risikostyring og kravspesifikasjon

Risikostyring og

10. oktober 2014 advokat Kjell Steffner

-Bedre føre var enn etter snar

kravspesifikasjon

Noen observasjoner • Utsettes: Risikoer det er vanskelig å

håndtere rapporteres ikke •  ”Glemt”: Noen har identifisert

risikoen lenge før den uønskede situasjonen oppstår

• Det er svært enkle feil som velter prosjekter

60% av alle feil har sitt opphav i

krav og spesifikasjon

60% av alle feil har sitt opphav i

krav og spesifikasjon

Ikke forstått

Bruk risikoanalyse og målrettet innsats i innledende faser, fremfor kostbar opprydding når det skjærer seg.!

Essensen!

5

Unngå uønskede situasjoner.!Iverksett risikoreduserende tiltak.!Vær forberedt når det uønskede inntreffer.!

Poenget er!

6

Agenda 1.  Hva er risiko? 2.  Kontrakten som verktøy for fordeling av risiko 3.  Risikostyring 4.  Juridisk risikoanalyse 5.  Metode for risikoanalyse av it-kontrakter 6.  Krav: Hva & Hvordan 7.  Krav: Spesifikasjonstyper 8.  Formulering av krav 9.  Formulering av løsning 10. Fallgruver i gjennomføringen av et prosjekt 11. Oppsummering

Hva er risiko? 1

Virkningen av usikkerhet på organisasjonens mål på en positiv eller negativ måte!Virkningen er en kombinasjon av sannsynlighet for at hendelsen inntreffer og konsekvensen dersom den gjør det. Risikostyring er aktiviteter for å avdekke og kontrollere risiko i organisasjonen. ISO 31000

Risiko

Sannsynlighet x Konsekvens = RISIKO

10

Kontrakten som verktøy

2

Kontrakten fordeler risiko Konfliktforebyggende!Konfliktløsende!

Ikke undervurder verdien av å skrive det selvsagte i kontrakten. Og bruke den.

For leverandører •  Vurdering av forespørsel •  Tilbudsfasen •  Forhandling •  Kontraktsinngåelse •  Leveranse (kjøp/tilpasning) • Drift •  Terminering

For kunder •  Behovsverifikasjon

–  Hva trenger du /skal du egentlig ha? •  Kravspesifisering •  Konkurransegrunnlag m/kontrakt •  Forhandling •  Kontraktsinngåelse •  Leveranse & aksept •  Terminering og overgang til nytt system

(transisjonsaktiviteter / bevaring av data som ikke konverteres)

Hva bør prioriteres høyest av kontraktklausuler og bilag? (konsentrer deg om bilagene om du må velge)

15

Risikostyring 3

Risikostyring •  Risikovurdering

•  Risikoanalyse •  Avdekke farekilder •  Identifisere uønskede hendelser •  Angi frekvens og konsekvens •  Sette opp risikobilde

•  Risikoevaluering •  Vurdere risiko •  Foreslå risikoreduserende tiltak •  Vurdere alternative løsninger

•  Risikokontroll/-reduksjon •  Beslutninger om risikoreduserende

tiltak •  Iverksette risikoreduserende tiltak •  Følge opp og kommunisere risiko

Basert på IEC 60300-3-9

Risikoanalyse for viderekomne

COSO 18

ISO 31000 Enterprise risk management

Juridisk risikoanalyse

4

Legal risk management

Juridisk risikoanalyse Etterlevelse av lovregler Kontrakter Immaterielle rettigheter Prosessrisiko

20

juridisk metode

21

Bruk!

ved juridisk risikoanalyse!(klarlegge rettsregel)

faktum & jus

22

Forholdet mellom!

1.  Klarlegge faktum 2.  Klarlegge rettsregel 3.  Anvende rettsregel på faktum

(subsumsjon)

Vurdering av et mulig, fremtidig

faktum

Sjekklister, policy og kontraktstandarder (+kreativitet, teft og erfaringer)

Metode for it-kontrakter

5

Systemet kan gjøres veldig avansert og raffinert.!Enkle, selvforklarende rutiner gir høy sannsynlighet for etterlevelse.!

