Embed Size (px)
DESCRIPTION
legal risk management, risikoanalyse, contract, teknologi, it-avtale
Citation preview
Risikostyring og
10. oktober 2014 advokat Kjell Steffner
-Bedre føre var enn etter snar
kravspesifikasjon
Noen observasjoner • Utsettes: Risikoer det er vanskelig å
håndtere rapporteres ikke • ”Glemt”: Noen har identifisert
risikoen lenge før den uønskede situasjonen oppstår
• Det er svært enkle feil som velter prosjekter
60% av alle feil har sitt opphav i
krav og spesifikasjon
60% av alle feil har sitt opphav i
krav og spesifikasjon
Ikke forstått
Bruk risikoanalyse og målrettet innsats i innledende faser, fremfor kostbar opprydding når det skjærer seg.!
Essensen!
5
Unngå uønskede situasjoner.!Iverksett risikoreduserende tiltak.!Vær forberedt når det uønskede inntreffer.!
Poenget er!
6
Agenda 1. Hva er risiko? 2. Kontrakten som verktøy for fordeling av risiko 3. Risikostyring 4. Juridisk risikoanalyse 5. Metode for risikoanalyse av it-kontrakter 6. Krav: Hva & Hvordan 7. Krav: Spesifikasjonstyper 8. Formulering av krav 9. Formulering av løsning 10. Fallgruver i gjennomføringen av et prosjekt 11. Oppsummering
Hva er risiko? 1
Virkningen av usikkerhet på organisasjonens mål på en positiv eller negativ måte!Virkningen er en kombinasjon av sannsynlighet for at hendelsen inntreffer og konsekvensen dersom den gjør det. Risikostyring er aktiviteter for å avdekke og kontrollere risiko i organisasjonen. ISO 31000
Risiko
Sannsynlighet x Konsekvens = RISIKO
10
Kontrakten som verktøy
2
Kontrakten fordeler risiko Konfliktforebyggende!Konfliktløsende!
Ikke undervurder verdien av å skrive det selvsagte i kontrakten. Og bruke den.
For leverandører • Vurdering av forespørsel • Tilbudsfasen • Forhandling • Kontraktsinngåelse • Leveranse (kjøp/tilpasning) • Drift • Terminering
For kunder • Behovsverifikasjon
– Hva trenger du /skal du egentlig ha? • Kravspesifisering • Konkurransegrunnlag m/kontrakt • Forhandling • Kontraktsinngåelse • Leveranse & aksept • Terminering og overgang til nytt system
(transisjonsaktiviteter / bevaring av data som ikke konverteres)
Hva bør prioriteres høyest av kontraktklausuler og bilag? (konsentrer deg om bilagene om du må velge)
15
Risikostyring 3
Risikostyring • Risikovurdering
• Risikoanalyse • Avdekke farekilder • Identifisere uønskede hendelser • Angi frekvens og konsekvens • Sette opp risikobilde
• Risikoevaluering • Vurdere risiko • Foreslå risikoreduserende tiltak • Vurdere alternative løsninger
• Risikokontroll/-reduksjon • Beslutninger om risikoreduserende
tiltak • Iverksette risikoreduserende tiltak • Følge opp og kommunisere risiko
Basert på IEC 60300-3-9
Risikoanalyse for viderekomne
COSO 18
ISO 31000 Enterprise risk management
Juridisk risikoanalyse
4
Legal risk management
Juridisk risikoanalyse Etterlevelse av lovregler Kontrakter Immaterielle rettigheter Prosessrisiko
20
juridisk metode
21
Bruk!
ved juridisk risikoanalyse!(klarlegge rettsregel)
faktum & jus
22
Forholdet mellom!
1. Klarlegge faktum 2. Klarlegge rettsregel 3. Anvende rettsregel på faktum
(subsumsjon)
Vurdering av et mulig, fremtidig
faktum
Sjekklister, policy og kontraktstandarder (+kreativitet, teft og erfaringer)
Metode for it-kontrakter
5
Systemet kan gjøres veldig avansert og raffinert.!Enkle, selvforklarende rutiner gir høy sannsynlighet for etterlevelse.!
