Sådan får du mere ud af din risikolog

I disse corona-tider oplever vi, hvad det vil sige at blive ramt af en uventet hændelse med MEGET store konsekvenser. Det kan være en meget god anledning for mange af os til at opdatere risikobillederne for de opgaver og projekter, vi sidder med.

Risikologgen eller risikoregisteret er det sted, hvor vi registrerer risici for et projekt eller en opgave. Risici er usikre hændelser, dvs. hændelser der ikke er indtruffet endnu, men som, hvis de indtræffer, kan få væsentlig indflydelse på opnåelse af vores mål for projekt eller organisation.

Der findes mange risikoværktøjer med mere eller mindre avancerede risikologs, men det basale behov kan ofte i første omgang dækkes af et simpelt skema i et regneark.

Det kan nogen gange være udfordrende at få opdateret risikologgen og gjort den til et dynamisk dokument. Nedenfor er en række tips og tricks til, hvordan du får gjort din risikolog mere dynamisk.

1. Risikologgen er ikke et værktøj til risikoidentifikation: Risiciene identificeres ikke ved at åbne risikologgen og kigge på en tom eller gammel liste med risici. Risiciene skal identificeres på anden måde (erfaringsopsamling, analyse, brainstorm, etc), og når de er identificeret, kan de dokumenteres i risikologgen.

2. Beskriv een risiko som een hændelse med mulige årsager og forventede konsekvenser – en risiko er én hændelse, som kan have flere risikoårsager og flere mulige konsekvenser, hvis den indtræffer. Sørg for, at der i din risikolog kun er beskrevet én hændelse pr. risiko. Hvor hændelsen er kendetegnet ved at være usikker og endnu ikke indtruffet (“implementering af it-system til efteråret kan ikke gennemføres”), så kan risikoårsagerne (som kan være drivere for, at hændelsen indtræffer) være flere og de kan ofte være faktuel konstatérbare (ex. “medarbejdere har ikke nødvendige it-kompetencer”,”medarbejdere har modstand mod nyt it-system”). Endelig skal de forventede konsekvenser, hvis risikoen indtræffer beskrives, jf. punkt 4.

3. Vurdér sandsynligheden verbalt – det kan ofte være svært at vurdere sandsynligheden for, at en hændelse vil indtræffe. Det kan nogle gange støtte at have en verbal sandsynlighedsskala med fx. fem verbale trin fra “1. meget lav sandsynlighed” til “5. meget høj sandsynlighed”. Hvis sandsynligheden ikke kan vurderes, er det vigtigt at kunne angive det i sin risikolog.

4. Beskriv risikokonsekvenser i både tal og ord – beskriv risikoens mulige konsekvenser ved både ord og tal. En risikohændelse kan have flere typer af konsekvenser – fx. fordyrelse, forsinkelse, faldende kundetilfredshed, etc. Hvis en risiko kan have betydning for dit projektets tidsplan, skal du beskrive konsekvensen med ord og forklare, hvordan din tidsplan kan blive påvirket og gerne også i tal, hvor meget din tidsplan kan blive forsinket i dage, uger, måneder eller år. Hvis du er usikker på omfanget af forsinkelsen så angiv den med et usikkerhedsspænd, fx 3-6 ugers forsinkelse.

5. Estimér risikobudget for de største økonomiske risici i din risikolog. For risici med mulig stor økonomisk konsekvens, bør du trepunktsestimere, hvad risikoen kan komme til at påføre din organisation af uventede omkostninger til fx eksterne leverandører eller øget internt ressourceforbrug. Det risikobudget, du skal afsætte for den enkelte risiko er et vejet gennemsnit af din trepunktsestimering korrigeret for sandsynligheden for at risikoen indtræffer. Hvis sandsynligheden er høj, skal du have en større buffer, ved mindre sandsynlighed skal du have en lavere risikobuffer. Husk, at angiv hvad forudsætningerne for estimeringen er – analyser, erfaringer, guestimater, etc. Hvis en risiko kan føre til uventede projektomkostninger på best case 4 mio. kr., most likely 6 mio. kr. og worst case 10 mio. kr., så kan et vejet fx gennemsnit, hvor most likely vægtes 4 gange mere end best og worst case, beregnes ved (best case+4*most likely+worst case)/6. I eksemplet vil det være (4+4*6+10)/6= 6,3 mio. kr. Hvis sandsynligheden for at risikoen indtræffer fx er 50 pct., vil du skulle afsætte 50 pct af de 6,3 mio. kr., altså skal der afsættes 3,15 mio kr som risikobuffer på risikoen. Når du har beregnede de økonomiske konsekvenser for alle dine risici, kan du beregne en samlet risikobuffer for projektet, som skal afsættes ved siden af projektbudgettet. Bemærk, at risikobufferens størrelse kan ændre sig undervejs, i takt med risikobilledet udvikler sig, risici indtræffer, etc.