Lag et enkelt system for risikoanalyser

25

Forhandlingshåndbok &!Policy-dokument for klausuler!Norm / føringer for hvordan ulike klausuler skal håndteres (kjøpsloven) Hva er akseptabelt? Hva bør reforhandles? Hvor er motstandspunktet?

Begynn med de viktigste klausulene og utvikle underveis!

Finn Hva kan skje?

Analyser Sannsynlighet x Konsekvens = RISIKO

Reduser Håndter Overvåk Planlegg

fjern, overfør, spre, endre

Gjenta og oppdater

risikoanalysen gjennom hele

prosessen

30

Sannsynlighet x Konsekvens = RISIKO

Kategori! Poeng! Varsle!Lav 1-3   Medium 4-9 Prosjektleder Høy 10-14 Ledelse Veldig høy 15-25 Styret

31

1 2 3 4 5

Kons

ekve

ns! Veldig alvorlig! 5 10 15 20 25 5

Alvorlig! 4 8 12 16 20 4

Moderat! 3 6 9 12 15 3

Liten! 2 4 6 8 10 2

Ubetydelig! 1 2 3 4 5 1

Veldig lav! Lav! Moderat! Høy! Veldig høy!

Sannsynlighet!

Del av helhetlig system

Finansiell Teknisk Juridisk

RISIKOANALYSE

32

Krav:"Hva & hvordan

6

Hva Kravspesifikasjon fra kunden

Hvordan Løsningsspesifikasjon fra leverandøren

Forskjell på resultatansvar og innsatsforpliktelse"(oppdrag/bistand)

Spesifikasjonstyper

7 Krav:

Typer spesifikasjon!Behov eller ytelse Funksjon Standard Detalj

38

Påvirker!• Hvor mange som kan konkurrere •  Elementet av leverandørråd i

tilbudet •  Fremtidig fleksibilitet og

kostnader • Risikofordeling

39

FOA § 17-3 Krav til ytelsen og bruk av tekniske spesifikasjoner

(1) Anskaffelsen bør spesifiseres ved en behovspesifikasjon eller angivelse av funksjonskrav. Ved utformingen av kravene skal det legges vekt på livssykluskostnader og miljømessige konsekvenser av anskaffelsen. Det skal så langt det er mulig stilles konkrete miljøkrav til produktets ytelse eller funksjon. Når det er mulig skal spesifikasjonene utformes slik at det tas hensyn til kriterier for tilgjengelighet for funksjonshemmede og universell utforming. (2) Tekniske spesifikasjoner skal gi leverandørene like muligheter og må ikke medføre unødvendige hindringer for konkurranse om offentlige kontrakter.

”eller tilsvarende” ”ikke vise til et bestemt merke, en bestemt opprinnelse, en bestemt prosess, eller til varemerker, patenter, typer eller en bestemt opprinnelse eller produksjon som har som virkning at visse foretak eller produkter favoriseres eller utelukkes”

Formulering av krav

8

Forstå problemet Forstå forretningsbehovet Finne det virkelige problemet Prioriter

Forskjellige oppfatninger ”R

ekre

asjon

smid

del fo

r opp

heng

i tre

”

Hvordan finne kravene? • Hva er naturlige avgrensninger? • Noen krav eksisterer enten du finner dem

eller ei. • Hvem er interessentene for leveransen? •  Finnes gjenbrukbare krav? • Hva skal ikke leveres? •  Test med etterpåklokskapsperspektivet

45

Hvordan jobbe med å finne kravene?!

Krav til kravet Formuler • Entydig • Forståelig • Kommuniserbart • Testbart

47

Kontroller for • Fullstendighet • Relevans • Etterprøvbarhet • Sammenheng

”Så lett at selv far kan klare det”

Det er mange som skal lese kravene og som ikke kjenner konteksten de er formulert i. Formulere kravene presist og helst uten behov for kjennskap til for mange utenforliggende forhold.

For detaljerte krav?