Lag et enkelt system for risikoanalyser
25
Forhandlingshåndbok &!Policy-dokument for klausuler!Norm / føringer for hvordan ulike klausuler skal håndteres (kjøpsloven) Hva er akseptabelt? Hva bør reforhandles? Hvor er motstandspunktet?
Begynn med de viktigste klausulene og utvikle underveis!
Finn Hva kan skje?
Analyser Sannsynlighet x Konsekvens = RISIKO
Reduser Håndter Overvåk Planlegg
fjern, overfør, spre, endre
Gjenta og oppdater
risikoanalysen gjennom hele
prosessen
30
Sannsynlighet x Konsekvens = RISIKO
Kategori! Poeng! Varsle!Lav 1-3 Medium 4-9 Prosjektleder Høy 10-14 Ledelse Veldig høy 15-25 Styret
31
1 2 3 4 5
Kons
ekve
ns! Veldig alvorlig! 5 10 15 20 25 5
Alvorlig! 4 8 12 16 20 4
Moderat! 3 6 9 12 15 3
Liten! 2 4 6 8 10 2
Ubetydelig! 1 2 3 4 5 1
Veldig lav! Lav! Moderat! Høy! Veldig høy!
Sannsynlighet!
Del av helhetlig system
Finansiell Teknisk Juridisk
RISIKOANALYSE
32
Krav:"Hva & hvordan
6
Hva Kravspesifikasjon fra kunden
Hvordan Løsningsspesifikasjon fra leverandøren
Forskjell på resultatansvar og innsatsforpliktelse"(oppdrag/bistand)
Spesifikasjonstyper
7 Krav:
Typer spesifikasjon!Behov eller ytelse Funksjon Standard Detalj
38
Påvirker!• Hvor mange som kan konkurrere • Elementet av leverandørråd i
tilbudet • Fremtidig fleksibilitet og
kostnader • Risikofordeling
39
FOA § 17-3 Krav til ytelsen og bruk av tekniske spesifikasjoner
(1) Anskaffelsen bør spesifiseres ved en behovspesifikasjon eller angivelse av funksjonskrav. Ved utformingen av kravene skal det legges vekt på livssykluskostnader og miljømessige konsekvenser av anskaffelsen. Det skal så langt det er mulig stilles konkrete miljøkrav til produktets ytelse eller funksjon. Når det er mulig skal spesifikasjonene utformes slik at det tas hensyn til kriterier for tilgjengelighet for funksjonshemmede og universell utforming. (2) Tekniske spesifikasjoner skal gi leverandørene like muligheter og må ikke medføre unødvendige hindringer for konkurranse om offentlige kontrakter.
”eller tilsvarende” ”ikke vise til et bestemt merke, en bestemt opprinnelse, en bestemt prosess, eller til varemerker, patenter, typer eller en bestemt opprinnelse eller produksjon som har som virkning at visse foretak eller produkter favoriseres eller utelukkes”
Formulering av krav
8
Forstå problemet Forstå forretningsbehovet Finne det virkelige problemet Prioriter
Forskjellige oppfatninger ”R
ekre
asjon
smid
del fo
r opp
heng
i tre
”
Hvordan finne kravene? • Hva er naturlige avgrensninger? • Noen krav eksisterer enten du finner dem
eller ei. • Hvem er interessentene for leveransen? • Finnes gjenbrukbare krav? • Hva skal ikke leveres? • Test med etterpåklokskapsperspektivet
45
Hvordan jobbe med å finne kravene?!
Krav til kravet Formuler • Entydig • Forståelig • Kommuniserbart • Testbart
47
Kontroller for • Fullstendighet • Relevans • Etterprøvbarhet • Sammenheng
”Så lett at selv far kan klare det”
Det er mange som skal lese kravene og som ikke kjenner konteksten de er formulert i. Formulere kravene presist og helst uten behov for kjennskap til for mange utenforliggende forhold.
For detaljerte krav?
