3. december 2018

Af: Sune G. Egeskjold Stöckel

I september 2018 udmøntede regeringens Strategi for it-styring i staten sig i en opdateret it-projektmodel, som statslige it-projekter fremover skal efterleve. Statslige IT-projekter til over 10 mio. kr. skal alle risikovurderes af Statens IT-råd. De igangværende af disse projekter, der allerede er risikovurderet af Statens IT-råd, kan forsætte i den hidtidige projektmodel, igangværende projekter, der ikke er risikovurderet endnu, skal have fastlagt deres model i samarbejde med Ministeriernes kontor for it-styring og endelige projekter, der efter d. 28. september 2018 overgår til analysefasen, skal alle anvende den nye model. Denne nye model og særligt den nye skabelon til risikoregisteret er omdrejningspunktet for denne artikel.

Den nye it-projektmodel

Ændringerne i modellen har sigtet mod at efterleve fem væsentlige målsætninger: 1) det skal være mere attraktivt at arbejde med statens it-projektmodel. 2) et øget fokus på gevinster. 3) skabe endnu mere værdi af IT-rådets risikovurdering, ved en mere differentieret og tilpasset rådgivning alt efter projektets kompleksitet. 4) muliggøre agil produktudvikling. 5) en mere fokuseret risikostyring. Disse målsætninger har ført til, at Ministeriernes kontor for it-styring selv har foretaget tolv ændringer i modellen[1].

Et nyt og enklere projektgrundlag, skal fungere som styringsgrundlag igennem hele projektet og der er blevet udarbejdet et nyt businesscasegrundlag, der skal sikre et bedre ledelsesresumé og overblik over investeringsrationale og forudsætninger. Disse to ændringer sigter mod at gøre det mere enkelt og attraktivt at arbejde med statens it-projektmodel.

En gevinstrealiseringsplan er blevet tilføjet som bilag til businesscasegrundlaget, hvortil der er en drejebog for gevinstrealisering. Ydermere, styrkes gevinstrealiseringen også ved statusrapportering. Disse nye tiltag skal sikre et øget fokus på gevinster, hvilket vil gøre det nemmere for myndigheden at indfri deres ambitioner.

Tidspunktet for risikovurdering flyttes til tre måneder inde i analysefasen i stedet for ved afslutningen af denne fase og de mest komplekse og risikofyldte projekter skal fremadrettet have et udvidet rådgivningsforløb med Statens It-råd. Dette for at skabe endnu højere værdi af risikovurderingen.

Anskaffelsesfasen gøres til en del af gennemførelsesfasen og der er udarbejdet vejledning om agile metoder. Foruden dette er væsentlige dokumenter blevet revideret, således, at det nu er tydeligt, at modellen også kan rumme agil produktudvikling, hvilket skal give mulighed for iterative udviklingsforløb.

Den statslige skabelon, i form af et Excel-værktøj, til risikoregisteret er blevet forenklet og fokuseret på risikostyring og mitigering er skærpet i risikovurderingen. Dette for at underbygge en mere fokuseret risikostyring, der skal medvirke til at fjerne forhindringer i projektgennemførelsen. Det opdaterede risikoværktøj gennemgås nedenfor.

Forenklet og skærpet risikolog

Den nye skabelon til risikologgen i Statens it-projektmodel er forenklet væsentligt og brugervenligheden er dermed forøget markant. Først vil ændringerne i risikoregistret blive gennemgået, herefter kigges der nærmere på de grafiske fremstillinger og overblik.

Ændringer i risikoregisteret

Risikoårsag og risikohændelse er i den nye skabelon slået sammen til ét flet, hvorimod det før var hver sit felt. Dette kan være en lille svaghed ved det nye register, da det kan metodiske kan være svært at arbejde ordentligt med med risiko-årsagerne, hvis de ikke bliver skilt fra hændelsen. Årsager er typisk er faktuelle elementer eller mangler, som kan bruges i forebyggelsen, hvorimod hændelsen er en beskrivelse af, hvad der potentielt kan ske (en trussel eller en mulighed), hvis risikoen indtræffer.

Status indgår stadig, men vejledningen til udfyldelse heraf er ændret. Det er gået fra at indeholde fem mulige værdier; ny, behandles, overvåges og lukket. Til nu at være et Som følge af denne ændring er anvendelse af status ændret markant; fra at være en del af projektstyringen til nu at være et input til efterfølgende opsamling og evaluering af risikostyringen. Projektlederen kan således med det nye værktøj mangle en sortering af risikoens status i selv risikostyringsprocessen.