Ikke rette egenskaper •  Leverandøren får ikke

gitt sine beste råd •  Kunden kjenner sin

egen virksomhet best, men behersker ikke hele mulighetsrommet

Unngå overskridelser i tid og penger •  Detaljerte krav •  Fastpris og

dagbøter •  Risikoen plassert

hos leverandøren

Disposisjon (eksempel)!1.  Formål 2.  Rammer og begrensninger 3.  Funksjonelle krav 4.  Ikke-funksjonelle krav

1.  Brukervennlighet og universell utforming 2.  Ytelse 3.  Sikkerhetskrav 4.  Miljø, offentligrettslige krav, etc.

Finnes mange metoder

Mastering the Requirements Process Suzanne Robertson,

James Robertson

Formulering av løsning

9

Sørg for høyt presisjonsnivå •  Egne leveranser – positiv og negativ

avgrensning •  Forutsetninger tydeliggjort •  Forbehold •  Avhengigheter •  Kundens medvirkningsforpliktelse

Forsiktig: Fristende å for leverandører å ”selge” og love mye bilag

Prototype ”If a picture is worth 1000 words, a prototype is worth 1000 meetings”

54

Fallgruver i gjennomføringen

10

Kontraktsgjennomføring - fallgruver

i. Prosjektledelse ii. Kompetanse iii. Endring av forutsetninger underveis iv. Venter til risiko / mislighold er realisert før noe gjøres v. For komplekst eller mangelfull medvirkning fra kunden vi. Forholdet til frister / fravær av frister vii. Tapsbegrensningsplikt viii. Informasjonsflyt i egen organisasjon ix. Informasjonsflyt i kontraktsmotpartens organisasjon – interessentanalysen (forankring) x. Er de egentlige suksesskriteriene med i kontrakten?

56

Oppsummering

57

-Forstå problemet og lag en løsning

Vellykket risikoreduksjon •  Ikke vær så nøye på om en risiko er juridisk, finansiell,

teknisk eller noe annet. •  Det er viktigere å fange og evaluere risikoen enn å

plassere den i riktig kategori. •  Sørg for forankring og oppmerksomhet i ledelsen.

Risikoanalyser som ikke leses, etterspørres eller følges opp har liten verdi.

•  Opplæring og endringsledelse er viktig. Fine regneark og programvare er ikke nok. Det må skapes oppslutning om ønsket retning. Endringsprosesser må skapes og ledes.

•  La risikoanalysene leve gjennom hele prosessen fra et behov oppstår –  forhandling, levering og termineres. –  Ofte har noen tenkt noe klokt på et tidlig stadium som noen

andre ikke har tid til eller forutsetninger for å tenke på senere. •  Vær på vakt mot selektivt utvalg av risikoer. Det er

fristende å ikke rapportere ubehagelige risikoer, særlig hvis de er vanskelig å håndtere.

•  Stadig gjentagelse av risikoanalyser er en kilde til suksess.

•  Ha en plan hvis risikoen inntreffer.

Vellykket risikoreduksjon (enda mer)

Vellykket kravspesifikasjon •  Forstå virksomhetens utfordring – hva er

problemet? •  Samle informasjon fra interessenter. •  Samle personer med ulik kompetanse for å få

deres oppfatning om hvilke krav som må stilles. •  Jobben er ikke ferdig når kravene er levert til

leverandøren. Medvirkning og bidrag til leverandørens forståelse må også til.

•  Bruk risikoanalyser til å styre risiko. La risikostyringen bli en del av kravsprosessen.

•  Få kontroll på hvem interessentene er. •  Mangler det krav? Finnes det tilsiktede eller

utilsiktede uklarheter i kravene? •  Vær på vakt mot omfattende formålsparagrafer. •  Avgrens hva som skal leveres både positivt og

negativt. •  Søk et høyt presisjonsnivå. •  Vær tydelig på forutsetninger, forbehold og

avhengigheter

Vellykket løsningsspesifikasjon (enda mer)

LYNX advokatfirma DA Hieronymus Heyerdahls gate 1 N-0160 Oslo

Flere presentasjoner på http://www.slideshare.net/kjellsteffner/

Kjell Steffner ks@lynxlaw.no Tlf. 905 11 901 Twitter: @Ksteffner Blogg: steffner.no