6. Dokumentér risici, ikke problemer/issues i din risikolog. Beskriv risici som hændelser, der er usikre (ej indtruffet) og som kan true mål for projektet/opgave. Allerede indtrufne risici, issues og problemstillinger, som vi allerede har inden på livet skal ikke være i risikologgen men håndteres andensteds. Hvis vi fylder vores risikolog med issues, så drukner risikobilledet nemt i aktuelle problemstillinger og vi får vanskeligt ved at få et klart billede af hvad, der kan trues os længere nede ad banen.

7. Fjern generiske/generelle/upræcise risici fra loggen. Forsinkelser og mangel på ressourcer er ikke risici i sig selv, men kan være ofte være en mulig konsekvens af en risikohændelse. Risici skal være konkrete hændelser, som kan påvirke elementer i vores projekt eller opgaveløsning.

8. Beskriv risicienes nærhedhvornår kan de indtræffe? For at forstå risikoen og forstå, hvor lang tid, vi har til at arbejde med den, er det vigtigt at beskrive, hvornår vi tidligst tror, risikoen kan indtræffe. I nogle tilfælde kan vi være meget præcise med nærheden, ex. dato for kontraktophør, andre gang kan vi kun angive det i måneder, kvartaler, år eller fx projektfaser. Det kan også være relevant at sætte en udløbsdato for risikoen, hvornår kan den senest indtræffe.

9. Angiv, hvem der har det ledelsesmæssige ansvar for risikoen – risiko er i sidste ende styregruppens eller ledelsens ansvar – altså hvor meget risiko man påtager sig og hvordan risici skal håndteres. Angiv for hver risiko i din risikolog, hvem der har det ledelsesmæssige ansvar for risikoen, det kan fx være et navngivent styregruppemedlem.

10. Angiv hvad den overordnede mitigeringsstrategi er for den enkelte risiko – før vi bruger ressourcer på at forebygge en risiko, er det vigtigt at beslutte, hvad den overordnede strategi for risikohåndteringen skal være – “acceptere“, “undgå“, “reducere“, “fall back/beredskab“. Hvis vi vælger at acceptere risikoen, fx. fordi omkostningerne til at mitigere er for store, kan vi nøjes med at overvåge risikoen, hvorimod risici, som helt skal undgås, ofte kræver en større indsats at håndtere. Sørg for at notere mitigeringsstrategier for hver enkelt risiko i din risikolog.

11. Angiv konkrete handlingsplaner for håndtering af den enkelte risiko – I sammenhæng med mitgeringsstrategien er det vigtigt at notere i risikologgen, hvilke handlingsplaner, der skal iværksættes for at forebygge risikoen. Handlingsplanerne skal være konkrete og helst med deadlines og ansvarlige for de enkelte aktiviteter.

12. Angiv, hvornår risikoen er åbnet og hvornår der skal følges op på risikoen næste gang – det er vigtigt at holde styr på, hvornår risikoen er åbnet og hvornår der skal følges op på den. Hvis risiciene lever meget længe kan det handle om, at vi ikke gør nok for at mitigere. Opfølgningsdatoen kan vi bruges til at styre, hvilke risici vi prioriterer i vores løbende opfølgning, så vi ikke skal hele listen igennem hver gang.

13. Husk, at risikologgen ikke er en ledelsesrapport. Risikologgen er ikke en ledelsesrapport, så når du skal rapportere dit risikobillede til en styregruppe eller ledelse, har du behov for at visualisere og præsentere risikodata fra din risikolog på en måde, som giver ledelsen overblik over risici, bevægelser i risikobilledet og som gør det let for dem at forhold sig til beslutninger om mitigerende handlinger.

14. Luk risici, som er indtruffet eller ikke længere er relevante. Sørg for at lukke risici i din risikolog, som ikke længere er relevante eller som er indtruffet. Flyt lukkede risici til en seperat liste. De bør ikke slettes, da det måske kan blive relevante at genåbne eller analysere på risikodata senere.

15. Sikre sporbarhed i din risikolog – sørg for at føre en mini-log for hver risiko. Hvis du bruger Excel som risikoværktøj er der ingen log/historik, med mindre du gemmer gamle versioner af risikologgen. Det kan være en god ide at have et logfelt/kommentarfelt til hver enkelt risiko, hvor du noterer, når du foretager ændringer af risikoen.