Risikostyring handler om å identifisere risiko og håndtere de som er viktige for prosjektet. Selv om vi er gode til å avdekke risiko, er vi ofte dårligere på å iverksette og gjennomføre tiltak – risikostyringens svake punkt.

Denne artikkelen bygger på serien Praktisk risikostyring og går nærmere inn på håndtering av prosjektrisiko. En vanlig feil er å forsøke å eliminere alle risikoer, noe som ikke er bærekraftig. Gjennom å vurdere sannsynlighet og konsekvens kan vi prioritere hvilke risikoer som krever tiltak og hvilke som kan aksepteres.

Oppslagsverk

Ord Definisjon
Risiko En usikker hendelse eller situasjon som, dersom den inntreffer, vil påvirke oppnåelse av mål, enten negativt (trussel) eller positivt (mulighet).
Trussel Risiko med negativ effekt.
Mulighet Risiko med positiv effekt.
Problem Inntruffet trussel, negativ effekt.
Gevinst Inntruffet mulighet, positiv effekt.
Usikkerhet En tilstand, også delvis, av mangel på informasjon knyttet til forståelse eller kunnskap.
Risikoappetitt Hvor mye risiko en organisasjon er villig til å akseptere.
Risikotoleranse Hvor mye restrisiko organisasjonen er villig til å bære etter risikohåndtering.
Restrisiko Forventet risiko etter at iverksatte og planlagte tiltak er gjennomført.

Hvordan vurdere risiko med hensyn på vår egen risikoakseptanse?

For å vurdere risiko ser vi på sannsynligheten for at noe skjer og hvor alvorlige konsekvensene kan bli. Dette vurderes ofte på en skala fra 1 til 5 og settes inn i en risikomatrise. Som regel er det slik at risikoer i røde områder krever tiltak, mens grønne ofte kan ignoreres. På denne måten danner risikomatrisen grunnlag for beslutninger om videre håndtering.

Likevel varierer organisasjoners praksis for risikoakseptanse. Noen setter grensen mellom gult og rødt, hvor røde risikoer alltid krever tiltak, gule vurderes individuelt, og grønne regnes som akseptable. Andre er mer fleksible og kan akseptere enkelte røde risikoer som utenfor egen kontroll, samtidig som enkelte grønne, som er enkle å håndtere, blir prioritert – såkalt «lavthengende frukt».

Organisasjonens risikoappetitt, enten risikovillig eller risikoavers, påvirkes ofte av kulturen i organisasjonen eller bransjen. En organisasjon i en bransje der liv og helse står på spill vil for eksempel ha lav toleranse for risiko, uttrykt gjennom risikotoleransegrenser på områdene tid, kost, kvalitet, omfang, omdømme og andre bransjespesifikke områder.

Hvordan håndtere risiko?

Før vi iverksetter tiltak for å håndtere risikoen, er det viktig å vurdere hvilken strategi som er mest hensiktsmessig. Det finnes flere måter å håndtere risiko på, avhengig av situasjonen.

Strategier for risikohåndtering

  1. Akseptere risikoen:
    1. Passiv aksept: Gjøre ingenting, og la risikoen være som den er. Hvis den inntreffer, håndteres konsekvensene da.
    2. Aktiv aksept: Forberede en beredskapsplan som kun iverksettes hvis risikohendelsen faktisk skjer.
  2. Overføre risikoen: Begrense konsekvensene ved å la noen andre ta ansvaret, for eksempel gjennom en kontrakt med en underleverandør, forsikring eller lignende avtaler.
  3. Unngå risikoen: Eliminere årsaken til risikoen ved å endre løsning, metode eller prosess slik at risikoen ikke lenger oppstår.
  4. Eskalere risikoen: Hvis risikoen er for stor eller kompleks til å håndteres på nåværende nivå, kan den løftes til en høyere ledelse eller et større prosjekt for å sikre nødvendig oppmerksomhet og ressurser.
  5. Redusere risikoen (mitigere): Gjennomføre tiltak som enten:
    1. Reduserer sannsynligheten for at risikoen inntreffer, eller
    2. Minimerer konsekvensene hvis risikoen skulle inntreffe.

