KAMP Företagsutveckling

KAMP Företagsutveckling

2 Innehållsförteckning Allmänt... 3 De olika stegen vid riskanalys... 4 Sannolikhets-/påverkan-matrisen eller Rolf Johnsson-modellen... 7 Influensdiagram vid riskanalys... 9 Exempel: Riskanalys för Företag X... 12 Exempel: Riskanalys på projekt... 17 Internetadresser för riskhantering... 20

3 Riskanalys Allmänt Att arbeta med riskanalys är att vara förberedd på vad som skulle kunna tänkas hända för hela eller delar av verksamheten eller för specifika uppgifter, exempelvis ett projekt. Varje organisation skall ta fram en strategi för riskhantering, för såväl organisationen som för projektverksamheten. I denna strategi skall anges hur ofta riskanalys skall göras och vilka verktyg eller metoder som skall användas. Här skall även anges vem som är ansvarig för riskanalysen inom organisationen och hur ett riskregister skall byggas upp. Riskanalysens två parametrar Oavsett vilken metod som används vid riskanalysen, är det två huvudparametrar som skall bedömas sannolikhet och påverkan. Sannolikheten att en viss risk inträffar samt påverkan på verksamheten eller projektet om risken inträffar (oavsett vilken sannolikhetsbedömning som gjordes). Vilka bör deltaga Oavsett vem eller vilka som är med vid en riskanalys så brukar jag säga att ett lämpligt antal är mellan fyra och tio personer. Det kan fungera även om man är färre än fyra (man kan naturligtvis göra riskanalys ensam) men sannolikheten att då missa något är ganska stor. Rent praktiskt bör man inte vara mer än tio. Det kan vara svårt att hålla ihop ett så stort antal. Ansvarig för verksamheten / projektet bör ingå, samt representanter inom olika delar som berörs av riskanalysen. Blanda chefer, mellanchefer och medarbetare med specialkompetens för att kunna belysa olika delar. Riskmedvetande Riskanalyser skall planeras in i förväg, både för verksamheten och för olika projekt. Dessa inplanerade, strukturerade riskanalyser kan inte på något sätt ersätta vanligt risktänkande. Det skall inte vara så att om någon upptäcker något som kan gå snett en risk så skall vi vänta med bedömning av denna till nästa inplanerade riskanalys Hur ofta skall riskanalys genomföras? På löpande verksamhet bör riskanalys göras minst en gång per år. På nya verksamheter bör det ske dels innan verksamheten påbörjas och dels någon eller några gånger det första halvåret. För projekt gäller att den första riskanalysen skall göras i förberedande fas på dokumentet Projektdefinition. Därefter skall riskanalys göras varannan till var tredje månad i projektets genomförandefas.

4 De olika stegen vid riskanalys Varje riskanalys består av i princip fyra olika steg: 1 Identifiering 1 Identifiering av risker 2 Värdering av dessa 3 Prioritering (vilka risker skall vi jobba med nu) 4 Att ta fram handlingsplaner (om risken inträffar, längre fram, trots det jag har gjort nu) Här gäller det att göra en risklista. En lista över alla de risker som skulle kunna tänkas inträffa som också kan påverka verksamheten / projektet. I detta steg skall ingen värdering ske, inga kommentarer av typen Haha, det där spelar väl ingen roll eller Det där kommer ju inte att inträffa. Det enda kravet jag brukar ställa är att riskerna måste realistiska. Vi tar inte med risken att jordbävning inträffar i Sverige eller att alla i projektet blir långtidssjuka. Naturligtvis skulle dessa risker kunna inträffa och då med en förmodligen katastrofal påverkan, men sannolikheten att dessa skulle inträffa är så mikroskopiskt liten. För att underlätta arbetet med att identifiera riskerna, kan man mycket väl utnyttja olika typer av checklistor. Dessa kan vara generella (finns exempel på Internet) eller specifika för den egna verksamheten. Det finns mycket som kan fungera som utgångsmaterial för att identifiera risker. Det kan vara ett organisationsschema, en verksamhetsbeskrivning, en projektdefinition eller andra typer av dokument. Man kan också använda sig av sk brainstorming, där man spånar fram olika risker. Oavsett vilken eller vilka underlag som används så skall resultatet av detta steg alltid var en förteckning över de risker som kan inträffa. Det går naturligtvis inte att fastställa antalet risker som skall identifieras, men om man landar på fem identifierade risker har man nog lagt sig på en för hög och generell nivå. Om man identifierar 300 risker har man med största sannolikhet varit för detaljerad. Normalt brukar en riskanalys på ett projekt landa på mellan 20 och 40 risker. Riskanalys på en organisations verksamhet brukar generera lite fler risker, men vi skall inte komma upp i några höga antal.

