План действий при управлении рисками проекта. Управление рисками

В одном из предыдущих статей, посвященных Управлению Проектами (УП), мы уже рассматривали вопрос бюджетирования . Сегодня предлагаем вам кратко ознакомиться с еще одним доменом PMBoK, который связан с управлением рисками проекта. Понятие управление рисками в менеджменте обладает никак не меньшей степенью важности чем управлением финансами, поскольку как раз риски могут оказывать существенно влиять на исполнение бюджета и вообще не сам процесс реализации проекта.

Управление рисками (risk management) - систематическое средство контроля проектов и снижения степени неопределенности их завершения. Практики управления рисками приложимы как к малым проектам продолжительностью в несколько недель и с небольшим бюджетом так и к крупным проектам продолжительностью в несколько лет и миллионными бюджетами.

В любом случае риск - это когда что-то что не гарантировано на 100%. Факт не является риском. Управление рисками направлено на то, чтобы идентифицировать, какие события чреваты рисками. Как заметил Дэвид Паккард однажды: "Половина проектов в Hewlett-Packard оказалась бесполезной тратой времени" .

Идеальным управлением рисками считалась бы практика, которая смогла бы однозначно отсеивать "провальные" проекты от "реальных". Правильная техника управления рисками позволяет менеджеру контролировать проект, а не наоборот, что бывает отнюдь не редко.

Управление рисками в известном смысле представляет собой попытки предсказания будущего. Управление рисками так или иначе сводится к пониманию степени воздействия различных событий на будущее проекта. Приведем конкретную ситуацию, участником которой автору этой статьи довелось быть.

Введение в управление рисками

Понятно, что под управлением рисками подразумевается идентификация и минимизация факторов риска.

Идентификация риска включает в себя определение следующих риск-факторов:

• вероятность того, что риск или возможность появится;
• его влияние или последствия, воздействие на проект;
• ожидаемое время появления - когда риск может возникнуть;
• как часто риск может возникать.

Процедура управления рисками состоит из нескольких этапов.

1. Сбор информации.

2. Планирование процедур управления рисками для данного проекта.

3. Идентификация рисков: определение специфических рисков для каждого проекта и каждой задачи. Составление полного списка рисков, включающего в себя, как правило, сотни рисков.

4. Качественный и количественный анализ рисков, полученных на предыдущей стадии, и составление короткого списка основных, наиболее опасных рисков. На этой стадии вероятность риска и степень влияния рисков на результат проекта определяются качественно. Здесь часто помогает опыт ведения похожих проектов.

5. После выделения наиболее опасных рисков принимается решение произвести их количественную оценку. Выводится общая оценка рискованности проекта и вероятность того, что требования проекта будут выполнены.

6. Планирование минимизации рисков, процедура RRP (risk response planning). Определение возможностей сократить общий риск проекта.

7. Мониторинг и контроль рисков. Под этим подразумевается постоянное отслеживание ситуации с проектными рисками. Управление рисками - не одномоментное мероприятие. Оно производится периодически, по мере того как изменения произошли или проблемы обнаружены.

Управление рисками: процессы

Управление рисками проекта включает в себя мероприятия по:

• идентификации (выявлению) рисков;
• анализу и приоритезации рисков;
• планированию реагирования на риски;
• мониторингу и контролю рисков.

Эти процессы взаимодействуют как друг с другом, так и с другими процессами управления проектами.

Этап 1. Сбор информации

Первый этап процесса управления рисками по проекту - это сбор необходимой информации, так как в отсутствии полной информации, имеющей отношение к делу, вероятность ошибок в расчетах и ложных предположений существенно увеличивается. Прежде чем подойти к вопросам управления рисками, необходимо хорошо представлять себе процесс управления0 проектами, так как эффективное управление рисками является его частью. Управление рисками аккуратно ложится на все стадии процесса управления проектами.

В целом на первом этапе процесса управления рисками можно выделить несколько приоритетных процессов.

1. Собрать и продумать предпосылки и истоки проекта. Необходимо четко понимать корпоративные цели проекта, знать ответы на все вопросы о причинах запуска проекта, ограничений и потенциальных проблем, имеющих отношение к проекту. Необходимо собрать информацию обо всех заинтересованных в проекте сторонах. С точки зрения идентификации рисков важно разобраться, кто является акционерами проекта, каковы их официальные цели, каковы их недекларируемые и неофициальные цели, каковы их сферы влияния, понимают ли заинтересованные лица свои роли в проекте.