På samme måte kan vi bruke lignende strategier for å håndtere muligheter:

  1. Akseptere muligheten: Være klar til å utnytte den hvis den oppstår, men ikke aktivt gjøre noe for å realisere den.
  2. Forkaste muligheten: Velge å ikke utnytte muligheten, for eksempel fordi den ikke passer inn i prosjektets mål.
  3. Dele muligheten: Samarbeide med andre om å utnytte en mulighet, hvis det ikke er mulig å gjøre det alene.
  4. Utnytte muligheten aktivt: Gjennomføre tiltak for å øke sannsynligheten for at muligheten oppstår eller maksimere konsekvensene av den.

To typer risikotiltak

Vi har to hovedtyper risikotiltak for trusler. Forebyggende tiltak gjennomføres før hendelsen og har til hensikt å redusere sannsynligheten, helst slik at risikoen aldri inntreffer. Dette gjøres ved å håndtere årsakene til risikoen.

Skadereduserende tiltak søker å redusere konsekvensen av risikoen dersom den inntreffer. Disse kan igangsettes før en eventuell hendelse, men har ikke effekt før etter at hendelsen har skjedd. Disse tiltakene er rettet mot konsekvensene av risikoen.

Bow-tie modell, med forebyggende og skadereduserende tiltak mot trusler.

En egen type skadereduserende tiltak for spesielt alvorlige risikoer er beredskapstiltak som planlegges og forberedes på forhånd, men igangsettes først når risikoen har inntruffet eller er ved å inntreffe.

På samme måte har vi to hovedtyper risikotiltak for muligheter. Mulighetsforbedrende tiltak retter seg mot årsakene og forsøker å øke sannsynligheten for at muligheten kan bli virkelighet. Effektutnyttende tiltak søker å øke gevinsten når muligheten blir noe av.

Bow-tie modell, med mulighetsforbedrende og effektutnyttende tiltak for muligheter.

For både trusler og muligheter har vi tiltak før hendelsen som søker å påvirke sannsynligheten for at risikoen skal inntreffe, redusere sannsynligheten for trusler eller øke sannsynligheten for muligheter. Etter at risikoen har inntruffet har vi tiltak som påvirker konsekvensene av risikoen, redusere skaden av trusler eller øke gevinsten av muligheter.

Sekundærrisiko er en risiko som er forårsaket av gjennomføringen av et tiltak. Et banalt eksempel kan være at du måker innkjørselen (tiltak) for at bilen ikke skal sette seg fast i snøen (risiko). Dette tiltaket medfører en fare for å få vondt i ryggen av snømåkingen (sekundærrisiko). Når tiltak skal planlegges må det derfor tas høyde for mulige sekundærrisikoer. Hvis sekundærrisikoen er større enn den opprinnelige risikoen bør tiltaket selvfølgelig ikke gjennomføres.

Risikotiltak: Fra formulering til gjennomføring og oppfølging

Formulering av tiltak

Tiltak mot risiko bør beskrives tydelig og målrettet. Hvert tiltak defineres som en konkret oppgave, tildelt en ansvarlig person, med en klar tidsfrist. Samtidig må tiltakets effekt på risiko vurderes: Reduserer det sannsynligheten for en trussel? Øker det sannsynligheten for en mulighet? Reduseres konsekvensen av en uønsket hendelse, eller forsterker konsekvensen av en mulighet? Hvilke prosjektmål skal et skadereduserende tiltak håndtere? Et effektivt format for å formulere tiltak er:

«[Oppgave som skal utføres] slik at [ønsket effekt på risikoen oppnås].»

Risikoeier utpeker en tiltaksansvarlig som skal sørge for gjennomføringen. Selv om tiltaksansvarlig ikke nødvendigvis utfører oppgaven selv, er de ansvarlige for å iverksette tiltaket og følge opp fremdriften. En realistisk tidsfrist avtales, og dette tidspunktet angir ofte når risikoen forventes redusert eller fjernet, for eksempel ved å gå ut av rød sone.