5 Exempel: 1) För många risker Kalle blir sjuk Kalle är hemma och vårdar barn Kalle slutar Pelle blir sjuk Pelle är hemma och vårdar barn Pelle slutar Lisa blir sjuk Lisa är hemma och vårdar barn Lisa slutar Lotta blir sjuk Lotta är hemma och vårdar barn Lotta slutar Dessa risker kanske skall ersättas av: 2) För få risker Nyckelkompetens försvinner Övriga medarbetare kan inte arbeta fullt ut Projektets budget håller inte Tidplanen spricker Beställaren får inte det han vill ha Dessa risker kanske skall ersättas av: Leverantören A kan inte hålla lovade priser Timpriset för medarbetare stiger Oväntade kostnader i samband med planerad konferens Felaktiga nyckeltal vid kalkyleringen Samarbetspartner B blir försenad Testverksamheten drar ut på tiden Kravspecifikationen bristfällig Användarna medverkar inte tillräckligt Det är inte antalet i sig som är det viktiga, utan att man hittar en lämplig nivå för respektive riskanalys. 2 Värdering av riskerna Nästa steg är att värdera de olika riskerna som identifierades under det första steget. Det är nu som vi skall bedöma sannolikhet respektive påverkan för de olika riskerna. För var och en av de under punkten 1 identifierade riskerna skall gruppen tillsammans (här är det viktigt att vi kommer överens, når konsensus) bedöma hur stor sannolikheten är att risken

6 inträffar samt om risken inträffar (oavsett hur stor sannolikheten varr) hur stor påverkan då blir för verksamheten / projektet. 3 Prioritering av de risker som skall bearbetas Normalt kan vi inte arbeta med alla risker, utan vi måste prioritera de läskigaste eller mest allvarliga riskerna. Det finns olika tekniker att göra detta, men beroende på vilken metod som används vid själva riskanalysen så anges också vilken prioriteringsfilosofi som skall användas. När vi väl har valt de risker som skall bearbetas så måste vi tänka om eller välja en annan väg för att eliminera eller minimera riskerna. Vi gör alltså en förändring nu. 4 Att ta fram handlingsplaner När vi har förändrat våra planer, vårt tankesätt (under punkten 3) så skall vi trots detta tänka framåt. För de risker som vi har prioriterat som vi också kan eliminera (och kommer att göra) behöver vi inte tänka vidare på. Men för de risker som vi bara har minimerat eller de som vi kanske har valt att inte eliminera (på grund av exempelvis kostnad, komplexitet eller tidsbrist) så måste vi tänka ett steg till. Om dessa risker inträffar så gör de det längre fram i tiden. Då skall vi vara så pass förberedda att vi redan nu bestämmer vad vi skall göra sedan om risken eller riskerna inträffar längre fram. Detta är att ta fram en riskhandlingsplan.

7 Sannolikhets-/påverkan-matrisen eller Rolf Johnsson-modellen Den metod som jag själv förordar och som egentligen är den enda som jag arbetar med är den så kallade Rolf Johnsson-modellen. Den bygger på de fyra stegen enligt ovan. Denna metod bygger på en tre-gånger-tre-matris där såväl sannolikheten som påverkan bedöms på tre nivåer. Liten, mellan eller hög sannolikhet att en viss risk inträffar och liten, mellan eller hög påverkan på verksamheten / projektet om risken inträffar. Påverkan Sannolikhet

8 För var och en av de identifierade riskerna skall sannolikhet och påverkan bedömas och därefter ritas risken in i en av de nio rutorna. På detta sätt värderas alla riskerna från identifieringssteget. Sedan skall vi prioritera de risker som vi skall arbeta vidare med. I denna modell så arbetar vi med riskerna som värderas i rutorna enligt följande: Påverkan Sannolikhet De olika stegen i Rolf Johnsson-modellen: 1 Identifiera riskerna 2 Värdera dessa i matrisen 3 Prioritera (Eliminera / Minimera) 4 Ta fram handlingsplaner Vi skall alltså enbart arbeta med risker som vi värderat i de fem läskigaste rutorna. Riskerna i de fyra sista rutorna (Observera-rutorna) får vi leva med.