2. Четко представлять все, что касается корпоративных процедур. Прежде всего - вопросы культуры производства и ведения проектов в компании. Затем - корпоративные процедуры управления рисками. В общем случае в организации уже должны быть формы для отчета по риску, шкалы оценки вероятности и воздействия, стандартные процедуры участия акционеров в управлении рисками, установки, связанные с ранжированием рисков и принятием решений о прекращении проектов, а также процедуры по аудиту рисков. Возможно, в компании уже есть зафиксированное корпоративное знание в области рисков. Кроме того, интерес могут представлять языковые барьеры, которые есть в компании, и социальные привычки сотрудников.

3. Проанализировать прошлые проекты. Если нет документации по оконченным в прошлом проектам, вся работа как будто начинается с самого начала. Нужна информация об историческом контексте предыдущих проектов, экономических условиях, организационных проблемах, реорганизации, целях компании, данных планирования проектов, списках рисков предыдущих проектов, списках категорий рисков, вероятности и последствиях рисков, методах, использованных для измерения эффективности управления рисками.

4. Окружение проекта - приоритет данного проекта по отношению к другим текущим проектам.

5. Масштаб проекта, его уникальность и спецификации. С позиций управления рисками нужно посмотреть на масштаб работ, требования и спецификации проекта. Нечеткие требования увеличивают риск проекта. Надо понять, есть ли какие-то области, где масштаб проекта не определен. Это случается очень часто. Какова уникальность проекта, какая часть работ ранее никогда не выполнялась? С какой работой вы знакомы, с какой незнакомы?

6. Оценки времени выполнения и затрат. Оценки времени выполнения и затрат должны проводиться для каждого проекта в трех вариантах: оптимистическая оценка, наиболее вероятная и пессимистическая. Если разброс между оптимистической и пессимистической оценкой значителен, оценка содержит в себе больше неопределенностей и дает сигнал о большом количестве скрытых рисков. Идентифицируя риск, надо принять во внимание: кто делал оценку? Была проведена детальная или высокоуровневая оценка? Каков метод оценки и уровень достоверности оценки?

Наконец, в завершающей стадии последуют отчеты об эффективности управления проектом, который включает в себя отчеты об эффективности управления рисками.

Оценка зон толерантности к рискам На этапе подготовки к управлению рисками по проекту полезно бывает предварительно понять, в каких областях проекта заинтересованные стороны и компания согласны принять риск. Это не является обязательным пунктом в ходе подготовки к проекту, так как впоследствии по каждому существенному риску управляющий комитет должен будет принимать специальное решение. Однако специалисты советуют оценивать зоны толерантности к рискам как можно раньше. Это д олжно помочь выделять наиболее опасные для компании риски из общего списка рисков на этапе 4, а также облегчить планирование минимизации рисков (процедура RRP). Зоны толерантности к рискам, как правило, задаются в зависимости от стоимости проекта, сроков выполнения, масштаба работы и критичности для компании. В типичном случае для оценки зон толерантности к рискам создается таблица следующего содержания. Заинтересованные стороны Ограничение Толерантность и пороговые значения ИТ-директор Время 2 дня задержки в инсталляции пакета Х ИТ-директор Время 5 дней задержки в завершении ключевого подпроекта Y Функциональный заказчик Производительность Мощность системы должна превышать 100 тыс. транзакций в минуту Главный бухгалтер Уровень удовлетворенности Готов участвовать только в двух совещаниях в месяц по данному проекту

Понимая, что управление рисками существенно увеличивает количество управленческой работы, многие менеджеры отказываются от подобных практик или игнорируют их внедрение. Однако управление рисками в связи с его неопровержимыми преимуществами становится неотъемлемой частью процессов управления проектами.

Этап 2. Планирование управления рисками

Планирование управления рисками - процесс, в рамках которого выясняется, каким образом будет осуществляться весь комплекс мер, связанных с анализом рисков, кто именно будет вовлечен в этот процесс, когда именно должны запускаться процедуры управления рисками и как часто.

Как правило, занимается этим менеджер проекта, однако в силу различных факторов в планирование и организацию работы с рисками может быть вовлечено большее число сотрудников. Назовем их условно RM-группа (RM - от risk management).

