Дмитрий Могилко
Бизнес-архитектор
Эксперт-консультант ВЭШ СПГЭУ
Асессор по модели EFQM
Партнёр ГК «Современные технологии управления» (г. Санкт-Петербург)
Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.
Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.
Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).
Рис. 1. Структура основных понятий риск-менеджмента
Представленная модель построена на основе следующей логики.
- Организация осуществляет деятельность в конкретной ситуации под влиянием факторов внешней и внутренней среды [2, 3], при этом:
- внешняя ситуация (среда) обусловлена влиянием культурных, социальных, правовых, финансовых, технологических, экономических факторов;
- внутренняя ситуация (среда) отражает ценности, культуру и стиль руководства, организационную и ролевую структуру, политику, цели и стратегию организации.
- Негативное развитие ситуации обусловливает возникновение опасных событий (опасностей), которые характеризуются вероятностью и последствиями их наступления.
- Появление опасного события приводит к возникновению риска — влияния неопределенности на цели организации, при этом неопределенность обусловлена недостаточностью информации, понимания или знания относительно события, его последствий или возможности.
- Из множества вероятных рисков отбираются наиболее значимые для организации с помощью критериев риска, которые представлены признаками и правилами оценки его значимости [4].
Критерии соответствуют виду риска [5] для одного из следующих классов опасностей по характеру происхождения:- природный;
- биосоциальный;
- техногенный;
- экологический;
- профессиональный;
- информационный;
- экономический;
- террористический;
- кибернетический;
- иной [6].
- Значимые для организации риски, выбранные с помощью критериев, подлежат идентификации, включая обнаружение, распознавание и описание. При идентификации опасных событий также определяются объекты воздействия (реестра риска) и методы идентификации риска [7]. Характеристика опасного события включает:
- идентификатор;
- наименование и описание, в том числе:
○ источник опасного события;
○ объект воздействий опасного события (люди, экология, экономика, система управления, социальная среда и инфраструктура организации);
○ последствия опасного события [3]; - этап жизненного цикла продукции (услуги) при возникновении опасного события;
- возможные последствия;
- необходимые предупреждающие средства контроля для реагирования на опасные события и способы восстановления деятельности [6].
В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:
- идентифицированные опасные события (инциденты — центральные узлы диаграммы);
- источники опасных событий (на диаграмме слева) и последствия (на диаграмме справа);
- установленные барьеры, предотвращающие эскалацию опасного события (предупреждающие меры на диаграмме слева) и нежелательные последствия (средства управления для восстановления и снижения последствий на диаграмме справа).
Рис. 2. Диаграмма «галстук-бабочка»
-
Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.
Таблица 1. Реестр риска (упрощенная форма)
Идентификатор опасного события Наименование и описание опасного события Ответственный менеджер по риску Последствия опасного события (I) Вероятность опасного события (L) Оценка риска (I × L) Мероприятия по обработке риска Срок выполнения мероприятий по обработке риска Примечания План Факт - Следующим за идентификацией этапом процесса управления риском является анализ его природы и уровня. При анализе риска определяются:
- источники данных;
- средства контроля;
- методы анализа;
- последствия реализации опасного события;
- вероятность наступления опасного события;
- оценка уровня риска [6].
Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:
- шкала последствий (табл. 2);
- шкала вероятности (табл. 3).
Таблица 2. Шкала оценивания последствий опасного события
Последствие (I),
баллыОписание
последствийОбъекты воздействия опасного события 5 Катастрофические последствия Люди, окружающая среда, экономика, органы государственного и муниципального управления, социальная среда, инфраструктура 4 Значительные последствия Люди, экономика, инфраструктура, окружающая среда, социальная среда 3 Умеренные последствия Люди, экономика, инфраструктура 2 Небольшие последствия Экономика, инфраструктура 1 Малозначительные последствия Социальная среда Примечание: объекты воздействия опасного события приведены для примера.
Таблица 3. Шкала оценивания вероятности наступления опасного события
Оценка вероятности,
%Качественная оценка вероятности, баллы Очень высокая — 81–100 Очень высокая — 5 Высокая — 61–80 Высокая — 4 Средняя — 21–60 Средняя — 3 Низкая — 1–20 Низкая — 2 Очень низкая — менее 1 Очень низкая — 1 Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).
Таблица 4. Матрица риска, ранги
Качественная оценка вероятности опасного события Последствия Малозначительные (1) Небольшие (2) Умеренные (3) Значительные (4) Катастрофические (5) Очень низкая (1) 1 2 3 4 5 Низкая (2) 2 4 6 8 10 Средняя (3) 3 6 9 12 15 Высокая (4) 4 8 12 16 20 Очень высокая (5) 5 10 15 20 25 -
Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:
- определение критериев приемлемости риска;
- сопоставление оценки риска с критериями приемлемости;
- заключение о приемлемости риска и необходимости его обработки [6].
По результатам анализа определяется уровень риска в следующих интервалах:
- ранг 0 — риск отсутствует, никакие действия не предпринимаются;
- 0–4 — риск низкий, предпринимаются низкозатратные действия;
- 5–8 — риск средний, предпринимаются действия с учетом временных и экономических затрат;
- 9–16 — риск высокий, необходимо срочное выполнение мероприятий по снижению риска;
- 16–25 — риск высокий, необходимо предпринять незамедлительные действия по его снижению [7].
-
После оценки риска наступает этап его обработки / модификации посредством:
- избежания, т. е. отказа от деятельности;
- принятия;
- устранения источника риска;
- изменения его вероятности;
- изменения его последствий;
- разделения риска с другой стороной [2].
Обработка риска включает следующие этапы:
- определение целей обработки риска;
- определение и выбор способов обработки риска (с учетом затрат, эффективности обработки, уровня остаточного риска);
- разработка и осуществление плана обработки риска [3].
-
Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:
- измеряться в процентах, представлять собой число (номер) или соотношение;
- определяться сопоставимыми значениями за определенный промежуток времени;
- иметь базовые значения;
- иметь недорогие и простые (в интерпретации и контроле) данные [9, 10].
Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.
Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:
- соблюдать принципы менеджмента риска;
- нести ответственность, выполнять обязанности и иметь полномочия в области менеджмента риска;
- формировать реестр риска и вести отчетность в соответствии с установленными в организации формами, с применением стандартизованных терминов и принятых критериев [5].
Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:
- знание политики, стратегии и целей организации в области менеджмента риска;
- понимание связи политики в области риска с общей политикой и стратегическими целями организации, а также с требованиями и ожиданиями причастных к этому сторон;
- знание процессов и специфики работы организации;
- знание необходимых правовых требований, в том числе требований нормативной и технической документации: технических регламентов, стандартов и рекомендаций в области риска;
- знание и правильное использование терминов менеджмента риска;
- знание карты этого процесса;
- знания в области применения реестра риска.
Основные требования к навыкам менеджеров по риску включают способности:
- Идентифицировать, описать и зарегистрировать опасные события и оценить соответствующие им риски.
- Применять критерии допустимого риска организации.
- Задействовать методы оценки риска.
