Risiko-responsstrategier

Når du har været igennem en risikoanalyse og har fået skrevet ned, hvad der kan gå galt i projektet, opstår det næste, mere praktiske spørgsmål helt af sig selv: hvad vil vi så gøre ved det? At kende sine risici er nemlig ikke det samme som at have styr på dem. En liste over ubehagelige muligheder er bare en liste, indtil man har besluttet, hvordan man vil svare på hver enkelt. Det svar kalder vi en responsstrategi, og heldigvis er der ikke uendeligt mange at vælge imellem. For trusler, altså de risici der kan skade projektet, er der fire klassiske veje at gå, og de er nemme at huske, når man først har prøvet dem af på et par konkrete tilfælde.

Det er værd at standse op ved, for risikohåndtering er ofte en undervurderet disciplin. Den bliver let nedprioriteret, fordi den handler om noget, der måske slet ikke sker, og det kan føles som spildt tid at forberede sig på uheld, der udebliver. Men det er netop her, den dygtige projektleder gør forskellen: ved at tænke forud, have modtrækkene klar, før tingene går galt, og styre proaktivt frem for at slukke brande, når de først er brudt ud.

Fra vurdering til prioritering

Før man vælger strategi, må man vide, hvilke risici der overhovedet fortjener mest opmærksomhed. Alle risici er ikke lige vigtige, og man har hverken tid eller penge til at gardere sig mod dem alle. Derfor bruger man en risikomatrix, hvor man for hver risiko skønner to ting: hvor sandsynlig den er, og hvor stor konsekvensen bliver, hvis den indtræffer. Ganger man de to sammen, får man et lille tal, et risikotal, der siger noget om, hvor alvorlig risikoen er samlet set. En risiko, der både er sandsynlig og alvorlig, havner i det røde felt og skal håndteres nu. En, der er både usandsynlig og harmløs, havner i det grønne og kan som regel få lov at ligge.

Matricen er ikke en videnskabelig maskine, der regner det rigtige svar ud. Den er et samtale- og prioriteringsværktøj. Værdien ligger i, at du og resten af holdet bliver tvunget til at sætte ord på både sandsynlighed og konsekvens, i stedet for at nøjes med en mavefornemmelse af, at noget er farligt. Når risiciene ligger placeret i felterne, kan I se med det samme, hvor I skal starte, og hvad der roligt kan vente.

De fire strategier for trusler

Så er vi klar til selve valget. Den første mulighed er at undgå risikoen, altså at fjerne selve årsagen til den. Det er den mest håndfaste strategi: man ændrer planen, så risikoen slet ikke kan opstå. Er den risikable del af projektet ikke strengt nødvendig, kan man droppe den. Kræver en bestemt fremgangsmåde en teknologi, ingen på holdet mestrer, kan man vælge en anden og velkendt løsning i stedet. Undgåelse fjerner sandsynligheden helt, men den koster ofte noget andet, for eksempel en mere ambitiøs løsning, man havde håbet på.

Kan man ikke fjerne risikoen, kan man som regel reducere den, også kaldet at afbøde den. Her går man efter at sænke enten sandsynligheden for, at den indtræffer, eller konsekvensen, hvis den gør. Man kan teste tidligt, øve sig, bygge en buffer ind i tidsplanen eller lave en ekstra kontrol undervejs. Reduktion fjerner ikke risikoen, men gør den mindre skræmmende, og det er langt den mest brugte strategi i praksis.

Den tredje vej er at overføre risikoen til en anden, der er bedre til at bære den. Det klassiske eksempel er en forsikring: mod en fast præmie flytter man den økonomiske konsekvens over på et forsikringsselskab. En anden form er at skrive risikoen ind i en kontrakt hos en leverandør, så det bliver leverandørens problem, hvis noget forsinkes eller fejler. Se mere om, hvordan aftalerne kan skrues sammen, i artiklen om kontrakttyper. Bemærk, at overførsel ikke får risikoen til at forsvinde, den skifter bare ejer, og det koster typisk et gebyr eller en præmie at flytte den.

Endelig kan man acceptere risikoen, altså bevidst vælge at leve med den. Det lyder passivt, men er en helt legitim beslutning, når risikoen enten er lille eller ville være dyrere at fjerne, end den skade den kan nå at gøre. Accept kan være helt passiv, hvor man blot noterer risikoen og holder øje, eller aktiv, hvor man forbereder en beredskabsplan: en aftale om, hvad man gør, hvis risikoen alligevel skulle indtræffe. Det gode ved en beredskabsplan er, at man tænker roligt, mens der endnu er ro, i stedet for at improvisere midt i en krise.

