Riskanalys är en metod inom projektledning som syftar till att vara observant på de potentiella risker som kan finnas med projektet, för att på så sätt kunna hantera dessa på lämpligt sätt så snabbt som möjligt – istället för att de uppkommer som en överraskning senare under projektets gång.
Med hjälp av riskanalys kan man både förebygga och skapa en möjlighet att undvika att krissituationer uppstår. Detta baseras bland annat på att ta del av de lärdomar som har gjorts i andra liknande situationer och projekt. På så sätt blir riskidentifieringen lättare och det blir dessutom enklare att nå upp till projektmålen som satts, vilket innebär att kostnaderna hålls nere.
Vad är en Riskanalys?
När man gör en riskanalys identifierar man de problem och risker som kan uppstå, och som kan ha negativ inverkan på projektet eller företaget. För att kunna utföra en riskanalys behöver man först identifiera de hot som kan tänkas uppkomma, samt göra en uppskattning av hur stor sannolikheten är att de kommer uppstå.
Riskanalyser kan vara komplexa att göra, då man behöver utgå från väldigt detaljerad information som bland annat kan finnas i projektplaner, finansiell data, säkerhetsprotokoll, prognoser över marknadsföringen och liknande. Riskanalyser ses dock ofta som ett viktigt verktyg när det kommer till att planera projektet, och kan innebära att man sparar såväl tid som pengar och anseende.
När används en Riskanalys?
Riskanalyser är användbara i flera olika situationer. Det kan bland annat vara behjälpligt vid planering av projekt, som hjälp för att förutse och kunna motverka eventuella problem som kan uppstå, eller vid bedömning av huruvida man borde fortsätta med ett projekt eller inte. Det kan också vara bra för att kunna förbättra säkerheten på arbetsplatsen och vid hanteringen av risker.
Genom att göra en riskanalys kan man också vara mer förberedd på situationer som kan uppstå; allt från brister i utrustningen eller tekniska problem, till stöld, personalsjukdom och katastrofer av olika slag. Riskanalysen gör det även möjligt att få ett större helhetsperspektiv på projektet som sådant, där man tar med bland annat konkurrerande företag i beräkningen och hur deras verksamhet kan komma att påverka hur framgångsrikt det egna projektet blir. Det kan också innebära att man sätter sig in i rådande politik, och eventuella politiska beslut som är på väg att fattas och som kan påverka verksamheten och hur denna bedrivs.
Hur gör man en Riskanalys?
När man gör en riskanalys brukar den huvudsakligen bestå av tre kategorier: Riskidentifiering, riskberäkning och riskhantering. Riskidentifieringen handlar, som namnet antyder, om att identifiera de risker som kan finnas och som kan komma att uppstå. Riskberäkningen görs efter att riskerna har identifierats, och handlar om hur stor sannolikheten är att olika av dessa problem uppstår och vad som händer om det sker. Riskhanteringen hur man ska hantera situationen om det skulle ske. Detta görs för att se till så att minsta möjliga skada kan åstadkommas. Alla dessa kategorier innehåller i sin tur flera olika delar, vilka är:
1. Identifiera risker
Riskerna som finns i ett projekt bör identifieras och hanteras så tidigt som möjligt under projektets gång. Det här görs under hela projektets livstid, men är särskilt relevant att göra inför, och vid, de viktigaste milstolparna. Riskidentifiering är av den anledningen ofta ett av huvudämnena under olika möten som rör projektets status och rapportering kring projektet.
Hur tydliga olika risker är kan variera; vissa kan vara uppenbara medan andra kan vara svårare att förutsäga. Vanligtvis brukar riskerna registreras i ett särskilt register och lagras i projektservern som används.
• Mänskliga risker: Projektet förutsätter ofta någon form av mänsklig arbetskraft eller mänsklig inverkan. Ibland kan det dock hända att någon person som är involverad i projektet blir sjuk, skadas, säger upp sig eller avlider.
