Как составить реестр рисков проекта

Как составить реестр рисков проекта

Ищете инструменты, чтобы настроить свою команду на успех? Реестр рисков поможет вам в этом.

Реестр рисков — это важный компонент любого успешного процесса управления рисками, который помогает свести к минимуму возможное отставание от графика работ по проектам.  

Доступ к реестру рисков предоставляется заинтересованным сторонам проекта, с тем чтобы вся информация хранилась в одном общедоступном месте. Поскольку этим обычно занимаются менеджеры проектов (да-да, мы говорим о вас), вам следует научиться пользоваться реестром рисков, чтобы к очередному проекту быть во всеоружии. 

Что такое реестр рисков?

Реестр рисков — это документ, используемый в качестве инструмента управления рисками для определения потенциальных препятствий в рамках проекта. Весь этот процесс направлен на активное выявление, анализ и устранение рисков, прежде чем они перерастут в проблемы. Хотя обычно управление рисками осуществляется в отношении проектов, оно также уместно при запуске новых продуктов и на производстве. 

В документе под названием «реестр рисков», его ещё также называют журналом регистрации рисков, фиксируются потенциальные риски в рамках того или иного проекта. Кроме того, в нём приводится информация об уровне риска и его вероятности. 

В реестре рисков проекта не только определяются и анализируются риски, но также прописываются конкретные меры по их снижению. Благодаря этому, если риск перерастёт в серьёзную угрозу, ваша команда будет готова к решению проблем. 

Попробовать Asana для управления проектами

Когда следует использовать реестр рисков?

Существует множество ситуаций, в которых может пригодиться реестр рисков. В идеале его следует применять или иметь в наличии в случае необходимости в любом проекте. Такой реестр можно задействовать как для небольших, так и для крупных проектов, при этом журнал регистрации рисков может выглядеть по-разному в зависимости от масштаба и сложности той или иной инициативы. 

При работе над небольшим проектом реестр может содержать лишь основные сведения о рисках, такие как вероятность, приоритет и решения, а вот в документации более для более сложных проектов может быть порядка 10 позиций. 

Некоторые компании нанимают специалистов по управлению рисками для ведения реестра рисков, но зачастую эта задача ложится на менеджеров проектов и руководителей групп. Если вы ещё не применяете процесс управления рисками или процесс контроля происшествий, вам наверняка будет полезно узнать, какие могут возникать риски, чтобы понять, нужен ли вам и вашему коллективу реестр рисков. 

Ниже приводятся примеры рисков по приоритету:

  • Низкий приоритет. Такие риски, как нарушение коммуникации и ошибки планирования, подвергают проекты опасности расползания объёма и недостижения ожидаемых результатов. 

  • Средний приоритет. Такие риски, как незапланированная или дополнительная работа, могут привести к тому, что сотрудники будут с трудом поддерживать продуктивность на требуемом уровне и ставить перед собой неопределённые задачи. 

  • Высокий приоритет. Хищение и другие риски, связанные с безопасностью данных, могут повлечь потерю прибыли вашей компании, поэтому их следует воспринимать как наиболее серьёзные. 

Теперь, когда вы знаете, в каких случаях следует использовать реестр рисков, вы сможете правильно определить наиболее приоритетные риски при их возникновении. 

Самые распространённые риски

В ходе нового проекта могут возникать различные риски. Всё, от безопасности данных до незапланированной работы, может быть сопряжено с риском превышения бюджеты и объёма работ проекта. Вряд ли кому-то хочется иметь дело с последствиями сорванных сроков, поэтому важно выявлять потенциальные риски ещё до их возникновения.

Самые распространённые риски

Чтобы риски не застали врасплох, следует включить самые распространённые из них в реестр. Узнайте подробнее об этих рисках и определите, какие из них могут быть актуальны для вашего коллектива. 

Безопасность данных 

Работая над проектами, которые могут влиять на безопасность данных, крайне важно отслеживать потенциальные риски и сводить к минимуму их воздействие. Неконтролируемые риски могут привести к следующим последствиям:

  • Хищение данных. Без надлежащей защиты ваша компания может быть уязвима перед хищением конфиденциальной информации. Особенно тяжёлые последствия имеет кража клиентской информации.

  • Мошенничество с банковскими картами. Это опасное по ряду причин происшествие, которое может привести к потере прибыли и даже к судебному разбирательству. 

Вопрос защиты данных имеет наибольшее значение с точки зрения безопасности в долгосрочной перспективе, поэтому он должен рассматриваться в приоритетном порядке.  

Проблемы с коммуникацией

Проблемы с обменом информацией могут возникать в проектах или коллективах любых размеров. Хотя реестр рисков помогает определить области, в которых ведётся коммуникация, также было бы полезно внедрить программное обеспечение для управления работой, чтобы оптимизировать процесс общения на рабочем месте.

Ниже приводятся некоторые риски, которые могут возникнуть вследствие нарушения коммуникации:

  • Несоответствия в проектах. В отсутствие налаженного обмена информацией полученные результаты могут значительно отличаться от ожидаемых. 

  • Срыв сроков. Никто не хочет срывать сроки, но без чёткой коммуникации ваши сотрудники могут просто не знать сроков, установленных для достижения ожидаемых результатов. 

Создание эффективного плана обмена информацией также помогает предотвратить возникновение рисков. 

Читать о том, почему чёткий план обмена информацией важнее, чем кажется

Отставание от графика работ

Если ошибкам в планировании и отставанию от графика не придавать значения, то при срыве сроков могут возникнуть серьёзные проблемы. Такие инструменты, как хронология и программное обеспечение для ведения рабочих календарей, помогут вам своевременно избежать ошибок в планировании. 

Отставание от графика работ по проекту может иметь следующие последствия:

  • Спешка в работе. Нет ничего хуже проекта, выполняемого наспех. Ведь при этом существует большая вероятность не достичь поставленных целей и выдать полусырой продукт.

  • Путаница. Без чёткого графика работ сотрудники могут оказаться перегружены работой или запутаться в ней. 

Грамотно составленный график работ помогает планомерно достигать ожидаемых результатов, как в процессе решения ежедневных задач, так и при разовых проектах. 

Незапланированная работа

Наверняка каждому приходилось бывать в ситуации, когда проект выходит за установленные рамки. Это довольно распространённый риск, который легко минимизировать при правильном подходе. Своевременное выявление незапланированной работы позволяет вовремя обратить на неё внимание руководителя проекта. 

Без реестра рисков можно столкнуться со следующими проблемами:

  • Недостигнутые ожидаемые результаты. Если работа будет упущена, вы рискуете сорвать сроки. 

  • Выгорание среди сотрудников. Чрезмерная загрузка сотрудников незапланированной работой может привести к возникновению напряжения и даже стать причиной перегрузки и выгорания. Вот почему так важно правильно определить объём проекта. 

Перераспределить возникшую незапланированную работу между коллегами помогает процесс управления изменениями.  

Читать о семи распространённых причинах разрастания объёма и о том, как их избежать

Кража материалов

Хотя это происходит нечасто, компании, имеющие дело с большим объёмом продукции, могут столкнуться с проблемой кражи или ошибок учёта. Обеспечив регулярный и частый учёт товарно-материальных запасов, вы сможете заранее выявлять риски и определить их причину.  

Кража может иметь следующие последствия для вашего бизнеса:

  • Потеря прибыли. Независимо от того, происходит ли кража продукции или имеют место ошибки учёта, недостача всегда негативно влияет на выручку. 

  • Неуверенность. В случае кражи неуверенность в сотрудниках предприятия может стать причиной внутреннего стресса. 

  • Нецелевое использование рабочего времени. Помимо кражи материальных ценностей, существует риск воровства времени. В условиях удалённой работы бывает сложно отследить, на что сотрудники тратят своё время. 