- Использовать методы разработки и ведения реестра риска.
- Применять методы обработки и мониторинга риска организации, в том числе методы оценки результативности и эффективности мероприятий по снижению риска.
- Использовать методы анализа менеджмента риска и управления документацией в этой области.
- Обеспечивать от имени высшего руководства внедрение процесса менеджмента риска, а также разработку, внедрение, функционирование и поддержку в рабочем состоянии соответствующей системы.
- Доводить до сведения высшего руководства информацию о работе системы менеджмента риска и всех необходимых улучшениях, при этом в отчете по реестру риска необходимо указывать:
- перечень опасных событий, связанный с ними риск и способы обработки;
- оценку эффективности мер по обработке ключевых видов рисков;
- произошедшие изменения за отчетный период;
- необходимые изменения в стратегиях, целях и задачах в области риск-менеджмента для предотвращения или снижения возможных потерь;
- предполагаемую причину неэффективности мероприятий по обработке риска;
- необходимые действия для выполнения мероприятий по обработке риска;
- меры повышения эффективности риск-менеджмента [6].
- Обеспечивать понимание риска персоналом организации.
- Согласовывать процесс риск-менеджмента с общей системой процессов организации.
- Внедрять решения, принятые по результатам оценки риска.
- Поддерживать и постоянно улучшать систему риск-менеджмента.
Оценка риска осуществляется группой, включающей следующие роли:
- владелец / спонсор — инициирует и контролирует осуществление оценки риска, обеспечивает необходимыми ресурсами (финансовыми, материальными, нематериальными) выполнение плана-графика по времени;
- руководитель группы — управляет выполнением оценки риска;
- эксперт по исследуемому направлению — предоставляет соответствующие информацию, данные и экспертные оценки, относящиеся к исследуемому риску;
- помощник — оказывает помощь при оценке риска, организует совещания по ней;
- участник — активно участвует в процессе оценки риска [3].
Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:
- цель: постоянное определение, анализ, обработка и мониторинг рисков;
- выходы: область применения менеджмента рисков, определение и выполнение стратегий менеджмента рисков, определение рисков, анализ рисков, оценивание степени риска, применение обработки риска;
- виды деятельности: планирование менеджмента рисков, менеджмент профиля рисков, анализ рисков, обработка рисков, мониторинг рисков, оценка процесса менеджмента рисков.
В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).
Рис. 3. IDEF0-модель процесса менеджмента риска
Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.
Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.
№ | Параметр | Требования и рекомендации |
---|---|---|
1 |
Код регистрации (в реестре) и название риска (опасного события) |
Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях. В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении [5]. |
2 |
Тип риска (внешний или внутренний) |
При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска [3]. |
3 |
Вид риска (экономический, технический, социальный, экологический) |
Высшее руководство должно установить критерии риска, используемые в реестре. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Последние должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных к процессу сторон [5]. |
4 |
Владелец риска (ответственный за менеджмент риска) |
|
5 |
Риск-менеджеры (эксперты по оценке риска) |
|
6 |
Область или объект воздействия риска (организация, среда, персонал, продукт, процесс) |
При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами могут быть:
|
7 |
Заинтересованные (причастные) стороны, подверженные риску |
|
8 |
Источник и условия возникновения риска (опасного события) |
Анализ риска включает исследование источников опасных событий, их последствий и вероятности появления. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности [7]. |
9 |
Уровень (балл) последствий воздействия риска (опасного события) |
|
10 |
Уровень (балл) вероятности возникновения опасного события |
После определения последствий для каждого опасного события следует выявить соответствующую вероятность. Используя таблицу оценки вероятности опасного события, для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска [3]. |
11 |
Оценка уровня (ранга) риска |
Ранжирование опасных событий проводят в соответствии с ущербом. Результатом анализа и сравнительной оценки риска является ранжирование, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска [6]. |
12 |
Решение о необходимости обработки риска |
|
13 |
Мероприятия по обработке риска (снижению вероятности и/или последствий) |
Целью плана обработки риска является регистрация выбранных способов обработки риска. План обработки риска должен включать в себя:
|
14 |
Ответственный за обработку риска |
Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за них. Ответственными, как правило, назначают:
|
15 |
Срок выполнения мероприятий по обработке риска |
Этапы обработки риска включают в себя:
|
16 |
Индикаторы мониторинга риска |
|
17 |
Сведения о результативности и эффективности обработки риска (оценка и опыт) |
|
18 |
Направления улучшения инфраструктуры риск-менеджмента |
|
19 |
Периодичность актуализации оценки риска (реестра риска) |
|
20 |
Дата актуализации сведений о риске (в реестре) |
— |
Для практического использования паспорт риска может быть реализован как нормативно-справочный документ в системе бизнес-моделирования Business Studio (рис. 4), при этом:
- названия параметров риска указываются в поле «Раздел» атрибутов документа;
- содержание (значение) параметров риска заносится в поле «Комментарий» атрибутов документа;
- требования к параметрам риска указываются в поле «Комментарий» раздела атрибутов объекта (рис. 5).
Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio
Рис. 5. Карточка раздела документа
Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.
Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).
Рис. 6. Шаблон пользовательского отчета «Паспорт риска»
В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).
Рис. 7. Отчет «Паспорт риска»
Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.
- Лист «Матрица рисков» (рис. 8):
- средневзвешенный уровень рисков организации (например, 10,25);
- матрицу позиционирования рисков в координатах «Вероятность» и «Последствия» (например, риск «Высокая зависимость от ключевых сотрудников» имеет значения параметров: вероятность — 4 балла, последствия — 3 балла);
- список (реестр) рисков, включающий дополнительные сведения: дату (обновления в карточке риска), код (регистрационный номер), владельца.
- Лист «Риски» (рис. 9):
- ранг уровня риска (например, 12);
- сведения (содержание) о параметрах риска;
- параметры риска (ссылки).
- Лист «Требования» (рис. 10):
- наименование раздела (нормативно-справочного) документа;
- требования и рекомендации стандартов для параметра риска.
Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу
Рис. 9. Лист «Риски» Excel-отчета по мониторингу
Рис. 10. Лист «Требования» Excel-отчета по мониторингу
Для удобства навигации отчет содержит необходимые автоматические ссылки.
ВЫВОДЫ
Предложенная автором структура паспорта риска, содержащая требования и рекомендации соответствующих стандартов, позволит определять и поддерживать необходимые компетенции участников инфраструктуры по управлению рисками. Применение системы Business Studio позволит осуществлять регулярную деятельность по актуализации реестра риска, поддержанию и развитию требуемых компетенций в области управления рисками, а также регулярный мониторинг выполнения мероприятий по их обработке.
Источники информации:
- ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования».
- ГОСТ Р ИСО 31000–2010 «Менеджмент риска. Принципы и руководство».
- ГОСТ Р 51901.23–2012 «Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска».
- Р 50.1.068–2009 «Менеджмент риска. Рекомендации по внедрению. Часть 1: Определение области применения».
