvsagt ikke innenfor.
Dersom mitigering er valgt har vi to typer risikotiltak. Vi starter gjerne med de forebyggende tiltakene som skal redusere sannsynligheten for at risikoen inntreffer. Forebyggende tiltak er rettet mot årsakene eller sårbarheten som kan føre til risikoen. For å sette inn tiltak mot rotårsaken til risikoen kan «5xHvorfor»-teknikken være nyttig. Hvis disse tiltakene ikke ser ut til å ha tilstrekkelig effekt bør det også settes inn skadereduserende tiltak for å redusere konsekvensene dersom risikoen inntreffer. Omfanget av tiltakene må være forholdsmessig til risikoen de skal redusere, slik at vi unngår å skyte spurv med kanoner. Summen av tiltakene skal være nødvendige, effektive og tilstrekkelige. Husk at det er mye lettere å gjennomføre tiltak i egne rekker enn utenfor.
Det er tilsvarende strategier for muligheter. Vi kan også her velge å akseptere muligheten, bruke den dersom situasjonen oppstår, eller ikke. Eller vi kan søke å forbedre muligheten ved å øke sannsynligheten. Aller størst positiv effekt får vi om vi klarer å utnytte muligheten ved å øke konsekvensen. Muligheter kan også deles ved å samarbeide med andre om å utnytte muligheten. Eller vi kan velge å forkaste muligheten ved å velge å ikke utnytte den.
Når en trussel inntreffer får vi et problem (issue) som vi prøver så langt som mulig å unngå, men når en mulighet inntreffer får vi en gevinst som vi gjerne vil ha så mange av og så store som mulig. Tilsvarende ønsker vi å redusere sannsynligheten for trusler og øke sannsynligheten for muligheter. I tillegg vil vi gjerne øke konsekvensen av muligheten/gevinsten for å oppnå størst mulig positiv effekt, altså å utnytte muligheten.
Som med risikotitlene som brukes i rapportering må også tiltakene ha en kortform som kan brukes ved siden av risikoen i risikorapportering. Tiltakene kan detaljeres ytterligere med ulike aktiviteter i tiltaksbeskrivelsen i risikoregisteret, men tiltakstittelen bør følge et fast format, for eksempel <Oppgave som skal gjøres> slik at <ønsket effekt på risikoen oppnås>. I tillegg bør rapporten inneholde tiltaksansvarlig, status og frist for tiltaket. Tiltak uten en som er ansvarlig for at tiltaket gjennomføres er verdiløst.
Noen organisasjoner ønsker at prosjektleder også rapporterer risikostatus etter tiltak. Dette er forventet restrisiko etter gjennomførte tiltak. Mange benytter anledningen til å plotte inn en pil til en fremtidig posisjon i matrisen der de gjerne ser at risikoen beveger seg til. Det er derfor nødvendig å understreke at vurderingen av sannsynlighetsverdi og konsekvensverdi etter tiltak bare kan være basert på effekten av igangsatte og godkjente, planlagte tiltak, og innen gjeldende frist for disse tiltakene. Det er ikke anledning til å ta andre ønsketiltak til inntekt for en redusert trussel eller økt mulighet. Jeg tror også det er på sin plass med en liten advarsel her; det er stor usikkerhet knyttet til disse vurderingene av fremtidig risikostatus. Effekten av tiltak er gjerne mindre og tar lengre tid enn man kunne ønsket seg.
Vi iverksetter vanligvis tiltak for å bevege risiko, spesielt rød risiko vil vi ha ut av rød sone. Men noen gjenstridige risikoer, gjerne i gul sone, kan ha aktive tiltak for å unngå at de forverres og går opp i rød sone. I disse tilfellene er vi fornøyd om tiltakene sørger for at vi beholder risikoen gul.
En effekt av gjennomføringen av tiltak kan være ny risiko, såkalt sekundærrisiko, som oppstår som følge av tiltakene. For litt større tiltak er dette ganske vanlig og tiltakene må måles opp mot den økte risikoen for prosjektet før de implementeres. Sekundærrisiko registreres som vanlig risiko i risikoregisteret og følges opp på vanlig måte.