С практической точки зрения для создания успешного плана управления рисками необходимо проделать следующее.

1. Просмотреть имеющиеся процедуры управления рисками, записи и отчеты по предыдущим проектам.

2. На основании этого и с учетом специфики проекта определить, какие методы управления рисками будут использованы для данного конкретного проекта, какие данные и инструменты будут использоваться.

3. Определить роли и ответственность, а также конкретных людей, вовлеченных в управление рисками.

4. Определить затраты на управление рисками для данного проекта.

5. Определить частоту, с которой процедуры управления рисками будут запускаться в течение жизни проекта.

6. Определить, какие методы будут использованы для количественной и качественной оценки рисков и интерпретации уровня риска.

7. Определить пороговые величины: уровень риска, при котором будут приниматься меры.

8. Определить форматы отчетов: способы документации, анализа и распространения отчетов об управлении рисками.

На данном этапе очень важно понять, что правильные формулировки для рисков приводят к правильным мерам. Стандартный и общепринятый формат определения риска - CRE-формат (Cause-Risk-Effect). При определении риска всегда нужно найти изначальную причину риска, а не ограничиваться поверхностной симптоматикой.

Этап 3. Идентификация рисков

Перейдем к более детальному рассмотрению процессов идентификации рисков, с которого начинается реальная работа с рисками конкретного проекта. Сам процесс идентификации рисков снижает общий риск проекта. Поэтому к процессу идентификации рисков относятся все более и более внимательно, стараясь исчерпать его возможности до конца.

При идентификации рисков важно обратить самое серьезное внимание на все допущения и предположения в проекте. В целом правильная тенденция относится к допущениям в проекте как к рискам ("Предположительно программное обеспечение будет работать без проблем"). Для наиболее полной идентификации рисков разработано несколько методов, которые по-разному сочетаются в реальной практике идентификации рисков.

1. Сравнение со списком рисков и списком категорий рисков. Самая распространенная ошибка при идентификации рисков состоит в том, что из поля зрения выпускается целая категория рисков. Поэтому в стадии идентификации необходимо иметь список категорий рисков и помнить, что независимо от методов идентификации рисков вашего проекта должны быть учтены все категории рисков.

a) технические, качественные или связанные с производительностью

b) риски управления проектами

c) организационные риски

d) внешние риски.

Особенно часто выпускаемые из внимания категории:

a) риски управления проектами (недостаток поддержки, отсутствие опыта оценки, некачественный план проекта), отсутствие стандартной документации по проекту

b) культурные риски (даже если проекты разворачиваются в одной стране)

c) риски, связанные с качеством работ по проекту

d) риски, связанные с удовлетворенностью заинтересованных сторон проекта

e) организационные риски (недостатки приоритезации проектов в компании, неадекватное финансирование, недостаток управления многозадачностью проекта, неаккуратность при переходе от выполнения одной задачи к другой, некорректность санкционирования переходов)

f) контрактные риски

g) риски выбора вендора и поставщиков

h) риски, связанные с изменением рынка по ходу проекта.

В идеале было бы правильно собрать и задокументировать все риски и категории рисков, с которыми когда-либо сталкивалась компания, работая с аналогичными проектами. Ценность такой базы данных была бы огромной. Однако компании практически никогда этим не занимаются. По опыту, работа RM-группы с данным списком увеличивает число идентифицируемых рисков на 30% и более.

2. Анализ рисков предыдущих проектов . Риски могут быть идентифицированы посредством изучения записей, связанных с предыдущими проектами. Сюда относятся изучение уже упомянутых списков рисков и их категорий, вероятности и воздействия рисков, планы ответных действий и выводы. Менеджеру проекта необходимо проанализировать имеющиеся в распоряжении документы.

Сюда относятся все входные документы для управления рисками, требования, схемы и шаблоны, спецификации, контракты и заказы, RFP, письма и т. д.

3. Мозговой штурм. Процесс, на первый взгляд простой и очевидный, должен быть грамотно подготовлен, чтобы качественно пройти. Задача состоит в том, чтобы собрать как можно больше возможных рисков в кратчайшее время. До начала штурма необходимо ознакомить всех членов группы с категоризированным предварительным списком рисков. Такая техника улучшает количественные и качественные результаты. При организации мозгового штурма следует четко определить участников. Рекомендуется также организовать мозговой штурм в несколько заходов с разными группами участников (конечные пользователи, RM-группа и любые заинтересованные стороны). Обязательно необходимы один-два человека, не вовлеченных в мозговой штурм, которые будут просто записывать идеи. В процессе штурма необходимо выяснить риски, относящиеся к проекту в целом, соответствующие риски для каждой задачи, категории рисков и уровни рисков, если возможно.

