Riskhantering är processen där riskfaktorer identifieras, analyseras och hanteras. Detta görs för att slutresultatet av projektet ska bli så bra som möjligt i så många avseenden som möjligt. Riskhantering handlar ofta om att förutse framtida händelser som kan komma att uppstå, och att utifrån detta arbete proaktivt snarare än reaktivt.
Vad är Riskhantering?
Riskhantering handlar om att vara uppmärksam på de potentiella risker som finns och hur dessa ska hanteras om de uppstår. När risker hanteras på rätt sätt innebär det både att sannolikheten minskar för att en oönskad händelse inträffar, men också att den eventuella effekten av detta inträffande minskar.
Risker är ofta de osäkra eller oförutsedda händelser eller villkor som inträffar, vilka kan påverka projektet. Riskerna behöver inte per automatik vara något negativt, utan kan också innebära möjligheter såsom att priset på ett material sjunker eller att det upptäcks enklare sätt att genomföra en aktivitet på. I dessa fall brukar det dock kallas för ”möjlighet”, men formellt behandlas det fortfarande som en risk. Detta är på grund av att det aldrig finns några garantier för hur ett projekt kommer fortlöpa, och att oväntade problem alltid kan uppstå. Att det är risker innebär att det har en inneboende förmåga att påverka utfallet och resultatet av projektet.
Att risker uppstår kan i viss grad förebyggas genom att planera projektet så exakt som möjligt. Att göra detta är dock ingen garanti för att problem inte uppstår; det kan alltid dyka upp oväntade dilemman. Det kan till exempel handla om att arbetarna blir sjuka eller behöver sluta jobbet, att de resurser som behövs visar sig vara otillgängliga, att vädret hindrar en från att utföra arbetet på ett säkert sätt och andra saker som inte går att påverka. Vissa av dessa faktorer kan dock ofta förutses, eller åtminstone kännas till, och då går det också att ha en uppfattning om hur man kan hantera det om det inträffar samt minska sannolikheten för att det sker med det som går att påverka.
I fall där ingen riskhantering görs och det upptäcks misstag som har gjorts i planeringen blir man tvungen att åtgärda problemen som uppstått. Det kan till exempel handla om att man beräknat den tänkta arbetstiden fel, och utgått från att en uppgift kommer bli klar snabbare än den blir, vilket i sin tur påverkar både projektet som helhet men även i vissa fall andra arbetsmoment som ska göras. Resultatet blir ofta att leveransen och slutprodukten blir fördröjd, och att omkostnaderna ökar för bland annat arbetskraft och lokalhyra.
I andra fall kan det handla om att en riskhantering har gjorts, men att denna visar sig vara felaktig eller otillräcklig i sig. Vilket även det har en inverkan på hur projektet hanteras och fortlöper. Det kan till exempel handla om att hanteringen som tänkts göras är orealistisk eller att den inte är tillräckligt noggrant gjord. Det som händer så är ofta att man får ta till krishantering istället för riskhantering, vilket inte alltid är optimalt.
Anledningen till att det kan uppstå konflikter kring planeringen och riskhanteringen kan bland annat bero på att det finns skilda åsikter om olika företeelser. Det kan till exempel handla om att det har gjorts ett schema över sex månader, där allt arbete ska hinna utföras, medan arbetarna menar att de behövs minst nio månader för att utföra det tänkta jobbet.
Om projektledaren jobbar proaktivt kommer projektgruppen att skapa en beredskapsplan redan i det läget, och på så sätt komma på lösningar redan innan projektets förfallodag närmar sig. Om projektledaren däremot är reaktiv kommer ingenting göras i förebyggande syfte, utan först tas hand om när problemet väl visar sig. Detta leder ofta till att arbetet blir mindre tidseffektivt, och att slutdatumet för projektet dessutom är nära.
När ett projekt planeras är riskerna fortfarande okända och osäkra, på så sätt att de ännu inte har inträffat. Under projektets gång kommer dock vissa av riskerna kunna visa sig, vilket innebär att de behöver hanteras.
