Riskhantering är en viktig del av projektledningens arbete och vi pratar därför ofta om risk management när vi pratar projektledning.
Riskarbetet börjar tidigt, redan i definitionsfasen – namnges lite olika beroende på vilken projektstyringsmodell vi använder – av projektet, och växer sedan fram under projektplaneringsfasen.
Därefter måste riskarbetet löpande revideras och uppdateras.
Risk management hjälper projektledare att identifiera, bedöma och kontrollera risker, och möjligheter, som kan påverka projektet.
Vad är en risk?
Risk management handlar om hur vi hanterar risker, så vi börjar där!
I inlägget där vi diskuterar ”vad är en risk” så kommer vi fram till att:
En risk är en potentiell negativ händelse som kan leda till skada, förlust eller annat negativt resultat. Vi använder begreppet risk när det finns stora osäkerheter kring om den negativa händelsen faktiskt inträffar.
Vad är risk management
Risk management – på svenska säger vi nog ofta riskhantering – handlar om ett projekts systematiska arbete med just risker.
Vanligtvis så beskriver vi risk management arbetet i vår projektplan eller i en risk management plan.
Syftet med risk management varierar lite beroende på vilka faser projektet befinner sig i.
I ett tidigt skede så är ofta syftet att identifiera risker i syfte att förstå om ett projekt är möjligt att genomföra och om risknivån är rimlig.
Om risknivån bedöms hanterbar och projektet startas så skiftar fokus till att hantera riskerna klokt.
Beroende på hur projektet utvecklas så måste riskarbetet hållas aktuellt och relevant.
Det finns tre nyckelelement i riskhanteringen:
- Identifiera risker: Det första steget i riskhanteringen är att identifiera risker som kan påverka projektet. Detta kan göras med hjälp av olika metoder, t.ex. brainstorming, analys av intressenter och dataanalys.
- Bedöma risker: När riskerna har identifierats måste de bedömas med avseende på deras potentiella inverkan på projektet. Detta inbegriper att överväga sannolikheten för att risken ska inträffa och de potentiella konsekvenserna om den inträffar.
- Kontrollera riskerna: Det sista steget i riskhanteringen är att kontrollera riskerna. Detta kan göras genom en rad olika metoder, t.ex. riskminimering, riskmitigering och riskacceptans.
Not: Beroende på vilken metodik som används för att hantera risker så kan de tre stegen ovan bli fem eller sex. Grundtanken är dock densamma.
Identifiera risker
Det finns en rad olika metoder som kan användas för att identifiera risker, och var och en har sina egna för- och nackdelar.
En av de vanligaste metoderna för riskidentifiering är brainstorming.
Brainstorming
Detta kan göras med en liten grupp eller så kan vi be en person göra arbetet själv.
Fördelen med brainstorming är att det är relativt snabbt och enkelt att göra. Nackdelen är att det kan vara svårt att skapa en heltäckande lista över alla potentiella risker.
Brainstormingen kan göras bättre genom att du redan innan försöker identifiera vilka kategorier du ser relevanta för ditt projekt. Det kan exempelvis göras i en Risk Breakdown Structure.
Lessons Learned – Analys av tidigare projekt
En annan vanlig metod är att gå igenom tidigare projekt eller affärsverksamheter.
Detta kan vara ett effektivt sätt att identifiera vanliga risker som har lett till problem tidigare.
Nackdelen med denna metod är att den bara är så bra som de uppgifter som finns tillgängliga. Om det inte finns några uppgifter att tillgå är denna metod inte särskilt användbar.
Verktyg
En tredje metod som kan användas för att identifiera risker är att använda ett riskbedömningsverktyg.
Det finns ett antal olika riskbedömningsverktyg tillgängliga och de kan användas för att identifiera både fysiska och ekonomiska risker.
Fördelen med att använda ett riskbedömningsverktyg är att det kan vara mycket omfattande. Nackdelen är att det kan vara tidskrävande att använda ett riskbedömningsverktyg och att det trots stöd kanske inte är möjligt att täcka in alla potentiella risker.
När riskerna väl har identifierats måste de delas upp och förtydligas för att det ska bli möjligt att tilldela en risk en sannolikhet och en konsekvens (vanligtvis ekonomisk eller tidsmässig).
Översikt – Riskidentifieringsmetoder
| Riskidentifieringsmetod | Fördelar | Nackdelar |
|---|---|---|
| Brainstorming | – Snabbt och enkelt att genomföra | – Kan vara svårt att skapa en heltäckande lista över risker |
| – Främjar kreativitet och gruppdynamik | – Kvaliteten kan variera beroende på deltagarna | |
| Analys av tidigare projekt | – Kan identifiera vanliga risker | – Begränsad till tillgänglig data |
| – Möjlighet att lära av tidigare misstag | – Kan vara tidskrävande | |
| Riskbedömningsverktyg | – Kan vara mycket omfattande | – Kan vara tidskrävande |
| – Möjliggör identifiering av både fysiska och ekonomiska risker | – Kanske inte täcker alla potentiella risker |
Bedöma och analysera risker
När vi identifierat och definierat våra risker tillräckligt bra så kan vi gå vidare och uppskatta sannolikheten för att något ska inträffa och försöka förstå vad konsekvensen blir.