Конечно, метод мозгового штурма не открывает всех возможных рисков. Часть рисков "всплывет" у участников после сессии, некоторые люди не любят выступать публично, многие будут говорить слишком много, забивая других, многие просто побоятся открыто заявлять о рисках, связанных с их отделом, опасаясь последствий. Поэтому идентификация рисков не должна ограничиваться техникой мозгового штурма. Его используют в сочетании с другими методиками, которые могут быть проведены анонимно (анонимность происходящего надо заявить открыто во всех анкетах).

4. Интервью с экспертами. Как правило, в качестве экспертов выступают функциональные руководители и менеджеры, которым случалось проводить аналогичные либо смежные проекты. В силу важности источника интервью с экспертами должны быть тщательно продуманы.

Прежде чем приступить к прояснению интересующих вопросов, правильно будет задать следующие предварительные вопросы.

• Какие проблемы вам кажутся возможными, если для анализа рисков проекта будет использован такой-то метод?
• С какими проблемами вы сталкивались, работая над проектами, подобными нашему?
• О чем вы больше всего беспокоитесь в отношении данного проекта?
• Что может пойти не так?
• Какие возможности, по вашему мнению, откроются по мере выполнения данного проекта?

После чего перейдите к интересующим вопросам, которые тоже необходимо четко сформулировать, например: "У нас есть опасение, связанное с проблемой А. Придется нам столкнуться с этой проблемой или нет? Когда? Сколько раз? Что может произойти, если эта проблема возникнет сегодня, завтра? Какова вероятность возникновения этой проблемы по шкале от 1 до 10?". Как видите, при интервью важно задавать углубляющие вопросы. Кроме того, договоритесь о возможности последующих встреч, так как невозможно учесть все сразу при обсуждении.

Еще один хороший прием состоит в том, чтобы, общаясь с экспертом, разделить роли как минимум между тремя людьми. Один человек задает вопросы, другой записывает ответы, третий следит за невербальными аспектами общения. Последнее крайне важно (учитывая, что 55% коммуникации проходит невербально).

5. Техника номинальной группы (nominal group technique) . Данная методика используется всякий раз, когда необходимо выяснить мнение группы людей по какому-то вопросу. Для общих случаев данная методика подробно описана во многих источниках. В приложении к практике управления рисками данная технология выглядит следующим образом. Сначала формируется группа, и собирается список рисков от каждого члена группы. Затем, до начала основной сессии, индивидуальные списки компилируются в один мастер-список. Далее каждому члену группы предоставляется на рассмотрение мастер-список, и он ранжирует каждый риск, используя шкалу от 1 до 10. После этого все рейтинги сводятся в новую таблицу, и выявляются высокоприоритетные риски. Недостаток этой методики состоит в том, что крупный риск может быть корректно идентифицирован одним ключевым сотрудником, но при этом не поддержан группой. Именно поэтому отбирать участников группы необходимо очень тщательно.

6. Дельфи-техника (delphi technique) . Эта методика используется для опроса некоторой небольшой группы экспертов и может быть использована для того, чтобы прийти к экспертному подтверждению найденных ранее рисков проекта, а также для проведения количественного анализа идентифицированных рисков и выяснения, какие меры должны быть приняты.

Сначала надо определиться, кто из экспертов может помочь в подтверждении рисков. Потом разослать опросники и скомпилировать экспертные оценки в один список. Переслать откомпилированный список каждому эксперту, с просьбой представить дополнительные комментарии по поводу данного списка. После чего повторно откомпилированный список с комментариями экспертов сводится в финальный список. Сложность данной методики - в необходимости определенного искусства интерпретации экспертных оценок, позволяющего скомпилировать окончательный список.

Умелое сочетание данных технологий помогает преодолеть психологические проблемы при групповой идентификации рисков (вспомните, многие люди неспособны проявить себя в мозговом штурме). В реальности устойчивые результаты дает следующее сочетание техник идентификации.