Как и в случае безопасности данных, кража — это высокоприоритетный риск, который необходимо устранить как можно скорее. 

Что следует указывать в реестре рисков?

Реестр рисков представляет собой список рисков и полей для их контроля. Журнал регистрации рисков вашей команды, скорее всего, будет выглядеть не так, как у других, поскольку вы имеете дело с уникальными рисками, характерными только для ваших проектов. 

Что следует указывать в реестре рисков

Независимо от различий, большинство реестров рисков состоят из нескольких базовых элементов, к которым относится определение рисков, вероятность возникновения и меры по их минимизации. Эти элементы позволяют создать удобный журнал информации о потенциальных рисках. Такие журналы могут пригодиться и при работе с новыми проектами, в рамках которых возможно возникновение аналогичных рисков. 

Дополнительно можно включить такие поля, как обозначение, описание и приоритет рисков. Чем конкретнее будет получаемая информация, тем выше вероятность, что вы сможете смягчить возникающие риски. 

Есть одно хорошее правило: чем сложнее проект, тем более подробным должен быть реестр рисков. Это означает, что при работе над крупными проектами продолжительностью несколько месяцев, в которых участвует много заинтересованных сторон, в подобном журнале должна быть как можно более подробная информация. 

Ниже представлены некоторые из самых важных полей, которые необходимо включить в план управления проектными рисками. 

1. Определение риска  

Одной из первых записей, включаемых в реестр рисков, является определение риска. Обычно такая запись делается в виде названия риска или его идентификационного номера. В поле определения рисков должна быть следующая информация:

  • Название риска

  • Дата обнаружения

  • Подзаголовок при необходимости

Не нужно выдумывать ничего сверхсложного, давая названия рискам. Краткого обозначения сути риска будет достаточно. Но если вы хотите быть оригинальным, то можно придумать персонажа по каждому виду риска. Например, если назвать риск, связанный с безопасностью данных, именем Даниэла, сотрудникам будет проще понять, о каком именно риске идёт речь. 

Вместе с названием также можно указать краткий подзаголовок и дату выявления риска. Это поможет контролировать время, которое займёт процесс минимизации риска, и позволит выявлять риски, на устранение которых требуется больше всего времени. 

2. Описание риска

После выявления и определения риска в реестр следует добавить его краткое описание. В нём следует привести следующую информацию:

  • Краткий общий обзор риска

  • Почему риск представляет опасность

Длина описательной части зависит от того, насколько подробным вы хотите сделать свой реестр. Средний объём описания составляет от 80 до 100 символов.

В описании важен не столько объём, сколько наличие ключевой информации о риске и о том, почему он представляет потенциальную угрозу. Главное, чтобы было дано точное определение риска, без воды, по которому можно легко понять его суть. 

3. Категория риска

Существует несколько категорий рисков, отталкиваясь от которых, можно сразу понять, что собой представляет тот или иной риск. Быстрое определение рисков упрощает назначение задач нужным специалистам, что особенно важно при работе над сложным проектом с большим количеством рисков. Возможны следующие категории рисков:

  • Операции 

  • Бюджет

  • Сроки

  • Технология

  • Информация 

  • Безопасность

  • Качество

  • План проекта

Чтобы определить категорию риска, сначала необходимо понять, откуда исходит риск и кто может с ним справиться. Возможно, для этого придётся привлечь руководителей отделов, если решение не столь очевидно. 

4. Вероятность риска

Если вовремя распознать риск, его можно устранить даже до того, как понадобятся какие-либо серьёзные действия. При таком раскладе риски, указанные в вашем реестре рисков, могут и не возникнуть вовсе. 

Вероятность риска фиксируется выбором одного из параметров: 

  • Маловероятно 

  • Вероятно 

  • Весьма вероятно 

Категоризация рисков по степени вероятности поможет определить, какие риски необходимо устранять в первую очередь, а какие могут подождать. 

5. Анализ рисков

Анализ рисков позволяет оценить потенциальное воздействие того или иного риска на проект и оперативно выявлять самые важные риски. Этот процесс не следует путать с определением приоритетов, когда учитывается и вероятность риска, и его уровень. 

Хотя в разных компаниях уровни рисков фиксируют по-разному, можно начать с простой пятибалльной шкалы:

  • Очень низкий уровень

  • Низкий уровень

  • Средний уровень

  • Высокий уровень

  • Очень высокий уровень

При возникновении трудностей с определением уровня риска имеет смысл посоветоваться с руководителем отдела. Так вы сможете точнее определить, насколько сильным может быть воздействие риска. 

6. Смягчение рисков

План по снижению рисков, который также называют планом реагирования на риски, является одним из самых важных элементов в реестре рисков. В конце концов, смысл плана управления рисками заключается в выявлении и смягчении потенциальных рисков. По сути, это план действий. В плане по снижению рисков следует предусмотреть следующие позиции:

  • Пошаговый алгоритм снижения рисков

  • Краткое описание ожидаемого результата

  • Как план повлияет на уровень воздействия риска 

В то время как небольшие риски довольно легко свести к минимуму, существуют намного более сложные риски, не имеющие очевидного решения. В таких случаях для реализации плана по снижению рисков требуется командное взаимодействие. Такое взаимодействие обычно имеет место не только в рамках реестра рисков, но и, например, в форме совещания или коллективного обсуждения. 

Какой бы способ реализации плана по снижению рисков вы ни выбрали, необходимо зафиксировать общее описание в реестре для справки и чёткого информирования. Это не только обеспечит понимание плана всеми участниками проекта, но и поможет создать наглядное представление решения. 

Читать об 11 шаблонах проектов для начала работы в правильном направлении

7. Приоритет риска 

Хотя приоритет риска можно определить и по степени его воздействия, лучше предусмотреть этот параметр в реестре рисков. При обозначении приоритета необходимо учитывать как вероятность риска, так и уровень его воздействия. Эти аспекты помогут понять, какие риски, скорее всего, будут иметь неблагоприятные последствия для проекта. 

Приоритет можно фиксировать простой шкалой:

  • 1 (низкий)

  • 2 (средний)

  • 3 (высокий)

Если вы хотите сделать реестр рисков более понятным визуально, можно обозначать приоритет различными цветами. Цвета можно использовать как вместо этих трёх параметров, так и вместе с ними. Предпочитаете цветовую классификацию? Тогда реестр с цветовым обозначением будет для вас идеальным решением! 

8. Ответственные за риски

После определения, анализа и установления приоритета риска самое время поручить кому-то задачу по его снижению. В число ответственных за риски входят:

  • Лицо, назначенное контролировать реализацию выработанных мер

  • Другие участники команды (по ситуации)

Поле «ответственный за риски» помогает быстро определить, какой отдел работает с риском. Кроме того, оно помогает понять, кто из сотрудников отвечает за те или иные риски.

9. Статус риска

Последним полем в вашем реестре рисков должен быть статус риска. Этот параметр помогает понять, удалось ли снизить тот или иной риск. В поле статуса риска указывается одно из следующих значений:

  • Открыто

  • Выполняется

  • Закрыто

Если вам нужна более высокая детализация статуса, можно включить в список такие параметры, как «активно», «не начато», «приостановлено», «в работе» и «выполнено». 

Дополнительные поля в реестре рисков

Хотя в любом реестре рисков должно быть несколько базовых параметров, в него можно добавить и необязательные элементы. Всегда лучше тщательно подготовиться, чтобы проблемы не застали вас врасплох, поэтому предлагаем рассмотреть следующие дополнительные поля. 

  • Триггер риска. Добавив параметр «Триггер риска», вы сможете определить, почему возник тот или иной риск, и предотвратить его в будущем. 