Ikke rette egenskaper • Leverandøren får ikke
gitt sine beste råd • Kunden kjenner sin
egen virksomhet best, men behersker ikke hele mulighetsrommet
Unngå overskridelser i tid og penger • Detaljerte krav • Fastpris og
dagbøter • Risikoen plassert
hos leverandøren
Disposisjon (eksempel)!1. Formål 2. Rammer og begrensninger 3. Funksjonelle krav 4. Ikke-funksjonelle krav
1. Brukervennlighet og universell utforming 2. Ytelse 3. Sikkerhetskrav 4. Miljø, offentligrettslige krav, etc.
Finnes mange metoder
Mastering the Requirements Process Suzanne Robertson,
James Robertson
Formulering av løsning
9
Sørg for høyt presisjonsnivå • Egne leveranser – positiv og negativ
avgrensning • Forutsetninger tydeliggjort • Forbehold • Avhengigheter • Kundens medvirkningsforpliktelse
Forsiktig: Fristende å for leverandører å ”selge” og love mye bilag
Prototype ”If a picture is worth 1000 words, a prototype is worth 1000 meetings”
54
Fallgruver i gjennomføringen
10
Kontraktsgjennomføring - fallgruver
i. Prosjektledelse ii. Kompetanse iii. Endring av forutsetninger underveis iv. Venter til risiko / mislighold er realisert før noe gjøres v. For komplekst eller mangelfull medvirkning fra kunden vi. Forholdet til frister / fravær av frister vii. Tapsbegrensningsplikt viii. Informasjonsflyt i egen organisasjon ix. Informasjonsflyt i kontraktsmotpartens organisasjon – interessentanalysen (forankring) x. Er de egentlige suksesskriteriene med i kontrakten?
56
Oppsummering
57
-Forstå problemet og lag en løsning
Vellykket risikoreduksjon • Ikke vær så nøye på om en risiko er juridisk, finansiell,
teknisk eller noe annet. • Det er viktigere å fange og evaluere risikoen enn å
plassere den i riktig kategori. • Sørg for forankring og oppmerksomhet i ledelsen.
Risikoanalyser som ikke leses, etterspørres eller følges opp har liten verdi.
• Opplæring og endringsledelse er viktig. Fine regneark og programvare er ikke nok. Det må skapes oppslutning om ønsket retning. Endringsprosesser må skapes og ledes.
• La risikoanalysene leve gjennom hele prosessen fra et behov oppstår – forhandling, levering og termineres. – Ofte har noen tenkt noe klokt på et tidlig stadium som noen
andre ikke har tid til eller forutsetninger for å tenke på senere. • Vær på vakt mot selektivt utvalg av risikoer. Det er
fristende å ikke rapportere ubehagelige risikoer, særlig hvis de er vanskelig å håndtere.
• Stadig gjentagelse av risikoanalyser er en kilde til suksess.
• Ha en plan hvis risikoen inntreffer.
Vellykket risikoreduksjon (enda mer)
Vellykket kravspesifikasjon • Forstå virksomhetens utfordring – hva er
problemet? • Samle informasjon fra interessenter. • Samle personer med ulik kompetanse for å få
deres oppfatning om hvilke krav som må stilles. • Jobben er ikke ferdig når kravene er levert til
leverandøren. Medvirkning og bidrag til leverandørens forståelse må også til.
• Bruk risikoanalyser til å styre risiko. La risikostyringen bli en del av kravsprosessen.
• Få kontroll på hvem interessentene er. • Mangler det krav? Finnes det tilsiktede eller
utilsiktede uklarheter i kravene? • Vær på vakt mot omfattende formålsparagrafer. • Avgrens hva som skal leveres både positivt og
negativt. • Søk et høyt presisjonsnivå. • Vær tydelig på forutsetninger, forbehold og
avhengigheter
Vellykket løsningsspesifikasjon (enda mer)
LYNX advokatfirma DA Hieronymus Heyerdahls gate 1 N-0160 Oslo
Flere presentasjoner på http://www.slideshare.net/kjellsteffner/
Kjell Steffner [email protected] Tlf. 905 11 901 Twitter: @Ksteffner Blogg: steffner.no