Выделяется две принципиальные группы участников: периферийно затрагиваемые данным проектом и непосредственно вовлеченные в проект. Периферийной группе высылается анкета с предложением идентифицировать риски. Как правило, при этом участники следуют предлагаемой форме. Вторая группа непосредственно вовлеченных в проект интервьюируется членами команды риска или приглашается на сессию мозгового штурма. Риски в этом случае компилируются менеджером проекта. Кроме того, членам RM-группы также предлагается заполнить формы или участвовать в мозговом штурме. Далее RM-группа получает откомпилированный список рисков, который предлагается оценить. Все полученные риски должны быть отражены в виде RMC-карт (см. врезку). После чего RM-группа должна проанализировать их и распределить по группам и следующим категориям: технологии, культура, персонал, изменения. После этого менеджер проекта добавляет еще и риски относящиеся к рынку и конкуренции.

Как и любое серьезное начинание, ни один проект в процессе своей реализации не застрахован от рисков. Чем крупнее проект, тем больше и масштаб потенциальных рисков. Но когда речь идет об управлении проектами, по большей части нужно думать не об оценке рисков, т.к. она представляет собой промежуточное действие, а о разработке такого плана реагирования на изменения, который помог бы снизить степень рискованности. И в этом уроке мы поговорим о наиболее важных тонкостях и специфических особенностях управления рисками.

Проектные риски и неопределенность

Термин «риск» в проект-менеджменте означает вероятное событие, мешающее руководителю проекта и его команде достичь целей проекта или отдельных его параметров, обусловленных временными, количественными и стоимостными рамками. Риск связан с конкретными причинами и источниками и всегда имеет свои последствия. Другими словами, риск влияет на результаты проекта.

Риски проекта всегда связаны с неопределенностью. Исходя из этого, необходимо иметь представление о степени неопределенности и ее причинах. Неопределенность следует понимать как состояние объективных условий, в которых проект начинает реализовываться, но которое не позволяет предвидеть результаты принимаемых решений из-за неполноты и неточности информации. Степень неопределенности играет большую роль, т.к. проект-менеджер может управлять лишь теми рисками, по которым известно хотя бы что-то существенное.

Когда информации нет, любые риски называются неизвестными. Они требуют создания специального резерва без реализации управленческих процедур. Если же по угрозам есть даже минимальная информация, уже можно разрабатывать план реагирования, направленный на минимизацию риска. Ниже представлена схема управления рисками с позиции неопределенности:

Другой не менее важный нюанс для понимания специфики риска проекта - это динамичность карты рисков, изменяющаяся по мере решения проектных задач. Обратите внимание на модель динамики вероятности риска и объема потерь:

На начальном этапе проекта вероятность угрозы максимальна, однако возможные потери находятся на низком уровне. К окончанию же проектных работ возрастает величина потерь, но снижается вероятность угроз.

Руководствуясь этой особенностью, можно сделать два вывода: во-первых, в процессе осуществления проекта имеет смысл анализировать риски по нескольку раз (карта рисков всегда будет изменяться), а во-вторых, наиболее оптимально риски минимизируются на стадии разработки проекта или в процессе разработки проектной документации (это многократно снижает затраты, нежели на стадии непосредственной реализации проекта).

Концепция управления рисками

Методология управления рисками, имеющаяся на сегодняшний день, подразумевает активную работу с источниками и последствиями определяемых угроз. Вообще, управление рисками является совокупностью процессов, основой которых служит идентификация и анализ рисков и разработка мер по минимизации уровня негативных последствий как результата наступления рисковых событий.

В (Своде знаний по управлению проектами (от англ. Project Management Body of Knowledge)) выделяются шесть основных процессов управления рисками. Визуальная схема их последовательности такова:

Т.е., к основным процедурам управления проектными рисками относятся:

• Идентификация рисков
• Анализ риска (качественный и количественный)
• Контроль над рисками

Идентификация - это определение рисков, основанное на определении продуцирующих их факторов, а также документальное оформление параметров этих рисков. Качественный и количественный анализ причин возникновения и возможности отрицательных последствий необходимы для формирования оценочной процедуры. Планирование реагирования на найденные риски предполагает создание комплекса мер, направленных на снижение негативного воздействия рисков на параметры и результаты проекта. Но главенствующее место в этой системе занимают именно мониторинг рисков и контроль над ними - они осуществляются на протяжении всего жизненного цикла проекта.