• Operativa risker: Ett projekt består ofta av samverkan mellan flera olika instanser, bland annat leverantörer och drift. I vissa fall kan det ske avbrott i leveranser, att produkter som behövs är slut, att driften ligger nere eller att det är fel i distributionen.
• Anseendemässiga risker: Anseendemässiga problem handlar om att kunder eller anställda förlorar förtroende för ledningen, projektet, organisationen eller företaget. Det kan i sin tur påverka företagets rykte och dess framtida kundkrets.
• Processuella risker: Det finns generellt någon som är ansvarig för olika delar av projektet. I vissa fall uppstår det en åtskillnad mellan vad någon är ansvarig för och vad hen gör. Det kan handla om misslyckanden i olika ansvarsområden, interna system eller kontroller. Det kan också handla om saker som bedrägerier.
• Projektmässiga risker: Ett projekt har alltid en målsättning som det strävar efter. I somliga fall kan det hända att ett projekt går över sin tänkta budget, att projektet tar längre tid att utföra än planerat eller att det finns problem med produkterna som tillverkas eller med servicen.
• Finansiella risker: De finansiella riskerna kan både vara interna och externa. Internt kan det handla om otillräcklig finansiering eller att kostnaden för projektet överstiger den tänkta budgeten. Det kan också handla om affärssvikt som uppstått av olika anledningar. Externt kan det handla om hur börsen ser ut och ränteförändringar.
• Tekniska risker: De tekniska riskerna som kan finnas kan både bero på tekniska fel eller på tekniska uppdateringar där tidigare versioner av olika tekniska produkter slutar fungera. Det kan påverka projektet med exempelvis otillräcklig tillgång till teknik som behövs eller att tekniken som has inte fungerar på önskvärt sätt.
• Miljörisker: Miljörisker kan bland annat handla om förändringar i väder eller klimat, men också socialt. Det kan handla om allt från naturkatastrofer, torka, översvämningar, storm till sjukdomar och spridning av dessa.
• Politiska risker: Beslut som fattas gällande skatteförändringar, förändringar i den allmänna opinionen, regeringens politik eller internationellt inflytande. Allt detta kan ha en inverkan på den lokala eller nationella verksamheten som bedrivs.
• Strukturella risker: De strukturella riskerna är ofta kopplat till sådant som systematiskt sker i arbetsmiljön. Det kan handla om hantering av farliga kemikalier, dålig belysning, bullrig miljö, fallande material eller situationer där personalen, produkterna eller tekniken kan skadas.
Ovanstående punkter kan användas som en riktlinje för vilka eventuella risker som kan finnas, och för att se vilka av dessa som är relevanta vid just ditt projekt. Det kan även finnas andra risker som inte räknats med ovan. Fundera på vilka system, processer och strukturer som gäller inom ert projekt. Vilka sårbarheter kan ni upptäcka?
Om du jobbar som projektledare kan du ta hjälp av medarbetarna för att få en så omfattande och nyanserad bild som möjligt av riskerna. Arbetare som jobbar på olika positioner ser ofta också olika delar av verksamheten. Se vad de har att tillägga som du kanske missat eller inte har lagt märke till!
2. Beräkna riskerna
Det finns flera olika sätt att beräkna sannolikheten för att riskerna uppstår på. Ett sätt är att till exempel utgå från vad det skulle innebära om händelsen i fråga uppstår, och sedan multiplicera det med vad det skulle kosta att återställa saker igen. Detta ger dig en summa för vad risken skulle kosta dig.
Sannolikhet för händelse * Kostnad för händelse = Riskvärde
Det kan till exempel handla om att hyran för lokalerna ni har höjs drastiskt. Om sannolikheten för detta beräknas vara 80 procent inom det närmaste året, då den brukar höjas årligen, så kan du beräkna den nya tänkta hyran utifrån detta. Om det sker kan det komma att kosta ditt företag 4 000 000 kronor extra per år.
Detta beräknas genom följande formel:
0,8 (sannolikheten för händelse) * 4 000 000 (kostnad för händelse) = 3 200 000 (riskvärde)
Det går också att använda sig av en metod för att beräkna riskens inverkan eller riskens möjlighet för att bedöma riskerna. Det kan också hjälpa dig att identifiera vilka risker du behöver fokusera på.
