Når jeg bistår prosjektledere i deres arbeid med risikostyring er det jeg oftest får spørsmål om knyttet til formulering av risiko slik at lesere av risikorapporten forstår utfordringen prosjektet står overfor. Linjeledere sliter kanskje enda mer med å finne gode formuleringer for sine avdelings- eller seksjonsrisikoer, ettersom deres risikobilde er mer statisk enn i prosjektene og gir derfor mindre øvelse i formulering av nye risikoer. Denne artikkelen bygger på artikkelserien om Praktisk risikostyring og ser nærmere på hvordan formulere en beskrivelse av risiko som kan brukes i rapportering.

Prosjektleder bruker risikorapporten til å informere og involvere sine foresatte om følgende forhold:

  • Hvor er prosjektet? Hva er risikosituasjonen for prosjektet? Hva har endret seg siden sist?
  • Hvorfor er dette viktig? Hva er mulige konsekvenser for prosjektet og virksomheten?
  • Hva gjør vi med det? Hvilke planer har vi for å redusere trusler og utnytte muligheter? Hvordan forventes det at ledelsen bidrar?

Hensikten med risikobeskrivelsen av hver enkelt risiko som brukes i denne rapporteringen er å formidle:

  • Situasjonsforståelse
  • Vurdering av potensiell alvorlighetsgrad
  • Effekten på prosjektet dersom risikoen inntreffer, hvilket også begrunner alvorlighetsgraden og danner beslutningsgrunnlag for tiltak
  • Og hvilke tiltak har vi iverksatt eller planlagt for å håndtere risikoen.

Denne informasjonen skal kombineres i helst bare én setning som ikke må ta for mye plass fordi den skal inn i listen med risikoer som igjen skal få plass på én rapportside ved siden av risikomatrisen. For å sikre denne oversikten må antallet risikoer som inngår i rapporten også begrenses. – Å skrive gode risikobeskrivelser er en av de mer krevende oppgavene innen risikostyring.

Registrering av risiko

Før vi kan formulere risikoen for rapportering trenger vi å samle nærmere informasjon om risikoen, gjerne i et risikoregister. Risiko registreres alltid 3-delt:

  • Risikohendelse, hva er det som kan skje?
  • Årsaker, hvilke andre hendelser eller situasjoner kan forårsake denne risikoen?
  • Konsekvenser, dersom risikoen inntreffer, hvordan vil det påvirke oppnåelse av prosjektets målsetninger?

Hver risiko registreres med hendelse, årsaker og konsekvenser

Valget av risikohendelse kan være vanskelig. Enhver hendelse er en konsekvens av andre hendelser og samtidig en årsak til nye hendelser i en lang årsak-virkning-kjede. Valget av hendelse i kjeden bør være tettest mulig koblet til prosjektets evne til å nå sine mål og helst en hendelse som prosjektet kan gjøre noe med, selv om det ikke alltid er mulig.  Årsaks­beskrivelsene brukes både til å vurdere sannsynlighetsverdien, men også til å planlegge risikoforebyggende tiltak som nettopp adresserer årsakene. På samme måte brukes konsekvensbeskrivelsene både til å vurdere konsekvensverdien og identifisere skadereduserende tiltak som rettes mot utvalgte konsekvenser.

Vurdering av sannsynlighet og konsekvens

Når vi har beskrevet risikoen 3-delt i risikoregisteret gjør vi en kvalitativ risikoanalyse og vurderer risikoens alvorlighetsgrad ved dens sannsynlighet for å inntreffe og konsekvens dersom den inntreffer. Vurderingene av sannsynlighet og konsekvens gjøres vanligvis på definerte skalaer fra 1 til 5.

Sannsynlighetsverdi fastsettes basert på en samlet vurdering av alle kjente årsaker til risikoen. I denne vurderingen vil det være noen årsaker som veier tyngre enn andre.

Sannsynlighetsverdi er basert på en helhetsvurdering av alle kjente årsaker

Konsekvensverdi, derimot, fastsettes basert på det prosjektmålet som treffes hardest av risikoen. Hvis, for eksempel, det er konsekvensen for tid som er mest alvorlig er det denne konsekvensen som er dimensjonerende for fastsettelse av konsekvensverdien. Denne konsekvensen får vi bruk for når vi senere skal formulere en risikobeskrivelse.