- ГОСТ Р 51901.21–2012 «Менеджмент риска. Реестр риска. Общие положения».
- ГОСТ Р 51901.22–2012 «Менеджмент риска. Реестр риска. Правила построения».
- Р 50.1.084–2012 «Менеджмент риска. Реестр риска. Руководство по созданию реестра риска организации».
- ГОСТ Р ИСО/МЭК 30010–2011 «Менеджмент риска. Методы оценки риска».
- Р 50.1.090–2014 «Менеджмент риска. Ключевые индикаторы риска».
- ГОСТ Р ИСО/МЭК 12207–2010 «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств».
- Создание пользовательских отчетов.
Опубликовано по материалам:
«Менеджмент качества», 03/2019.
Октябрь 2019 г.
Рекомендуемые материалы по тематике
Превращение в гиганта: практика организационного развития ГК «Гулливер»
Процессный подход станет нашим рабочим инструментом — интервью с Денисом Клименко в проекте «Управление из первых рук»
BPM как способ узнать глубину кроличьей норы
Глоссарий
#статьи
- 19 май 2022
-
0
Управление рисками в проекте: как найти и оценить, как составить план защиты от них
Основы управления рисками для менеджеров, которые работают с проектами. Какими бывают риски и как на них реагировать. Пересказ лекции Google.
Кадр: фильм «Исходный код»
Обозреватель Skillbox Media по маркетингу и IT. С 2015 года работает с SEO, таргетированной и контекстной рекламой. Писала для Skypro, Yagla и Admitad.
Риски — неотъемлемая часть любого проекта, от семейного праздника до строительства гидроэлектростанции. Ни один проект не следует плану на 100%, даже если им руководит опытный менеджер. Управление рисками — отрасль проектного управления со своими техниками и методиками.
Мы перевели и пересказали главное из лекции об основах управления рисками «Risk Management Basics», которую подготовили в Google для курса по управлению проектами.
- Что такое риски в проекте
- Самые распространённые виды рисков
- Как найти риски в проекте и оценить их
- Вы нашли риски: что с ними делать
- Как составить план по управлению рисками
Есть много определений риска, но мы дадим очень простое. Риск — это негативное событие, которое может произойти, а может и не произойти. Риски нужно отличать от проблем: риск станет проблемой, только если негативное событие произойдёт.
Проблемы мешают выполнению задач проекта. Если вы руководите проектом, вы должны помнить, что несёте ответственность за риски.
Вот несколько примеров рисков и проблем, к которым они привели.
- Целью проекта было опубликовать исследование, но ведущий аналитик уволился, когда была готова только половина. Дедлайн сорвали, и задачу в срок не выполнили.
- Спрос на товар резко вырос, и поставщик не смог поставить требуемое количество. Полки магазина опустели.
- Компания продавала в офисы растения, которые почти не требуют ухода. Однако у поставщиков закончились специфические растения, в которых нуждалась компания, — папоротники и кактусы.
Когда вы понимаете, какие риски есть в проекте, вы можете принять меры предосторожности — например, обратиться за консультацией. Если что-то пойдёт не так, у вас будет план, как решить проблему.
Управление рисками в проекте — это процесс поиска, оценки и предотвращения потенциальных проблем. Этот процесс регулярный, превентивных действий на старте проекта недостаточно.
Управление рисками не только снижает влияние негативных ситуаций на проект. Оно высвобождает ресурсы: материальные, трудовые.
Есть разные классификации рисков. Мы назовём виды рисков, которые упоминают чаще остальных.
Временные риски. Это вероятность того, что на выполнение задач в проекте уйдёт больше времени, чем запланировано. Помните о сроках, потому что время — это ресурсы. Если команда тратит много времени на задачи, растёт и фонд оплаты труда. Кроме того, стейкхолдеры проекта могут разочароваться из-за задержек.
Бюджетные риски. Из-за плохого планирования стоимость проекта может оказаться больше, чем заложено в бюджете. Обычно бюджет закладывают перед запуском проекта, тогда же планируют траты по статьям. Если команда не уложится в план, потребуются дополнительные средства, и если их не будет, проект остановится.
Риски изменения объёмов работы. Они могут появиться, если исполнители не поняли требований заказчика или он сам внёс в проект изменения. Это может привести к пересмотру бюджета, сроков и списка задач.
Внешние риски. Это потенциальные события, которые находятся за пределами компании и которые компания не может контролировать. Например, на проект могут повлиять новые законы.
Единая точка отказа. Так называют единственное событие, которое может остановить всю работу над проектом. Ни один член команды не сможет дальше выполнять свои задачи, пока проблема не решится. Например, для интернет-магазина единой точкой отказа может стать отключение электричества в офисе. Если доступ к инструментам, таким как CRM, был только из офиса, вся команда не сможет выполнять задачи.
В результате команда не выполнит ни одной задачи. Зная об этой точке отказа, можно принять меры: создать резервные копии сервисов и информации в облаке.
Зависимости. Это связи между двумя задачами в проекте: когда начало одной задачи зависит от завершения другой. Зависимости часто становятся риском для проекта.
Например, один из членов команды должен подписать контракт с заводом-поставщиком. Пока контракта нет — остальная команда не может выполнить ни один заказ. Если вовремя не подписать документ, то проект не закончат в срок.
Другой пример. Участник команды уходит в отпуск. Если он отвечал за критические процессы, то другие участники не смогут выполнять свои задачи. От этого риска можно было бы защититься, узнав о планах членов команды с самого начала.
Зависимости могут быть внутренними и внешними. Внутренние — зависимости внутри проекта. Например, чтобы начать разработку сайта, нужно сначала утвердить его дизайн.
Внешние зависимости — зависимости, над которыми у команды нет контроля. Например, компания покупает у фермы овощи для продажи, и если лето окажется засушливым или слишком дождливым, урожая будет меньше — а значит, компания не получит достаточно овощей.
Рисков, которые могут повлиять на ваш проект, много. Нельзя предугадать их все, но можно проработать большинство из них. В следующем разделе мы рассмотрим методы поиска рисков.
Самый эффективный способ найти риски — мозговой штурм с командой проекта. Так каждый сможет предложить свои идеи. Лучше, если в мозговом штурме будут участвовать люди, занимающие разные роли в проекте, имеющие разный бэкграунд. Люди с разным опытом и набором навыков помогут найти риски, о которых руководитель не догадывается.
Некоторые члены команды участвовали в нескольких проектах внутри компании. Они поделятся информацией об опасностях, с которыми столкнулись коллеги. Новичок может рассказать об опыте команд, в которых он работал раньше.
Чтобы структурировать информацию, полученную во время мозгового штурма, используйте диаграмму Исикавы. Диаграмма, известная как «рыбьи кости», наглядно показывает причинно-следственные связи.
В «голову» рыбы помещают риск, который нужно проанализировать. На «костях» пишут причины, которые могут привести к негативному событию. К ним могут вести «кости» поменьше — причины второго порядка. Иногда добавляют третий, четвёртый и даже пятый уровни.
