Legal risk management: Et raskt blikk på enhetlig risikostyring av kontrakter fra behovsverifikasjon til kravspesifikasjon, tilbud, gjennomgøring, driftsetting og terminering.
Legal risk management: Hvordan styre risiko i kontrakter
1. Umulig /
Risikostyring
av it-kontrakter
Bedre føre var enn etter snar
Icenda, tirsdag 28. oktober 2014
Magnus Bjelkerud og Kjell Steffner
2. Noen som har opplevd
problemer i leveranse
av it-prosjekter?!
3. Noen observasjoner
• Risikoene det er vanskelig å håndtere
rapporteres ikke
• ”Glemt”: Noen har identifisert risikoen
lenge før den uønskede situasjonen
oppstår
• Det er svært enkle feil som velter
prosjekter
4. 60%
av alle feil har sitt opphav i
krav og spesifikasjon
5. 60%
Ikke
forstått
av alle feil har sitt opphav i
krav og spesifikasjon
6. Agenda
1. Hva er risiko og risikostyring
2. Kontrakten som verktøy
3. Juridisk risikoanalyse
4. Metode for risikoanalyse av it-kontrakter
5. Prosessrisiko
6. Klausuler
7. Håndtering av bilag
8. Fallgruver i gjennomføringen
12. Ulike definisjoner av Risiko
Copyright
RED
Consul2ng
AS
12
ISO 31000: Virkningen av usikkerhet knyttet til mål
NS 5814: Uttrykk for kombinasjonen av sannsynligheten for og konsekvensen av en uønsket
hendelse
NS 5815: Kombinasjonen av sannsynligheten for en hendelse og konsekvensen av den
Ordets opprinnelse: Fra Risicare – oversatt til engelsk: To dare – til norsk: Å tørre!
14. Sammenstøt
Copyright
RED
Consul2ng
AS
14
Konsekvens
Hvilke typer tap
vil man unngå?
• Økonomi
• Omdømme
• Liv
• Miljø
… hva har du?
Flystyrt
Tatt av
snøskred
Bil-Bil
Skli på is
Skli på banan
15. Flystyrt
Tatt av
snøskred
Sammenstøt
Bil-Bil
Skli på is
Copyright
RED
Consul2ng
AS
15
Sannsynlighet
Skli på banan
Sannsynlighetsregning er det
historiske utgangspunktet
for risiko, med utvikling av
matematiske formler for
sannsynlighet for ulike utfall
av kjente spill
16. Flystyrt
Copyright
RED
Consul2ng
AS
16
Sannsynlighet
Konsekvens
Skli på banan
Skli på is
Tatt av
snøskred
Sammenstøt
Bil-Bil
18. Definisjon av Risikostyring
Copyright
RED
Consul2ng
AS
18
ISO 31000: Koordinerte aktiviteter for å rettlede og kontrollere en organisasjon mht. risiko
19. Risikostyringsprosess
ISO 31000: Systematisk bruk av politikk, prosedyrer og praksis for styring av aktivitetene kommunikasjon,
konsultasjon, bestemmelse av kontekst og identifisering, analysering, evaluering, håndtering, overvåkning
og gjennomgåelse av risiko
Copyright
RED
Consul2ng
AS
19
Kontekst*
Risiko-identifisering
Risiko-analyse
Risiko-håndtering
Risiko-evaluering
Risikovurdering (ISO 31010)
*Også kjent som Systembeskrivelse/ Systemdefinisjon
21. Kontrakten fordeler risiko
Konfliktforebyggende!
Konfliktløsende!
Ikke undervurder
verdien av å skrive
det selvsagte i
kontrakten.
Og bruke den.
22. For leverandører
• Vurdering av forespørsel
• Tilbudsfasen
• Forhandling
• Kontraktsinngåelse
• Leveranse (kjøp/tilpasning)
• Drift
• Terminering
23. For kunder
• Behovsverifikasjon
– Hva trenger du /skal du egentlig ha?
• Kravspesifisering
• Konkurransegrunnlag m/kontrakt
• Forhandling
• Kontraktsinngåelse
• Leveranse & aksept
• Terminering og overgang til nytt system
(transisjonsaktiviteter / bevaring av data som ikke konverteres)
35. Ide
Behov
Copyright
RED
Consul2ng
AS
Utlyse
Tilbud
Kontrakt
Design
Arbeid
Dri@
Decom
RV 1 med
byggherre
RV 2 med
Byggherre +
kontraktør
Hendelse
fra RV
inntraff
• Kontraktør har forpliktet seg til å løse hendelser
• Klarer ikke overholde kontraktsbestemmelse
• Tiltak utført av byggherre for å unngå ulykke belastes kontraktør
ihht. kontraktsbestemmelse basert på RV 2
36. Lag et enkelt system
for risikoanalyser
Systemet kan gjøres veldig
avansert og raffinert.!
Enkle, selvforklarende rutiner gir
høy sannsynlighet for etterlevelse.!
36
37. Forhandlingshåndbok &!
Policy-dokument for klausuler!
Norm / føringer for hvordan ulike klausuler
skal håndteres (kjøpsloven)
Hva er akseptabelt?
Hva bør reforhandles?
Hvor er motstandspunktet?
Begynn med de viktigste klausulene og utvikle underveis
39. Vellykket risikoreduksjon
• Ikke vær så nøye på om en risiko er juridisk, finansiell,
teknisk eller noe annet.
• Det er viktigere å fange og evaluere risikoen enn å
plassere den i riktig kategori.
• Sørg for forankring og oppmerksomhet i ledelsen.
Risikoanalyser som ikke leses, etterspørres eller følges
opp har liten verdi.
• Opplæring og endringsledelse er viktig. Fine regneark
og programvare er ikke nok. Det må skapes
oppslutning om ønsket retning. Endringsprosesser må
skapes og ledes.
40. Vellykket risikoreduksjon
(enda mer)
• La risikoanalysene leve gjennom hele prosessen fra et
behov oppstår
– forhandling, levering og termineres.
– Ofte har noen tenkt noe klokt på et tidlig stadium som noen
andre ikke har tid til eller forutsetninger for å tenke på senere.
• Vær på vakt mot selektivt utvalg av risikoer. Det er
fristende å ikke rapportere ubehagelige risikoer, særlig
hvis de er vanskelig å håndtere.
• Stadig gjentagelse av risikoanalyser er en kilde til
suksess.
• Ha en plan hvis risikoen inntreffer.
41. Det beste
alternativet til en
perfekt kontrakt
er skikkelige
risikoanalyser og
målrettede tiltak
41