Etter gjennomførte risikotiltak sitter vi igjen med en restrisiko. Hvis det ikke lenger er aktive tiltak er denne restrisikoen implisitt akseptert. Dersom denne restrisikoen fortsatt vurderes å ha alvorlig konsekvens må det vurderes å utarbeide en beredskapsplan. Det er gjerne risiko som ligger nede i høyre hjørne, beredskapshjørnet, av risikomatrisen som er kandidater til en beredskapsplan, altså risiko med lav sannsynlighet, men svært høy konsekvens, hvor det er mer kosteffektivt å planlegge beredskapstiltak enn å redusere risikoen ytterligere eller hvor konsekvensen ikke er akseptabel. En beredskapsplan inneholder planer for å håndtere både forutsette hendelser, men også forberedelser for ikke-forutsette hendelser. Håndtering av alle kjente situasjoner som kan oppstå beskrives på tiltakskort med ansvarlige for beredskapstiltaket. I tillegg beskriver beredskapsplanen en krisestab som kan kalles inn på kort varsel for å håndtere ikke-forutsette hendelser. Krisestaben har medlemmer for å løse et bredt spekter av tekniske problemstillinger og, minst like viktig, beslutningstagere som kan ta raske avgjørelser når tiden er kritisk.
Ved svært alvorlige risikoer planlegges gjerne også en reserveplan som iverksettes dersom beredskapsplanen ikke virker etter hensikten. Risiko knyttet til innføring av nye systemer i IKT-prosjekter har for eksempel gjerne en reserveplan som består av tiltak for å rulle tilbake til siste operative tilstand.
Følge opp risiko
Risiko er en dynamisk prosjektparameter som krever regelmessig oppfølging for å holdes oppdatert. I programmene som denne historien baserer seg på har det vært gjennomført månedlige Risk Reviews i alle underliggende prosjekter og på programnivå. Dette er et kort møte (ofte under 30 minutter) mellom Risk Manager for programmet, prosjektleder og eventuelle risikoansvarlige i prosjektet. Hensikten er oppfølging av eksisterende risiko, revurdering av dagens sannsynlighetsverdi og konsekvensverdi og måle fremdrift på tiltakene. Er tiltakene tilstrekkelige for å håndtere risikoen? Er det behov for nye tiltak? Er det identifisert ny risiko i perioden? Hvilke risikoer ønsker prosjektleder å fremheve i rapporteringen fra prosjektet?
Disse Risk Reviewene er motoren i risikostyringen som sørger for at tannhjulene i prosessen kontinuerlig går rundt.
Når risiko følges opp på flere nivåer i organisasjonen vil innholdet i Risk Reviews ha litt ulikt fokus. På programnivå ønsker vi å synliggjøre den totale risikoeksponeringen for programmet, i tillegg til hver enkelt programrisiko. Når risikostyring drøftes i Programkontoret (PMO) er det fokus på prosessen og kanskje litt ekstra oppmerksomhet på risiko knyttet til myke verdier i programmet, samarbeid og arbeidsforhold. Risikogjennomganger i prosjektene må sikre at iverksatte tiltak er effektive, klarer vi å ta ned risikoen? I prosjekter og spesielt delprosjekter fanger vi opp ny risiko, unngår overraskelser og sørger for at alle blir hørt.
Vurderingen av sannsynlighet kan variere ganske mye over tid, mens konsekvensen vanligvis endrer seg lite
For å kunne spore risiko over tid er det essensielt at en risikologg vedlikeholdes for hver aktive risiko i prosjektet. I hvert Risk Review oppdateres denne loggen med ny vurdering av sannsynlighet og konsekvens, en beskrivelse av status for risikoen og oppnådd effekt av tiltakene. Alle endringer i sannsynlighetsverdi eller konsekvensverdi må begrunnes med en forklaring som gjerne også blir etterspurt under rapporteringen. Vurderingen av sannsynlighet kan variere ganske mye over tid, mens konsekvensen vanligvis endrer seg lite. Det er nyttig om verktøyet gir mulighet for å organisere risikoregisteret slik at sannsynlighetsverdi og konsekvensverdi får egne kolonner i loggen. Denne loggen vil da vise hvordan risikoen har utviklet seg over tid for hvert Risk Review gjennom risikoens levetid, hvilket også gir en indikasjon på trenden som kan forventes fremover. Det gir også mulighet for varsling når for eksempel en risiko har stått i rød sone for lenge. Kanskje tiltakene ikke er tilstrekkelige?
