Riskhantering - Varför bör företag arbeta med riskhantering i IT projekt?

Den ekonomiska kris som vi just nu befinner oss i har sin kärna i ett simpelt misstag som en stor mängd företag gjorde ungefär samtidigt. Dessa företag gjorde helt enkelt ett dåligt arbete vad gäller riskhantering. Man gjorde riskfyllda investeringar och innan man förstod hur riskfyllda dessa var hade man satt en boll av negativa följdverkningar i rullning.

Riskhantering
Den ekonomiska kris som vi just nu befinner oss i har sin kärna i ett simpelt misstag som en stor mängd företag gjorde ungefär samtidigt. Dessa företag gjorde helt enkelt ett dåligt arbete vad gäller riskhantering. De gjorde investeringar som var väldigt riskfyllda och utan att förstå HUR riskfyllda dessa var hade man satt en boll av negativa följdverkningar i rullning.

När det gäller företagets IT avdelning möter denna ofta samma utmaning som dessa företag. I början på varje nytt år har IT avdelningen i regel mängder av olika projekt att arbeta med och detta bör naturligtvis ses ur positiv synvinkel. Dock kvarstår ett problem och det är att de flesta IT avdelningar gör ett ganska undermåligt arbete när det gäller att bedöma riskerna i de olika projekten.

Istället fokuserar IT avdelningen (mer eller mindre tvingat) på marknad och ROI (Return of Investment) vilket naturligtvis också är faktorer som bör vara med i den totala bilden av projektet. Marknadsavdelningen eller ”marknadsorienterat folk” inom företaget har i regel en mer lyhörd stämma än IT avdelningen och personer i ledande befattning har (av kanske naturliga skäl) en förkärlek att lyssna på dessa.

Den säkerhetsorienterade ”IT figuren” inom företaget ses ofta som en bromskloss. Och eftersom han (eftersom det i regel är en han) inte allt för sällan saknar en kommunikativ förmåga att förklara olika risker i ett projekt på ett begripligt sätt faller dennes ansatser till att göra ett bra jobb till föga.

Jag säger naturligtvis inte att det alltid är på detta sätt. Många företag har en väldigt bra kommunikation inom organisationen där alla sidor får göra sig hörda och KAN göra sig hörda på ett begripligt sätt. Marknad och säkerhet har ofta svårt att gå hand i hand och därför är en grundförutsättning att företrädarna för dessa bägge sidor finner ett bra sätt att kommunicera med varandra. Om man låser igen och kastar bort nyckeln blir det svårt att tjäna pengar och arbetar man efter ”fritt flöde” kommer man snart att vara utsatt för otrevligheter från både externt och internt håll.

Inkludera IT chefen eller den IT ansvarige i ledningsgruppen
Mitt personliga önskescenario är att varje företag oavsett storlek väljer in den individ man har tillsatt som ansvarig för IT i ledningsgruppen. Att välja in den IT ansvarige i ledningsgruppen ger ökad tyngd åt IT relaterade frågor men framförallt får man i regel en bättre kommunikation och förståelse mellan olika intressegrupper inom företaget.

Jag tror att vi måste klargöra ett par saker för att underlätta mitt resonemang:

1. IT är här för att stanna.
2. IT påverkar oss alla oavsett befattning eller företagsform.

Jag pratade om risker i IT projekt och det skall vi fortsätta med. Om vi som medarbetare inom ett företag inte vill hamna i en IT ”härdsmälta” bör vi finna fungerande vägar att kalkylera IT relaterade risker innan vi påbörjar ett projekt.

Vilka är då riskerna när vi pratar om ett IT projekt? Om vi pratar om en IT relaterad risk i sin enklaste form är det att ett IT projektet på grund av olika händelser misslyckas med att leverera det organisationen förväntar sig. Syftet med riskhantering är att säkerställa att organisationen förstår vilka risker som hör samman med ett specifikt projekt. Detta skall vara klarlagt innan projektet startas och det skall även vara klarlagt hur organisationen skall hantera/åtgärda de redovisade riskerna under projektets gång.

När det gäller IT relaterade projekt är riskerna oftast associerade till data/information som organisationen hanterar. När jag säger hanterar menar jag insamlar, underhåller, behandlar och lagrar. Vi som arbetar med IT inom företaget måste sträva efter att fokusera på värdet av data/information som vårt IT projekt kommer att behandla. Vi måste också avgöra hur sannolikt det är att vårt projekt inte kommer att klara av denna hantering där vi i värsta fall skadar eller förlorar delar eller all hanterad information.

Vad som är intressant i denna fråga är att många projekt som bedrivs inom ett företag där inte IT är direkt inblandat ofta har en fungerande riskhantering. Detta kan till exempel gälla när en specifik produkt skall lanseras, hur budgeten för marknadsföring skall spenderas eller hur olika typer av investeringar skall genomföras.

När det gäller riskhantering inom IT relaterade projekt kan detta förbättras och förenklas genom att skapa en bättre kommunikation mellan berörda parter. Vi kommer då tillbaks till IT chefens eller den IT ansvariges vara eller inte vara inom ledningsgruppen.

Riskhantering bör inkluderas i alla steg när det gäller organisationens IT relaterade projekt. Detta bör gälla från projektplanering ända fram till dess att projektet är sjösatt och levererar i full kraft. Det vi troligtvis kan vara överens om är att det kostar mindre att ”släcka”/åtgärda en risk när vi är i projektplaneringsfasen jämfört med vad det kostar att ta hand om detta när projektet är försatt i skarpt läge.

Vad kostar då riskhantering?
Den krassa sanningen är att rätt utförd riskhantering kostar en del. Vi måste avsätta rätt resurser och mantimmar vilket kostar pengar. Men detta kommer att betala sig med tiden eftersom vi troligtvis slipper en stor del av de driftstörningar vi annars skulle ha fått under projektets livscykel. Otaliga är de fall där dåligt riskanalyserade projekt har kostat företag stora belopp utan att ens ha sett dagens ljus.

Jag har själv deltagit i ett fyra år långt projekt som inte ens kom till skarpt läge eftersom vi gjorde en undermålig analys och därefter hantering av de risker vi ställdes inför. Man kan säga att jag har lärt mig den hårda vägen och jag hoppas verkligen att du som läser detta slipper känna den frustration som infinner sig när man inser att flera år av hårt arbete är ”nerspolat” på grund av rent utsagt slarv.

Hur vet jag om vårt sätt att arbeta fungerar?
Vi skall titta på två sätt att ta reda på detta. Många företag använder sig av en intern revision för att se om riskanalys och riskhantering inom organisationen levererar önskvärd effekt. Detta kräver naturligtvis rätt kompetens för att genomförandet skall bli så bra som möjligt. Ett annat sätt är att använda sig av extern revision, det vill säga anlita ett företag som är specialiserat inom området. Det kostar en del men det är alltid bra att granskas av annan part. Det är lätt att bli hemmablind vilket i en förlängning kan ställa till det för organisationen ifråga.

I de flesta IT avdelningar som har en fungerande riskhantering finansierar man detta via den fastslagna IT budgeten. I de flesta organisationer som arbetar aktivt med riskhantering finns en stark tro på att väl genomförd riskhantering kommer att spara organisationen pengar.

Jag hoppas att du har fått lite mer kunskap gällande riskhantering efter att ha läst detta dokument. Delar av fakta i detta dokument kommer från TASC.com.

Mvh,
Tomas

Användarvillkor

Annonsera

Förbättra

Bidra med information

Pssst, kolla detta!