9 Influensdiagram vid riskanalys Det finns ett verktyg som kallas Influensdiagram, där man ritar upp alla risker som identifieras och ritar in riktade pilar mellan de risker som kan påverka varandra. Om det då finns någon eller några risker som påverkas av flera andra risker (dvs har flera pilar som pekar på sig) måste man ställa sig frågan om vi måste omvärdera våra bedömningar. Detta gäller både sannolikhet och / eller påverkan. De identifierade riskerna skall alltså först bedömas var för sig (dvs det andra steget i själva riskanalysen) och därefter gör man en eventuell omvärdering. Denna omvärdering blir oftast till det sämre, dvs vi värderar påverkar högre (även sannolikheten kan behöva omvärderas, men det är inte det vanligaste). Jag tycker själv att detta är ett bra hjälpmedel, även om jag normalt inte ritar upp alla risker så här utan jag brukar göra Influensdiagrammet muntligt, dvs jag ställer frågan Ser ni några risker som påverka andra risker och som måste medföra att vi gör om någon risks bedömning?. Vid riskanalys av stora projekt eller en organisations hela verksamhet är det normalt tillrådligt att skriva ned Influensdiagrammet. Som man kan se av exemplet nedan så representeras varje risk av en cirkel och därifrån utgår de olika påverkanspilarna. Vissa risker kanske inte påverkar någon annan risk medan andra risker kanske inte påverkas av någon risk. Detta är helt i sin ordning.

10 Exempel: Vi har i den ursprungliga riskanalysen identifierat följande risker: 1 Omogen beställare 2 Bristfällig kravspecifikation 3 Oklar projektmålsbeskrivning 4 Nyckelkompetens försvinner 5 Andra projekt tar våra projektmedarbetare 6 Ändringshanteringsrutinen följs inte 7 Samarbetspartner blir försenad Vi värderar dem enligt följande: Om vi ritar upp dessa risker i ett influensdiagram kanske det ser ut så här:

11 Vi tolkar influensdiagrammet så här: Risken nummer 1 Omogen beställare kan påverka såväl risken nummer 2 Bristfällig kravspecifikation som risken nummer 6 Ändringshanteringsrutinen följs inte. Risken nummer 5 Andra projekt tar våra projektmedarbetare kan påverka risken nummer 4 Nyckelkompetens försvinner Risken nummer 7 Samarbetspartner blir försenad kan också påverka risken nummer 4 Nyckelkompetens försvinner Utifrån denna bedömning gör vi kanske en omvärdering av risken nummer 4 Nyckelkompetens försvinner. Vi ser att andra projekt kanske vill ha våra nyckelpersoner (risk nummer 5) och dessutom kanske vissa delar i projektet drar ut på tiden (risk nummer 7), vilket kan medföra att vi får svårare att behålla dessa nyckelpersoner. Detta medför att påverkan på risken nummer 4 bör bedömas som H (hög) och vi kanske agerar annorlunda i den fortsatta riskanalysen.

12 Exempel: Riskanalys för Företag X KAMP Företagsutveckling

13 Riskplan för Företag X Inledning Företaget har bestämt sig för att höja kompetensen och förståelsen för och förtydliga användandet av riskanalys som ett viktigt instrument för såväl verksamheten som våra projekt. Riskanalys är ett verktyg som finns beskrivet i vår kvalitetshandbok under kapitel 8 risker. Vi har fastställt en rutin för hur riskanalys skall genomföras samt dokumenteras. Vi har dessutom valt ett antal verktyg som skall användas. En riskdatabas skall byggas upp bestående av samtliga riskanalyser som genomförs. Ansvarig för att rutinen sprids, uppdateras och efterlevs är kvalitetschefen. Ansvarig för att riskdatabasen skapas och uppdateras är metodchefen. Riskanalys på företagets verksamhet En gång per år (under andra kvartalet) skall företagsledningen se till att genomföra riskanalys på hela verksamheten. En heldag skall bokas in och arbetet skall ledas av inhyrd konsult. Verktyget skall vara Rolf Johnsson-modellen och som underlag för att identifiera riskerna skall företagets affärsidé samt befintlig organisationsskiss användas. Resultatet skall presenteras på respektive avdelningsmöten samt på företagets hemsida. Förutom denna övergripande riskanalys skall respektive avdelningschef genomföra riskanalys för sin egen avdelning. Deltagare vid dessa avdelningsriskanalyser skall vara tio till tolv lämpliga personer. Resultatet skall presenteras för hela avdelningen på närmast följande avdelningsmöte samt för företagsledningen. Verktyg skall Brainstorming, Påverkansdiagram samt Rolf Johnsson-modellen vara.