På samme måte som med risikoene trenger hvert av tiltakene sin oppfølgingslogg for å spore fremdrift over tid. Har tiltaksansvarlig tatt på seg ansvaret for oppgaven? Har tiltaket hatt ønsket effekt på risikoen? Er det behov for ytterligere, kanskje tyngre tiltak? Holder fristen for tiltaket, eller er det behov for en utsettelse? En utsettelse av tiltaket vil i de fleste tilfeller også utsette ønsket reduksjon av risikoen.
Prosjektene følges opp gjennom Risk Reviews på faste månedlige tidspunkt, men av og til oppstår akutte, alvorlige risikoer som trenger umiddelbar behandling. Ved siden av prosjektets vanlige tiltakshåndtering er det mulig for Risk Manager å iverksette Red Risk Reviews. Når det oppstår en akutt risiko i rød sone hvor løsningen formodentlig befinner seg innen organisasjonen har Red Risk Review vist seg å være et effektivt virkemiddel, men altså ikke for risiko langt utenfor vår kontroll, som en pandemi. Red Risk Reviews innebærer meget tett oppfølging av detaljerte tiltak og avklaringer med tiltaksansvarlige fra de deler av organisasjonen hvor løsningen kan forventes å finnes. Møtene og tiltakene får mandat, prioritet og støtte fra programleder. Risk Manager kaller inn til ukentlige, prioriterte Red Risk Reviews hvor alle tiltaksansvarlige rapporterer fremdrift på sine tiltak, og nye detaljerte tiltak opprettes, inntil risikoen er ute av rød sone.
Risiko knyttes til prosjekter. Det er også nyttig å kunne koble risiko mot store milepæler, milepælsrisiko, dvs. risiko som påvirker passeringen av milepælen dersom den inntreffer, slik at det er mulig å følge opp risikosituasjonen når milepælen nærmer ser, på tvers av prosjektene om nødvendig. For viktige milepæler kan det være aktuelt å sette opp minimumskrav for å tillate passering, omtalt som risikoakseptansekrav. Et eksempel på bruk av slike risikoakseptansekrav var ved lanseringen av en ny nasjonal tjeneste til befolkningen. Før lanseringen ble det gjennomført et go/nogo-sjekkpunkt med et risikoakseptansekrav om at lanseringen ikke kan gjennomføres med milepælsrisiko i rød sone.
En rød risiko må oppfattes som en alarm og et rop om hjelp.
Når et prosjekt ikke makter å håndtere en risiko på egenhånd kan en løsning være å eskalere risikoen til neste nivå i prosjektaksen, fra delprosjekt til prosjekt, fra prosjekt til program eller fra program til virksomhet/portefølje. Ved en eskalering løftes risikoen opp i foresattes risikoportefølje og håndteres videre der med fullmakter og budsjetter til å sette inn kraftigere tiltak. En annen effekt av eskaleringen er at risikoen også blir synlig på nivået over og inngår i videre rapportering, hvilket i seg selv bidrar til å øke oppmerksomheten på problemstillingen som kanskje finner andre løsninger. Det er også mulig å eskalere en eskalert risiko videre til neste nivå, for eksempel fra delprosjekt via prosjekt til program, for å løfte saken «til topps».
Som et ledd i oppfølgingen av risikoene må det også tas stilling til om det fortsatt er «liv laga» for prosjektet i en go/nogo-vurdering. Hvis prosjektet står overfor risiko som gjør at det ikke kan nå målene sine skal terminering av prosjektet vurderes. Eller hvis kostnadene med å håndtere risikoen er større enn verdien av prosjektet. Alternativt må rammebetingelsene for prosjektet reforhandles gjennom en formell endringshåndtering. Risikostyring skal bidra til at prosjektet til enhver tid har levelige rammevilkår ved at veien er ryddet og målene er innen rekkevidde.