  • Тип реакции. Хотя многие риски занимают отрицательный диапазон в спектре последствий, бывают риски и с положительным исходом. В этом случае можно добавить поле для указания положительной или отрицательной реакции. 

  • Сроки. В реестр рисков также можно включить график или сроки реализации плана по снижению рисков, чтобы вся информация была в одном месте. И поможет в этом программное обеспечение для контроля сроков. 

Как создать реестр рисков (с примерами)

Реестр рисков содержит много информации, и его довольно сложно составлять в первый раз. Даже если вы знаете, какую информацию вам нужно в него включить, начать работу будет непросто. Поэтому мы приведём пример, который поможет вам приступить к разработке плана управления рисками. 

Ваш реестр рисков может выглядеть следующим образом:

[Вид списка] Пример проекта реестра рисков в Asana

Начните работу над реестром рисков с просмотра нашей галереи шаблонов или создайте собственный шаблон. 

Основное назначение реестра рисков заключается в регистрации информации о потенциальных рисках. При этом не стоит слишком увлекаться деталями. Необходимо выбрать поля, необходимые, чтобы довести информацию о потенциальных рисках до сотрудников. 

Если одним коллективам достаточно простого реестра рисков с несколькими полями, то другим может понадобиться нечто более сложное. Начать рекомендуется с простого реестра, постепенно усложняя его по мере необходимости.

Ниже приводятся примеры записей в реестре рисков. Их можно использовать и в собственном реестре. 

  1. Название риска: Задержка разработки дизайна

  2. Описание риска: Отдел дизайна перегружена работой, поэтому возможно отставание по срокам. 

  3. Категория риска: Сроки

  4. Вероятность риска: Вероятно

  5. Уровень риска: Средний

  6. Меры по снижению риска: Привлечь фрилансера к созданию графики для проекта. Перенести совещания из календаря Кабира на неделю 7/12, чтобы высвободить время на редактирование графики и отправить её Кэт для окончательного согласования. 

  7. Приоритет риска: 2

  8. Ответственный за риск: Кэт Муни

  9. Статус риска: Выполняется

Разобравшись с тем, как заполнять реестр рисков, вы сможете постоянно совершенствовать его для будущих проектов.  

Попробовать Asana для управления проектами

Не ставьте под угрозу план управления рисками

Определение рисков — это важная часть любой успешной стратегии управления рисками. Выявлять и сводить к минимуму новые риски не всегда просто, но это очень важно для успешного ведения бизнеса. Когда вы составите реестр рисков, справляться с угрозами в рамках проекта станет уже не так сложно. Кроме того, у вашего коллектива будет больше времени на важные вещи, такие как получение нужного результата. 

Если вам требуются дополнительные ресурсы по управлению рисками, посмотрите, как создать план действий в непредвиденных обстоятельствах, чтобы предотвратить риски для бизнеса. 

Подробнее об Asana для крупных компаний

Источник

Этапы управления рисками

Чтобы грамотно управлять угрозами для бизнеса, мы решили использовать метод фреймворка PMBoK от PMI. Разработчики предлагают поделить процесс управления на 6 этапов:

  1. Планирование управления
  2. Идентификация факторов
  3. Качественная оценка
  4. Количественная оценка
  5. Планирование реакции
  6. Мониторинг и контроль

Такая методология предполагает активный подход в работе с источниками проектных угроз. Пассивное реагирование на последствия допустимо при появлении непредвиденных факторов. Но пассивная реакция на угрозы, которые можно предугадать недопустима — можем сильно увеличить смету, сорвать сроки или потрелять заказчика. В современных бизнес-реалиях пассивная реакция равноценна осознанному убийству проекта.

Такую схему из 6 этапов предлагает PMBoK.

Планирование управления

На этапе планирования выбираем стратегии организации процесса управления и правила взаимодействия участников и заинтересованных сторон. Мы сможем уточнить выбранные методы, инструменты и уровень организации управления.

Вот такую проектную схему предлагают разработчики PMBoK.

Диаграмма потоков данных планирования управления рисками в PMBoK.

3 главных аспекта правильного планирования:

  • формирование благоприятной среды управления — гармонизация отношений внутри команды
  • использование заранее заготовленных схем и шаблонов процессов управления
  • создание описательной части и плана управления угрозами

Основной процессный инструмент — совещание. В нем принимают участники все члены команды, а иногда и инвесторы, когда речь идет про угрозы для инвестиционного проекта. Результат их работы — создание плана управления. Это полноценный регламент, которым команда руководствуется при противодействии угрозам.

Обычно в плане управления указывают:

  • методы и инструменты управления
  • роли участников при возникновении рисковых ситуация
  • допустимые значения и диапазоны угроз
  • принципы и правила внесения изменений в работу
  • форматы отчетности и документации по проектным угрозам
  • способы мониторинга и ответственные

Идентификация

На этом этапе выявляют и документируют проектные угрозы. Результат — перечень возможных проблем с ранжированием по степени опасности. Сначала команда выявляет рисковые факторы, затем проводит исследования и идентифицирует угрозы. Нужно понимать, что не все угрозы можно идентифицировать на старте. Обычно по мере развития проекта количество возможных рисковых событий увеличивается.

Чтобы увеличить вероятность идентификации, есть смысл использовать грамотную классификацию рисковых событий. Например, мы в Oko используем классификацию по степени по степени контролируемости.

Классификация рисковых событий по степени их контролируемости.

Использование этой классификации помогает определить, под какие неконтролируемые угрозы стоит планировать резервы. Нужно учитывать и то, что контролируемость рисковых событий еще не гарантирует успеха в их управлении. Также отмечу, что не всегда удается четко классифицировать угрозы, поэтому есть смысл использовать и другие способы классификации. Например, по источникам.

Пример классификации рисковых событий в зависимости от их источника.

При формулировании угрозы важно использовать двух составные понятия: с указанием на источник события и саму угрозу. Например, «угроза срыва сроков реализации из-за отсутствия определенности с функционалом» или «риск отсутствия финансирования из-за нестабильной ситуации с бюджетом у компании-заказчика». Результат — создание реестра возможных рисковых ситуаций.

Фрагмент реестра рисковых ситуаций.

Анализ и оценка рисков проекта

Здесь мы совмещаем качественную и количественную оценку.

Качественный анализ — оценка экспертных мнений и взглядов на возможные неблагоприятные последствия, обусловленные выявленными факторами. Качественный анализ более поверхностный, но часто его достаточно. Он позволяет получит на выходе:

  • перечень рисковых событий, сгруппированный по приоритету
  • перечень событий, которые нужно дополнительно проанализировать
  • комплексную оценку угрозы для команды в целом

При анализе экспертные оценки делят на две категории: оценки вероятности наступления рисковых событий и оценки их влияния. Для их корректного анализа создают специальную матрицу с оценками. Например, вот такую матрицу предлагают разработчики PMBoK.

Матрица вероятности/воздействия угроз и благоприятных возможностей из PMBoK.

На основе этой матрицы можем получить три пороговых уровня: незначительные, средние и недопустимые угрозы. Оценка — это приоритет риска. В зависимости от того, в какую из категорий попадает рисковое событие, а также в зависимости от оценки, которую получает угроза, разрабатываются конкретные мероприятия по купированию и предотвращению последствий.

Чтобы оценить степень угрозы у себя в компании, мы придумали такую матрицу, в которой эта степень зависит от вероятности реализации риска и его влияния на показатели работы. Чем выше вероятность реализации и существенней влияние на проектов, тем выше степень угрозы — бороться с ней нужно активнее.

Чем выше вероятность реализации и существенней влияние на проектов, тем выше степень рисковой угрозы.