Konsekvensverdi baseres på den mest alvorlige konsekvensen, her Tid

Format for rapportering av risiko

Vi har nå beskrevet og vurdert risikoen, men informasjonen er så langt lite egnet til rapportering. I en risikorapport ønsker vi å få frem hvor alvorlig risikoen er, hva det er som kan skje og hvor den treffer oss, hvis den inntreffer. Samtidig ønsker prosjektleder at risikoen beskrives slik at den motiverer alle som leser rapporten til å bidra til å håndtere risikoen.

Definisjonen av risiko er en usikker hendelse eller situasjon som, dersom den inntreffer, vil påvirke oppnåelse av mål. Det er derfor to kriterier for at en hendelse eller situasjon er en risiko. For det første må det være usikkerhet (dvs. mindre enn 100% sannsynlig) om hendelsen vil inntreffe eller situasjonen vil oppstå. Dersom den inntreffer, må den påvirke oppnåelsen av vedtatte mål for prosjektet. Hvis ikke, er det ikke en risiko – pr. definisjon. Hvis vi vet at det vil skje (100% sannsynlig) har vi et problem (issue), ikke en risiko.

Risikoenes alvorlighetsgrad synliggjøres ved plasseringen i risikomatrisen. Ved siden av matrisen beskrives alle risikoene i matrisen. Det er formuleringen av denne beskrivelsen vi er ute etter.

Risikoens plassering i matrisen viser alvorlighetsgrad

Risiko er en potensiell, fremtidig hendelse, ikke fakta eller observasjon. Det er usikkerhet om hendelsen vil inntreffe, det kan være at det ikke skjer. Det må derfor gå frem av formuleringen hva det er knyttet usikkerhet til. Dette gjøres typisk med begreper som:

  • Det er en risiko for at <hendelse> …. – eller bare Risiko for <hendelse> …
  • Hvis <situasjon> oppstår …
  • Dersom <hendelse> …
  • Mangelfull/manglende <forutsetning> …
  • Hvis <mulighet> …

Dernest må vi få frem hva effekten er for prosjektet dersom risikoen inntreffer. Konsekvensen av risikoen synliggjør vi i formuleringen med et betinget uttrykk som:

  • … kan føre til <konsekvens>.
  • … kan medføre <konsekvens>.
  • … kan innebære <effekt>.
  • … kan påvirke <målsetning>.
  • … kan utløse <gevinst>.

Konsekvensen beskrives betinget fordi dette er noe som kan skje, eller kanskje ikke. Det er alltid usikkerhet knyttet til om en risiko vil inntreffe eller ikke.

Når vi skal velge hvilken konsekvens vi skal bruke i rapporteringen får vi nå behov for vurderingene av konsekvensen for de ulike prosjektmålene over. Vi velger den konsekvensen som treffer prosjektet hardest, en worst case-betraktning. I eksemplet over er det prosjektmålet Tid som har den mest alvorlige konsekvensen. Vi beskriver da konsekvensen for tid i vår formulering av risikoen.

Vi velger den mest alvorlige konsekvensen slik at lesere av risikorapporten vil gjenkjenne konsekvensen, anerkjenne alvorlighetsgraden av risikoen for prosjektet og ser viktigheten av å iverksette effektive tiltak.

Formatet for anbefalt risikoformulering blir da:

  • Det er en risiko for at <hendelse> kan føre til <mest alvorlig konsekvens>.
  • Hvis <mulighet> kan det utløse <viktigst gevinst>.

Antallet risikoer i rapporten

Hvor mange risikoer skal det rapporteres på? Her er det ikke et fasitsvar, men en avveining mellom oversikt, detaljer, prosjektets risikobilde og avsatt tid til risiko i rapporteringsmøtet. Det er ønskelig å kunne samle risikorapporten på én side for å gi en god oversikt. Hvor mange risikoer klarer rapporteringsmøtet å forholde seg til? I et vanlig rapporteringsmøte er det neppe tid til å bearbeide mer enn 5, maks 10, risikoer. Husk at risikoregisteret ivaretar regnskapet med disse og alle de andre risikoene som ikke rapporteres; risikoene blir ikke borte selv om de ikke rapporteres. Vanligvis rapporteres de mest alvorlige risikoene, men det kan også være andre risikoer som skal få oppmerksomhet, f.eks. nye risikoer som styringsgruppen bør kjenne til.

Hvem leser risikorapporten?