Verktøyet som brukes for å holde regnskap med risikoene i prosjektet er risikoregisteret. Innenfor programkontoret, eller PMO, hevder vi ofte at det er prosessene som er viktige, vi tilpasser oss bare de verktøyene som vi har tilgjengelige. Det er ikke før funksjonalitet mangler at vi savner det. Slik er det med risikoverktøy også. De fleste verktøy jeg har erfaring med er best på registrering av risiko – én gang! Men som jeg håper det går frem av denne artikkelen så er det den regelmessige oppfølgingen av risiko med tilhørende tiltak som utgjør det meste av risikoarbeidet i prosjekter. Dette forutsetter at risikoregisteret også støtter registrering av mange daterte Risk Reviews med vurdering av restrisiko, endringer i sannsynlighetsverdi og konsekvensverdi med begrunnelser, nye årsaker og konsekvenser og ikke minst registrering av flere tiltak med tiltaksansvarlige, status, frister og ny fremdrift for hvert oppfølgingsmøte. Samlingen av denne informasjonen setter ganske store krav til verktøyet som skal forvalte risikoregisteret, og inneholder flere dimensjoner enn det som egner seg for et regneark. I tillegg er det sterkt ønskelig at verktøyet kan produsere rapporter som matcher organisasjonens krav til rapportering, herunder utvalgte risikoer plottet i en grafisk risikomatrise.
En aktivitetsplan tar hensyn til at risiko følges opp og rapporteres bottom-up. Vi starter med Risk Review av delprosjektene, risikorapporten derfra inngår i delprosjektleders statusrapport. Prosjektleder har fått alle delprosjektenes statusrapport med risiko før Risk Review i prosjektet. På samme måte inngår risikorapporten fra prosjektets Risk Review i prosjektleders statusrapport til programledelse, prosjekteier og styringsgruppe. Når alle prosjektene har rapportert kan programmet gjennomføre sitt Risk Review før videre rapportering fra programmet til programeier, programstyringsgruppe og andre foresatte. Denne syklusen gjentas på faste dager (så langt som mulig) hver måned og planlegges minst et halvt år frem i tid.
De fleste prosjekter har flere risikoer enn det er formålstjenlig å rapportere på. Det handler om fokus hos målgruppen for rapporten, (ser ikke skogen for bare trær). Hva bør ledelsen gjøres oppmerksom på? Når jeg blir spurt vil jeg anbefale å rapportere Topp-5 risikoer, men det kan være situasjoner hvor det er nødvendig med flere. Vanligvis er det de mest alvorlige risikoene som rapporteres, men igjen kan det være gode grunner til å løfte frem en mindre alvorlig risiko, kanskje en nykommer med ukjent skadepotensiale. Det handler om å få oppmerksomhet på en utfordring som prosjektet står overfor. En rød risiko må oppfattes som en alarm og et rop om hjelp.
Risk Manager fasiliterer Risk Reviews og bistår prosjektleders utarbeidelse av risikorapporter, men rapporterer også selv på risikostyringsprosessen og alvorlige trusler. Risk Manager er ansvarlig for å varsle programleder umiddelbart når en alvorlig risiko som truer programmets hovedmål oppdages, når toleransegrenser brytes eller forhåndsdefinerte kriterier inntreffer, for eksempel: Varsle ved ny risiko med sannsynlighetsverdi 4 eller 5 og konsekvensverdi 5. Rapportere risiko som står i rød sone mer enn 4 uker. Rapportere risiko som er besluttet mitigert, men mangler virksomme tiltak. Rapportere prosjekter hvor risikobildet ikke endrer seg eller prosjektleder ikke medvirker. Rapportere inntrufne hendelser som ikke har vært identifisert som risiko først, hvilket indikerer at vi har et hull i garnet.
Min beste praksis
I de tre delartiklene har jeg presentert min beste praksis fra arbeid med risikostyring basert på erfaring fra tre store offentlige prosjekter. Jeg håper dette kan komme til nytte for flere som jobber med risikostyring.
Tusen takk til mine dyktige kollegaer i Program Nødnett, Program NPID og Program STIM! Alle mine ferdigheter i risikostyring har jeg lært fra samarbeidet med dere. Innholdet i artikkelen står for min regning.
- Nødnett – Program for landsdekkende utbygging av Nødnett, Direktoratet for nødkommunikasjon (DNK), nå en del av Direktoratet for samfunnssikkerhet og beredskap (DSB).
- NPID – Program Nye Pass og nasjonalt ID-kort i Politidirektoratet.
- STIM – Program Standardisering og IKT-infrastrukturmodernisering i Sykehuspartner helseforetak i Helse Sør-Øst RHF.