Det här steget kan ibland ta lite tid att genomföra, men det är alltid bäst att göra det så noggrant som möjligt då det kan hjälpa till att förebygga oönskade situationer som kan uppstå i ett senare skede under projektets gång.
3. Hantera riskerna
Efter att riskvärdet har beräknats är det dags att kolla vilka olika alternativ som finns för att hantera dessa. Ett tips här kan vara att alltid leta efter kostnadseffektiva sätt, då det sällan är optimalt att spendera mer pengar på att eliminera en risk än vad det kostar om händelsen skulle uppkomma. Här kan det vara viktigt att vara noggrann så att hanteringen inte sker på bekostnad av till exempel personlig säkerhet eller etiska hänsynstaganden.
Det är vanligt att göra en riskhanteringsplan. Denna är oftast organisationsbaserad och granskas samt anpassas för att passa och definiera projektet. I riskhanteringsplanen finns definitioner och riktlinjer över bland annat de möjliga riskfaktorerna, påverkan och sannolikhetsmatris, riskreducering och handlingsplan, beredskapsplan samt riskgränser och mätvärden.
• Undvik risken: I vissa fall kanske det bästa är att undvika risken helt och hållet. Det kan till exempel innebära att man inte blir involverad i ett företag, genomför ett projekt eller att man hoppar över en högriskaktivitet. Det här kan vara rimligt att tillämpa när det enbart finns risker med ett alternativ, och inga eventuella fördelar. Det kan också vara värt att överväga det här alternativet om kostnaderna skulle vara allt för höga i förhållande till den eventuella vinsten.
• Analysera risken: Analysera risken genom att göra en så kallad ”what if?”-analys. Det här är ett sätt att utforska de alternativ som finns, och de eventuella effekter varje alternativ kan få.
• Dela risken: Det går ofta att dela risken – och då även den potentiella vinsten – med till exempel andra människor, grupper, organisationer eller en tredje part. Det kan till exempel handla om att ordna försäkringar så att försäkringsbolaget hjälper till ekonomiskt om någonting skulle gå sönder eller bli stulet. Det kan också handla om att samarbeta med en annan organisation för att gemensamt skapa produktutveckling av olika slag.
• Acceptera risken: Att acceptera risken är ofta det sista alternativet man bör ta till, och passar sig främst att använda om det inte finns någon möjlighet alls för en att kunna förebygga, förhindra eller förmildra riskerna och de potentiella förlusterna. Det kan till exempel handla om att acceptera risken med att lansera ett projekt senare än tänkt, om det fortfarande finns potential för att försäljningen kan täcka kostnaderna detta har inneburit.
Innan man bestämmer sig för att acceptera risken är det dock en bra idé att göra en konsekvensanalys för att kunna se de fullständiga konsekvenserna som beslutet kan innebära. Även om det inte alltid går att göra någonting för att förhindra risken kan man förbereda sig på den med en beredskapsplan som gör det enklare för en att hantera konsekvenserna som uppstår av den.
• Kontrollera risken: Om man har bestämt sig för att acceptera risken kan man göra vissa saker för att minska påverkan detta innebär. Det kan till exempel handla om att minska inverkan som högriskaktiviteter kan tänkas ha. Det kan göras genom att använda sig av den i mindre skala och på ett kontrollerat sätt, så att effekterna av det inte blir så omfattande.
Förebyggande åtgärder betyder att man förhindrar att en högrisksituation uppstår. Det kan innebära att arbetsgruppen får utbildning inom hälso- och säkerhetsvård samt brandskydd. Det kan också vara att man identifierar varje del i projektet som kan gå fel, och sedan försöker ta till de åtgärder som krävs för att undvika att det sker. Det kan göras i form av att dubbelkontrollera finansrapporter, genomföra säkerhetstester innan en produkt släpps eller installera sensorer för att upptäcka produktfel.
