LANDGREVEN 4, POSTBOKS KØBENHAVN K TLF:

Transkript

1 LANDGREVEN 4, POSTBOKS KØBENHAVN K TLF: Vejledning om risikovurdering af programmer

2 1 Indhold 2 BAGGRUND FOR IT-PROJEKTRÅDETS RISIKOVURDERING AF PROGRAMMER 3 HVILKE PROGRAMMER SKAL RISIKOVURDERES? 6 AFKLARINGSPROCESSEN 11 OVERBLIK OVER RISIKOVURDERINGSPROCESSEN 13 TRIN 1: FORBEREDELSE TIL RISIKOVURDERING 16 TRIN 2: RISIKOVURDERING 23 TRIN 3: OPFØLGNING PÅ ANBEFALINGERNE 26 TRIN 4: STATUS- OG SLUTRAPPORTERING 28 OPSUMMERING AF KRAV 30

3 Baggrund for IT-projektrådets risikovurdering af programmer 3 4 I 2011 nedsatte regeringen IT-projektrådet bestående af topledere fra offentlige og private virksomheder. Formålet var at bidrage til en kvalificeret håndtering af risikofyldte it-projekter i staten og sikre overblik på tværs af den statslige it-projektportefølje. IT-projektrådets medlemmer rådgiver statens institutioner, tilbyder sparring til direktionerne og deltager aktivt i risikovurdering af alle it-projekter over 10 mio. kr., alt sammen med det formål at hjælpe institutionerne med at minimere risici i it-projekterne og sikre realisering af gevinsterne. Flere og flere af statens institutioner vælger at organisere sine forandringstiltag i programmer. Programmer er karakteriserede ved, at de består af en række gensidigt afhængige projekter, som skal gennemføres for at opnå et overordnet mål med en tilhørende business case. Programmer har altså en opbygning, som gør, at IT-projektrådet ikke blot kan se på projekterne enkeltvis men må se på det samlede program for at skabe sig et billede af risikoprofilen. Programmerne er ofte i sin natur mere komplekse end enkeltstående projekter og dermed også mere risikofyldte, samtidigt med at de rummer stor usikkerhed omkring omfang og indhold, som ofte først fastlægges undervejs. IT-projektrådet har derfor udvidet sin risikovurderingsproces til også at omfatte programmer. efter en risikovurdering. Vejledningen baserer sig på Budgetvejledningen for 2014 samt IT-projektrådets erfaringer med risikovurdering af programmer. I vejledningen beskrives først hvilke programmer og projekter, der skal risikovurderes, samt hvordan afklaringsprocessen forløber. Dernæst gives et overblik over risikovurderingsprocessen ift. hvor programmet befinder sig i programprocessen, jf. nedenstående illustration: PROGRAMPROCES Identificering af program AFVIKLINGSPROCES Risikovurdering projekt/program Præcisering af program RISIKOVURDERINGSPROCES Forbered materiale til risikovurdering Risikovurdering Evt. review Evt. FIU Ledelse af programbølger Halvårlig statusrapportering. Evt. genbesøg og yderligere review Lukning af program Programafslutning Formålet med denne vejledning er at hjælpe statslige institutioner med at forstå, hvilke programmer og projekter i programmer der skal risikovurderes, samt hvornår og hvordan det sker. Vejledningens primære målgruppe er pro- TRIN 1: Forberedelse til risikovurdering TRIN 2: Risikovurdering TRIN 3: Opfølgning på anbefalinger TRIN 4: Status- og slutrapportering gramledere, som skal vide, hvad der forventes af programmet før, under og