Risikorapporten inngår gjerne som en del av prosjektets månedlige statusrapport og rapporteres typisk til prosjekteier, prosjektets styringsgruppe, programledelse, porteføljestyre og for større prosjekter til virksomhetens ledelse og styre. Selv om disse gruppene har ulike forutsetninger for å lese rapporten er det en målsetning om å gjenbruke samme risikorapport i alle fora, basert på prinsippet om «single truth»-rapportering. Risikorapporten er et vindu inn til prosjektets indre liv og gir et uhildet innblikk i prosjektets operative situasjon og gjennomføringsevne. Dette viser risikoeksponeringen i prosjektet og hva man har tenkt å gjøre med det, men bidrar også til en generell bevisstgjøring av risiko i virksomheten som helhet. Prosjektleder, gjerne i samarbeid med Risk Manager, må derfor også tenke pedagogisk når risikorapporter skal utformes for å utvikle foresattes risikoforståelse.

Risikorapportens oppgave er å informere og involvere ledelsen om prosjektets trusler og muligheter:

  1. Hvor er prosjektet? Hvilke endringer og trender påvirker prosjektet?
  2. Hvorfor er dette viktig? Hvordan påvirker disse endringene prosjektets evne til å nå målene?
  3. Hva planlegger prosjektet å gjøre med det?

Se Samuel Owolabi’s innlegg på LinkedIn for en anbefaling av innholdet i en god Board Risk Report.

Lagring av risikobeskrivelsen

Hvor lagres risikobeskrivelsen i risikoregisteret? De fleste risikoregistre har tekstfelter for risikohendelse, årsaker og konsekvenser, men ikke alltid et eget tekstfelt for en risikobeskrivelse som kan brukes i rapportering. Det er da min praksis å bruke hendelsesfeltet til en full risikobeskrivelse inkludert utvalgt konsekvens.

Et banalt eksempel

Det er januar og vi planlegger hyttetur til helgen, men det er meldt om mye snø og den siste veistumpen er ikke alltid brøytet. Det er derfor en risiko knyttet til fremkommelighet med bil til hytta.

Risikohendelse:

  • Bilen kan sette seg fast i snøen.

Årsaksbeskrivelse:

  • Værmeldingen varsler om mye snø på fredag.
  • Brøytingen av veien opp til hytta er ikke alltid prioritert i kommunen.

Konsekvensbeskrivelse:

  • Vi kommer sent frem til hytta.
  • Det blir kaldt å vente i bilen.

Sannsynlighetsverdi:

  • 5 – Svært stor sannsynlighet.

Konsekvensverdi:

  • 3 – Moderat konsekvens.

Tiltak:

  1. Skifte til vinterhjul før helgen. Reduserer sannsynlighet.
  2. Ta med spade. Reduserer konsekvens og sannsynlighet for restrisiko.
  3. Ta med varme klær og varm kakao. Reduserer konsekvens.
  4. Finne frem telefonnummer til nabo med traktor. Beredskapstiltak.

Restrisiko (forventet risiko etter tiltak):

  • Sannsynlighet 3 og konsekvens 3.

Risikobeskrivelse:

  • Det er en risiko for at bilen setter seg fast i snøen, kan føre til forsinket ankomst til hytta.

Risikorapport:

Risikorapporten får frem mulig hendelse, utvalgt konsekvens, planlagte tiltak og alvorlighetsgrad, samt forventet restrisiko etter tiltak

Konklusjon

Risikorapportering handler om kommunikasjon og er prosjektleders verktøy for dialog med sine foresatte, herunder prosjekteier, styringsgruppe eller programledelse. Som i all kommunikasjon må budskapet tilpasses mottaker, både i innhold (formulering) og omfang (antall risikoer). Det er derfor viktig å formulere risikoene på en slik måte og på et nivå som gjør at mottakerne av rapporten forstår risikoen, kjenner seg igjen i beskrivelsen, er enig i vurderingen av alvorlighetsgrad, innser behovet for tiltak og eventuelt godkjenner og støtter tiltak som krever deres myndighet for å iverksette.

Den siste anbefalingen i denne artikkelen går derfor på å sjekke at risikorapporten treffer mål hos mottakerne av rapporten og være forberedt på å tilpasse antall og beskrivelser for å sikre at budskapet når hjem.

Lykke til med risikorapporteringen!

Tags: