<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-W3GDQPF" height="0" width="0" style="display:none;visibility:hidden">
Publisert 8. mai 2022 kl. 15.23
Lesetid: 3 minutter
Artikkellengde er 712 ord
AGILE OPTIMISTER: I jakten på å bli mer brukersentrert velger flere virksomheter mindre team og agile arbeidsmetoder, men det er lett å glemme at ikke all risiko er teamsentrert og brukernær, skriver artikkelforfatterne. Foto: NTB

Smidig risikostyring: – Farefull seilas i optimistjoller

Smidige, eller agile, arbeidsformer blir stadig vanligere i næringslivets jakt på å bli mer brukersentrerte. Men også den smidige seilasen har skjær i sjøen, skriver Sopra Sterias Espen Gulbrandsen og Ole Lindaas.

DebattinnleggTil kategorisiden
Send på epost
Kopier lenken

To utviklingstrekk preger yrkes- og næringslivet. Ett er dreiningen mot smidige arbeidsformer for å kontinuerlig justere kursen ut fra kunde- og markedsbehov. Det andre er dreiningen mot risikostyring for å manøvrere usikkerhet og juridiske føringer og krav.

I utgangspunktet virker disse utviklingstrekkene høyst forenlige. Knapt noe synes mer risikoreduserende enn en arbeidsform som bygger på en god forståelse av brukerbehov og etterspørsel i markedet. Men dreiningen mot økt smidighet kan være en farefull ferd, og kan føre til at visse typer risiko ikke dukker opp på radaren.

Ved å kunne reagere raskt på endringer, reduseres risikoen for feilproduksjon, ressurskrevende feilrettinger, dårlige investeringer eller å bli akterutseilt.

Nøkkelen til suksess (og overlevelse) i en tid med høy endringstakt er å fange opp signaler og behov tidlig, og omsette dem til forbedringer av produkter og tjenester. Utviklingen organiseres rundt tverrfaglige, autonome og brukernære team som leverer raskt og kontinuerlig. Ønsket er å lære fort med små og hyppige kursendringer. 

Teamets radar vil raskt begynne å lyse dersom ingen bruker det teamene leverer, eller produktene henger etter innovasjonen i markedet. Ved å kunne reagere raskt på endringer, reduseres risikoen for feilproduksjon, ressurskrevende feilrettinger, dårlige investeringer eller å bli akterutseilt. Det er da nærliggende å tro at overgang til smidige arbeidsformer vil styrke risikostyringsevnen.

Det er imidlertid lett å glemme at ikke all risiko er teamsentrert og brukernær. Noen risikoer er tverrgående, og berører virksomheten som helhet. 

Typiske eksempler er risiko knyttet til regulatoriske føringer og krav, samt risiko relatert til overordnede virksomhetsmål. Disse risikoene melder seg uavhengig av organisasjonskartet. Eksperter på slik type risiko kan ikke befinne seg i hvert enkelt team. Det åpner for at tverrgående risiko blir nedprioritert av teamene eller overhodet ikke dukker opp på teamenes radar. Her er det lett å gå på skjær i sjøen.

Eksperter på slik type risiko kan ikke befinne seg i hvert enkelt team.

La oss illustrere problemet med et eksempel. En virksomhet har et team som jobber med en søknadsløsning. Brukerne melder at dagens løsning er unødig tungvint ettersom de må taste inn person- og helsedata på nytt ved hver pålogging. 

Teamet utvikler derfor ny funksjonalitet slik at brukerne kun må taste dette inn ved første pålogging. Dette forenkler løsningen, og sannsynligheten for bruk øker. Løsningen krever imidlertid at brukerdata lagres, og dette må skje i henhold til gjeldende lov- og regelverk. 

Teamets forståelse av GDPR stikker dessverre på langt nær like dypt som den funksjonelle forståelsen. Den åpenbare brukergevinsten teamet ser i å få på plass funksjonalitet raskt går på bekostning av at de gjennomfører dyptpløyende analyser. Rett nok er juridisk enhet i virksomheten forespurt underveis, men grunnet manglende fokus og kompetanse, har ikke henvendelsene deres vært tilstrekkelig presise til å gi klare svar.

Espen Gulbrandsen, Sopra Steria Foto: Sopra Steria

Løsningen lanseres, og etter hvert blir brudd og sikkerhetshull avdekket. Løsningen må stenges, og identifiserte hull i skroget må tettes. I tillegg får virksomheten omdømmetap den må rette opp.

Tverrgående risikoer knyttet til personvern (GDPR) er etter hvert kjent for mange, men nye områder dukker stadig opp på radaren som gjør farvannet mer komplekst. Eksempler på dette er meldeplikten og den kommende åpenhetsloven. Dette er risikoer som autonome og brukerorienterte team lett kan få et perifert forhold til.

Ole Lindaas, Sopra Steria Foto: Sopra Steria

Tre viktige aspekter

I en tid som stiller høye krav til smidighet og fart i team er tre aspekter viktige for at virksomheten skal klare å manøvrere slike tverrgående risikoer:

  • Virksomheten må utvikle strukturer, prosesser og automatiseringer for risikostyring som gjør det enkelt for teamene å bevege seg innenfor regulatoriske rammer og virksomhetens overordnede mål og retning
  • Virksomheten må gjøre ekspertise enkelt tilgjengelig for å kunne guide, og i størst mulig grad avlaste, teamene i manøvrering av lovkrav, strategiske veivalg og risikovillighet
  • De autonome teamene må på sin side ta i bruk og følge retningslinjene for tidlig å finne ut når de har behov for støtte

Uten slike mekanismer som balanserer ansvar mellom team og virksomheten, er det fare for at kritiske tverrgående risikoer ikke blir tatt tilstrekkelig hensyn til.

Smidig tilnærming med autonome småteam i hver sin hurtigseilende optimistjolle vil redusere noen risikoer, men ikke alle. Forutsetningen for suksess er at teamene har en god radar, eksperter som kan formidle værmeldingen, og rutiner for å lese denne. På den måten reduseres risikoen for at de verken lider et regulatorisk eller strategisk skipbrudd.

Espen Gulbrandsen

Senior Manager i Sopra Steria

Ole A. Lindaas

Director i Sopra Steria