Det finns fyra grundläggande sätt att hantera en risk på:
• Undvik: Om möjligheten finns att undvika en risk är detta ofta det bästa alternativet att tillgå. Det handlar helt enkelt om att förhindra att risken uppstår, och på så vis skyddar projektet från att drabbas av det. I vissa fall är det möjligt att undvika problemen, och i andra fall inte, och i de fall det inte går får man se till att hantera det på något annat sätt.
• Mildra: I situationer där det inte går att undvika riskerna kan de i vissa fall åtminstone mildras; både riskerna i sig, men även effekten av dessa. Mer konkret innebär det att använda sig av någon åtgärd som skadar projektet i så liten grad som möjligt.
• Överföring: Ett annat sätt att hantera riskerna på är att överföra dem till någon annan som blir ansvarig för dem. Vanligtvis handlar det om att teckna försäkringar som då till viss del blir ekonomiskt eller pragmatiskt ansvariga för det.
• Acceptera: När det inte går att undvika, mildra eller överföra en risk blir det nödvändigt att acceptera den. Detta är alltid det sista sättet att hantera en risk på, och bör enbart tillämpas när de andra alternativen har setts över och förkastats. I dessa fall är acceptans det enda alternativet som finns kvar.
Hantera risk i projekt
När riskerna visar sig i projektet är det redan för sent att förebygga dem, vilket innebär att de behöver hanteras på något annat sätt. Det är just därför det är viktigt att vara förberedd på detta redan från början, så att de möjliga handlingsalternativen redan finns tillgängliga och inte är någonting som behöver kommas på i det akuta skedet.
Detta kan till exempel vara i form av en riskhanteringsplan som beskriver hur riskerna i projektet ska hanteras. Det brukar även finnas dokumenterat hur risken ska bedömas, vem som är ansvarig för vad och hur ofta riskplaneringen ska göras.
Risker kan vara både tekniska, externa och interna. Av den anledningen är det viktigt att det finns riktlinjer som hjälper till att beräkna hur stor påverkan en eventuell risk kan innebära. Sannolikheten är större för att vissa risker inträffar än andra, och det är ofta bra att vara medveten om vilken sannolikhet det är som gäller för de olika delarna i det specifika projektet.
Vad är syftet med riskhantering?
Syftet med riskhantering är, som ovan nämnts, att identifiera de eventuella riskerna, minska eller fördela dessa, skapa en rationell grund för att kunna fatta beslut gällande riskerna samt att kunna använda det som ett verktyg vid planering av projektet. Riskhantering ses ofta som det främsta redskapet som finns för att skapa en möjlighet för att skapa ett så framgångsrikt projekt som möjligt, betraktat utifrån de potentiella riskerna som finns.
När riskhanteringen sker kontinuerligt kan riskerna inom projektet hanteras så snabbt som möjligt under projektets gång, vilket blir kostnadseffektivt. Det gör det också möjligt att kunna delge informationen kring riskerna till de som leder projektet på olika planer, så att de i sin tur kan fatta välgrundade beslut kring sådant som rör projektet.
Hur görs en riskhantering?
De risker som finns kan ha olika ursprung, och när man ska kolla på vilka risker som finns är det viktigt att få en så bred förståelse som möjligt för att förstå helheten och hur olika processer påverkar varandra. Riskkällorna kan variera och skilja sig åt mellan olika projekt, vilket betyder att man alltid bör utgå från det egna projektet snarare än att enbart basera riskidentifieringen på färdiga guider och riktlinjer som finns att tillgå. Några exempel på riskkällor kan vara följande:
• Organisatoriskt: När riskkällorna är organisatoriska kan det bland annat handla om att olika beslutsfattande parter inom projektet inte ger projektet det erkännandet det borde ha eller inte tar hänsyn till relevanta faktorer vid planeringen av projektet. Det kan också handla om att ledningen har många projekt som pågår parallellt eller att det finns oklarheter i vilka som är ansvariga för vad inom projektet.
