Legal risk management: Hvordan styre risiko i kontrakter

Risikostyring Bedre føre var enn etter snar av it-kontrakter

Icenda, tirsdag 28. oktober 2014 Magnus Bjelkerud og Kjell Steffner

Umulig /

Noen som har opplevd problemer i leveranse

av it-prosjekter?!

Noen observasjoner

•  Risikoene det er vanskelig å håndtere rapporteres ikke

•  ”Glemt”: Noen har identifisert risikoen lenge før den uønskede situasjonen oppstår

• Det er svært enkle feil som velter prosjekter

60% av alle feil har sitt opphav i

krav og spesifikasjon

60% av alle feil har sitt opphav i

krav og spesifikasjon

Ikke forstått

Agenda 1.  Hva er risiko og risikostyring 2.  Kontrakten som verktøy 3.  Juridisk risikoanalyse 4.  Metode for risikoanalyse av it-kontrakter 5.  Prosessrisiko 6.  Klausuler 7.  Håndtering av bilag 8.  Fallgruver i gjennomføringen

Kontrakten fordeler risiko mellom partene

…naturlig å vurdere risiko både i forkant og underveis

Bruk risikoanalyse og målrettet innsats i innledende faser, fremfor kostbar opprydding når det skjærer seg.!

Essensen!

8

Unngå uønskede situasjoner.!Etabler felles mål.!Iverksett risikoreduserende tiltak.!Vær forberedt når det uønskede inntreffer.!

Poenget er!

9

Hva er risiko og risikostyring?

1

Copyright RED Consul2ng AS 11


ISO 31000: Virkningen av usikkerhet knyttet til mål

NS 5814: Uttrykk for kombinasjonen av sannsynligheten for og konsekvensen av en uønsket hendelse

NS 5815: Kombinasjonen av sannsynligheten for en hendelse og konsekvensen av den

Ulike definisjoner av Risiko

Ordets opprinnelse: Fra Risicare – oversatt til engelsk: To dare – til norsk: Å tørre!


Konsekvens

Sannsynlighet X

Copyright RED Consul2ng AS

14

Konsekvens

Hvilke typer tap vil man unngå? •  Økonomi •  Omdømme •  Liv •  Miljø … hva har du?

Skli på banan

Flystyrt

Skli på is

Tatt av snøskred

Sammenstøt Bil-Bil


15

Sannsynlighet

Skli på banan

Flystyrt

Skli på is

Tatt av snøskred

Sammenstøt Bil-Bil

Sannsynlighetsregning er det historiske utgangspunktet for risiko, med utvikling av matematiske formler for sannsynlighet for ulike utfall av kjente spill


16

Sannsynlighet

Konsekvens

Skli på banan

Flystyrt

Skli på is

Tatt av snøskred

Sammenstøt Bil-Bil


Risikomatriser benyttes for å vurdere risikonivå


ISO 31000: Koordinerte aktiviteter for å rettlede og kontrollere en organisasjon mht. risiko

Definisjon av Risikostyring


Kontekst* Risiko-identifisering Risiko-analyse Risiko-

håndtering Risiko-

evaluering

Risikovurdering (ISO 31010)

Risikostyringsprosess ISO 31000: Systematisk bruk av politikk, prosedyrer og praksis for styring av aktivitetene kommunikasjon, konsultasjon, bestemmelse av kontekst og identifisering, analysering, evaluering, håndtering, overvåkning og gjennomgåelse av risiko

*Også kjent som Systembeskrivelse/ Systemdefinisjon

Kontrakten som verktøy

2

Kontrakten fordeler risiko Konfliktforebyggende!Konfliktløsende!

Ikke undervurder verdien av å skrive det selvsagte i kontrakten. Og bruke den.