• Planera, gör, kontrollera, agera: En annan, liknande, metod för att kolla vilka effekter en risksituation kan ha kallas för ”plan-do-check-act”, eller: planera, gör, kontrollera, agera. För företag handlar det ofta om att testa olika möjliga sätt för att minska risken. De fyra faserna fungerar som ett verktyg för att analysera situationen, skapa och testa en lösning, kontrollera hur lösningen fungerade och implementera den.
Riskhanteringsplan och riskövervakning
Det finns sällan några snabba lösningar att använda sig av för att kunna minska eller eliminera de risker som finns inom projektet. Vissa av dem kan behöva hanteras och reduceras över längre tidsperioder, vilket är en anledning till att det kan vara bra att utarbeta handlingsplaner för att minska riskerna. Handlingsplanerna kan bland annat omfatta saker som riskbeskrivning med riskbedömning, beskrivning av åtgärden för att minska risken, vem som är ansvarig för att åtgärda risken samt åtgärdsdatum för genomförandet av riskåtgärden.
Riskhandlingsplanerna bör tilldelas personen som ska genomföra den. Varje risk bör dessutom dokumenteras i ett särskilt riskregister i överenskommelse med intressenterna, och att detta görs bör säkerställas av projektledaren. Målet med riskplanerna är att eliminera risken, minska sannolikheten för att en riskhändelse uppstår samt minska riskens inverkan på projektets slutliga mål.
Riskplanerna kan påverka både tid och kostnader, vilket gör det nödvändigt att beräkna dessa omkostnader så noggrant som möjligt. Det gör det också enklare att välja ett lämpligt alternativ för åtgärden, när varje alternativ kan jämföras med de andra alternativen. När de olika alternativen har jämförts och lämpligt alternativ har valts ut kan det ofta genomföras i samråd med intressenterna.
I riskregistret dokumenteras varje riskutlösande faktor. Denna identifierar i sin tur de risksymptom och varningssignaler som finns, vilka indikerar om en risk har uppstått eller kan komma att inträffa. Det kan dessutom ge en indikation på när risken kan komma att ske.
När det kommer till ansvar över riskerna är grundregeln att det är projektledaren som är slutgiltigt ansvarig för det som sker, men ansvaret kan också ligga på andra personer eller delas upp. Generellt brukar ansvaret ligga på den som bäst kan övervaka de riskutlösande faktorerna, men det kan också ligga på de som är bäst lämpade att driva igenom motåtgärderna som har beslutats om. Personen som är ansvarig har i uppgift att rapportera eventuella förändringar som upptäcks under projektets gång, och i statusen av de olika faktorerna som kan fungera riskutlösande.
I riskövervakningen innefattas bland annat:
• Riskidentifiering: Att identifiera nya potentiella risker och planera för eventuella åtgärder av dessa. Detta sker under hela projektets gång.
• Kontroll av befintliga risker: Det är viktigt att både hålla koll på de riskerna som har identifierats, men också att kontrollera huruvida dessa risker behöver omvärderas, om några av riskfaktorerna har utlösts, vara uppmärksam på eventuella risker som kan tänkas bli mer kritiska över tiden och att åtgärda de risker som kräver det.
• Omvärdering av riskerna: Om några risker inte kan åtgärdas helt behöver eventuell handlingsplan av dessa ses över, och vid behov ändras. Risker kan både uppkomma och upphöra under projektets gång.
• Riskrapportering: Riskregistret uppdateras regelbundet, utifrån ovanstående punkter. Riskrapporteringen är en av de grundläggande verktygen när det kommer till att hålla koll på de kritiska delarna som finns i projektet. Verktyget ska finnas tillgänglig på den centrala servern och vara åtkomlig för samtliga intressenter så att de kan hålla sig uppdaterade om hur projektet fortlöper.
Samtliga av dessa fyra delar är processer som pågår kontinuerligt under hela projektet, och kan ta sig uttryck i form av statusrapporter, leveransstatus, övervakning och kontroll av risker. Det aktiveras i olika rapporter som exempelvis kvalitetsrapporter, lägesrapporter och uppföljningsrapporter.