Количественный анализ рисков проекта направлен на получение конкретных оценок вероятности наступления рискового события. Количественный анализ значительно более трудоемкий, но и более точный. Он требует качества входных данных, использования развитых математических моделей и более высокой компетентности от персонала. Поэтому его используют только для сложных проектов.

Количественная оценка помогает проанализировать:

  • вероятность достижения конечной цели
  • степень воздействия угроз на проект и объемы непредвиденных затрат и материалов, которые могут понадобиться
  • события, требующие скорейшего реагирования и большего внимания, а также влияние их последствий на результат
  • фактические расходы, предполагаемые сроки окончания

Обычно для количественного анализа используют такие методологии:

Вероятностный анализ — оценка на основе статистики по прошлым проекта с учетом вероятностной погрешности.

Анализ чувствительности — оценка влияния основных параметров финансовой модели на результирующий показатель в целях выявления наиболее существенных переменных для проекта.

Имитационное моделирование — оценка, сделанная на основе многократных опытов с моделью.

Чтобы не усложнять себе жизнь, для количественного анализа лучше использовать специальный софт. Иначе от огромного массива данных и случайных чисел будет боль голова.

Планирование реакции

Когда вы определили угрозы, выяснили, на что они влияют и дали им оценку, нужно продумать реакцию, которая поможет минимизировать последствия от угрозы. Обычно на этом этапе придумывают меры, которые с высокой вероятностью помогут добиться успеха по проекту, несмотря даже на неопределенные рисковые события.

В своей практике мы выработали 4 варианта реакций, которые помогают нам ликвидировать или хотя бы минимизировать последствия от возможных проблем. Вот какие стратегии можно использовать.

1. Уклонение. Корректируем план управления таким образом, чтобы исключить возможность наступления негативных событий или снизить последствия от их наступления. Например, пересмотреть график или изменить объем работы путем удаления некритичных модификаций.

2. Передача. Перекладываем ответственность за негатив на третью сторону. Например, заключаем договор страхования, берем предоплату, предусматриваем в договоре с заказчиком неустойку. Иногда на это потребуются дополнительные деньги.

3. Снижение. Формируем предупредительные меры по снижению вероятности наступления негативных событий или последствий их наступления. Например, при формировании команды включаем в нее возможных дублеров — на случай, если разработчик заболеет, а дизайнер-фрилансер решит пропасть на неделю без предупреждения.

4. Использование. Превращаем негатив в позитив. Пример риска проекта: квалификация тестировщика вызывает у руководителя группы вопросы, есть вероятность срыва сроков и снижения качества продукта. Думаем, что делать — в качестве дублера привлекаем более опытного тестировщика. Мы увеличим бюджет, но сократим сроки на выполнение важных для нас процессов с гарантией их качества.

На основании выбранного варианта реагирования предпринимаются дальнейшие действия. Например, в PMBoK рекомендуют вносить изменения в документацию или план проекта.

Диаграмма потоков данных планирования реакции на угрозы из PMBoK.

Мониторинг и управление

Последний этап — системная работа над выявлением новых угроз, их контроль и реакция в соответствии с планом управления. Обычно эту работу ведут на всех этапах реализации продукта, вплоть до подписания акта приема-передачи. Чем ближе конец работы, тем сильнее последствия может вызвать угроза.

Важно отслеживать состояние как выявленных, так и потенциально новых рисковых событий. Дополнительно отслеживают динамику изменений, отклонений, трендов и состояние резервов, которые используют для нивелирования угроз.

Важный момент: проектный менеджер не может быть владельцем всех угроз и отвечать за всех одновременно. Поэтому есть смысл назначить ответственного по каждому риску отдельно.

В процессе мониторинга и контроля обычно выбирают и тестируют альтернативные стратегии, корректируют план для внедрения новых тактик. Все изменения и дополнения вносятся в новый план, ответственные регулярно готовят отчет, проводят совещания и обсуждают угрозы с коллегами.

Источник

#статьи

  • 19 май 2022

  • 0

Управление рисками в проекте: как найти и оценить, как составить план защиты от них

Основы управления рисками для менеджеров, которые работают с проектами. Какими бывают риски и как на них реагировать. Пересказ лекции Google.

Кадр: фильм «Исходный код»

Анна Игнатьева

Обозреватель Skillbox Media по маркетингу и IT. С 2015 года работает с SEO, таргетированной и контекстной рекламой. Писала для Skypro, Yagla и Admitad.

Риски — неотъемлемая часть любого проекта, от семейного праздника до строительства гидроэлектростанции. Ни один проект не следует плану на 100%, даже если им руководит опытный менеджер. Управление рисками — отрасль проектного управления со своими техниками и методиками.

Мы перевели и пересказали главное из лекции об основах управления рисками «Risk Management Basics», которую подготовили в Google для курса по управлению проектами.

  • Что такое риски в проекте
  • Самые распространённые виды рисков
  • Как найти риски в проекте и оценить их
  • Вы нашли риски: что с ними делать
  • Как составить план по управлению рисками

Есть много определений риска, но мы дадим очень простое. Риск — это негативное событие, которое может произойти, а может и не произойти. Риски нужно отличать от проблем: риск станет проблемой, только если негативное событие произойдёт.

Проблемы мешают выполнению задач проекта. Если вы руководите проектом, вы должны помнить, что несёте ответственность за риски.

Вот несколько примеров рисков и проблем, к которым они привели.

  • Целью проекта было опубликовать исследование, но ведущий аналитик уволился, когда была готова только половина. Дедлайн сорвали, и задачу в срок не выполнили.
  • Спрос на товар резко вырос, и поставщик не смог поставить требуемое количество. Полки магазина опустели.
  • Компания продавала в офисы растения, которые почти не требуют ухода. Однако у поставщиков закончились специфические растения, в которых нуждалась компания, — папоротники и кактусы.

Фото: VILTVART / Shutterstock

Когда вы понимаете, какие риски есть в проекте, вы можете принять меры предосторожности — например, обратиться за консультацией. Если что-то пойдёт не так, у вас будет план, как решить проблему.

Управление рисками в проекте — это процесс поиска, оценки и предотвращения потенциальных проблем. Этот процесс регулярный, превентивных действий на старте проекта недостаточно.

Управление рисками не только снижает влияние негативных ситуаций на проект. Оно высвобождает ресурсы: материальные, трудовые.

Есть разные классификации рисков. Мы назовём виды рисков, которые упоминают чаще остальных.

Временные риски. Это вероятность того, что на выполнение задач в проекте уйдёт больше времени, чем запланировано. Помните о сроках, потому что время — это ресурсы. Если команда тратит много времени на задачи, растёт и фонд оплаты труда. Кроме того, стейкхолдеры проекта могут разочароваться из-за задержек.

Бюджетные риски. Из-за плохого планирования стоимость проекта может оказаться больше, чем заложено в бюджете. Обычно бюджет закладывают перед запуском проекта, тогда же планируют траты по статьям. Если команда не уложится в план, потребуются дополнительные средства, и если их не будет, проект остановится.

Риски изменения объёмов работы. Они могут появиться, если исполнители не поняли требований заказчика или он сам внёс в проект изменения. Это может привести к пересмотру бюджета, сроков и списка задач.

Внешние риски. Это потенциальные события, которые находятся за пределами компании и которые компания не может контролировать. Например, на проект могут повлиять новые законы.

Единая точка отказа. Так называют единственное событие, которое может остановить всю работу над проектом. Ни один член команды не сможет дальше выполнять свои задачи, пока проблема не решится. Например, для интернет-магазина единой точкой отказа может стать отключение электричества в офисе. Если доступ к инструментам, таким как CRM, был только из офиса, вся команда не сможет выполнять задачи.

