RUTINBESKRIVNING 1 (6) Skapat av (Efternamn, Förnamn, org) DokumentID Ev. ärendenummer Håkansson, Mats TDOK 2011:12 [Ärendenummer] Fastställt av Dokumentdatum Version Chef VO Investering 2011-04-01 1.0 Dokumenttitel Riskhantering i processen Investera och reinvestera transportsystemet 1 Syfte Syftet med denna rutin är att genom ett enhetligt arbetssätt för riskhantering skapa förutsättningar för samtliga projekt, delprojekt, distrikt och verksamhetsområdesledningar inom VO Investering och VO Stora projekt, att jobba med riskhantering som ett stöd för effektiv projektverksamhet inom ramen för processen Investera och reinvestera transportsystemet. Rutinen ska bidra till god hushållning med statens resurser och säkerställa att vi möter gällande krav på riskhantering och intern styrning och kontroll. 2 Omfattning Denna rutin gäller inom ramen för processen Investera och reinvestera transportsystemet vad avser styrning, genomförande och uppföljning av investeringsprojekt. Alla investeringsprojekt ska identifiera, analysera, utvärdera, behandla, följa upp, rapportera och överlämna alla sina risker enligt denna rutin. Alla aktiviteter för styrning och uppföljning rörande riskhantering i investeringsprojekt ska utgå från denna rutin. Rutinen riktar sig till all personal, intern och extern, som medverkar i och förväntas bidra till hanteringen av risker i investeringsprojekt. Rutinen omfattar hanteringen av risker i investeringsprojekt, undantaget så kallade Indexrelaterade risker, vilka hanteras i enlighet med separat rutin. 3 Definitioner och förkortningar Tillämpliga definitioner och förkortningar återfinns i Trafikverkets definitionslista samt TDOK 2010:18. 4 Ansvar och kompetens Ansvarig för processen investera och reinvestera transportsystemet godkänner denna rutin och fastställer erforderliga uppdateringar, med utgångspunkt i gällande Trafikverkets föreskrift samt strategi och styrande kriterier för riskhantering. Därefter beslutar respektive VO de verksamhetsområdesanpassade risk- och eskaleringskriterier som ska användas. Rutinen godkänns först efter samråd med chefen för Ekonomi och Styrning. Förändringsförslag som berör rutinen ska ställas till förvaltaren. Förvaltaren för processen Investera och reinvestera transportsystemet är ansvarig för att underhålla stödjande dokument samt tillgängliggöra adekvat utbildning till de personer som ska delta i riskhanteringsprocessen både i investeringsprojekt och i linjefunktioner för styrning och uppföljning av investeringsprojekt. Cheferna för Investering och Stora projekt är ansvariga för sitt verksamhetsområdes risker och samlade riskexponering samt att: denna rutin implementeras i samtliga investeringsprojekt personal som ska delta i riskhanteringsprocessen har en adekvat utbildning
RUTINBESKRIVNING 2 (6) Skapat av (Efternamn, Förnamn, org) DokumentID Ev. ärendenummer Håkansson, Mats TDOK 2011:12 [Ärendenummer] Fastställt av Dokumentdatum Version Chef VO Investering 2011-04-01 1.0 Dokumenttitel Riskhantering i processen Investera och reinvestera transportsystemet chefer och projektledare inom verksamhetsområdet delges omvärlds- och verksamhetsrisker identifierade på verksamhetsområdesnivå chefer och projektledare inkluderar riskhantering i uppdragsspecifikationer och projektrevisioner risker som rapporteras från chefer och projektledare, aggregeras på verksamhetsområdesnivå, följs upp och vid behov rapporteras vidare till högre nivå enligt ordinarie rutiner. Projektchef/projektledare samt ansvariga chefer i linjen är ansvariga för sitt distrikts/projekts risker och samlade riskexponering samt att: etablera och underhålla en riskhanteringsprocess engagera interna intressenter samt entreprenörer och andra externa parter på lämpligt vis i riskhanteringsprocessen fortlöpande identifiera risker kopplade till distriktet/projektet risker tilldelas riskägare risker fortlöpande analyseras, utvärderas, behandlas, följs upp och rapporteras 5 Ingående aktiviteter/uppgifter Trafikverkets riskhantering regleras i TDOK 2010:18 Trafikverkets interna föreskrifter om riskhantering samt TDOK 2010:163 Trafikverkets strategi och styrande kriterier för intern styrning och kontroll samt riskhantering. Den gemensamma Riskhanteringsprocessen inom Trafikverket följer ISO-standarden 31 000:2009 Riskhantering principer och riktlinjer. Riskhanteringen inom aktuella investeringsprojekt ska ske utifrån följande ramverk, se Figur 1. Figur 1. Ramverk för riskhantering i investeringsprojekten. Ramverket beskrivs i sin helhet nedan.
