Risikobudgetter i statslige it-projekter

I staten har vi siden 2011 arbejdet med kalkulation af risikobudgetter på større it-projekter. Statslige myndigheder er via budgetvejledningen pålagt at gennemføre risikostyring på deres it-projekter og herunder estimere den potentielle økonomiske effekt af de identificerede risici. Baggrunden for at indføre dette var bl.a. omfattende budgetoverskridelser i mange statslige it-projekter på baggrund af uventede hændelser i projekterne og ringe estimering af forventede omkostninger og håndtering af risiciene.

Den risikoøkonomi-model, som blev valgt i staten, består i, at man i forbindelse med udarbejdelse af projektets businesscase, tre-punkts-estimerer de økonomiske effekter for de største økonomiske risici i projektet, korrigerer for sandsynligheden for, at risikoen indtræffer og beregner en samlet risikobuffer for projektet, som skal afsættes budgetmæssigt sammen med budgettet for projektet. 

Når statslige it-projekter risikovurderes i Statens It-råd, vil rådet som en del af vurderingen af projektets businesscase, vurdere risikobudgettets sammensætning og størrelse ift. det samlede projektbudget.

Risikoøkonomi-modellen er et opgør med tidligere tiders mekanisk afsatte risikobuffere på fx fast 10/20/30 pct af projektetbudgettet og i stedet søge at binde risikoøkonomien op på konkrete risikohændelser, som kan true projektet. Faste risikobuffere/reserver er en tilgang som man stadig arbejder med i anlægsbudgettering.

Tanken med risikobufferen er, at man kan trække på den, hvis risici indtræffer og fx truer projektbudgettet. Risikobufferen er som udgangspunkt ikke tiltænkt finansiering af mitigeringsaktiviteter, men skal fungere som et værn, hvis katastrofen indtræffer i projektet. Risikobudgettet vil skulle opdateres i takt med, at projektet udvikler sig og at nye risici opstår og skal kapitaliseres og andre risici indtræffer eller ikke længere er relevante og glider ud af risikobudgettet.

Risiko og usikkerhed på businesscasens estimater er i statens model to forskellige ting. Det betyder, at businesscasen i sin estimering af projektbudget forsøger at tage højde for usikkerhed i estimaterne ved at operere med best, worst case og most likely estimater og trepunkts-estimering af et vægtet budget. Økonomiske udsving i estimaterne, inden for best og worst case, er altså som udgangspunkt ikke en risiko, men “blot” budgetusikkerhed.

Finansministeriet har med modellen forsøgt at sikre, at statslige it-projekter kapitaliserer økonomiske risici og afsætter særskilt budget hertil, før projektet starter. Modellen siger dog ikke så meget om, hvordan projekterne arbejder med risikobudgetter i den løbende risikostyring. Dette kræver, at den enkelt organisation i sin risikostyrings- og økonomistyringsproces kan håndtere ændringer og afvigelser i risikobudgettet og at der er et tæt samarbejde mellem projekt og økonomifunktion om dette for at sikre at projektbudgettet er korrekt gearet til at kunne modstå risikohændelser, der udfordrer projektets mål og økonomi.