В результате команда не выполнит ни одной задачи. Зная об этой точке отказа, можно принять меры: создать резервные копии сервисов и информации в облаке.

Зависимости. Это связи между двумя задачами в проекте: когда начало одной задачи зависит от завершения другой. Зависимости часто становятся риском для проекта.

Например, один из членов команды должен подписать контракт с заводом-поставщиком. Пока контракта нет — остальная команда не может выполнить ни один заказ. Если вовремя не подписать документ, то проект не закончат в срок.

Другой пример. Участник команды уходит в отпуск. Если он отвечал за критические процессы, то другие участники не смогут выполнять свои задачи. От этого риска можно было бы защититься, узнав о планах членов команды с самого начала.

Зависимости могут быть внутренними и внешними. Внутренние — зависимости внутри проекта. Например, чтобы начать разработку сайта, нужно сначала утвердить его дизайн.

Внешние зависимости — зависимости, над которыми у команды нет контроля. Например, компания покупает у фермы овощи для продажи, и если лето окажется засушливым или слишком дождливым, урожая будет меньше — а значит, компания не получит достаточно овощей.

Фото: chinahbzyg / Shutterstock

Рисков, которые могут повлиять на ваш проект, много. Нельзя предугадать их все, но можно проработать большинство из них. В следующем разделе мы рассмотрим методы поиска рисков.

Самый эффективный способ найти риски — мозговой штурм с командой проекта. Так каждый сможет предложить свои идеи. Лучше, если в мозговом штурме будут участвовать люди, занимающие разные роли в проекте, имеющие разный бэкграунд. Люди с разным опытом и набором навыков помогут найти риски, о которых руководитель не догадывается.

Некоторые члены команды участвовали в нескольких проектах внутри компании. Они поделятся информацией об опасностях, с которыми столкнулись коллеги. Новичок может рассказать об опыте команд, в которых он работал раньше.

Чтобы структурировать информацию, полученную во время мозгового штурма, используйте диаграмму Исикавы. Диаграмма, известная как «рыбьи кости», наглядно показывает причинно-следственные связи.

В «голову» рыбы помещают риск, который нужно проанализировать. На «костях» пишут причины, которые могут привести к негативному событию. К ним могут вести «кости» поменьше — причины второго порядка. Иногда добавляют третий, четвёртый и даже пятый уровни.

Вот диаграмма Исикавы, составленная для анализа проблемы — у компании низкие продажи.

Так выглядит диаграмма Исикавы с тремя уровнями факторов. Пока она не заполнена до конца
Инфографика: Майя Мальгина для Skillbox Media

Например, есть риск, что поставщики вовремя не доставят товар. На диаграмму поместят следующие причины:

  • нет инструментов отслеживания;
  • государство может ввести ограничения;
  • нет человека, который отвечает за доставку товара.

Может оказаться, что список рисков слишком большой. Это нормальный результат для такого анализа. Нужно будет выбрать самые важные риски, на которых сосредоточится команда.

Для оценки рисков используйте матрицу вероятности и последствий. С помощью неё вы поймёте, о каких рисках нужно помнить в первую очередь.

Инфографика: Майя Мальгина для Skillbox Media

Сначала проанализируйте, какие последствия могут быть, если риск превратится в проблему. Используйте шкалу:

  • Сильный эффект — если проблема может сорвать проект или существенно его изменить.
  • Средний — если событие может повлиять на проект, но это можно поправить.
  • Слабый — если риск незначительно повлияет на проект, но точно его не сорвёт.

Потом оцените вероятность того, что риск возникнет:

  • Высокий — высокая вероятность риска.
  • Средний — риск есть.
  • Низкий — скорее всего, риска нет.

Затем нужно собрать оценки вероятности и силы последствий на одной шкале и разбить риски на несколько групп.

  • Если вероятность низкая, а последствия дадут слабый эффект, то об этом риске не стоит беспокоиться. Просто имейте в виду, что он есть.
  • Если вероятность высокая и последствия дадут сильный эффект, о защите от этого риска нужно позаботиться в первую очередь.

Несколько незначительных рисков обычно меньше влияют на проект, чем один риск высокого уровня. Последние чаще приводят к тому, что проект срывается. Поэтому работайте сначала с проблемами высокого и среднего уровня.

Используйте разные цвета, чтобы выделить приоритетные задачи. Так участник команды, увидев таблицу, сразу поймёт, с какими рисками нужно работать в первую очередь.

Есть четыре основные стратегии, как реагировать на риски. Можно попробовать избежать рисков, принять их, передать их другой команде; их также можно уменьшить и контролировать.

Рассмотрим каждый способ.

Избегать. Иногда вы можете избежать риска полностью. Например, если вы сомневаетесь в надёжности подрядчика, который часто не соблюдает сроки, вы можете перестать работать с ним.

Принять. Этот способ подойдёт для рисков с низкой или средней вероятностью и без тяжёлых последствий для проекта. Нужно принять, что такой риск существует, и отслеживать его всё время до окончания проекта.

Представим, что поставщик неожиданно заявил, что у него нет нужных вам компонентов, однако он пополнит запасы в ближайшее время. Возможно, это скажется на сроках проекта.

Можно начать работу с другим поставщиком, но такой риск лучше принять. Это имеет смысл, если задержки не критичны для проекта. Если не искать нового поставщика и смириться с риском, это избавит команду от лишней работы.

Уменьшить или контролировать. Для смягчения риска используйте дерево решений. Это блок-схема, которая показывает, какие решения существуют для каждой проблемы. Например, если компания работает с исполнителем, который срывает сроки, ему можно постоянно напоминать о задаче: отправлять имейлы каждый день или звонить.

Передать риски. Если команда понимает, что не может снизить риски для какой-то группы задач, она может передать их специализированным компаниям. Иногда это помогает сэкономить время и деньги.

План по управлению рисками — это документ, который описывает возможные риски и способы их снизить. Если у вас есть такой план, все члены команды и заказчики будут в курсе, какие проблемы могут возникнуть во время реализации проекта. Документ нужно постоянно дополнять, так как новые риски могут появиться на любом этапе проекта.

План можно создать в «Google Документах». Так все члены команды будут иметь к нему доступ. Укажите название компании, название проекта и кто создал этот документ — чтобы было понятно, к кому обращаться, если возникнут вопросы. Также можно написать, когда документ был создан и когда обновлялся в последний раз. Так команда будет понимать, насколько он актуален.

Так может выглядеть шапка плана по управлению рисками
Скриншот: Google Career Certificates / YouTube

Далее напишите цель документа: смягчить последствия рисков в проекте. В план нужно добавить краткое описание проекта — и написать, какие проблемы проект переживёт, а какие риски могут его изменить.

Следующая часть — самая важная. Создайте таблицу, в которой вы распишете все возможные риски, оцените их и добавьте возможные решения для каждого. Как это сделать, мы разобрали в предыдущих разделах.

Например, один из рисков — поставщик не успевает уложиться в сроки. У этого риска средний уровень. Для снижения риска есть решение: ежедневно созваниваться с поставщиком.

Инфографика: Майя Мальгина для Skillbox Media

Важно, чтобы не только команда знала о планах. Обязательно встретьтесь с заказчиком или напишите ему письмо, чтобы рассказать, какие риски есть у проекта.

Так вы уже в начале проекта будете понимать, поможет ли заказчик решить проблемы, если они возникнут. Например, если заказчик предупредил, что он не сможет увеличить бюджет, вы учтёте, что работаете с ограниченными ресурсами и дополнительных средств не будет.

Если вы не расскажете о рисках заказчику заранее, в середине проекта они могут стать неприятным сюрпризом. Так вы можете подорвать доверие к себе и всей компании. Если же заинтересованные стороны знают о рисках, все понимают, чего потенциально можно ожидать при работе над проектом.