14 Riskanalys för projekt Strategisk riskanalys För varje internt projekt som skall (?) initieras (dvs en föreslagen idé skall förverkligas) måste beställaren ansvara för att en strategisk riskanalys genomförs. Syftet är för att kunna fatta beslut om projektet skall initieras eller inte. Verktyg som skall användas är Konkurrentanalys, Ishikawa-diagram, Checklistor samt Sannolikhetspåverkan-diagram. Projektets riskanalys i förberedande fas När projektdefinitionen är färdig men innan projektledaren lämnar offerten till beställaren (oavsett interna eller externa projekt) skall en riskanalys på dokumentet projektdefinition göras. Projektledaren ansvarar för att detta arbete görs. Lämpliga projektmedarbetare skall deltaga dock max tio stycken. En utomstående (behöver inte vara extern konsult, utan kan mycket väl vara från vår egen organisation, det viktiga är att denna person inte har någon annan roll i projektet) erfaren projektledare bör delta (undantag kan medges av närmast högre linjechef). Verktyg som skall användas är Rolf Johnsson-modellen. Resultatet skall ligga till grund för beslutet om att gå vidare eller inte. Resultatet av riskanalysen i förberedande fas skall alltid bifogas till projektdefinitionen. Rutiner för hur riskanalysen i genomförandefas skall göras beskrivs i Projektdefinitionen under egen rubrik. Exempel: Riskanalysen i förberedande fas för Projekt Stål bifogas denna projektdefinition. Återkommande riskanalyser skall genomföras 23 september 1994 och 25 november 1994. I båda fallen leder projektledaren arbetet och Rolf Johnssonmodellen skall användas. Resultatet av dessa riskanalyser skall presenteras på närmast följande styrgruppsmöten. Riskdatabasen skall uppdateras efter varje riskanalys i förberedande fas.

15 Projektets riskanalys i genomförandefasen. Varje projekt som startas och som är längre än tre kalendermånader skall genomföra återkommande riskanalyser varannan till var tredje månad. Underlaget skall dels vara föregående riskanalys och dels ny Brainstorming. Verktyg som skall användas är Rolf Johnsson-modellen. Projektledaren genomför riskanalysen och samtliga medarbetare (dock max tio personer) skall deltaga. Styrgruppen skall informeras om såväl att riskanalysen genomförts som hur resultatet blev. Riskdatabasen skall uppdateras efter varje återkommande riskanalys.

16 Riskdatabas En riskdatabas skall tas fram och uppdateras så att varje gång vi genomför en riskanalys skall riskdatabasen uppdateras. Detta gäller både riskanalys på företagets verksamhet och riskanalys inom projektarbete. Ansvarig för denna riskdatabas är metodchefen som också skall se till att den uppdateras och används optimalt. Ett antal sökord skall finnas så att det kan snabba upp användandet av databasen. Halvårsvis skall metodchefen samla alla projektledare och chefer för en genomgång och analys av hur riskhanteringen (på alla nivåer) fungerar inom vårt företag. Resultatet skall förhoppningsvis bli att vi kan både förutse fler risker men också att vi kan bli bättre på att hantera dessa. Vidareutveckling av riskkompetens Fyra projektledare skall utses som huvudansvariga för riskanalys och riskhantering inom hela företaget (alltså även för riskanalysen på verksamheten). Dessa skall gå med i Project Management Institutes (PMI) Special Interest Group for Risks (RiskSIG) för att ta del av de nyheter som framkommer. I samband med företagets personalkonferens i september varje år skall dessa projektledare planera och genomföra ett halvdagars seminarium i riskanalys. Praktiska övningar bör ingå.

