Risikoanalyser af it-projekter samler støv

Virksomheder foretager risikoanalyser stort set hver gang de starter et nyt projekt, men de deler ikke risikoanalyserne internt i organisationen. Hermed risikerer virksomhederne at tabe vigtig viden på gulvet, der kan forhindre, at it-projektet løber af sporet, viser ny undersøgelse.

I de sidste 20 år har danske virksomheder gennemgået en stadig mere omfattende digitalisering, som har givet værdifulde erfaringer om succes og fiasko.

En ny undersøgelse fra DANSK IT og Black Swan Institute, der bygger på svar fra 56 virksomheder, viser nu, at meget af den erfaring tabes på gulvet, fordi virksomheder ikke deler risikodata om it-projekter i organisationen. 

I undersøgelsen svarer blot 18 procent ja til, at de genbruger risikodata fra it-projekter, så der systematisk læres af andre projekters erfaringer med typiske risici. 33 procent genbruger slet ikke risikodata, og 45 procent fortæller, at de i forbindelse med nogle få initiativer genbruger risikodata. 

- Mange af de samme risici går igen i de forskellige projekter og derfor risikerer man at løbe ind i problemer, man kunne have undgået, når risikoanalysen lægges ned i skuffen og ikke deles, siger Jan Madsen, formand, DANSK IT’s fagråd for Projekt-, Program- og Porteføljeledelse. 

Regneark med risikoanalyser samler støv

Når ikke flere opsamler og deler risikodata, kan det hænge sammen med noget så lavpraktisk, at mange virksomheder ikke opsamler deres viden om risici i en database. 51 procent anvender regneark til dokumentation af risici og risikostyring og 15 procent har slet ingen it-understøttelse af risikostyringen.

Når de forskellige risikoanalyser hermed ligger rundt omkring i organisationen på regneark, er det vanskeligt for de personer, som arbejder med virksomhedens it-projekter at tilgå deres erfaringer og data. Hvilket gør det vanskeligt at lære fra andre og dermed undgå at lave de samme fejl og komme ud fra de samme risikoscenarier.

- Det bliver nemt en håndholdt proces og dermed ressourcekrævende at arbejde systematisk med at formidle og lære af risikodata, når niveauet af it-understøttelse er så lavt, fortæller Annemarie Vitoft seniorrådgiver i risikoledelse, Black Swan Institute. 

Ingen fælles risikostyring mellem virksomhed og it-leverandør

Det er ikke kun internt i virksomheden, at man holder sine risikoanalyser tæt ind til kroppen. Det gælder også i forhold til it-leverandøren. 43 procent af virksomheder fortæller, at de ikke har fælles risikostyring med deres leverandør. 

- Det ville højne kvaliteten af projektarbejdet, hvis kunde og leverandør i højere grad deler viden om risici med hinanden. De kommer nok aldrig til at kunne dele alt, men der er et stort potentiale i at blive mere åbne om risici, lyder det Jan Madsen.  

Derfor anbefaler DANSK IT og Black Swan Institute, at man som minimum opretter en fælles risikolog med sin leverandør. Det gør kun 18 procent af de adspurgte virksomheder. Der er også et stort potentiale i kombinere den fælles risikolog med en fælles risikopulje, hvilket dog under 2 procent af respondenterne gør. 

-  Kan kunde og leverandør blive enige om risici, beregningen af konsekvenserne og afsætte penge i en fælles pulje, vil risikostyringen få et bedre ledelsesmæssigt og økonomisk fundament, siger Annemarie Vitoft.

- Mange risici kan forudses, men uden politikker, strategier og værktøjer for at opsamle og handle på risici ender det ofte med, at virksomhederne må bruge tid på brandslukning, slutter hun. 
Udvalgte konklusioner:

  • 32 procent opsamler og genbruger ikke risikoanalyser af it-projekter, 45 procent gør det i forbindelse med nogle få initiativer, 18 procent tager udgangspunkt i data fra andre it-projekter.
  • 51 procent anvender regneark til dokumentation af risici og risikostyring, 15 procent har ingen it-understøttelse af risikostyringen, 18 procent anvender Sharepoint og 16 procent anvender andet it-risikoværktøj. 
  • 43 procent praktiserer ikke fælles risikostyring med leverandør, 18 procent har en fælles risikolog. 25 procent har hver sin risikolog, under 2 procent har en fælles risikopulje og risikolog.
  • 45 procent vurderer, at kvaliteten af risikostyringen af it-projekterne kunne blive bedre.
  • 62 procent forventer, at organisationen vil bruge mere tid på risikostyring i fremtiden.
  • 43 procent har hverken en risikopolitik eller risikostyringsstrategi.

Om rundspørgen

Rundspørgen er gennemført med besvarelser fra 56 virksomheder med en næsten ligelig fordeling mellem private og offentlige virksomheder. Cirka halvdelen har flere end 1.000 ansatte. 35 procent har flere end 100 ansatte. Størstedelen af respondenterne har en ledelsesmæssig rolle i virksomheden. Der er hermed ikke tale en stor repræsentativ undersøgelse, men en stikprøve, der giver et fingerpeg om, hvordan virksomheder i Danmark arbejder med risikostyring, når de gennemfører it-projekter.