RUTINBESKRIVNING 3 (6) 5.1 Ingångsvärden Projektchefer/projektledare samt ansvariga chefer i linjen tillser att en riskhanteringsprocess etableras enligt denna rutin och på ett sådant vis att riskhantering och riskidentifiering utgör en stående punkt på agendan vid start-, bygg-, projekterings-, samordnings- och projektuppföljningsmöten. Kriterier för beslutsfattande kring acceptans av riskexponering och vem som har vilket mandat att acceptera risker i det aktuella projektet ska fastställas av projektchef/projektledare samt ansvariga chefer i linjen i samband med etablering av riskhanteringsprocessen. Riskhanteringsprocessen ska dokumenteras i projektplan eller motsvarande av aktuell projektchef/projektledare samt ansvariga chefer i linjen. För en framgångsrik etablering av en riskhanteringsprocess på projektnivå bör projektet få ta del av följande information: uppdragsspecifikationer med krav på riskhantering enligt denna rutin och information om identifierade risker och eventuell successiv kalkyl i aktuellt uppdrag, identifierade omvärlds- och verksamhetsrisker, verksamhetsplaneringsanvisningar och beslut från ledningens genomgång, riskkriterier (se Bilaga 1), eskaleringskriterier, krav på riskhantering vid upphandling. Utöver detta bör projektet erhålla: riskhanteringsverktyg blanketter för rapportering av risker (Riskrapport och Risköverlämningsrapport) adekvat utbildning till de personer som ska delta i riskhanteringsprocessen både i investeringsprojekt och linjefunktioner för styrning och uppföljning. 5.2 Riskbedömning Riskbedömningen är den övergripande benämningen på de tre aktiviteterna riskidentifiering, riskanalys och riskutvärdering. För vissa sakfrågor eller för särskilda ändamål kan särskilda tekniker/metoder vara lämpliga att använda för riskidentifiering, - analys och -utvärdering. Oavsett vald teknik/metod ska följande krav uppfyllas. 5.2.1 Riskidentifiering De risker som identifieras ska beskrivas konkret och åtgärder ska kunna vidtas för att behandla dem. De risker som identifieras ska även vara unika. Med detta menas att de inte får överlappa varandra eller anges flera gånger. Identifierade risker och en bedömning av riskens orsak ska skrivas in i respektive riskregister (se Figur 1) och snarast efter identifiering tilldelas en riskägare. 5.2.2 Riskanalys Riskanalysen utgör underlag för den kommande riskutvärderingen (5.2.3) där det beslutas om huruvida risken kan accepteras eller måste behandlas. Analysen ska dokumenteras i riskregistret och innefatta åtminstone följande: En klassificering av risken i kategori En bedömning av perioden då risken är aktuell En bedömning av riskens konsekvens med avseende på tid, kostnad, innehåll enligt gällande riskkriterier (Bilaga 1) En bedömning av riskens sannolikhet enligt gällande riskkriterier (Bilaga 1)
RUTINBESKRIVNING 4 (6) Bedömning av sannolikhet och konsekvens ska göras av personer med lämplig kunskap och erfarenhet. Vid behov ska en bredare sökning av kunskap och erfarenheter utanför det enskilda projektet genomföras. De vidtagna åtgärder som minskar riskens sannolikhet och/eller konsekvens som eventuellt redan utförts ska tas med i bedömningen. 5.2.3 Riskutvärdering Samtliga risker ska utvärderas för att kunna ta beslut om de ska accepteras eller inte. Som underlag för utvärdering av kvalitativt bedömda risker används ett sammanvägt mått av riskens sannolikhet och konsekvens, riskprodukten. Varje risk får en riskprodukt för varje innehållskonsekvens (funktion, hälsa, miljö samt kund och varumärke) samt tidskonsekvens. Riskutvärderingen ska göras i enlighet med de kriterier som projektchef/projektledare samt ansvariga chefer i linjen beslutat om. Detta är grunden till vilka organisatoriska nivåer som kan besluta om ett en risk ska accepteras eller ej. Risker som inte accepteras ska behandlas eller lyftas till högre nivå. Risker som accepteras ska följas upp under den period risken är aktuell. 