Благодаря умелому управлению рисками можно достичь:

• Объективного восприятия и понимания участниками проекта неопределенностей и рисков, связанных с его реализацией, их источников и возможных отрицательных событий как результата появления рисков
• Поиска и расширения возможностей для эффективного решения проектных задач с учетом найденных неопределенностей
• Разработки путей минимизации проектных рисков
• Доработки проектных планов с учетом выявленных рисков и комплексов мер по их минимизации

Проектные риски могут управляться как менеджером проекта, так и всеми участниками проектной команды в разной степени. В процессе применяются методы экспертных оценок, обсуждения и интервьюирование, а также программно-математический аппарат и т.д.

Перед тем как начинать управление рисками, необходимо сформировать информационный контекст, в который входят внешние и внутренние условия для решения задач. К внешним условиям относятся конкурентные, экологические, технологические, социальные, правовые и экономические, политические и прочие аспекты. А внутренние состоят из ряда характеристик - это:

• Характеристики проекта и его целей
• Характеристики структуры и целей компании-организатора проекта
• Корпоративные регламенты и стандарты
• Информация о ресурсном обеспечении проекта

Начинать же управление проектными рисками, как и следует полагать, нужно с планирования.

Планирование управления рисками

Управление рисками - это первый процесс среди всего комплекса процедур по работе с проектными угрозами. Планирование - это инструмент, позволяющий определить выбранные методы, инструменты и степень организации управления относительно конкретного проекта. Институт по управлению рисками (PMI от англ. Project Management Institute) придает данному процессу огромное значение в плане коммуникации с каждой заинтересованной в проекте стороной. В Руководстве PMBoK предлагается такая схема планирования управления рисками:

План управления рисками является документом, состоящим из нескольких разделов, а именно из:

• Общих положений
• Основных характеристик компании-организатора проекта
• Уставных характеристик проекта
• Целей и задач управления рисками
• Методологического раздела с описанием методов, средств анализа и оценки, источников сведений, рекомендуемых для использования с целью управления проектными рисками (все инструменты и методы необходимо расписывать по стадиям проектной реализации)
• Организационного раздела, включающего в себя распределение ролей и ответственности среди членов проектной команды, а также описание взаимосвязей с другими элементами управления проектом
• Бюджетного раздела, включающего в себя правила формирования и обеспечения выполнения бюджета управления рисками
• Регламентного раздела с указанием сроков, периодичности и продолжительности операций по управлению рисками, форм и состава управляющих документов
• Метрологического раздела, состоящего из принципов оценки, правил пересчета параметров и справочных шкал (они выполняют функцию вспомогательных средств для качественного и количественного анализа)
• Пороговых значений рисков - допустимых значений рисковых параметров на уровне проекта и отдельных угроз (необходимо учитывать важность и новизну проектной реализации)
• Раздела отчетности, рассматривающего вопросы периодичности, формы, порядки заполнения, сдачи и рассмотрения отчетов
• Раздела мониторинга и документационного обеспечения управления проектными рисками
• Раздела шаблонов для управления проектными рисками

После завершения этапа планирования управления рисками следует процесс их идентификации.

Идентификация проектных рисков

В процессе идентификации определяются и демонстрируются проектные риски. Результатом становится перечень рисков, рассортированных по степени их опасности. Как и к планированию рисков, к их идентификации следует привлекать всех членов проектной команды и участников проекта.

Идентификация является повторяющимся процессом, т.к. по ходу развития проекта могут возникать новые риски и становиться известной ранее недоступная информация об уже выявленных. Частота повторений, а также состав участников идентификации могут варьироваться, исходя из ситуации. Риски всегда должны описываться последовательно, чтобы было обеспечено четкое и недвусмысленное понимание каждого из них - это позволит поддерживать эффективный анализ и разработку плана реагирования. Описания должны составляться так, чтобы было можно сравнивать взаимосвязи рисков с проектом и воздействием других рисков.