Вот диаграмма Исикавы, составленная для анализа проблемы — у компании низкие продажи.
Инфографика: Майя Мальгина для Skillbox Media
Например, есть риск, что поставщики вовремя не доставят товар. На диаграмму поместят следующие причины:
- нет инструментов отслеживания;
- государство может ввести ограничения;
- нет человека, который отвечает за доставку товара.
Может оказаться, что список рисков слишком большой. Это нормальный результат для такого анализа. Нужно будет выбрать самые важные риски, на которых сосредоточится команда.
Для оценки рисков используйте матрицу вероятности и последствий. С помощью неё вы поймёте, о каких рисках нужно помнить в первую очередь.
Сначала проанализируйте, какие последствия могут быть, если риск превратится в проблему. Используйте шкалу:
- Сильный эффект — если проблема может сорвать проект или существенно его изменить.
- Средний — если событие может повлиять на проект, но это можно поправить.
- Слабый — если риск незначительно повлияет на проект, но точно его не сорвёт.
Потом оцените вероятность того, что риск возникнет:
- Высокий — высокая вероятность риска.
- Средний — риск есть.
- Низкий — скорее всего, риска нет.
Затем нужно собрать оценки вероятности и силы последствий на одной шкале и разбить риски на несколько групп.
- Если вероятность низкая, а последствия дадут слабый эффект, то об этом риске не стоит беспокоиться. Просто имейте в виду, что он есть.
- Если вероятность высокая и последствия дадут сильный эффект, о защите от этого риска нужно позаботиться в первую очередь.
Несколько незначительных рисков обычно меньше влияют на проект, чем один риск высокого уровня. Последние чаще приводят к тому, что проект срывается. Поэтому работайте сначала с проблемами высокого и среднего уровня.
Используйте разные цвета, чтобы выделить приоритетные задачи. Так участник команды, увидев таблицу, сразу поймёт, с какими рисками нужно работать в первую очередь.
Есть четыре основные стратегии, как реагировать на риски. Можно попробовать избежать рисков, принять их, передать их другой команде; их также можно уменьшить и контролировать.
Рассмотрим каждый способ.
Избегать. Иногда вы можете избежать риска полностью. Например, если вы сомневаетесь в надёжности подрядчика, который часто не соблюдает сроки, вы можете перестать работать с ним.
Принять. Этот способ подойдёт для рисков с низкой или средней вероятностью и без тяжёлых последствий для проекта. Нужно принять, что такой риск существует, и отслеживать его всё время до окончания проекта.
Представим, что поставщик неожиданно заявил, что у него нет нужных вам компонентов, однако он пополнит запасы в ближайшее время. Возможно, это скажется на сроках проекта.
Можно начать работу с другим поставщиком, но такой риск лучше принять. Это имеет смысл, если задержки не критичны для проекта. Если не искать нового поставщика и смириться с риском, это избавит команду от лишней работы.
Уменьшить или контролировать. Для смягчения риска используйте дерево решений. Это блок-схема, которая показывает, какие решения существуют для каждой проблемы. Например, если компания работает с исполнителем, который срывает сроки, ему можно постоянно напоминать о задаче: отправлять имейлы каждый день или звонить.
Передать риски. Если команда понимает, что не может снизить риски для какой-то группы задач, она может передать их специализированным компаниям. Иногда это помогает сэкономить время и деньги.
План по управлению рисками — это документ, который описывает возможные риски и способы их снизить. Если у вас есть такой план, все члены команды и заказчики будут в курсе, какие проблемы могут возникнуть во время реализации проекта. Документ нужно постоянно дополнять, так как новые риски могут появиться на любом этапе проекта.
План можно создать в «Google Документах». Так все члены команды будут иметь к нему доступ. Укажите название компании, название проекта и кто создал этот документ — чтобы было понятно, к кому обращаться, если возникнут вопросы. Также можно написать, когда документ был создан и когда обновлялся в последний раз. Так команда будет понимать, насколько он актуален.
Скриншот: Google Career Certificates / YouTube
Далее напишите цель документа: смягчить последствия рисков в проекте. В план нужно добавить краткое описание проекта — и написать, какие проблемы проект переживёт, а какие риски могут его изменить.
Следующая часть — самая важная. Создайте таблицу, в которой вы распишете все возможные риски, оцените их и добавьте возможные решения для каждого. Как это сделать, мы разобрали в предыдущих разделах.
Например, один из рисков — поставщик не успевает уложиться в сроки. У этого риска средний уровень. Для снижения риска есть решение: ежедневно созваниваться с поставщиком.
Важно, чтобы не только команда знала о планах. Обязательно встретьтесь с заказчиком или напишите ему письмо, чтобы рассказать, какие риски есть у проекта.
Так вы уже в начале проекта будете понимать, поможет ли заказчик решить проблемы, если они возникнут. Например, если заказчик предупредил, что он не сможет увеличить бюджет, вы учтёте, что работаете с ограниченными ресурсами и дополнительных средств не будет.
Если вы не расскажете о рисках заказчику заранее, в середине проекта они могут стать неприятным сюрпризом. Так вы можете подорвать доверие к себе и всей компании. Если же заинтересованные стороны знают о рисках, все понимают, чего потенциально можно ожидать при работе над проектом.
Особенно важно поговорить с заказчиком, если есть риски высокого уровня. В таком случае лучше встретиться с ним и пообщаться лично. Возможно, вы найдёте совместные решения. Риски среднего и низкого уровня можно обсудить по электронной почте.
Все риски обнаружить невозможно, и это нормально. Но если вы предусмотрите значительную часть из них и придумаете решения, вы будете лучше подготовлены к проблемам.
- Риски — это возможные негативные ситуации, которые могут помешать выполнению проекта. Проблемы — это воплотившиеся риски.
- Самые распространённые виды рисков: временные, бюджетные, нарушения в зависимостях, внешние, а также единые точки отказа — события, которые останавливают всю работу команды.
- Ищите риски с помощью мозговых штурмов, анализируйте их с помощью диаграммы Исикавы, а потом оценивайте их эффект и вероятность.
- На риски можно реагировать с помощью одной из четырёх стратегий: избегать, принять, контролировать или передать другой команде.
- Список самых опасных рисков и список мер, с помощью которых команда будет на них реагировать, вносят в план по управлению рисками.
Другие материалы Skillbox Media по управлению проектами
- Что такое проект: разбираем главное понятие проектного управления
- Kanban: рассказываем, как работает эта методика
- Как планировать проекты и следовать графику работ с диаграммами Ганта
- Что такое Agile: методология, команда, оценка эффективности
- Как работает Scrum и как управлять проектом с помощью этой методики
Научитесь: Профессия Менеджер проектов
Узнать больше
Этапы управления рисками
Чтобы грамотно управлять угрозами для бизнеса, мы решили использовать метод фреймворка PMBoK от PMI. Разработчики предлагают поделить процесс управления на 6 этапов:
- Планирование управления
- Идентификация факторов
- Качественная оценка
- Количественная оценка
- Планирование реакции
- Мониторинг и контроль
Такая методология предполагает активный подход в работе с источниками проектных угроз. Пассивное реагирование на последствия допустимо при появлении непредвиденных факторов. Но пассивная реакция на угрозы, которые можно предугадать недопустима — можем сильно увеличить смету, сорвать сроки или потрелять заказчика. В современных бизнес-реалиях пассивная реакция равноценна осознанному убийству проекта.