Det kan också finnas konflikter mellan kollegorna som gör det svårt att samarbeta eller förstå varandras roller inom projektet. Planeringen kan vara bristfälligt gjort och ha liten koppling till det som faktiskt behöver göras. Det kan också handla om att resurserna som behövs inte finns tillgängliga, inte är tillräckliga eller att det finns motsättningar kring vad olika parter inom projektet prioriterar.
• Externt: De externa riskkällorna kan vara både förutsägbara och oförutsägbara. Det som kan vara svårt att förutse kan till exempel handla om att nya verksamhetsmässiga regleringar börjar tillämpas, vilket påverkar hur verksamheten kan bedrivas. Det kan också ske naturkatastrofer som hindrar arbetet från att fortgå, eller någonting arbetsplatsmässigt som påverkar möjligheten att fortsätta projektet, såsom sabotage av något slag.
Externa riskkällor som kan förutsägas enklare kan till exempel handla om hur valutakurser förändras, medias inverkan, marknadsrisker eller operativa risker, sociala- eller miljömässiga risker samt inflation. Att dessa saker i viss utsträckning kan förutsägas kan också göra det lättare att hantera dem och ha det i åtanke vid planeringen av projektet.
• Tekniskt: De tekniska riskkällorna kan till exempel handla om tekniska förändringar som gjorts, eller som kan kopplas till design av olika föremål som används.
• Rättsligt: Rättsligt kan det uppstå risker kring bland annat avtal, lagstiftning, tvister och skadestånd eller att licenser överträds.
Riskanalysprocess
En riskanalysprocess är framför allt ett verktyg för att bestämma, prioritera, bedöma och utvärdera de olika problemlösningsförslagen som finns. Det är en kvalitativ metod och processen innefattar bland annat följande:
• Identifiera risken: Att identifiera risker är ofta både en kreativ och en disciplinär process. Det är kreativt på så sätt att det är vanligt att använda sig av brainstorming och liknande metoder för att identifiera de risker som finns. Det sker oftast i grupp och alla personer som är involverade i projektet kan vara delaktiga i processen. När riskerna har identifierats skrivs de ner i en lista, som består av varje moment som kan gå fel, på vilket sätt detta kan ske och hur det kan åtgärdas. Utvärderingen av dessa idéer kommer först vid ett senare tillfälle.
Den mer disciplinära delen av processen innebär att skapa mer formella listor – ofta checklistor – över de potentiella riskerna, samt att utvärdera sannolikheten för att dessa inträffar. Vissa företag baserar sina föreställningar om sannolikheten på sina tidigare erfarenheter i form av liknande projekt de genomfört. Listorna kan vara bra att ha för både projektledaren och projektgruppen, då de visar både på hur gruppen föreställer sig projektet och även hur projektet kan tänkas fortlöpa. Projektgruppens erfarenheter, projektupplevelser inom företaget och experters uttalanden inom de relevanta områdena kan vara värdefulla resurser att använda sig av när riskerna ska identifieras.
Riskerna kan förekomma och identifieras inom flera olika områden, till exempel tekniskt, ekonomiskt, schematiskt, samarbetsmässigt, gällande avtal, miljö och väder, finansiellt, politiskt, mellanmänskligt och socialt.
• Kategorisering och prioritering av risken: När riskerna har identifierats kan man med hjälp av olika bedömningsinstrument kategorisera dessa, samt bestämma vilken prioritet olika risker bör betraktas utifrån. Det är vanligt att det totala antalet risker som har identifierats överstiger den tidsram som projektet har att tillgå, vilket är anledningen till att riskerna behöver prioriteras efter hur pass stor sannolikheten för att de inträffar är.
Vissa riskhändelser är mer eller mindre benägna att inträffa än andra, och kostnaderna olika risker kan innebära kan skilja sig åt väldigt mycket. Att utvärdera sannolikheten för riskens uppkomst samt dess svårighetsgrad eller den potentiella förlusten för projektet blir därför en viktig del av planeringsprocessen. Genom att få en bättre bild av vilken inverkan de kan ha på projektet blir det också möjligt att komma på handlingsplaner för att förebygga detta.