Gjennomføring av tiltak

Tiltak bør i størst mulig grad gjennomføres med egne ressurser innenfor prosjektets eller programmets mandat. Erfaring viser at å overlate tiltak til andre enheter kan føre til forsinkelser, da disse naturligvis prioriterer egne oppgaver. Dersom årsaken til risikoen ligger utenfor prosjektets kontroll, bør det identifiseres hva prosjektet selv kan bidra med for å løse problemet. Alternativt kan risikoen eskaleres til et nivå som har myndighet til å håndtere den, forutsatt at en effektiv eskaleringsprosess er på plass.

Oppfølging av tiltak

Oppfølging av tiltak bør skje samtidig som oppfølgingen av risikoene. Dette inkluderer å evaluere fremdriften i oppgaven, måle tiltakets effekt på risikoen og vurdere om sannsynlighet eller konsekvens har endret seg. For vedvarende risikoer kan status quo være et akseptabelt resultat hvis trusselen ikke har forverret seg.

Oppfølgingen dokumenteres i en logg som inkluderer:

  • Dato for oppfølging
  • Fremdrift i arbeidet
  • Effekt på risikoen

Ved systematisk oppfølging sikrer man at tiltakene gir ønsket effekt og tilpasses dynamikken i risikoen.

Risikomatrise som viser forventet restrisiko etter tiltak

Avgrensede og forholdsmessige tiltak

Tiltakene behøver ikke være altomfattende fra starten av. I stedet kan mindre, konkrete tiltak iverksettes raskt for å redusere risikoen gradvis. Når de første tiltakene viser resultater, kan de suppleres med flere for å løse risikoen mer langsiktig. Dette er særlig nyttig for komplekse eller aggregert risiko på program- eller porteføljenivå.

Videre må tiltakene stå i forhold til risikoen de skal håndtere. Det er viktig å vurdere kostnadene ved tiltakene opp mot de potensielle konsekvensene av risikoen. For risikoer med svært alvorlige konsekvenser kan tiltakene kreve betydelig ressurser og høyere godkjenningsnivå før de kan implementeres.

Tiltak for å håndtere konsekvenser

Når risikoen allerede har materialisert seg, er det nødvendig å håndtere konsekvensene. Tiltakene bør fokusere på de prosjektmålene som er mest berørt, for eksempel:

  • Tid: Tiltak som reduserer forsinkelsens omfang.
  • Kostnad: Tiltak som minimerer økonomisk tap eller gir besparelser.
  • Kvalitet og omfang: Tiltak som sikrer at prosjektets leveranser oppfyller kravene.

Ved å prioritere tiltak der risikoen treffer hardest, oppnår man best effekt for ressursene som brukes.

Forberedelser gjennom beredskapsplaner

For spesielt alvorlige risikoer kan det være nødvendig å forberede seg på at risikoen kan inntreffe til tross for forebyggende tiltak. En beredskapsplan består av:

  • Tiltakskort: Detaljerte aktiviteter og ansvarlige for forutsette hendelser.
  • Krisestab: En prosedyre og organisering for å håndtere uforutsette hendelser.

Beredskapsplanen aktiveres når risikoen er i ferd med eller faktisk har inntruffet. Den sikrer rask respons og reduserer skadeomfanget.

Tiltak skal redusere trusler og øke muligheter, avverge problemer og oppnå gevinster. Dette er hensikten med risikostyring, intet mindre. Vi kartlegger risiko fordi vi ønsker å gjøre noe med dem.

 

Denne artikkelen er basert på mine erfaringer som Risk Manager i store offentlige IKT-prosjekter: Program for landsdekkende utbygging av Nødnett i DNK/DSB, Program for nye pass og nasjonale ID-kort i Politidirektoratet, og Program STIM og samlet portefølje i Sykehuspartner HF.

Annet fagstoff på risikostyring i denne teksten er tatt fra David Hillson and Ruth Murray-Webster, A Short Guide to Risk Appetite, Gower 2012 og ISO 31073:2022 Terminology.