5.3 Riskbehandling Risker som inte accepteras ska behandlas. De övergripande alternativen för riskbehandlingen är: undvikas förebyggas begränsas överföras. En plan för aktuell riskbehandling ska dokumenteras i riskregistret och/eller i en separat riskbehandlingsplan i det fall behandlingen är mer omfattande eller komplicerad. Riskbehandlingsplanen ska beskriva hur riskens konsekvens och/eller sannolikhet ska minskas tillräckligt mycket för att den ska kunna accepteras. Varje riskbehandlingsplan ska ha en utsedd resurs som tillser att planen genomförs och följs upp. Förslag till riskbehandling ska betraktas som möjligheter och beslut om genomförande tas. Beslut om behandling dokumenteras i riskregistret och i aktuella fall i den separata riskbehandlingsplanen. 5.4 Riskuppföljning och kommunikation Riskägare ska fortlöpande följa upp tilldelade risker med avseende på pågående riskbehandling och förändringar i genomförd riskbedömning. Förändringar dokumenteras i riskregistret liksom eventuellt uppkommet behov av att lyfta information om risker till högre nivåer. Projektchef/projektledare samt ansvariga chefer i linjen ska fortlöpande följa upp resultatet av riskhanteringsprocessen. Mot bakgrund av denna uppföljning fattas beslut om eventuell vidare behandling av risk och kommunikation med högre nivåer. Information om risker vars sannolikhet/konsekvens eller behandling bedöms vara av intresse för beställare, mottagare av investeringsprojekt eller annan intern/extern part ska även kommuniceras till dessa parter. Vidare följer projektchefen/projektledaren samt ansvariga chefer i linjen fortlöpande upp riskhanteringsarbetet som sådant och vidtar eventuella åtgärder för att underhålla riskhanteringsprocessen i distriktet/projektet. 5.4.1 Riskrapportering Som en del av den ordinarie uppföljningen ska riskrapporter sammanställas för delgivande i linjen. En riskrapport är ett underlag som sammanfattar och beskriver distriktets/projektets riskexponering. Riskrapporteringen följer ordinarie rapporteringsrutiner inom respektive verksamhetsområde på Trafikverket.
RUTINBESKRIVNING 5 (6) Riskrapporteringen är en del i den periodiska rapporteringen och utgör även en del i underlaget för prognosuppdateringar och avsättning av riskreserver. 5.4.2 Risköverlämning Vid projektavslut ska en risköverlämningsrapport upprättas och överlämnas till den part som tar vid. Risköverlämningsrapporten lämnas över enligt samma rutiner som ordinarie slutrapport. Denna risköverlämningsrapport utgör underlag för riskhanteringsarbetet för mottagande part. 6 Slutresultat och dokumentation Riskhanteringsarbetet ska i respektive investeringsprojekt och på samtliga ledningsnivåer ge: en samlad och uppdaterad bild av riskexponeringen (med avseende på tid, kostnad och innehåll enligt Bilaga 1) för vald tidsperiod en samlad och uppdaterad bild av riskkostnaden för vald tidsperiod underlag för beslut avseende vidare riskbehandling underlag för strategiska, taktiska och operativa verksamhetsbeslut underlag till Trafikverkets verksamhetsanalys. Arbetet ska även ha resulterat i följande dokumentation: ett uppdaterat riskregister riskrapporter riskbehandlingsplaner risköverlämningsrapporter. Följande dokument är relaterade till denna rutin: TDOK 2010:18 Trafikverkets interna föreskrifter om riskhantering, TDOK 2010:163 Trafikverkets strategi och styrande kriterier för intern styrning och kontroll samt riskhantering, Ordlista på Samarbetsportalen Riskrapport, Riskbehandlingsplan, Risköverlämningsrapport Manual för användning av riskhanteringsverktyget i processen Investera och reinvestera transportsystemet. Fastställd version Dokumentdatum Ändring Namn 1.0 2011-04-01 Dokument fastställt Håkan Jakobsson, PRr
RUTINBESKRIVNING 6 (6) Bilaga 1: Riskkriterier Riskkriterier