• Bedömning av risken: När riskerna har identifierats måste också dess orsaker fastslås. Det kan till exempel göras genom att ställa frågor såsom:
– Vad beror risken på?
– Hur kommer risken påverka projektet?
På så sätt kan man flytta fokuset från problemformuleringen till problemlösning.
• Problemlösning: Efter att orsakerna bakom riskerna har fastslagits är det dags att tänka igenom de olika åtgärder som kan tillämpas för att förändra utfallet eller förhindra att risken uppstår. Frågor som kan ställas är bland annat:
– Vad kan göras för att minska sannolikheten för att risken uppstår?
– Hur kan man hantera risken, om den skulle uppstå?
Därefter skapas en beredskapsplan och/eller åtgärder som förebygger risken. Detta kan sedan användas om risken skulle uppstå, och projektet behöver på så sätt inte hamna i ett krisläge.
Risk och påverkan
Det finns generellt en korrelation mellan risken och dess påverkan, vilken kan både öka och minska beroende på bland annat projektets komplexitet. Risker och dess påverkan kan delas in i fyra olika kategorier:
1. Stark påverkan och hög sannolikhet att det inträffar.
2. Stark påverkan och låg sannolikhet att det inträffar.
3. Liten påverkan och låg sannolikhet att det inträffar.
4. Liten påverkan och låg sannolikhet att det inträffar.
Det brukar vara projektledningsgruppen som tilldelar de tekniskt ansvariga personerna de resurserna som behövs för att kunna säkerställa att projektmålen uppnås. Ju mer komplext projektet och dess olika beståndsdelar är, desto mer resurser brukar vara nödvändiga för att kunna uppnå målsättningarna. Dessutom kan varje resurs innebära potentiella risker, och det finns oftast en möjlighet att oväntade problem uppstår.
Det kan till exempel handla om att en specifik resurs behöver finnas tillgänglig vid en specifik tidpunkt. En risk i det fallet skulle kunna vara att resursen anländer för sent, inte fungerar som tänkt eller liknande. För projektgruppen skulle det innebära extra utgifter om resursen inte fanns tillgänglig eller inte var i det skicket som hade tänkts. I vissa fall kan det gå att förutse den typen av händelser, till exempel genom att kolla på leverantörens leveranshistorik; om de brukar leverera i tid och om produkterna brukar vara i bra skick. Om det visar sig att de systematiskt brukar vara sena med leveranser eller att kvaliteten på andra sätt brukar vara begränsad skulle man till exempel kunna anlita en annan leverantör, eller se till att ha med det i beräkningen och se till så att leveranstiden är förlagd innan resursen behövs och så att det finns utrymme för fördröjning.
Det är inte alla projektledare som gör en formell riskbedömning i sina projekt, vilket bland annat kan bero på att det finns en låg förståelse för de verktyg som används, och av fördelarna med att ha en strukturerad analys av de projektrisker som kan finnas. Bristen på formella riskhanteringsverktyg kan också betraktas som ett hinder vid genomförandet av ett riskhanteringsprogram. Andra anledningar till att riskbedömningar inte görs kan bero på projektledarens personlighet, ledningssätt och arbetssätt. Det kan till exempel handla om huruvida personen jobbar proaktivt eller reaktivt, vilken typ av projekt det handlar om och dess omfattning, eller hur förmågan att hantera olika problem som kan uppstå ser ut.
I projekt som har låg komplexitetsprofil kan det ofta vara lättare att lokalisera de delar och objekt som kan ses som risker. Vid mer komplexa projekt kan man ofta behöva tänka i flera steg, skapa listor över högriskobjekt och spåra dem regelbundet. När ett projekt är både mer komplext och mer omfattande behöver det ofta göras utvärderingar under projektets gång och riskerna behöver kontinuerligt lokaliseras, bedömas, hanteras och utvärderas.