17 Exempel: Riskanalys på projekt Projektdefinition Projekt SBID. Riskanalys Riskanalysen i förberedande fas för Projekt SBID bifogas denna projektdefinition. Återkommande riskanalyser skall genomföras 23 september 2000 och 25 november 2000. I båda fallen leder projektledaren arbetet och Rolf Johnsson-modellen skall användas. Resultatet av dessa riskanalyser skall presenteras på närmast följande styrgruppsmöten.

18 Riskanalys Projekt SBID 1) Risklistan 1) Omogen beställare 2) Negativa medarbetare 3) Önskad effektivitetseffekt uppnås ej 4) Compaq får leveranssvårigheter 5) Ökade priser från Compaq 6) Novell Netware fungerar inte i svensk Byggplåts fysiska miljö 7) Utbildningen kommer inte att hinna genomföras på alla orter 8) Personalen från Svensk Byggplåt kan inte avsätta tillräcklig tid för projektet 9) Trygg Datoriserings personal kan inte avsätta tillräcklig tid för projektet 10) Använda nyckeltal för kalkylen håller ej 11) Oerfaren styrgrupp 12) Styrgruppen är ej beslutsmässig 13) Projektledaren får andra arbetsuppgifter 14) Delprojekt Installation består av för få medarbetare 15) Delprojektledare Test försvinner 16) Utbildningsledare för Test-utbildningen saknas 17) Avgränsningarna ej tillräckligt tydliga 18) Dokumentansvarig ej tillräckligt erfaren 19) Dokumentationen uppfyller inte ställda krav på tydlighet 20) Informationsspridningen fungerar inte 21) Ändringshanteringen kommer ej att följa fastställd rutin 22) Avslutsresan godkänns ej av beställaren 23) Trygg Datoriserings personal ej tillgänglig för utvärdering

19 Som ett resultat av riskanalysen kommer ett antal justeringar att göras: Trygg Datorisering AB kommer att bjuda in Svensk Byggplåt AB för att informera om vikten av en erfaren och beslutsmässig styrgrupp samt förtydliga rollen som beställare Trygg Datorisering kompletterar projektgruppen med en dokumentansvarig från Dokumentproffsen AB Trygg Datorisering AB kommer att informera ledningen för Svensk Byggplåt AB om vikten av rutiner för resursbokning i projekt samt att lägga till resurskravet som en egen punkt i avtalet Trygg Datorisering AB kommer att teckna ett specialavtal med Compaq för att minimera risken av leveransproblem samt köpa in utrustningen två veckor tidigare än tidigare planerat. Kostnaden för detta kommer att läggas in i projektbudgeten Trygg Datorisering AB Kommer att samla hela ledningen för Svensk Byggplåt AB för en allmän presentation av projektarbete (förutom den heldag som redan finns inplanerad). Detta för att förtydliga vikten av att följa den modell för projektarbete som Trygg Datorisering AB använder sig av. Rutinen för ändringshantering kommer att lyftas fram från projektets första dag för att minimera risken av att inte följa denna rutin Projektledaren för Projekt SBID kommer att kräva en dokumenterad individplan för samtliga resurser från Trygg Datorisering AB. Detta dokument skrivs mellan projektledaren och resp resurs linjechef Utbildningen av Svensk Byggplåt AB samtlig personal måste planeras in tydligare samt att en friskrivningsklausul skrivs in i avtalet Avslutsresan lyfts ut ur projektbudgeten och kommer att tas separat från Trygg Datorisering ABs egen budget. Projektledaren ansvarar för att projektets avgränsningar tas upp på varje styrgruppsmöte Huruvida önskad effektivitetseffekt uppnås eller ej ligger utanför projektet men Trygg Datorisering AB kommer att upplysa ledningen för Svensk Byggplåt AB om vikten av att de själva satsar mycket på intern information till och löpande uppföljning av den egna personalen, allt i syfte att stärka möjligheterna att Svensk Byggplåt AB kommer att kunna ta till sig det nya systemet

Internetadresser för riskhantering www.risksig.com http://www.metier.se/usikker.html Project Management Institute (PMI) Risk Special Interest Group Metiers Riskstyrning http://www.sei.cmu.edu/programs/sepm/risk/index.html http://www.sorm.state.tx.us/ http://www.risktrak.com/ SEI (Software Engineering Institute) Risk Management Overview Texas (Amerikanska delstatens) State Office of Risk Management Risk Services and Technologies http://www.dfs.se/products/sba/ Svenska Dataföreningens SårBarhetsAnalys (SBA)