4 5 Hvilke programmer skal risikovurderes? 6 Endelig beskrives indholdet af risikovurderingsprocessen opdelt i fire trin mht. hvad der sker og hvornår. Når du har læst vejledningen, skal du som programleder kunne svare på: Hvordan du finder ud af, om dit program og/eller projekter i dit program skal risikovurderes Hvad programmet forventes at gøre og hvornår Hvilken form for dokumentation, programmet forventes at indlevere Programmer består af en række projekter, og risikovurdering af programmer kan foregå på to niveauer: Risikovurdering med udgangspunkt i det samlede program inkl. alle væsentlige projekter eller risikovurdering med udgangspunkt i et konkret projekt i et program. Om udgangspunktet er det ene eller det andet bestemmes af projektudgifter og væsentligheden af it i programmet. Vurderingen af væsentligheden af it sker altid i samarbejde med sekretariatet for IT-projektrådet og Finansministeriet. PROJEKTUDGIFTER OG GRADEN AF IT I PROGRAMMET ER AFGØRENDE Er du projektleder for et projekt, som ikke er en del af et program, henvises i stedet til vejledningen Risikovurdering af it-projekter, som findes på IT-projektrådets hjemmeside. Budgetvejledningen 2014 formulerer kravet til risikovurdering således: It-projekter over 10 mio. kr. skal indsendes til risikovurdering, selvom de indgår i et program. Hvis et programs udgifter udgør mere end 60 mio. kr. og it udgør en væsentlig del af programmet, sker indsendelsen og den efterfølgende halvårsrapportering på programniveau. Forelæggelsen sker efter, at programmet er præciseret, men inden det sættes i værk. Der henvises til Vejledning til Programmodellen, der er optaget i ØAV. Det vil sige, at der er tre faktorer, som er afgørende for, om og hvordan et program skal risikovurderes i IT-projektrådet: Størrelsen af udgifter til it Størrelsen af de samlede udgifter til programmet Væsentligheden af it i programmet

5 7 8 PROGRAM HVORNÅR ER DER TALE OM IT-UDGIFTER? Budgetvejledningen formulerer, at it er: PROJEKT 1 PROJEKT 2 PROJEKT 3 investeringer, der omfatter nyudvikling eller væsentlig tilpasning IT ANSKAFFELSE/ UDVIKLING IT IMPLEMENTERING/ IDRÆFTSÆTTELSE ØVRIGE IKKE-IT UDGIFTER 15 mio. 12 mio. 3 mio. 1 mio. 5 mio. 20 mio. 8 mio. Er de samlede ITudgifter over 10 mio. kr. og er væsentlige ift. programmet? af standard it-løsninger eller omfatter væsentlig tilpasning af allerede eksisterende it-løsninger. (Budgetvejledning Henvisning til kapitlet) Alle projekter i et program, som har til formål at tilvejebringe og/eller implementere nyudviklede eller tilpassede it-løsninger, kan derfor karakteriseres som it-projekter. ER PROGRAMMET OVER 60 MIO.? Det betyder også, at projekter, som indeholder rene anskaffelser af nyt udstyr, som erstatter eksisterende fx servere, telefoni og scannere, ikke skal vurderes som it-projekter. I diagrammet ovenfor vurderes it-udgifterne først. I eksemplet udgør itudgifterne 33 mio. kr. ud af samlede programudgifter på 64 mio. kr., hvilket er over 10 mio. kr., og samlet udgør de en væsentlig del af programmet. Det samlede program er derudover over 60 mio. kr. Det betyder, at risikovurderingen skal tage udgangspunkt i programmet som helhed og ikke kun fokusere på det enkelte projekt over 10 mio. kr. For at kunne opgøre størrelse af udgifter til it i hvert enkelt projekt, skal såvel it som udgifter defineres. Hvis der er mindst ét projekt i programmet, som kan karakteriseres som it-projekt, er næste skridt at se på de samlede it-udgifter. SÅDAN UDREGNES DE SAMLEDE IT-UDGIFTER For at finde de samlede budgetterede udgifter til it i et projekt gøres følgende: Summer udgifter til it-anskaffelse og udvikling med tilhørende implementering og transition til drift for projektet.

6 9 10 Læg dertil interne lønudgifter og øvrige ressourcer, herunder eksterne rådgivere, som alle skal indregnes, såfremt de indeholdes i projektets idé-, analyse-, anskaffelses- og gennemførselsfase. Driftsudgifter efter ibrugtagning regnes derimod ikke med i de samlede udgifter. KRAV TIL NIVEAU FOR RISIKOVURDERING Hvis programmet ikke indeholder it-projekter med udgifter, der tilsammen er over 10 mio. kr. skal programmet ikke risikovurderes Risikojuster herefter de samlede projektudgifter. De risikojusterede ud gifter beregnes ved en af to metoder; simpel sandsynlighed (vægtet sandsynlighed) eller Monte Carlo-simulering (se evt. mere om dette i vejledning til statens business case model). Hvis de risikojusterede udgifter til it i programmet overstiger 10 mio. kr., er næste skridt at tage stilling til væsentligheden af it i forhold til det samlede program. VURDERING AF VÆSENTLIGHEDEN AF IT I PROGRAMMET Hvis programmet indeholder it-projekter med samlede udgifter over 10 mio. kroner, og it udgør en væsentlig del af programmet, skal det samlede program risikovurderes Hvis programmet indeholder it-projekter med samlede udgifter over 10 mio. kroner, men it IKKE udgør en væsentlig del af programmet, er det kun it-projekterne, der skal risikovurderes Ved at gå igennem beslutningstræet nedenfor kan du selv foretage en indledende vurdering af, om dit program skal risikovurderes eller ej. Når de samlede it-udgifter for de enkelte projekter er opgjort, skal væsentligheden ift. det samlede program vurderes. Dette er en afgørelse, som foretages af Finansministeriet. IT-projektrådets sekretariat hjælper institutionen med denne vurdering (se mere under beskrivelse af afklaringsprocessen). Når it-udgifter og væsentlighed er vurderet, kan det afgøres, om og i givet fald hvordan programmet skal risikovurderes. Er summen af IT-projekter i programmet over 10 mio. kr.? JA NEJ Er programmet over 60 mio. kr.? Der skal ikke foretages risikovurdering JA NEJ Udgør IT en væsentlig del af programmet? Sum af IT-projekter skal risikovurderes JA NEJ Hele programmet skal risikovurderes Sum af IT-projekter skal risikovurderes PROGRAMMETS SAMLEDE UDGIFTER Endelig summeres de samlede udgifter for programmet for at afgøre, om de overstiger 60 mio. kr. I afsnittet om forberedelse til risikovurdering er det beskrevet, hvad det betyder for indsendelse af ma-terialet til IT-projektrådet, om det er programmet eller kun projektet, der skal risikovurderes.

7 Afklaringsprocessen AFKLARING AF, OM PROGRAMMET SKAL RISIKOVURDERES ELLER EJ Som beskrevet i det tidligere afsnit om hvilke programmer og projekter, der skal risikovurderes, indeholder definitionen en vurdering af it s væsentlighed for programmet. Derfor skal alle programmer igennem en afklaringsproces. følger, som en del af Ministeriernes Projektkontor, også løbende med i, om der er institutioner, som ikke har kendskab til kravene til risikovurdering af it-projekter og programmer og herunder, om der eksisterer it-projekter eller programmet omfattet af definitionen, som ikke er indmeldt til ITprojektrådet. Afklaringsprocessen indebærer følgende: PROGRAMMET OG DETS PROJEKTER KAN ÆNDRE SIG UNDERVEJS Programmet foretager en indledende vurdering af it-udgifter og tager kontrakt til sekretariatet med henblik for at vurdere væsentligheden af it. Alle programmer, som indeholder et eller flere it-projekter, anbefales herefter at tage en snak med sekretariatet for IT-projektrådet så tidligt som muligt. Gerne allerede i identifikationsfasen af programmet. Programmers natur er ikke på samme måde stabile som projekters. Programmer har til formål konstant at evaluere opnåede resultater og vurdere mulighederne for at nå endemålet og dermed skabe den ønskede forandring. Også selv om det betyder, at et eller flere projekter undervejs bliver ændret eller lukket, eller nye projekter må defineres. Denne form for beslutninger træffes typisk mellem to bølger. Det er altid programlederen og ikke eksterne konsulenter, der skal tage kontakt til sekretariatet mhp. risikovurdering af et program. Sekretariatet for IT-projektrådet vil hjælpe med vurderingen og vil arbejde for afklaring fra Finansministeriet af, hvor vidt programmet eller projekter i programmet bør risikovurderes eller ej. Det er institutionernes ansvar at sikre, at IT-projektrådet i god tid bliver informeret om nye programmer, som falder inden for definitionen ovenfor. Sekretariatet for IT-projektrådet vil løbende kontakte institutionerne for at vedligeholde en oversigt over planlagte it-projekter og programmer. IT-projektrådet gennemgår og drøfter løbende oversigten. Sekretariatet Derfor bør programledelsen: Før start af hver ny bølge vurdere, om et evt. nyt scope for programmet kan betyde, at programmet eller projekter i programmet bør risikovurderes (selv om det ikke tidligere er blevet det) eller genvurderes (selv om en indledende risikovurdering har fundet sted). Kontakte sekretariatet for IT-projektrådet, hvis programmets it-projekter fordyres og kommer over 10 mio. kr. eller væsentligheden af it i programmet ændres betragteligt.

8 Overblik over risikovurderingsprocessen Den samlede risikovurderingsproces kan opdeles i fire trin: PROGRAMPROCES Identificering af program Præcisering af program RISIKOVURDERINGSPROCES Forbered materiale til risikovurdering TRIN 1: Forberedelse til risikovurdering Nedenfor beskrives hvert trin kort. En uddybende beskrivelse af hvert trin findes i de kommende afsnit. Risikovurdering TRIN 2: Risikovurdering Evt. review TRIN 3: Opfølgning på anbefalinger Evt. FIU Ledelse af programbølger Halvårlig statusrapportering. Evt. genbesøg og yderligere review TRIN 4: Status- og slutrapportering Lukning af program Programafslutning TRIN 1: Forberedelse til risikovurdering. I første trin fastlægges en tidsplan for det konkrete dialogmøde med myndigheden, hvor programmet skal vurderes. Herefter kan programmet som en naturlig del af identificeringsfasen og præciseringsfasen gå i gang med at forberede det materiale, som skal danne basis for risikovurderingen. TRIN 2: Risikovurdering. Dette trin igangsættes med indsendelse af det materiale, som risikovurderingen baseres på. Herefter foretages risikovurderingen, som munder ud i et anbefalingsbrev til den institution, som er programejer. TRIN 3: Opfølgning på risikovurdering. Såfremt IT-projektrådet har vurderet, at programmet eller projektet har høj risiko, kan rådet anbefale, at programmet gennemfører et eksternt review, og rådet kan beslutte at følge programmet tæt. Er udgifterne til it-projekter i programmet over 60 mio. kr., skal de endvidere forelægges samlet for Finansudvalget, før den første programbølge kan igangsættes. TRIN 4: Status- og slutrapportering. I dette trin følger IT-projektrådet programmet på basis af halvårlige statusrapporter. Såfremt rådet tildeler programmet et rødt trafiklys, vil rådet genbesøge programmet. Denne proces gentages halvårligt såfremt programmet fortsat vurderes i rødt. Dette trin afsluttes med udarbejdelse af en afslutningsrapportering. Såfremt ikke alle gevinster er realiseret (eller så godt som realiseret) på tidspunktet for afslutningsrapporteringen, kan IT-projektrådet anmode om at få en særskilt gevinstrealiseringsrapport på det tidspunkt, hvor den endelige gevinstrealisering er planlagt til at finde sted.

9 15 TRIN 1 Forberedelse til risikovurdering 16 TILBUD OM RÅDGIVNING I LØBET AF RISIKOVURDERINGSPROCESSEN Der ydes rådgivning til programmet forud for indsendelse til risikovurdering: Det første trin omhandler planlægning af den samlede risikovurderingsproces og forberedelse af det materiale, der skal indsendes til IT-projektrådet som grundlag for risikovurderingen. PLANLÆG RISIKOVURDERINGSPROCESSEN RISIKOVURDERINGSPROCES Forbered materiale til risikovurdering Risikovurdering Evt. review Evt. FIU Halvårlig statusrapportering. Evt. genbesøg og yderligere review Programafslutning Så snart det er afklaret, at et program skal risikovurderes, starter planlægningsprocessen frem mod risikovurderingen: Rådgivning om risikovurdering, behovs afklaring samt aftale om rådgivningsforløb Tilbud: Gennemføre den rådgivning der er aftalt Tilbud: Om kvalitetstjek af program dokumentation inden indsendelse til IT-projektrådet Institutionen indmelder programmet på IT-projektrådets hjemmeside. Sekretariatet for it-projektrådet rådgiver programmet om den samlede risikovurderingsproces. Dialogmødet planlægges. Programmet skal lægge en plan for den samlede risikovurderingsproces og indarbejde den i programplanen. 4 Dialogmøde med IT-projekt rådet om programmets risici 5 Evaluering af proces og anbefalinger Programmet kan derudover altid henvende sig til sekretariatet for IT-projektrådet ved tvivlsspørgsmål i forbindelse med risikovurderingsprocessen. Indmelding til IT-projektrådet og dato for risikovurdering Programmer, der skal risikovurderes, indmeldes på IT-projektrådets hjemmeside via en webbaseret blanket på Institutionerne skal indmelde programmer i god tid, da sekretariatet for IT-projektrådet skal nå at rekruttere vurderingspersoner forud for risikovurderingen og reservere tid hos et rådsmedlem. Programlederen vil ofte i samarbejde med sekretariatet vurdere, hvornår programmet er klar til risikovurdering, hvorefter sekretariatet vil bestræbe sig på at imødekomme institutionernes ønske om et vurderingstidspunkt. Der er størst sandsynlighed for, at vurderingstidspunktet kan imødekommes, hvis det indmeldes senest seks arbejdsuger før, risikovurderingen ønskes påbegyndt.

10 17 18 Udarbejdelse af samlet plan Programmet kan med fordel starte planlægning af risikovurderingen allerede i identificeringsfasen og indarbejde alle trin i den samlede programplan. Som støtte til dette er her angivet oplæg til tidsmæssig ramme. FORBERED MATERIALE TIL RISIKOVURDERING Parallelt med planlægningen af risikovurderingsprocessen kan programmet igangsætte forberedelse af det materiale, som skal ligge til grund for risikovurderingen: RISIKOVURDERINGSPROCES Forbered materiale til risikovurdering Risikovurdering Evt. review Evt. FIU Planlæg introduktionsmøde med sekretariatet for IT-projektrådet med vejledning om udarbejdelse af programdokumentation Forbered materiale til indsendelse til Statens IT-projektråd som grundlag for risikovurderingen Fastlæggelse af tidspunkt for risikovur dering i IT-projektrådet (tidligst muligt) Evt. møde med sekretariatet for IT-projektrådet omkring indhold af materiale (2-3 mdr. før indsendelse) Indsendelse af materiale (Dag 1) Dialogmøde (Dag 6) Modtagelse af anbefalingsbrev (Dag 15) Evt. review 6-8 uger Evt. FIU Overvej og planlæg eventuelt kvalitetstjek af udarbejdet programdokumentation hos Ministeri-ernes projektkontor (MPK) inden indsendelse til IT-projektrådet Rådgivning om udarbejdelse af programdokumentation Der aftales et introduktionsmøde med sekretariatet for IT-projektrådet, hvor dato for risikovurdering fastlægges og det afklares hvor meget rådgivning programmet har behov for op til risikovurderingen. Alle dokumenter, som indgår i det materiale, der indsendes til IT-projektrådet, er standarddokumenter i den fællesstatslige programmodel og udarbejdes i løbet af præciseringsfasen. Der tilbydes rådgivning i udfyldelse af de obligatoriske dokumenter og udarbejdelse af business casen samt andre relevante spørgsmål. Skriv til IT-projektrådets postkasse kontakt@ itprojektraad.dk og hent vejledninger og værktøjer på Digitaliseringsstyrelsens hjemmeside.

11 19 20 Hvad indeholder programdokumentationen? Programmet skal forberede forskellig programdokumentation afhængigt af, om det er programmet, der er udgangspunkt for risikovurdering eller om det er et projekt i programmet. Guide til omfang Det er vigtigt at pointere, at det afgørende i forbindelse med programgrundlaget er kvalitet og ikke kvantitet. Når programmet forbereder den samlede dokumentation, som skal indsendes i forbindelse med risikovurdering, bør man derfor skele til det angivne side-estimat for hvert af de centrale dokumenter. PROGRAMDOKUMENTATION HVIS HELE PROGRAMMET SKAL RISIKOVURDERES Cover PPD (programpræciseringsdokument) Gevinstdiagram Vision Fremtidsmodel Risikoregister Programplan Projektkatalog Business case Programstrategier Udbudsstrategi Implementeringsstrategi PROJEKTDOKUMENTATION PID for de 3-5 mest centrale projekter Risikotjekliste for de 3-5 mest centrale projekter PROGRAMDOKUMENTATION HVIS PROJEKTER I PROGRAMMET SKAL RISIKOVURDERES Cover PPD (programpræciseringsdokument) Gevinstdiagram Fremtidsmodel Risikoregister Programplan Business case PROJEKTDOKUMENTATION PID er for de konkrete it-projekter Risikotjekliste for de konkrete it-projekter Den samlede dokumentationsmængde bør dermed ikke overstige 300 sider. F.eks. skal analyser ikke vedlægges her kan programmet nøjes med at fremhæve konklusioner af analyserne og hvordan kon-klusioner anvendes som beslutningsgrundlag i programmet. LEDELSESPRODUKT PROGRAM PPD Gevinstdiagram Vision Fremtidsmodel Risikoregister Programplan Projektkatalog Business case Programstrategier Implementeringsstrategi Udbudsstrategi MIN. SIDER MAX. SIDER I alt LEDELSESPRODUKT PROJEKTER PID Risikotjekliste MIN. SIDER 15 3 MAX. SIDER 20 5 I alt Skabeloner, vejledninger og værktøjer til alle ovenstående dokumenter findes på Digitaliseringsstyrel-sens hjemmeside. Det forventes, at et program har 3-5 centrale projekter, som skal indgå i læsningen, i alt max sider Alt materiale skal være godkendt af programstyregruppen inden indsendelse til IT-projektrådet.

12 21 22 FORBEREDELSE FORUD FOR INDSENDELSE AF MATERIALE IT-projektrådet risikovurderer det indsendte materiale. Under risikovurderingen vil det også blive afdækket, om programmet i tilstrækkeligt omfang har taget stilling til de ni centrale programtemaer. Programmet bør derfor i sin forberedelse af materialet sikre sig, at det besvarer følgende spørgsmål: 1. Programorganisering Følger programmet den obligatoriske governancemodel, og er der en klar model for ledelse og styring på tværs af projekter og program? Afspejler set up et den organisatoriske modenhed? Hvis programmet er tværoffentligt, er der aftalt klare governanceregler for beslutningstagen og ansvarsplacering? 5. Design og leverance af fremtidsmodel Har programmet undersøgt leverandørmarkedet, og andre organisationers erfaringer med samme type løsning. Desuden tages stilling til, om fremtidsmodellen kan realiseres (og realiseres inden for de økonomiske og tidsmæssige rammer). 6. Planlægning og kontrol Er der et stringent set up for planlægning og kontrol i overensstemmelse med programmets kompleksitet, omfanget af projekter og antallet af involverede organisationer? 7. Business case Er der et forretningspotentiale, og er det fornuftigt og realistisk? 2. Vision Er visionen så klart defineret, at den kan bruges som pejlemærke i hele programmets levetid? 3. Lederskab og engagement af interessenter Har programmet taget stilling til, hvordan organisationens ledelse vil føre organisationen igennem forandringerne? Og er ledelsen aktivt udførende for at sikre, at dette sker? 4. Ledelse af gevinstrealisering Er gevinsterne tydeliggjort og står det klart, hvilke projekter der understøtter realisering af hvilke gevinster? Og hvem der er gevinstejer, og derfor ansvarlig for at hjemtage gevinsterne. 8. Risiko- og emnehåndtering Er risikoafdækningen troværdig, og er den afspejlet i business casen? 9. Kvalitetsplanlægning og sikring Er der klare kriterier for kvalitet, således at det er muligt at kvalitetsvurdere projekternes leverancer ift. deres understøttelse af gevinstrealiseringen? Alle ovenstående temaer er behandlet dybdegående i vejledning til god programledelse i staten, som findes på Digitaliseringsstyrelsens hjemmeside: Den-faellesstatslige-programmodel.

13 TRIN 2 Risikovurdering Risikovurderingen gennemføres, når præciseringsfasen er afsluttet og projektgrundlaget sendes elektro-nisk til IT-projektrådets postkasse kontakt@itprojektraad.dk den aftalte dato senest kl. 12. Dokumenterne skal være godkendt af programstyregruppen. Programmet har to væsentlige aktiviteter i dette trin: Deltagelse i dialogmødet, som finder sted på 6. dagen af risikovurderingen. Modtagelse af anbefalingsbrevet ved afslutning af risikovurderingen. IT-PROJEKTRÅDETS AKTIVITETER Modtag materiale DEL 1: FAGLIG RISIKOVURDERING Læsning Dialogmøde Faglig risikovurdering DEL 2: RISIKOPROFIL OG ANBEFALINGER Fastlæg risikoprofil Udarbejd anbefalinger 24 timer høring i rådet Godkendelse og udsendelse af brev Dag 1 Dag 2-5 Dag 6 Dag 7 Dag 8 Dag 9-11 Dag Dag INSTITUTIONENS AKTIVITETER RISIKOVURDERINGSPROCESSEN TAGER 15 DAGE En risikovurdering tager maximalt 15 arbejdsdage. Set fra programmets side starter de 15 arbejdsdage med indsendelsen af programgrundlaget, der følges op af et dialogmøde på 6. dagen og afsluttes med et anbefalingsbrev. De 15 dages risikovurdering er organiseret i to dele og består af en faglig risikovurde-ring og IT-projektrådets vurdering af risikoprofil og formulering af anbefalinger. Deltag i dialogmøde En facilitator fra sekretariatet hjælper de tre vurderingspersoner igennem den faglige risikovurdering og sikrer, at risikovurderingen er gennemført senest på 7. dagen. Modtag anbefalet brev DEL 1: FAGLIG RISIKOVURDERING Til den faglige risikovurdering rekrutterer sekretariatet tre vurderingspersoner fra vurderingskorpset. Derudover tilknyttes et rådsmedlem fra IT-projektrådet, som er ansvarlig for udarbejdelsen af anbefalingsbrevet. De tre vurderingspersoner er alle erfarne projektledere/programledere eller har dybe it-kompetencer og kommer fra både private og offentlige organisationer. De vil typisk dække forskellige komptenceområder som business case, teknologi og arkitektur samt forretningsmodeller og processer. Vurderingspersonerne mødes om programgrundlaget, begynder den faglige risikovurdering og forbereder dialogmødet i institutionen. Dialogmødet afholdes på 6. dagen hvor vurderingspersoner og rådsmedlemmet kan drøfte observationer og eventuelle mangler i programgrundlaget, og få mulighed for at tage en dialog om risici med institutionen bag programmet. Formanden for programstyregruppen (som jf. governancemodellen skal være et direktionsmedlem) skal deltage i dialogmødet sammen med programlederen. Hvis et projekt risikovurderes, vil det endvidere forventes, at også projektlederen deltager i mødet. Efter dialogmødet færdiggøres den faglige risikovurdering med vurderingskorpset. Formanden for programstyregruppen har ret til at sætte risikovurderingen på pause, hvis der på dialogmødet kommer viden op, som påvirker scope

14 25 TRIN 3 Opfølgning på anbefalingerne 26 eller risikoprofil. Pausen kan være på få dage eller af længere varighed. Programstyregruppen vurderer selv, hvornår risikovurderingen ønskes færdiggjort. DEL 2: RISIKOPROFIL OG ANBEFALINGER Efter dialogmødet vil rådsmedlemmet vurdere programmet eller projektets risikoprofil (afhængigt af, om det er programmet eller projektet, der risikovurderes) og udarbejde anbefalinger. Risikoprofilen vil enten være normal eller høj. Anbefalingerne kan spænde meget bredt og tager udgangspunkt i de identificerede risici eller mangler, som udgør risici for programmet og/eller projekterne. Risikoprofil og anbefalinger sendes i 24 timers høring i IT-projektrådet. Formanden og rådsmedlemmet færdigbehandler herefter brevet, som dernæst sendes til det ansvarlige direktionsmedlem fra programstyregruppen og institutionens eget departement. Afhængigt af risikoprofil og anbefalinger, kan der være en videre dialog og opfølgning samt eventuelt planlægning af et eksternt review. I trin 3 følges op på anbefalingerne i anbefalingsbrevet, og programmet kan eventuelt: Justere programdokumentation som følge af anbefalingerne. Indsende opdateret baseline senest fire uger efter modtagelse af anbefalingsbrevet. Anbefalingsbrevet vil indeholde en vurdering af programmet eller projektets risikoprofil og en række konkrete anbefalinger til at reducere risici. Anbefalingerne kan have konsekvens for baseline, hvorfor det bør vurderes, om den skal opdateres inden indsendelse. INDSENDELSE AF BASELINE Før programmet begynder på at indrapportere statusrapporter, skal der indsendes en baseline. Baselinen er det datasæt, som programmet efterfølgende vil blive målt op imod i den halvårlige statusrapportering. Det er altid business casen, der danner grundlag for baseline, og for programmer udarbejdes business casen på programniveau og ikke projektniveau. Det betyder, at selvom det kun er et enkelt projekt i et program, der har været udgangspunkt for en risikovurdering, skal den efterfølgende statusrapportering altid foretages på programniveau. Senest fire uger efter modtagelse af anbefalingsbrevet skal programmet indsende business casen til sekretariatet, som indtaster oplysningerne i it-systemet Focal Point, så de kan anvendes i den næste statusrapportering.