Такую схему из 6 этапов предлагает PMBoK.
Планирование управления
На этапе планирования выбираем стратегии организации процесса управления и правила взаимодействия участников и заинтересованных сторон. Мы сможем уточнить выбранные методы, инструменты и уровень организации управления.
Вот такую проектную схему предлагают разработчики PMBoK.
Диаграмма потоков данных планирования управления рисками в PMBoK.
3 главных аспекта правильного планирования:
- формирование благоприятной среды управления — гармонизация отношений внутри команды
- использование заранее заготовленных схем и шаблонов процессов управления
- создание описательной части и плана управления угрозами
Основной процессный инструмент — совещание. В нем принимают участники все члены команды, а иногда и инвесторы, когда речь идет про угрозы для инвестиционного проекта. Результат их работы — создание плана управления. Это полноценный регламент, которым команда руководствуется при противодействии угрозам.
Обычно в плане управления указывают:
- методы и инструменты управления
- роли участников при возникновении рисковых ситуация
- допустимые значения и диапазоны угроз
- принципы и правила внесения изменений в работу
- форматы отчетности и документации по проектным угрозам
- способы мониторинга и ответственные
Идентификация
На этом этапе выявляют и документируют проектные угрозы. Результат — перечень возможных проблем с ранжированием по степени опасности. Сначала команда выявляет рисковые факторы, затем проводит исследования и идентифицирует угрозы. Нужно понимать, что не все угрозы можно идентифицировать на старте. Обычно по мере развития проекта количество возможных рисковых событий увеличивается.
Чтобы увеличить вероятность идентификации, есть смысл использовать грамотную классификацию рисковых событий. Например, мы в Oko используем классификацию по степени по степени контролируемости.
Классификация рисковых событий по степени их контролируемости.
Использование этой классификации помогает определить, под какие неконтролируемые угрозы стоит планировать резервы. Нужно учитывать и то, что контролируемость рисковых событий еще не гарантирует успеха в их управлении. Также отмечу, что не всегда удается четко классифицировать угрозы, поэтому есть смысл использовать и другие способы классификации. Например, по источникам.
Пример классификации рисковых событий в зависимости от их источника.
При формулировании угрозы важно использовать двух составные понятия: с указанием на источник события и саму угрозу. Например, «угроза срыва сроков реализации из-за отсутствия определенности с функционалом» или «риск отсутствия финансирования из-за нестабильной ситуации с бюджетом у компании-заказчика». Результат — создание реестра возможных рисковых ситуаций.
Фрагмент реестра рисковых ситуаций.
Анализ и оценка рисков проекта
Здесь мы совмещаем качественную и количественную оценку.
Качественный анализ — оценка экспертных мнений и взглядов на возможные неблагоприятные последствия, обусловленные выявленными факторами. Качественный анализ более поверхностный, но часто его достаточно. Он позволяет получит на выходе:
- перечень рисковых событий, сгруппированный по приоритету
- перечень событий, которые нужно дополнительно проанализировать
- комплексную оценку угрозы для команды в целом
При анализе экспертные оценки делят на две категории: оценки вероятности наступления рисковых событий и оценки их влияния. Для их корректного анализа создают специальную матрицу с оценками. Например, вот такую матрицу предлагают разработчики PMBoK.
Матрица вероятности/воздействия угроз и благоприятных возможностей из PMBoK.
На основе этой матрицы можем получить три пороговых уровня: незначительные, средние и недопустимые угрозы. Оценка — это приоритет риска. В зависимости от того, в какую из категорий попадает рисковое событие, а также в зависимости от оценки, которую получает угроза, разрабатываются конкретные мероприятия по купированию и предотвращению последствий.
Чтобы оценить степень угрозы у себя в компании, мы придумали такую матрицу, в которой эта степень зависит от вероятности реализации риска и его влияния на показатели работы. Чем выше вероятность реализации и существенней влияние на проектов, тем выше степень угрозы — бороться с ней нужно активнее.
Чем выше вероятность реализации и существенней влияние на проектов, тем выше степень рисковой угрозы.
Количественный анализ рисков проекта направлен на получение конкретных оценок вероятности наступления рискового события. Количественный анализ значительно более трудоемкий, но и более точный. Он требует качества входных данных, использования развитых математических моделей и более высокой компетентности от персонала. Поэтому его используют только для сложных проектов.
Количественная оценка помогает проанализировать:
- вероятность достижения конечной цели
- степень воздействия угроз на проект и объемы непредвиденных затрат и материалов, которые могут понадобиться
- события, требующие скорейшего реагирования и большего внимания, а также влияние их последствий на результат
- фактические расходы, предполагаемые сроки окончания
Обычно для количественного анализа используют такие методологии:
Вероятностный анализ — оценка на основе статистики по прошлым проекта с учетом вероятностной погрешности.
Анализ чувствительности — оценка влияния основных параметров финансовой модели на результирующий показатель в целях выявления наиболее существенных переменных для проекта.
Имитационное моделирование — оценка, сделанная на основе многократных опытов с моделью.
Чтобы не усложнять себе жизнь, для количественного анализа лучше использовать специальный софт. Иначе от огромного массива данных и случайных чисел будет боль голова.
Планирование реакции
Когда вы определили угрозы, выяснили, на что они влияют и дали им оценку, нужно продумать реакцию, которая поможет минимизировать последствия от угрозы. Обычно на этом этапе придумывают меры, которые с высокой вероятностью помогут добиться успеха по проекту, несмотря даже на неопределенные рисковые события.
В своей практике мы выработали 4 варианта реакций, которые помогают нам ликвидировать или хотя бы минимизировать последствия от возможных проблем. Вот какие стратегии можно использовать.
1. Уклонение. Корректируем план управления таким образом, чтобы исключить возможность наступления негативных событий или снизить последствия от их наступления. Например, пересмотреть график или изменить объем работы путем удаления некритичных модификаций.
2. Передача. Перекладываем ответственность за негатив на третью сторону. Например, заключаем договор страхования, берем предоплату, предусматриваем в договоре с заказчиком неустойку. Иногда на это потребуются дополнительные деньги.
3. Снижение. Формируем предупредительные меры по снижению вероятности наступления негативных событий или последствий их наступления. Например, при формировании команды включаем в нее возможных дублеров — на случай, если разработчик заболеет, а дизайнер-фрилансер решит пропасть на неделю без предупреждения.
4. Использование. Превращаем негатив в позитив. Пример риска проекта: квалификация тестировщика вызывает у руководителя группы вопросы, есть вероятность срыва сроков и снижения качества продукта. Думаем, что делать — в качестве дублера привлекаем более опытного тестировщика. Мы увеличим бюджет, но сократим сроки на выполнение важных для нас процессов с гарантией их качества.