Особенно важно поговорить с заказчиком, если есть риски высокого уровня. В таком случае лучше встретиться с ним и пообщаться лично. Возможно, вы найдёте совместные решения. Риски среднего и низкого уровня можно обсудить по электронной почте.

Все риски обнаружить невозможно, и это нормально. Но если вы предусмотрите значительную часть из них и придумаете решения, вы будете лучше подготовлены к проблемам.

  • Риски — это возможные негативные ситуации, которые могут помешать выполнению проекта. Проблемы — это воплотившиеся риски.
  • Самые распространённые виды рисков: временные, бюджетные, нарушения в зависимостях, внешние, а также единые точки отказа — события, которые останавливают всю работу команды.
  • Ищите риски с помощью мозговых штурмов, анализируйте их с помощью диаграммы Исикавы, а потом оценивайте их эффект и вероятность.
  • На риски можно реагировать с помощью одной из четырёх стратегий: избегать, принять, контролировать или передать другой команде.
  • Список самых опасных рисков и список мер, с помощью которых команда будет на них реагировать, вносят в план по управлению рисками.

Другие материалы Skillbox Media по управлению проектами

  • Что такое проект: разбираем главное понятие проектного управления
  • Kanban: рассказываем, как работает эта методика
  • Как планировать проекты и следовать графику работ с диаграммами Ганта
  • Что такое Agile: методология, команда, оценка эффективности
  • Как работает Scrum и как управлять проектом с помощью этой методики

Научитесь: Профессия Менеджер проектов
Узнать больше

Источник

Дмитрий Могилко

Бизнес-архитектор

Эксперт-консультант ВЭШ СПГЭУ

Асессор по модели EFQM

Партнёр ГК «Современные технологии управления» (г. Санкт-Петербург)

Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.

Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.

Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).

Рис. 1. Структура основных понятий риск-менеджмента

Представленная модель построена на основе следующей логики.

  1. Организация осуществляет деятельность в конкретной ситуации под влиянием факторов внешней и внутренней среды [2, 3], при этом:
    • внешняя ситуация (среда) обусловлена влиянием культурных, социальных, правовых, финансовых, технологических, экономических факторов;
    • внутренняя ситуация (среда) отражает ценности, культуру и стиль руководства, организационную и ролевую структуру, политику, цели и стратегию организации.
  2. Негативное развитие ситуации обусловливает возникновение опасных событий (опасностей), которые характеризуются вероятностью и последствиями их наступления.
  3. Появление опасного события приводит к возникновению риска — влияния неопределенности на цели организации, при этом неопределенность обусловлена недостаточностью информации, понимания или знания относительно события, его последствий или возможности.
  4. Из множества вероятных рисков отбираются наиболее значимые для организации с помощью критериев риска, которые представлены признаками и правилами оценки его значимости [4].
    Критерии соответствуют виду риска [5] для одного из следующих классов опасностей по характеру происхождения:

    • природный;
    • биосоциальный;
    • техногенный;
    • экологический;
    • профессиональный;
    • информационный;
    • экономический;
    • террористический;
    • кибернетический;
    • иной [6].
  5. Значимые для организации риски, выбранные с помощью критериев, подлежат идентификации, включая обнаружение, распознавание и описание. При идентификации опасных событий также определяются объекты воздействия (реестра риска) и методы идентификации риска [7]. Характеристика опасного события включает:
    • идентификатор;
    • наименование и описание, в том числе:
      ○  источник опасного события;
      ○  объект воздействий опасного события (люди, экология, экономика, система управления, социальная среда и инфраструктура организации);
      ○  последствия опасного события [3];
    • этап жизненного цикла продукции (услуги) при возникновении опасного события;
    • возможные последствия;
    • необходимые предупреждающие средства контроля для реагирования на опасные события и способы восстановления деятельности [6].

    В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:

    • идентифицированные опасные события (инциденты — центральные узлы диаграммы);
    • источники опасных событий (на диаграмме слева) и последствия (на диаграмме справа);
    • установленные барьеры, предотвращающие эскалацию опасного события (предупреждающие меры на диаграмме слева) и нежелательные последствия (средства управления для восстановления и снижения последствий на диаграмме справа).

    Рис. 2. Диаграмма «галстук-бабочка»

  6. Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.

    Таблица 1. Реестр риска (упрощенная форма)

    Идентифи­катор опасного события Наименование и описание опасного события Ответствен­ный менеджер по риску Последствия опасного события (I) Вероятность опасного события (L) Оценка риска (I × L) Мероприя­тия по обработке риска Срок выполнения мероприятий по обработке риска Примечания
    План Факт
                       
                       
  7. Следующим за идентификацией этапом процесса управления риском является анализ его природы и уровня. При анализе риска определяются:
    • источники данных;
    • средства контроля;
    • методы анализа;
    • последствия реализации опасного события;
    • вероятность наступления опасного события;
    • оценка уровня риска [6].

    Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:

    • шкала последствий (табл. 2);
    • шкала вероятности (табл. 3).
    Таблица 2. Шкала оценивания последствий опасного события

    Последствие (I),
    баллы     		Описание
    последствий     		Объекты воздействия опасного события
    5 Катастрофические последствия Люди, окружающая среда, экономика, органы государственного и муниципального управления, социальная среда, инфраструктура
    4 Значительные последствия Люди, экономика, инфраструктура, окружающая среда, социальная среда
    3 Умеренные последствия Люди, экономика, инфраструктура
    2 Небольшие последствия Экономика, инфраструктура
    1 Малозначительные последствия Социальная среда

    Примечание: объекты воздействия опасного события приведены для примера.

    Таблица 3. Шкала оценивания вероятности наступления опасного события

    Оценка вероятности,
    %     		Качественная оценка вероятности, баллы
    Очень высокая — 81–100 Очень высокая — 5
    Высокая — 61–80 Высокая — 4
    Средняя — 21–60 Средняя — 3
    Низкая — 1–20 Низкая — 2
    Очень низкая — менее 1 Очень низкая — 1

    Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).

    Таблица 4. Матрица риска, ранги

    Качественная оценка вероятности опасного события Последствия
    Малозначительные (1) Небольшие (2) Умеренные (3) Значительные (4) Катастрофические (5)
    Очень низкая (1) 1 2 3 4 5
    Низкая (2) 2 4 6 8 10
    Средняя (3) 3 6 9 12 15
    Высокая (4) 4 8 12 16 20
    Очень высокая (5) 5 10 15 20 25

  8. Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:

    • определение критериев приемлемости риска;
    • сопоставление оценки риска с критериями приемлемости;
    • заключение о приемлемости риска и необходимости его обработки [6].

    По результатам анализа определяется уровень риска в следующих интервалах:

    • ранг 0 — риск отсутствует, никакие действия не предпринимаются;
    • 0–4 — риск низкий, предпринимаются низкозатратные действия;
    • 5–8 — риск средний, предпринимаются действия с учетом временных и экономических затрат;
    • 9–16 — риск высокий, необходимо срочное выполнение мероприятий по снижению риска;
    • 16–25 — риск высокий, необходимо предпринять незамедлительные действия по его снижению [7].

  9. После оценки риска наступает этап его обработки / модификации посредством:

    • избежания, т. е. отказа от деятельности;
    • принятия;
    • устранения источника риска;
    • изменения его вероятности;
    • изменения его последствий;
    • разделения риска с другой стороной [2].

    Обработка риска включает следующие этапы:

    • определение целей обработки риска;
    • определение и выбор способов обработки риска (с учетом затрат, эффективности обработки, уровня остаточного риска);
    • разработка и осуществление плана обработки риска [3].