15 27 TRIN 4 Status- og slutrapportering 28 IT-PROJEKTER MED NORMAL RISIKO Risikoprofilen kan enten være normal eller høj. Hvis IT-projektrådet vurderer, at risikoprofilen er normal, forventes det, at programmet gennemgår anbefalingerne, indarbejder dem i programgrundlaget og programplanen og dermed imødekommer dem i den videre udvikling af programmet. IT-PROGRAMMER MED HØJ RISIKO Har IT-projektrådet vurderet, at risikoprofilen er forhøjet, kan IT-projektrådet anbefale, at der gennemføres et eksternt review. Det er programmet selv, der udbyder reviewopgaven. Et rådsmedlem deltager i det eksterne review. Review-konklusioner og anbefalinger fra det eksterne review suppleres af en handlingsplan fra programmet selv. IT-projektrådet udarbejder, på baggrund af resultaterne af det eksterne review, en udtalelse, som afleveres til det ansvarlige direktionsmedlem fra programstyregruppen på et aftalt lukkemøde. Processen aftales med sekretariatet for IT-projektrådet og foregår intensivt over cirka 6-8 uger. IT-projektrådet kan også beslutte, at det vil følge programmet eller projektet senere i forløbet. Institutionen bør udvise tilbageholdenhed med afholdelse af yderligere udgifter, mens reviewet pågår. Bemærk at hvis programmet har høj risikoprofil skal det Monte Carlo simuleres, kontakt sekretariatet for hjælp til simuleringen. FORELÆGGELSE FOR FOLKETINGETS FINANSUDVALG Trin 4 i processen afslutter den samlede risikovurderingsproces og indebærer: Indsendelse af halvårlig status til IT-projektrådet. Indmelde afslutning på det niveau, der er statusrapporteret på. Såfremt ikke alle gevinster er realiseret (eller så godt som realiseret) på tidspunktet for udarbejdelse af programevalueringsrapporten, kan ITprojekt rådet anmode om at få en særskilt gevinstrealiseringsrapport på det tidspunkt, hvor den endelige gevinstrealisering er planlagt at finde sted. HALVÅRLIGE STATUSRAPPORTERINGER De halvårlige statusrapporteringer indkaldes i januar og august. Status indkaldes via koordinatoren og foregår i it-systemet Focal Point. Når alle igangværende programmer og projekter i staten har indsendt status, samles oplysningerne i en statusrapport, som forelægges Regeringens Økonomiudvalg og herefter offentliggøres af IT-projektrådet. AFSLUTTENDE RAPPORTERING Alle projekter afsluttes i Focal Point i den næstkommende statusrapportering. Der vedhæftes en projektafslutningsrapport og tilsvarende afsluttes programmer med en programevalueringsrapport. IT-projektrådets behandling af programmer og projekter erstatter ikke forelæggelse for FIU. Projekter skal fortsat forelægges FIU, hvis de samlede budgetterede udgifter til anskaffelse og udvikling, herunder internt ressourceforbrug, udgør 60 mio. kr. eller derover, jf. Budgetvejledning Anbefalingsbrev fra IT-projektrådet skal vedlægges forlæggelsen for Finansudvalget. Et projekt er afsluttet, når gennemførselsfasen er afsluttet, og projektafslutningsrapporten er godkendt i styregruppen. Et program er afsluttet, når fasen lukning af program er gennemført, programevalueringsrapporten er godkendt i styregruppen og dermed også de fleste gevinster realiseret.

16 29 Opsummering af krav 30 Et år efter sidste statusrapportering vil der blive fulgt op på gevinstrealiseringen. Institutionen skal på det tidspunkt oplyse nøgletal om gevinst realisering til IT-projektrådet, hvis den er forskellig fra den afsluttende statusrapportering. Samlet kan kravene til interaktion opgøres som i nedenstående figur. I figuren skelnes mellem projekter og programmer, da der er visse forskelle i håndteringen. SLUTEVALUERING Umiddelbart efter programmet er afsluttet, og der er indsendt programevalueringsrapport, indkaldes institutionen til et afsluttende evalueringsmøde, hvor der opsamles læringspunkter til brug for fremtidige risikovurderinger. RISIKOVURDERING PROJEKTER I PROGRAM Skal risikovurderes, hvis de samlede udgifter til it-projekter udgør 10 mio. kr. eller mere, men programmet samlet set er under 60 mio. kr. eller it ikke udgør en væsentlig del af programmet. PROGRAM Skal risikovurderes, hvis de samlede udgifter til it-projekter udgør 10 mio. kr. eller mere, og programmet samlet set er over 60 mio. kr., og it udgør en væsentlig del af programmet. DOKUMENTATIONS- GRUNDLAG PID og risikotjekliste for it-projekterne. Program dokumentation som bilag Programdokumentation PID og risikotjekliste for 3-5 vigtigste projekter DIALOGMØDE DELTAGERE Direktionsmedlem fra programstyrelsen. Programleder Projektleder Direktionsmedlem fra programstyrelsen. Programleder REVIEW Review kan gennemføres Review kan gennemføres STATUS- RAPPORTERING VEDR. ØKONOMI Statusrapportering ift. programmets business case Statusrapportering ift. programmets business case AFSLUTTENDE RAPPORTERING Ved afslutning af gennemførselsfase af sidste it-projekt. Ved afslutning af fasen lukning af programmet