На основании выбранного варианта реагирования предпринимаются дальнейшие действия. Например, в PMBoK рекомендуют вносить изменения в документацию или план проекта.
Диаграмма потоков данных планирования реакции на угрозы из PMBoK.
Мониторинг и управление
Последний этап — системная работа над выявлением новых угроз, их контроль и реакция в соответствии с планом управления. Обычно эту работу ведут на всех этапах реализации продукта, вплоть до подписания акта приема-передачи. Чем ближе конец работы, тем сильнее последствия может вызвать угроза.
Важно отслеживать состояние как выявленных, так и потенциально новых рисковых событий. Дополнительно отслеживают динамику изменений, отклонений, трендов и состояние резервов, которые используют для нивелирования угроз.
Важный момент: проектный менеджер не может быть владельцем всех угроз и отвечать за всех одновременно. Поэтому есть смысл назначить ответственного по каждому риску отдельно.
В процессе мониторинга и контроля обычно выбирают и тестируют альтернативные стратегии, корректируют план для внедрения новых тактик. Все изменения и дополнения вносятся в новый план, ответственные регулярно готовят отчет, проводят совещания и обсуждают угрозы с коллегами.
Риски проекта – это события, которые могут негативно повлиять на продукт или услугу: снизить эффективность, качество, способствовать расходам и т. д.
Рассмотрим, как выполнять управление рисками и какие моменты нужно учитывать, чтобы сделать работу компании более продуктивной.
Виды рисков
Различают известные и неизвестные риски:
- Для известных рисков возможно прогнозирование, их можно контролировать. Допустим, если планируется предлагать продукт в конкурентной нише, есть риск недостаточного спроса на товар или услугу.
- Для неизвестных рисков невозможно прогнозирование и контроль. Например, компания решает поставить новое оборудование не сегодня, а через неделю. Но за это время оно изменилось в цене из-за изменения экономической ситуации. Это неизвестный риск, который нельзя предугадать.
Зачем управлять рисками?
Управление рисками проекта необходимо для определения проблемных точек, их анализа и снижения эффекта от их воздействия. При грамотном подходе обеспечивается сохранение качества продукта независимо от внешних факторов.
Управление позволяет выполнять профилактику возможных проблем, прогнозировать риски и принимать решения для успешного развития.
Этапы управления рисками
Процесс управления рисками состоит из 6 стадий:
- Планирование
- Идентификация факторов риска
- Качественная оценка
- Количественная оценка
- Подготовка плана реакции
- Мониторинг и контроль
Рассмотрим эти стадии подробнее.
Планирование
Здесь осуществляется выбор стратегии управления.
Грамотное планирование подразумевает:
- Создание комфортной среды управления – налаживание отношений в команде
- Применение подготовленных шаблонов процессов управления
- Подготовка описательной части и плана управления рисками
Главное средство планирования – совещание. На нем команда, а иногда и инвесторы, обсуждают возможные риски для проекта. Затем формируется план управления, который является руководством по противодействию рискам для определенного проекта.
Идентификация
Для определения рисков проводятся исследования, которые выполняются на основе факторов риска. Возможные риски указываются по очереди от самого большого к самому несущественному. Однако не все риски можно выявить в начале проекта. Поэтому обычно число возможных рисков становится больше во время работы.
Важно: контроль рисков еще не гарантирует успешность проекта. Это нужно учитывать.
Но управление рисками необходимо, так как делает работу над проектом более эффективной.
Качественная и количественная оценка
Качественная оценка – это анализ точек зрения специалистов на возможные риски с учетом факторов риска, свойственных для определенного проекта. Такая оценка обычно более глубокая, и нередко ее достаточно. Результаты качественного анализа:
- определение рисков и их сортировка;
- определение событий для дополнительного анализа;
- комплексная оценка рисков для проекта.
Оценки экспертов бывают двух видов: которые оценивают вероятность возникновения рисков, и которые оценивают их влияние. Для работы обычно используется матрица вероятности/воздействия рисков, которая делает анализ более эффективным.
При анализе матрицы угрозы делятся на три вида: несущественные, средние и недопустимые. С учетом этого подготавливаются мероприятия для исключения рисков или снижения эффекта от их воздействия.
Количественный анализ сложнее, и применяется не всегда. Для него важно качество применяемых данных. Такой анализ подразумевает внедрение сложных математических моделей, а специалист должен иметь необходимую квалификацию для проведения такого исследования. Количественный анализ более точный, но применяется в основном для сложных проектов. Он позволяет определить:
- вероятность, с которой может быть достигнута определенная цель;
- силу действия рисков на проект;
- события, на которых нужно сконцентрироваться, чтобы исключить угрозы;
- расходы, которые могут быть.
Для исследования обычно применяются такие методы:
- Вероятностный анализ. Изучается история других проектов, вероятность, с которой возникали в них определенные риски.
- Анализ чувствительности. Изучение действия основных характеристик экономической модели на результат для определения самых важных точек проекта, в которых могут быть риски.
- Имитационное прогнозирование – определенная модель, которая имитирует реальный проект, тестируется несколько раз.
Для количественного анализа обычно используются специальный софт, который делает работу более комфортной.
Подготовка плана реакции
После определения рисков, нужно понять, как защитить о них проект или минимизировать их воздействие. Предусматриваются действия, которые в теории будут более эффективными для борьбы с определенными рисками. Главная их задача – сохранить работоспособность проекта.
Можно выделить четыре вида реакций:
- Уклонение. План корректируется, что позволяет защитить проект от рисков или снизить эффект от их действия. Допустим, можно изменить график или объемы работы, удалив несущественные модификации.
- Передача. Этот метод позволяет снизить расходы на работу с рисками. Например, подписывается соглашение в страховой или берется предоплата у заказчика.
- Снижение. Подготавливаются действия, которые снижают вероятность появления угроз. Допустим, при создании команды предусматриваются дублеры, которые могут заменить любого специалиста.
- Использование. Минусы можно превратить в плюсы. Например, для проекта берется тестировщик без опыта. Это риск, который может снизить качество продукта. Поэтому берем дублера – более опытного специалиста. Его услуги будут не нужны, если основной тестировщик выполнит работу.
Реакции применяются в зависимости от проекта, его особенностей и рисков.
Мониторинг и контроль
Эта стадия важна не меньше, чем другие. Постоянный мониторинг позволяет определять новые риски и контролировать угрозы, которые известны. Данная работа выполняется в течение всей подготовки продукта. Важно также понимать, что чем более подготовленным продукт является, тем сильнее на него могут воздействовать угрозы. Устранить или минимизировать их эффект в начале проекта легче.
Рисками занимается проектный менеджер, но он не может контролировать все угрозы. Поэтому желательно назначить для каждого риска своего специалиста. Затем проект-менеджеру нужно будет только контролировать их работу, а не заниматься самими рисками.
FAQ
Сложно ли выполнять работу по управлению рисками?