  10. Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:

    • измеряться в процентах, представлять собой число (номер) или соотношение;
    • определяться сопоставимыми значениями за определенный промежуток времени;
    • иметь базовые значения;
    • иметь недорогие и простые (в интерпретации и контроле) данные [9, 10].

Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.

Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:

  • соблюдать принципы менеджмента риска;
  • нести ответственность, выполнять обязанности и иметь полномочия в области менеджмента риска;
  • формировать реестр риска и вести отчетность в соответствии с установленными в организации формами, с применением стандартизованных терминов и принятых критериев [5].

Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:

  • знание политики, стратегии и целей организации в области менеджмента риска;
  • понимание связи политики в области риска с общей политикой и стратегическими целями организации, а также с требованиями и ожиданиями причастных к этому сторон;
  • знание процессов и специфики работы организации;
  • знание необходимых правовых требований, в том числе требований нормативной и технической документации: технических регламентов, стандартов и рекомендаций в области риска;
  • знание и правильное использование терминов менеджмента риска;
  • знание карты этого процесса;
  • знания в области применения реестра риска.

Основные требования к навыкам менеджеров по риску включают способности:

  1. Идентифицировать, описать и зарегистрировать опасные события и оценить соответствующие им риски.
  2. Применять критерии допустимого риска организации.
  3. Задействовать методы оценки риска.
  4. Использовать методы разработки и ведения реестра риска.
  5. Применять методы обработки и мониторинга риска организации, в том числе методы оценки результативности и эффективности мероприятий по снижению риска.
  6. Использовать методы анализа менеджмента риска и управления документацией в этой области.
  7. Обеспечивать от имени высшего руководства внедрение процесса менеджмента риска, а также разработку, внедрение, функционирование и поддержку в рабочем состоянии соответствующей системы.
  8. Доводить до сведения высшего руководства информацию о работе системы менеджмента риска и всех необходимых улучшениях, при этом в отчете по реестру риска необходимо указывать:
    • перечень опасных событий, связанный с ними риск и способы обработки;
    • оценку эффективности мер по обработке ключевых видов рисков;
    • произошедшие изменения за отчетный период;
    • необходимые изменения в стратегиях, целях и задачах в области риск-менеджмента для предотвращения или снижения возможных потерь;
    • предполагаемую причину неэффективности мероприятий по обработке риска;
    • необходимые действия для выполнения мероприятий по обработке риска;
    • меры повышения эффективности риск-менеджмента [6].
  9. Обеспечивать понимание риска персоналом организации.
  10. Согласовывать процесс риск-менеджмента с общей системой процессов организации.
  11. Внедрять решения, принятые по результатам оценки риска.
  12. Поддерживать и постоянно улучшать систему риск-менеджмента.

Оценка риска осуществляется группой, включающей следующие роли:

  • владелец / спонсор — инициирует и контролирует осуществление оценки риска, обеспечивает необходимыми ресурсами (финансовыми, материальными, нематериальными) выполнение плана-графика по времени;
  • руководитель группы — управляет выполнением оценки риска;
  • эксперт по исследуемому направлению — предоставляет соответствующие информацию, данные и экспертные оценки, относящиеся к исследуемому риску;
  • помощник — оказывает помощь при оценке риска, организует совещания по ней;
  • участник — активно участвует в процессе оценки риска [3].

Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:

  • цель: постоянное определение, анализ, обработка и мониторинг рисков;
  • выходы: область применения менеджмента рисков, определение и выполнение стратегий менеджмента рисков, определение рисков, анализ рисков, оценивание степени риска, применение обработки риска;
  • виды деятельности: планирование менеджмента рисков, менеджмент профиля рисков, анализ рисков, обработка рисков, мониторинг рисков, оценка процесса менеджмента рисков.

В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).

Рис. 3. IDEF0-модель процесса менеджмента риска

Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.

Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.

Таблица 5. Основные параметры паспорта риска

Параметр Требования и рекомендации
1

Код регистрации (в реестре) и название риска (опасного события)

Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях. В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении [5].

2

Тип риска (внешний или внутренний)

При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска [3].

3

Вид риска (экономический, технический, социальный, экологический)

Высшее руководство должно установить критерии риска, используемые в реестре. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Последние должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных к процессу сторон [5].

4

Владелец риска (ответственный за менеджмент риска)

  • Владелец риска — лицо или организационная единица, которые имеют полномочия и несут ответственность за управление рисками [2].
  • Ответственность за менеджмент риска, в том числе за его контроль и мониторинг, должна быть возложена на ответственного менеджера по риску или группу менеджмента риска [7].
5

Риск-менеджеры (эксперты по оценке риска)

  • Для идентификации рисков необходимо привлекать людей, обладающих соответствующими знаниями [2].
  • Высшее руководство должно назначить во всех подразделениях организации квалифицированный персонал, ответственный за внедрение результатов анализа и оценки риска [5].
6

Область или объект воздействия риска (организация, среда, персонал, продукт, процесс)

При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами могут быть:

  • организация в целом, ее структурное подразделение или его часть;
  • продукция, услуга, процесс или вид деятельности;
  • персонал или отдельные работники [7].
7

Заинтересованные (причастные) стороны, подверженные риску

  • При выборе вариантов воздействия на риск организация должна рассматривать значения и восприятие заинтересованных сторон и наиболее подходящие способы обмена информации с ними [2].
  • Основные заинтересованные стороны должны быть привлечены к работе по установлению целей и области применения оценки риска, а в дальнейшем — в группу оценки риска для обеспечения объективности выводов [3].
8

Источник и условия возникновения риска (опасного события)

Анализ риска включает исследование источников опасных событий, их последствий и вероятности появления. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности [7].

9

Уровень (балл) последствий воздействия риска (опасного события)

  • При анализе последствий определяют характер и тип воздействия, которое может произойти при возникновении конкретного события, ситуации или обстоятельств [2].
  • Группа оценки риска должна внимательно проанализировать весь диапазон последствий для каждого опасного события, при этом необходимо использовать таблицу последствий. Каждый вид последствий должен быть зарегистрирован в реестре риска [3].
10

Уровень (балл) вероятности возникновения опасного события

После определения последствий для каждого опасного события следует выявить соответствующую вероятность. Используя таблицу оценки вероятности опасного события, для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска [3].

11

Оценка уровня (ранга) риска

Ранжирование опасных событий проводят в соответствии с ущербом. Результатом анализа и сравнительной оценки риска является ранжирование, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска [6].

12

Решение о необходимости обработки риска

  • Оценивание риска включает сравнение уровня риска, выявленного в процессе анализа, с установленными критериями риска во время рассмотрения ситуации (контекста) [2].
  • Целью сравнительной оценки риска малой организации является принятие на основе результатов анализа риска и критериев приемлемости риска решений о необходимости обработки риска и о расстановке приоритетов при ее выполнении [7].
13

Мероприятия по обработке риска (снижению вероятности и/или последствий)

Целью плана обработки риска является регистрация выбранных способов обработки риска. План обработки риска должен включать в себя:

  • детальное обоснование причин для выбора метода обработки риска;
  • ожидаемые преимущества выбранного метода обработки риска;
  • предлагаемые действия;
  • необходимые ресурсы;
  • распределение ответственности и полномочий;
  • календарный план выполнения работ;
  • критерии качества работы;
  • требования к обмену информацией и мониторингу [3].
14

Ответственный за обработку риска

Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за них. Ответственными, как правило, назначают:

  • менеджеров по риску, если в качестве стратегии снижения риска выбраны его устранение, снижение или оптимизация;
  • ответственную сторону, если в качестве стратегии снижения риска выбрана его передача;
  • ответственного, наделенного полномочиями принятия риска, если оно выбрано в качестве стратегии снижения риска [6].
15