Den numeriske vurdering af konsekvens er også blevet væsentligt forsimplet. Fra førhen at have fem kategorier; konsekvens vurderet 1-5 for hvv. Projektudgifter, Tidsplan, Leverance kvalitet, Effektivisering og Kvalitetsløft. Til nu kun at være én værdi. Denne forsimpling kan dog gøre det meget vanskeligt at differentiere risici med flere typer af effekter. Ydermere, medfører dette også, at det ikke længere at muligt at arbejde med muligheder, altså eventuelle uintenderede positive effekter.

’Forventet tidspunkt for indtræffen’ er ikke længere inddelt efter hvilken fase, risikoen kan indtræffe, men derimod dato, i form af kvartal. Fokusset på nærheden i risikostyringen er således skærpet i den nye skabelon og det giver derved mulighed for at prioritere i risikostyringen. Dog kræver det også mere nøjsom og løbende opdatering, når tidsplan mv. ændrer sig.

Hverken ’Deadline for tiltag’, ’Eskalering’ eller ’Håndtering af risiko’ (i form af risikoreaktioner) er længere med i risikoregisteret. I den nye model er der stadig et felt til en mere uddybende beskrivelse af ’Mitigerende tiltag’, men fraværet af de prædefinerede risikoreaktioner, kan gøre det svære at danne et overblik og se sammenhængene mellem de mitigerende tiltag.

Derimod er ’Mitigerende tiltag lagt i projektplan’, ’Mitigerende tiltag lagt i budget’, ’Beredskabsplan lagt i risikopulje’ og ’Beredskabsplan hvis risiko indtræffer’ tilføjet i den nye model. De tre første er alle Ja/Nej, hvorimod det sidste datafelt er fritekstfelt til beskrivelse. Disse fire nye tilføjelser er i høj rettet mod målsætningen om at fjerne forhindringer i projektgennemførelsen. Denne kobling til hhv. tidsplan og projekt er en klar forbedring til modellen, det er dog i denne forlængelse væsentligt at bemærke, at når risikoreaktionerne er indlejret i planen og budget, skal de håndteres i den almindelige projektstyring og ikke længere i risikostyringen. Således har denne skabelonmæssig ændring en betydning for governance af projektet.

Grafiske fremstillinger og overblik

Den overordnede konklusion på den nye skabelon og fremstillingerne heri er, at de er meget mere enkle, overskuelige og brugervenlige.

Overblikket i den nye skabelon er simpelt, men informativt og består af risikomatricen, en grafisk fordeling af den nye status og en opsummerende overblikstabel med åbne risici fordel på risikotype. Dette erstatter således det hidtidige summary, der bestod af en 112-faldstabel, en 78-faldstabel og to søjlediagrammer, der viste hhv. fase- og typeinddelingen.

’Top Risici’ er blevet til ’Top 5’, hvilket betyder, at der er skåret ned fra ti til fem risici i dette overblik, til gengæld er der i den nye skabelon overblik over de fem risici med højest risikoværdi før OG efter mitigering.

En ny tilføjelse til skabelonen er også fanerne ’Indgår i styringsgrundlag’ og ’Valgfri risici’. Den første af disse to faner er to automatiske tabeller, der fremstiller de ti risici med højest risikoværdi, som er lagt i risikopuljen og de to risici med højest risikoværdi, der er inkluderet i projektplanen. Den anden af disse faner, og den sidste i skabelonen, er ’Valgfri risici’, som navnet indikerer har brugeren her valgfri over hvilke risici, der skal vises i tabellen. Ydermere, er der en hjælpetabel til de risici, der skal overføres til Projektgrundlaget.

Konklusion

Den overordnede konklusion på det nye risikoværktøj i statens it-projektmodel er, at det er blevet enklere og meget mere brugervenligt. Forhåbentligt kan det også bidrage til, at risikostyringen bliver en eksplicit, fokuseret og vedvarende disciplin i hele projektcyklussen for alle statslige it-projekter.

 

 

Vejledninger, skabeloner og andre nyttige dokumenter til statens it-projektmodel kan findes her på Digitaliseringsstyrelsens hjemmeside

 

I Black Swan Institute hjælper vi Statslige organisationer med at implementere den opdaterede it-projekt-model og svare på eventuelle spørgsmål herom. Vi hjælper også med modning af projekter som skal risikovurderes i Statens IT-råd og som skal anvende projektmodellen som skabelon for dokumentation der skal indgå i risikovurderingen. Kontakt os her

[1] Kilde: https://digst.dk/styring/projektstyring/vaesentlige-aendringer-i-it-projektmodellen-i-september-2018