Задача непростая и для нее важна определенная квалификация. Проектный менеджер, или директор по рискам – это специалист, который использует в работе специальные инструменты. Они упрощают анализ и определение рисков, улучшают качество оценки. При определенном опыте и применении подходящих средств анализа управле6ние рисками становится обычной задачей, которая выполняется при работе над проектом. Плюс, управление рисками может осуществлять не только проектный менеджер, но и специалисты в его команде. Иногда создаются рисковые команды, которые занимаются только этим.
Требуется ли управление рисками всем компаниям?
Если предприятие достаточно крупное и производит серьезный продукт, или просто компании важна стабильность, управление рисками необходимо. Обычно оно требуется для принятия управленческих решений. Без оценки угроз решения по развитию компании может быть неправильным. Поэтому оценивать угрозы необходимо всем компаниям. Другой вопрос – насколько качественно они выполняют эту работу. Здесь все зависит от размеров предприятия и его возможностей.
Подведем итоги
- Риски – это события, которые могут повлиять на качество продукта, команду и весь проект. Они не формируются сами по себе, а образуются от внешних или внутренних факторов (например, из-за малого опыта сотрудников).
- Риски бывают известными и неизвестными. Работать проще с первыми, но предусматривать нужно и вторые.
- Для исключения угроз или снижения эффекта от их действия необходимо управлять рисками. Этим занимаются проектные менеджеры и специалисты в их команде.
- Выделяют несколько этапов управления рисками: планирование, выявление, анализ, подготовка плана реакции, мониторинг и контроль.
- Грамотное управление рисками позволяет сделать работу над продуктом более эффективной. Однако успех проекта не только в этом. Просто это работа, которая должна проводиться, как и другие проектные мероприятия.
Любой технологический проект сопряжен с рисками. Чем сложнее реализуемый продукт, чем больше процессов запущено — тем выше вероятность возникновения непредвиденных рисковых ситуаций.
В этой статье рассматриваем, что такое риск в контексте проектной деятельности, как его выявить на старте проекта и какие механики управления рисками проекта использовать.
Что такое риски проекта
Риском называют неблагоприятные события, которые вероятно могут случиться в процессе работы над проектом и повлечь за собой нежелательные последствия, помешав достижению конкретной цели. Риск может быть известным, который можно заранее спрогнозировать и придумать к нему стратегию реагирования, и неизвестным. Реагировать на неизвестные рисковые обстоятельства проблематично — их тяжело предугадать на раннем этапе и проявляются они только в процессе работы. Часто риск проекта связан с отсутствием конкретики и четкости в постановке задач, в понимании результата, на которые рассчитывает клиент. Также нередко проблемы возникают из-за некорректного планирования бюджета или расплывчатых формулировок при составлении плана. Ответственность за каждый риск проекта и несет руководитель.
Благодаря управлению риском можно предотвратить или, по крайней мере, минимизировать последствия , к которым приводят рисковые ситуации. Как это выглядит на практике — рассмотрим дальше.
Зачем управлять рисками
Практически любой риск проекта, если им не управлять, может растянуть запланированные сроки, «убить» рентабельность продукта и привести к другим нежелательным последствиям. Прогнозируя возможный риск и проблемы, которые за ним последуют, можно заранее принять меря для их исключения.
Грамотные управленцы, используя современные инструменты и методологию, на ранних этапах идентифицируют проблемные факторы, анализируют их и принимают решение, как минимизировать возможные отрицательные последствия при наступлении рисковой ситуации.
Рисковые ситуации возинкают постоянно и управление ими — это непрерывный процесс. Использование набора стандартных превентивных мер на самом старте проекта — правильно, но для хорошего результата мало. Важно регулярно оценивать и предотвращать потенциальные проблемы и рисковые случаи— это поможет повысить рентабельность проекта, высвободить материальные и трудовые ресурсы.
Оценка рисков и работы по управлению проектом нужны как своего рода страховка, которая в случае чего позволит спасти основной костяк или главную составляющую проекта. Многие управленцы согласятся, что с помощью внедрения профилактических мер и использования эффективных методов управления рисками обходится выгоднее, чем решение возникших проблем в срочном порядке.
В любом проекте есть два пути — игнорировать любой риск и надеяться на удачу, или поступить более продуманно — использовать инструменты для оценки и эффективного анализа для выявления возможных проблем и рисковых обстоятельств в будущем. Оценка рисков помогает держать, если не все, то большинство работ в рамках проекта под контролем.
Принимая риск как данность, и не предпринимая никаких мер по управлению рисками, компания может понести большие убытки.
Оценка рисков и последующие работы по их предотвращению требуют больше ресурсов и тщательного анализа, но в конечном результате это принесет свои плоды, если речь идет не о мелких, а серьезных угрозах.
Оценка рисков преследует одну цель — определить, какой риск наиболее опасен, а также разработать уникальный механизм по управлению рисками в конкретной ситуации.
Под каждый риск можно подобрать свою стратегию или сочетать несколько методов, которые будут наиболее эффективны. В результате развернутой оценки должна быть подготовлена главная стратегия и на случай непредвиденных рисковых ситуаций — резервная.
Как провести анализ рисков проекта
Проводить оценку рисковых обстоятельств важно всей командой. Необходим всесторонний подход — качественный и количественный анализ. Такая оценка помогает разобраться в рисках, распределяя их по мере их приоритетности и разработать готовые схемы реагирования. Подробнее количественный и качественный анализ мы рассмотрим далее, обсуждая шаги в управлении рисками.
Анализируя, управленцу необходимо собрать всю команду — каждый из специалистов, задействованный в работе над проектом, сможет предложить идеи и указать на «слабые места», руководствуясь практическим опытом и наработанными навыками.
Анализируя каждый риск, важно понять, что делать и как разбираться с последствиями, когда он превратится в проблему. Чтобы структурировать информацию, можно создать список рисковых ситуаций и классифицировать их по силе последствий. Если вероятность возникновения низкая, а последствия будут некритичными, то достаточно учитывать, что такой риск есть в числе возможных, и наработать схему реагирования. Если вероятность, что риск возникнет, высокая, а последствия, скорее всего, будут серьезными, важно поэтапно продумать, какими действиями можно предупредить возникновение рисковых обстоятельств.
Виды рисков
Есть несколько классификаций рисковых ситуаций. Мы предлагаем рассмотреть виды, с которыми чаще всего сталкиваются при управлении:
- Временной риск (связан с затратой времени). Суть в том, что все действия по реализации проекта могут занять больше времени, чем запланировали на старте. Время — ценнейший ресурс, поэтому о временных рисках важно всегда помнить. Временной риск опасен еще тем, что ведет к повышению расходов.
- Риск, связанный с изменением объемов работ. Такие рисковые ситуации могут появиться, если при согласовании проекта исполнители не до конца поняли требования клиента или же клиент сам внес дополнения в проект. Результат — потребуется увеличить бюджет, скорректировать сроки выполнения проектов и задач.