| Riskbedömningskriterium | Beskrivning |
|---|---|
| Sannolikhet | Bedömer hur troligt det är att en viss risk inträffar. Det kan kvantifieras i termer av procent eller kategoriseras som hög, medel eller låg. |
| Ekonomisk konsekvens | Bedömer den potentiella ekonomiska påverkan som en risk kan ha på projektet. Det kan inkludera kostnader för att hantera konsekvenserna eller förlorade intäkter. |
| Tidsmässig konsekvens | Bedömer hur en risk kan påverka projektets tidsplan. Det kan inkludera förseningar i leveranser eller förlängd projektvaraktighet. |
| Kvalitetspåverkan | Bedömer hur en risk kan påverka kvaliteten på projektets resultat. Det kan inkludera brister i utförandet eller produktkvaliteten. |
| Rättsliga konsekvenser | Bedömer de potentiella rättsliga konsekvenserna av en risk, inklusive möjliga böter, straff eller tvister. |
| Ryktespåverkan | Bedömer hur en risk kan påverka projektets eller organisationens rykte. Det kan inkludera negativ publicitet eller förlorad kundtillit. |
Konsekvensen kan uppskattat på lite olika sätt. Jag tycker vi ska jobba med alla typer av risker i ett projekt, men det finns enkla metodiker för att jobba med kostnad och sannolikhet.
Men i det projekt jag jobbar i nu så är vi noga med att identifiera såväl ekonomisk som tidsmässig konsekvens på ungefär samma sätt.
När vi har en sannolikhet och en ekonomisk konsekvens, i form av ett belopp, så kan vi arbeta fram en viktad skattning av risken. Det gör vi genom att vi multiplicerar risken med sannolikheten (i skalan 0-1).
Om sannolikheten för att risken faller ut bedöms vara 20% och kostnaden då uppskattas till 1 MSEK så har vi en viktad kostnadsuppskattning på risken som är 200 000 kronor.
Det går då att relatera kostnader för riskarbetet till det värdet och om vi helt kan avskaffa risken för ett lägre belopp än 200 000 kronor så bör en sådan åtgärd helt klart övervägas.
Gör vi det här arbetet för alla risker och summerar det viktade riskvärdet så får vi en uppfattning om den ekonomiska risken i ett projekt.
Riskhanteringsstrategi
När vi bedömer och analyserar våra risker så tittar vi på olika sätt att hantera riskerna. Kan vi undvika en risk helt, vad kostar i så fall det?
Kan vi vidta mindre omfattande åtgärder, till lägre kostnad, som ger lägre risk i någon mening?
Syftet med riskarbete måste vara fokuserat på att göra aktiva åtgärder, inte bara sammanställa allt som kan gå snett.
| Riskhanteringsstrategi | Beskrivning | Exempel på Åtgärder |
|---|---|---|
| Riskminimering | Strategi som syftar till att minska sannolikheten eller påverkan av en risk. | – Förbättring av processer |
| – Implementering av säkerhetsåtgärder | ||
| Riskmitigering | Strategi som syftar till att begränsa de negativa konsekvenserna av en risk som inte kan undvikas. | – Upprättande av en nödplan |
| – Försäkringar | ||
| Riskacceptans | Strategi där man accepterar riskerna utan att vidta några särskilda åtgärder. | – Inget agerande. Medvetenhet om möjliga konsekvenser |
| – Allokering av budget för möjliga förluster | ||
| Risköverföring | Strategi där man överför risken till en tredje part, till exempel genom försäkring eller kontrakt. | – Försäkringsavtal |
| – Outsourcing av vissa projektaktiviteter | ||
| Riskundvikande | Strategi där man ändrar projektplanen eller strategin för att helt undvika risken. | – Ändring av projektets omfattning |
| – Val av en annan teknik eller leverantör |
Det kan kosta pengar att minska risken i ett projekt! Storleken på en riskreduceringsbudget bestäms vanligtvis utifrån det samlade viktade riskvärdet som vi beskrev tidigare.
Kontrollera risker
Varefter arbetet i projektet utvecklas så tillkommer risker, eller tidigare analyser och bedömningar måste omprövas.
Detta kräver ett löpande arbetet inom projektet.
Det är också viktigt att se till att planerade åtgärder som finns i projektet, för att minska risk, ger den effekt som är tänkt.
Red ut hur riskarbetet ska genomföras i planeringsfasen
När du planerar ditt projekt så ska du vara så tydlig som det bara går med hur arbetet kring risker ska bedrivas.
Slå fast vilka mallar du ska använda och hur du ska kategorisera dina risker.
Gör också klart vilken status en risk kan ha (exempelvis ny, estimerad, hanterad, stängd).
Det bör finnas en person i projektet som ansvarar för riskarbetet och som förstår vad risk management är.
Var också noga med att planera in arbete med risker och revidering av det riskarbete ni gjort vid lämpliga tidpunkter.