Срок выполнения мероприятий по обработке риска

Этапы обработки риска включают в себя:

  • выбор стратегии обработки риска;
  • оценку последствий, вероятности опасного события и риска после применения выбранной стратегии обработки;
  • идентификацию мероприятий по обработке риска;
  • определение сроков выполнения мероприятий по обработке риска;
  • определение ответственных за выполнение мероприятий;
  • оценку результатов обработки риска [6].
16

Индикаторы мониторинга риска

  • Должна быть четко определена ответственность за проведение мониторинга и пересмотра рисков. Процессы мониторинга и пересмотра, осуществляемые организацией, должны затрагивать все аспекты процесса риск-менеджмента. Результаты мониторинга и пересмотра должны быть документированы [2].
  • Организация должна обеспечивать непрерывность процесса менеджмента риска, по этому необходимо проводить регулярный мониторинг всех его видов и пересмотр записей в реестре [7].
  • Для повышения эффективности контрольных процедур с помощью ключевых индикаторов риска необходимо:
    ○  выбрать индикаторы для каждого значимого риска;
    ○  определить интервалы значений индикаторов, соответствующие приемлемому риску, высокому риску и т. п.;
    ○  документировать проведение мониторинга индикаторов и предоставления соответствующей отчетности руководству [9].
  • Все организации должны иметь перечень индикаторов риска, которые видоизменяются с течением времени. Перечень индикаторов должен подвергаться периодическому анализу и пересмотру [9].
  • Службы внутреннего контроля и аудита должны с определенной периодичностью производить проверки ключевых индикаторов риска на своевременность предоставления, достоверность данных, актуальность [9].
  • Отчет должен содержать и структурировать следующую информацию:
    ○  источник информации для каждого индикатора;
    ○  лицо, ответственное за предоставление данных;
    ○  частоту обновления данных;
    ○  планирование, сроки и время исполнения [9].
17

Сведения о результативности и эффективности обработки риска (оценка и опыт)

  • В реестр риска включают также оценку выполнения мероприятий по обработке риска [6].
  • В качестве объектов внутреннего аудита рекомендуется использовать следующие документы:
    ○  реестр риска, включающий описание, категорию, причину, вероятность, воздействие на цели, предполагаемые ответные действия и текущее состояние выявленного риска;
    ○  карту риска, которая отражает динамику изменения состояния защищенности организации во времени;
    ○  панель риска, содержащую информацию о ключевых индикаторах риска и динамике их изменения во времени;
    ○  отчеты о выполнении планов обработки риска;
    ○  аналитическое заключение о защищенности организации — детальное описание риска с присвоением веса, оценкой вероятности и возможного ущерба [9].
18

Направления улучшения инфраструктуры риск-менеджмента

  • Организациям рекомендуется разрабатывать, внедрять и постоянно улучшать инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру [2].
  • В рамках системы менеджмента риска необходимо установить систему отчетности об оценке риска, эффективности средств контроля и методов управления и мероприятий по обработке риска [5].
19

Периодичность актуализации оценки риска (реестра риска)

  • Процесс менеджмента риска должен быть непрерывным, поэтому менеджерам по риску следует проводить регулярный мониторинг всех видов риска и пересмотр записей в реестре, направленный на обеспечение достижения целей организации и выполнения установленных требований к риску. Для этого необходимы:
    ○  проведение регулярного анализа каждого риска, направленного на оценку полноты и правильности соответствующих описаний и расчетов, их соответствия существующим угрозам, последствиям, оценкам вероятности их появления, выбранной стратегии менеджмента риска и достаточности мер, направленных на снижение риска;
    ○  идентификация ключевых видов риска ответственным за менеджмент риска организации и обмен информацией о них с причастными сторонами;
    ○  актуализация мероприятий, направленных на снижение риска [6].
  • Анализ и пересмотр реестра риска следует проводить не реже одного раза в год. Периодичность анализа и пересмотра реестра риска устанавливает высшее руководство организации. Анализ и пересмотр реестра должны включать в себя обсуждение проблем, связанных с новыми видами идентифицированного риска и исключением из реестра риска устаревшей информации [6].
20

Дата актуализации сведений о риске (в реестре)

Для практического использования паспорт риска может быть реализован как нормативно-справочный документ в системе бизнес-моделирования Business Studio (рис. 4), при этом:

  • названия параметров риска указываются в поле «Раздел» атрибутов документа;
  • содержание (значение) параметров риска заносится в поле «Комментарий» атрибутов документа;

    • Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio

  • требования к параметрам риска указываются в поле «Комментарий» раздела атрибутов объекта (рис. 5).

    • Рис. 5. Карточка раздела документа

Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.

Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).

Рис. 6. Шаблон пользовательского отчета «Паспорт риска»

В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).

Рис. 7. Отчет «Паспорт риска»

Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.

  1. Лист «Матрица рисков» (рис. 8):
    • средневзвешенный уровень рисков организации (например, 10,25);
    • матрицу позиционирования рисков в координатах «Вероятность» и «Последствия» (например, риск «Высокая зависимость от ключевых сотрудников» имеет значения параметров: вероятность — 4 балла, последствия — 3 балла);
    • список (реестр) рисков, включающий дополнительные сведения: дату (обновления в карточке риска), код (регистрационный номер), владельца.

    2. Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу

  2. Лист «Риски» (рис. 9):
    • ранг уровня риска (например, 12);
    • сведения (содержание) о параметрах риска;
    • параметры риска (ссылки).

    3. Рис. 9. Лист «Риски» Excel-отчета по мониторингу

  3. Лист «Требования» (рис. 10):
    • наименование раздела (нормативно-справочного) документа;
    • требования и рекомендации стандартов для параметра риска.

    4. Рис. 10. Лист «Требования» Excel-отчета по мониторингу

Для удобства навигации отчет содержит необходимые автоматические ссылки.

ВЫВОДЫ

Предложенная автором структура паспорта риска, содержащая требования и рекомендации соответствующих стандартов, позволит определять и поддерживать необходимые компетенции участников инфраструктуры по управлению рисками. Применение системы Business Studio позволит осуществлять регулярную деятельность по актуализации реестра риска, поддержанию и развитию требуемых компетенций в области управления рисками, а также регулярный мониторинг выполнения мероприятий по их обработке.

Источники информации:

  1. ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования».
  2. ГОСТ Р ИСО 31000–2010 «Менеджмент риска. Принципы и руководство».
  3. ГОСТ Р 51901.23–2012 «Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска».
  4. Р 50.1.068–2009 «Менеджмент риска. Рекомендации по внедрению. Часть 1: Определение области применения».
  5. ГОСТ Р 51901.21–2012 «Менеджмент риска. Реестр риска. Общие положения».
  6. ГОСТ Р 51901.22–2012 «Менеджмент риска. Реестр риска. Правила построения».
  7. Р 50.1.084–2012 «Менеджмент риска. Реестр риска. Руководство по созданию реестра риска организации».
  8. ГОСТ Р ИСО/МЭК 30010–2011 «Менеджмент риска. Методы оценки риска».
  9. Р 50.1.090–2014 «Менеджмент риска. Ключевые индикаторы риска».
  10. ГОСТ Р ИСО/МЭК 12207–2010 «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств».
  11. Создание пользовательских отчетов.

Опубликовано по материалам:
«Менеджмент качества», 03/2019.

Октябрь 2019 г.

Рекомендуемые материалы по тематике

Превращение в гиганта: практика организационного развития ГК «Гулливер»

Процессный подход станет нашим рабочим инструментом — интервью с Денисом Клименко в проекте «Управление из первых рук»

BPM как способ узнать глубину кроличьей норы

Глоссарий

Источник

Добавить комментарий