Kontraktkrav til eksterne it-leverandørers risikostyring af udviklings- og driftsopgaver

Risikostyring er en vigtig disciplin i styring af it-projekter og den efterfølgende drift af it-løsningerne. Når offentlige myndigheder gennemfører udbud, er det vigtigt, at myndigheden, udover selv at bedrive risikostyring i sin projektstyring af analyse, udbud og det efterfølgende leverandørsamarbejde, også stiller krav til den eksterne leverandørs risikostyring i både udviklings- og driftsforløb.

I dag er det ret udbredt at stille krav til, at leverandøren skal udføre risikostyring efter en standard for risikostyring (fx. Management of Risk, ISO eller tilsvarende) og der stilles ofte krav til, at leverandøren løbende rapporterer risikobilledet til kunden som en del af både projekt- og driftsrapportering. Det er dog ikke altid, at myndighederne får fulgt tilstrækkeligt op på risikostyringen hos deres eksterne it-leverandører og ydermere er kravene til leverandørens risikostyring ikke altid tilstrækkelig til at sikre, at leverandørerne bagved risikorapporteringen også udfører aktiv risikostyring.

Formålet med leverandørens risikostyring er, at leverandøren skal være opmærksom på trusler, som kan true leverandørens leverancer til kunden og at leverandørerne løbende iværksætter og følger op på mitigerende, forebyggende såvel som afbødende handlinger. Og herunder at leverandøren løbende drøfter disse risikoforhold og risikohåndtering med kunden, både på projektledelse- og styregruppeniveau.

Nedenfor er beskrevet en grundopbygning af krav til leverandørens risikostyring, som der kan tages udgangspunkt i, når man opbygger krav til risikostyring i udviklings- og driftskontrakter:

  1. Leverandøren skal gennemføre risikostyring på udvikling/drift efter en standard for risikostyring, Management of Risk, ISO 31000:2018 eller tilsvarende.
  2. Leverandøren skal dokumentere sin risikostyringsstrategi (strategi for, hvordan leverandøren vil risikostyre den pågældende udviklingsproces/driftssetup), som leverandøren vil anlægge på udviklings-/driftsopgaven.
  3. Leverandøren skal redegøre for leverandørorganisationens generelle risikostyringspolitik (generel politik for hvorfor og overordnet hvordan der bedrives risikostyring i leverandørorganisationen) og hvordan risikostyringsstrategien for risikostyring af udviklingsleverance/driftsleverance skal tage udgangspunkt i organisationens risikostyringspolitik.
  4. Leverandøren skal have udpeget og dokumenteret en risikostyringsorganisation med de nødvendige kompetencer og ressourcer til at facilitere risikostyring i leveranceorganisationen, tage ledelsesmæssigt ejerskab til risiciene og udføre og følge op på forebyggende og afbødende foranstaltninger
  5. Leverandøren skal redegøre for, hvilke værktøjer/it-systemer, som anvendes til risikoregistrering og opfølgning på risici og mitigering/afbødende foranstaltninger.
  6. Leverandøren skal hver 14. dag rapportere til kunde på det aktuelle risikobillede for udviklingsopgaven/driftsopgaven
  7. Leverandøren skal løbende identificere de største risici, trusler for at leverandøren kan levere sine leverancer/drift til kunder og andre trusler for samarbejdet.
  8. Leverandøren skal vurdere og dokumentere sandsynligheden for, at en risikohændelse vil indtræffe og begrunde denne sandsynlighed
  9. Leverandøren skal vurdere og dokumentere konsekvensen, hvis risikohændelsen indtræffer på mål for udviklingsopgaven/driften og så vidt muligt kvantificere effekten på tidsplan, budget, kvalitet i leverancen og gevinster for kunden
  10. Leverandøren skal i sin rapportering redegøre for bevægelser i risicienes sandsynlighed og konsekvens og begrundelser herfor
  11. Leverandøren skal i sin rapportering redegøre for nye risici i risikobilledet
  12. Leverandøren skal i sin rapportering redegøre for risici, som er lukket siden sidste rapportering
  13. Leverandøren skal for hver risikohændelse redegør hvor, hvordan leverandøren vil gennemføre forebyggende/mitigerende handlinger og evt. afbødende foranstaltninger (beredskabsplaner mv.), hvis risikoen måtte indtræffe. Mitigeringsplaner skal være beskrevet med aktiviteter, deadline og ansvarlige og ressourcer til udførsel af handlingsplanerne i leverandørens organisation. I sin rapportering skal leverandøren løbende give status på disse handlingsplaner.

Hvis du vil gøre om kontraktkrav til eksterne leverandørers risikostyring, så kontakt mig.