Når risikoen er en afhængighed

En hel klasse af risici bliver systematisk overset, netop fordi der ikke er noget galt lige nu: afhængigheden af en leverandør. Man lejer en it-løsning, køber en tjeneste eller bygger oven på en andens system, og så længe det virker, tænker man ikke over det. Men afhængigheden er en risiko: leverandøren kan hæve prisen, lukke funktionen, gå konkurs eller ændre produktet, uden at man selv har hånd i hanke med det. Det gode er, at man ikke behøver en ny værktøjskasse. De fire strategier, man allerede kender, gælder præcis lige så godt her.

Man kan undgå afhængigheden ved ikke at binde sig for hårdt: vælge en løsning, man kan komme ud af igen, og undgå at gøre én leverandør til projektets eneste svage punkt. Man kan reducere den ved at have en exit-strategi klar fra start — sikre sig, at ens data kan komme ud i et brugbart format, så det gør mindre ondt, den dag man vil videre. Man kan overføre en del af risikoen ved at aftale et serviceniveau med bod, så leverandøren selv mærker konsekvensen, hvis løsningen svigter (se kontrakttyper og underleverandørstyring). Og når afhængigheden ikke kan undgås, hvad den ofte ikke kan, kan man acceptere den bevidst — men som en aktiv accept med en beredskabsplan for det ubehagelige tilfælde, hvor leverandøren fejler, og man selv kun kan vente. Den plan er billig at lægge, mens der er ro, og dyr at undvære, når det brænder.

Og så mulighederne

Risici er ikke altid trusler. Nogle gange dukker der muligheder op, altså positive risici, hvor der er en chance for, at noget går bedre end forventet. En leverandør kan blive tidligt færdig, eller en ny metode kan vise sig hurtigere end ventet. Her vender man logikken om. I stedet for at undgå forsøger man at fremme muligheden, så den er sikker på at indtræffe. I stedet for at reducere forsøger man at forstærke den. Og man kan dele muligheden med en partner, der kan hjælpe den på vej, ligesom man kan overføre en trussel. Pointen er den samme: en mulighed, ingen gør noget aktivt for, forbliver som regel bare en mulighed.

Risikoregistret og restrisikoen

Beslutningerne er kun noget værd, hvis de bliver skrevet ned og fulgt op. Derfor samler man det hele i et risikoregister, også kaldet en risikolog. Det er en simpel tabel, hvor hver risiko har sin egen linje med sandsynlighed, konsekvens, valgt strategi og, vigtigst af alt, en ejer og en konkret handling. Ejeren er den person, der har ansvaret for at holde øje med netop den risiko og sætte handlingen i gang. Uden en ejer bliver en risiko let alles og dermed ingens ansvar.

Læg mærke til, at selv når man har valgt og udført en strategi, forsvinder risikoen sjældent helt. Det, der er tilbage bagefter, kalder man restrisikoen. Reducerer man sandsynligheden for, at en nøgleperson bliver syg, ved at oplære en makker, så kan begge to jo stadig blive syge samtidig, om end det er mindre sandsynligt. Restrisikoen skal man kende og acceptere bevidst, for den er prisen for, at intet projekt kan gøres helt risikofrit. Registret er ikke et dokument, man skriver én gang og lægger væk. Det er et levende værktøj, man tager frem ved hvert statusmøde, hvor man tjekker, om nye risici er dukket op, og om de gamle har ændret sig. Hvordan man fanger og reagerer på afvigelser undervejs, uddybes i projektopfølgning og afvigelser, og hvem der skal informeres om hvad, hører hjemme i kommunikationsplanen.

Et gennemgående eksempel

Forestil dig et lille hold, der skal relancere en webshop inden efterårssæsonen. I risikoanalysen dukkede der flere ting op. En af udviklerne er den eneste, der kender betalingsmodulet, og bliver han syg i en kritisk uge, går det ud over hele tidsplanen: høj konsekvens, en vis sandsynlighed. Holdet vælger at reducere ved at lade en kollega arbejde tæt sammen med ham, så viden ikke sidder ét sted. En ekstern leverandør skal levere et nyt søgemodul, og bliver de forsinket, rammer det lanceringen. Den risiko overfører holdet ved at aftale en fast leveringsfrist med bod i kontrakten. At det nye design måske ikke falder i brugernes smag, er værd at reducere med en tidlig brugertest, og en kort strømafbrydelse i testfasen er så lille, at holdet blot accepterer den. Fire risici, fire forskellige svar, alle skrevet ind i registret med hver sin ejer. Det er hele idéen: ikke at eliminere al usikkerhed, men at møde den bevidst og fordelt.

Kort sagt

Når risiciene er identificeret og vurderet, skal hver enkelt have et svar. Brug risikomatricen til at prioritere efter sandsynlighed gange konsekvens, og vælg så for hver trussel mellem at undgå, reducere, overføre eller acceptere den. En hyppig, overset trussel er afhængigheden af en leverandør, hvor de samme fire strategier stadig gælder. Muligheder vender logikken om, så man i stedet fremmer dem. Skriv det hele i et risikoregister med en ejer og en handling per risiko, husk at der altid er en restrisiko tilbage, og hold registret levende gennem hele projektet.