- Внешний риск. Речь идет о потенциально возможных рисковых событиях, которые никак не связаны с внутренними процессами компании, а значит, не могут контролироваться. Простой пример — в процессе работы над сложным проектом государство ввело новый законопроект, в результате чего потребуются дополнительные корректировки, расходы финансов и временные затраты.
- Бюджетный риск. Чаще всего такой риск возникает из-за недостатка планирования конечной стоимости проекта. Получается, что расходы больше, чем заложено в бюджет. Далее варианта два — либо проект останавливается, либо придется вкладывать дополнительные средства, чтобы устранить последствия, вызванные возникшим риском.
- Риск возникновения единой точки отказа. Это событие, которое кардинально влияет на работу всей команды над проектом. То есть, пока проблема не будет решена, никто из специалистов, задействованных в проекте, не сможет приступить к своим обязанностям. Из примеров можно рассмотреть такую ситуацию: для компании, работа которой связана с подключением к сети, единой точкой отказа может быть отключение интернета и/или электричества.
- Риск зависимости. При работе над сложными проектами одна задача тесно связана с другой. И пока один специалист не закончит свою часть работы, другой — не сможет приступить к выполнению своей.
Зная, что может возникнуть риск определенного вида, и, понимая, какие этапы включает в себя управление рисками проекта вкомпании, следует заранее проанализировать вероятность возникновения рисковых ситуаций в рамках проекта. Как это делать, мы рассмотрели, когда обсуждали качественный и количественный анализ.
Этапы управления рисками
Условно весь процесс управления можно разделить на 5 отдельных этапов:
- Планирование.
На этом этапе выбираем стратегию, то есть, решаем, как будет организован процесс по управлению рисками проекта — как между собой будут взаимодействовать участники процесса, какие инструменты будут использоваться.
Для эффективного планирования важны: благоприятная среда для коммуникации внутри команды, заранее подготовленные схемы и шаблоны, которые будут задействоваться в управлении рисками. На этапе планирования важно провести совещание, в котором примут участие все члены команды. По результату в плане должны быть прописаны рисковые ситуации, подборка методов для реагирования, правила формирования отчетности и документации по проектным угрозам, а также ответственные по рискам лица. - Идентификация факторов.
Следующий шаг — выявить и зафиксировать угрозы и определить вероятность возникновения конкретного риска на проект. В результате должен быть сформирован перечень возможных проблем и рисковых обстоятельств с ранжированием по уровню опасности для проекта. Не все угрозы можно идентифицировать на старте, а по мере работы над проектом значимость некоторых рисковых ситуаций может возрасти.
В идентификации факторов, которые могут привести к риску, можно использовать два важных фактора: источник рискового события, а также саму угрозу. В результате команда должна сформировать реестр возможных рисковых ситуаций для конкретного проекта. - Качественный и количественный анализ.
Чтобы идентифицировать риск, важно дать ему соответствующую оценку. Для этой цели применяют два метода — качественный и количественный анализ.
Качественный заключается в получении экспертных мнений относительно возможности развития неблагоприятных последствий, связанных с обнаруженными факторами риска. Качественный анализ носит поверхностный характер, но для многих проектов этого вполне достаточно. Плюс в том, что уже на старте можно получить перечень рисковых событий, распределить их по приоритетности (уровню опасности) и предпринять необходимые меры.
Количественный анализ занимает больше времени, но он намного точнее — помогает получить конкретные оценки вероятности наступления определенного рискового события. К проведению количественного анализа необходимо привлекать компетентных специалистов, так как приходится использовать сложные математические модели и методики. Благодаря проектному количественному анализу можно спрогнозировать степень воздействия на проект, а также объемы возможных материальных потерь при риске. - Планирование реакции.
Далее следует важный этап — планирование реакции для предупреждения или минимизации последствий угрозы, вызванной возникшим риском. Проще говоря, на этом этапе нужно продумать меры, которые позволят достичь целей проекта, даже при появлении непредвиденных рисковых обстоятельств.
При планировании реакции можно использовать одну из следующих стратегий:- Уклонение. План возможных действий корректируется таким образом, чтобы снизить или исключить вероятность появления негативных последствий, которые может спровоцировать тот или иной риск. Например, скорректировать утвержденный ранее график.
- Передача. Суть методики в том, чтобы переложить ответственность и возможные последствия на другую команду (третью сторону). Например, заключить договор страхования, предусмотреть в договоре неустойку.
- Снижение. Стратегия формирования предупредительных мер. Например, собирая команду экспертов, для ведущих специалистов подбирают «дублера» с соответствующей квалификацией, который в случае непредвиденной ситуации сможет взять выполнение обязанностей на себя.
- Мониторинг.
Финальный этап — проведение системной работы, направленной на выявление новых возможных угроз и рисков на проект, их контроль и реагирование в согласии с ранее составленным планом. Проводить мониторинг и контроль важно на каждом этапе старта продукта, отслеживая как уже выявленные, так и потенциальные рисковые ситуации. При поэтапном управлении рисками предполагается активный подход в работе источниками проектных угроз. Если придерживаться только пассивного реагирования уже по факту обнаружения угроз, можно сорвать сроки выполнения проекта, не уложиться в бюджет и потерять клиента. Если проект крупный, разумно по каждому риску назначить ответственного, так как менеджер по управлению не сможет контролировать все угрозы одновременно.
Управление рисками с помощью BPM-системы от «КСК ТЕХНОЛОГИИ»
Использовать механизмы по управлению рисками проекта и давать оценку вероятности возникновения проблем необходимо постоянно, так как разобраться со всеми проблемами раз и навсегда невозможно. Поскольку задача долгосрочная, на каждом этапе важно организовать:
- сбор информации о рисках и возможность для документирования;
- хранение и передачу информации о реализованных задачах;
- мониторинг статусов рисковых ситуаций;
- контроль процессов проектным менеджером.
Учесть все вышеперечисленные требования поможет процессный подход, благодаря которому выстраивается последовательность задач и контролируется их выполнение в автоматическом режиме.
Компания «КСК ТЕХНОЛОГИИ» предлагает готовое решение для реализации процессного подхода в компании — low-code платформу «КСК.ИК» класса ВРМ для цифровой трансформации организации. Платформа построена на базе ВРМ-движка, который помогает автоматизировать все процессы организации, мониторинг и аналитику исполнения приоритетных задач.
Основный функционал:
- автоматическая постановка задач;
- контроль просрочки задач и процессов;
- доступна история процесса;
- удобный функционал для коммуникации сотрудников;
- возможность группировать процессы и кейсы в списки по предметной области;
- интеграция с почтовыми сервисами;
- автоматическая рассылка системных уведомлений;
- версионность процессов (возможность исполнения бизнес-процессов по разным версиям);
- актуализация процессов без остановки уже запущенных;
- сбор информации для подготовки отчетности и анализа бизнес-процессов.
С помощью ВРМ-системы от «КСК ТЕХНОЛОГИИ», вы сможете эффективно моделировать и исполнять бизнес-процессы, принимать наилучшие решения для вашего бизнеса, грамотно управляя каждым вероятным риском.