For leverandører •  Vurdering av forespørsel •  Tilbudsfasen •  Forhandling •  Kontraktsinngåelse •  Leveranse (kjøp/tilpasning) • Drift •  Terminering

For kunder •  Behovsverifikasjon

–  Hva trenger du /skal du egentlig ha? •  Kravspesifisering •  Konkurransegrunnlag m/kontrakt •  Forhandling •  Kontraktsinngåelse •  Leveranse & aksept •  Terminering og overgang til nytt system

(transisjonsaktiviteter / bevaring av data som ikke konverteres)

Juridisk risikoanalyse

3

Legal risk management

Juridisk risikoanalyse Etterlevelse av lovregler Kontrakter Immaterielle rettigheter Prosessrisiko

25

faktum & jus

26

Forholdet mellom!

1.  Klarlegge faktum 2.  Klarlegge rettsregel 3.  Anvende rettsregel på faktum

(subsumsjon)

Vurdering av et mulig, fremtidig

faktum

Sjekklister, policy og kontraktstandarder (+kreativitet, teft og erfaringer)

juridisk metode

28

Bruk!

ved juridisk risikoanalyse!(klarlegge rettsregel)

Metode for it-kontrakter

4


Ide

Behov

Utlyse

Tilbud

Kontrakt

Design

Arbeid

Dri@

Decom


Ide

Behov

Utlyse

Tilbud

Kontrakt

Design

Arbeid

Dri@

Decom ?


Ide

Behov

Utlyse

Tilbud

Kontrakt

Design

Arbeid

Dri@

Decom


Ide

Behov

Utlyse

Tilbud

Kontrakt

Design

Arbeid

Dri@

Decom



Ide

Behov

Utlyse

Tilbud

Kontrakt

Design

Arbeid

Dri@

Decom

RV 1 med byggherre

RV 2 med Byggherre + kontraktør

Hendelse fra RV inntraff

•  Kontraktør har forpliktet seg til å løse hendelser •  Klarer ikke overholde kontraktsbestemmelse •  Tiltak utført av byggherre for å unngå ulykke belastes kontraktør

ihht. kontraktsbestemmelse basert på RV 2

Systemet kan gjøres veldig avansert og raffinert.!Enkle, selvforklarende rutiner gir høy sannsynlighet for etterlevelse.!

Lag et enkelt system for risikoanalyser

36

Forhandlingshåndbok &!Policy-dokument for klausuler!Norm / føringer for hvordan ulike klausuler skal håndteres (kjøpsloven) Hva er akseptabelt? Hva bør reforhandles? Hvor er motstandspunktet?

Begynn med de viktigste klausulene og utvikle underveis

Oppsummering

38

Umulig /

Vellykket risikoreduksjon •  Ikke vær så nøye på om en risiko er juridisk, finansiell,

teknisk eller noe annet. •  Det er viktigere å fange og evaluere risikoen enn å

plassere den i riktig kategori. •  Sørg for forankring og oppmerksomhet i ledelsen.

Risikoanalyser som ikke leses, etterspørres eller følges opp har liten verdi.

•  Opplæring og endringsledelse er viktig. Fine regneark og programvare er ikke nok. Det må skapes oppslutning om ønsket retning. Endringsprosesser må skapes og ledes.

•  La risikoanalysene leve gjennom hele prosessen fra et behov oppstår –  forhandling, levering og termineres. –  Ofte har noen tenkt noe klokt på et tidlig stadium som noen

andre ikke har tid til eller forutsetninger for å tenke på senere. •  Vær på vakt mot selektivt utvalg av risikoer. Det er

fristende å ikke rapportere ubehagelige risikoer, særlig hvis de er vanskelig å håndtere.

•  Stadig gjentagelse av risikoanalyser er en kilde til suksess.

•  Ha en plan hvis risikoen inntreffer.

Vellykket risikoreduksjon (enda mer)

Det beste alternativet til en perfekt kontrakt er skikkelige risikoanalyser og målrettede tiltak

41

Kjell Steffner [email protected] Tlf. 905 11 901 Twitter: @Ksteffner Blogg: steffner.no

Magnus Bjelkerud [email protected] Tlf. 926 14 171 Twitter: @MagnusBjelkerud redconsulting.no

Business

Legal risk management: Hvordan styre risiko i kontrakter