Идентификацию нужно проводить в соответствии с результатами изучения всех определенных ранее факторов, но нужно понимать, что далеко не каждый фактор может быть выявлен и управляем. По мере разработки и дополнения проектных планов нередко появляются новые источники угроз, а число потенциальных рисков увеличивается по мере продвижения проекта к полной реализации. Результативная идентификация зависит также от того, есть ли в распоряжении детальная классификация рисков. Одной из самых полезных классификаций служит классификация рисков по степени контролируемости, например, такая:

Классификация рисков по степени контролируемости полезна тем, что помогает четко определить, под какие конкретные неконтролируемые факторы необходимо создавать резервы. Однако контролируемость рисков не дает гарантии того, что в управлении ими будет достигнут успех, по причине чего нужно руководствоваться и иными способами деления. Также заметим, что универсальной классификации рисков на сегодняшний день нет, что обусловлено уникальностью каждого проекта и многообразием сопровождающих проекты рисков. Помимо этого достаточно сложно определить грань между схожими рисками.

Что касается типовых признаков классификации, то к ним относятся:

• Источники рисков
• Последствия рисков
• Методы минимизации угроз

На стадии идентификации чаще всего используют первый признак. Ниже предлагается одна из наиболее популярных классификаций проектных рисков по источникам возникновения:

Оставшиеся два признака полезны при анализе факторов риска. Поэтому имеет смысл рассмотреть виды проектных рисков на основе уникальности их факторов:

• Специфические риски с позиции локального проекта (риски, зависящие от инновационной технологии, и т.п.)
• Специфические риски с позиции типа реализации проекта (учитываются факторы для IT-проектов, инновационных проектов, строительных проектов и т.п.)
• Общие риски для всех проектов (низкий уровень бюджетной проработки, рассогласование планов и т.п.)

Правильная идентификация зависит от грамотной формулировки риска, и очень важно не перепутать риск, его источник и последствия. Формулировка риска состоит, как правило, из двух частей: указания источника возникновения риска и указания события, несущего в себе угрозу. После того как риски идентифицированы и сформулированы следует переходить к их анализу и оценке.

Анализ и оценка проектных рисков

Анализировать и оценивать риски необходимо для того чтобы преобразовать найденные на этапе идентификации сведения в данные, которые позволят принимать ответственные решения. Качественный анализ включает в себя комплекс экспертных оценок вероятных неблагоприятных последствий, зависящих от выявленных факторов. А количественный анализ позволяет определить и уточнить количественные показатели вероятности возникновения угроз. Количественный анализ отнимает больше сил, но более достоверен. Чтобы его провести, нужно иметь качественные входные данные и использовать эффективные математические модели. Проводить же его должен высококвалифицированный персонал.

Но нередко и качественных аналитических показателей бывает достаточно, однако для этого по завершении анализа проект-менеджер должен получить:

• Приоритизированный перечень рисков
• Перечень позиций, для которых нужно провести дополнительный анализ
• Общее заключение по рискованности проекта

Эксперты выделяют два вида оценок: оценку вероятности наступления рисковых событий и оценку степени их воздействия на проект. Главным результатом качественного анализа можно назвать перечень ранжированных рисков с произведенными оценками и карту рисков. Вероятности наступления рисковых событий и их воздействия разделяются на группы в определенном диапазоне значений.

После проведения оценок выстраиваются специальные матрицы с ячейками, где указываются результаты произведения значения вероятности на степень воздействия. Итоговые данные делятся на сегменты, играющие роль основания ранжирования рисков. Матрица вероятности и воздействия может выглядеть так:

Исходя из вероятности наступления риска и степени его воздействия на проект, каждому из рисков присваивается свой рейтинг. Матрица отображает выявленные организационные пороги для разных рисков (низких, средних и высоких), позволяющие произвести оценку рисков как низкие, средние и высокие применительно к проекту.

В итоге в матрице появляются сегменты недопустимых, средних и незначительных рисков, называемые пороговыми уровнями. Но кроме установления двух главных параметров (вероятности и воздействия) качественный анализ требует установления и самой возможности управления рисками. Так, риски могут быть:

• Управляемыми
• Частично управляемыми
• Неуправляемыми

Ниже представлен алгоритм принятия решения по выявлению степени управляемости и величины риска:

Если выявляются неуправляемые опасные риски, их нужно обсуждать с заказчиками и инвесторами, т.к. выявление подобных угроз может стать причиной остановки процесса осуществления проекта.

Другим результатом анализа и оценки риска является карта риска, в наглядной форме представляющая рассмотренную выше матрицу. Карты выглядит примерно так:

Большой круг в правом верхнем углу - это недопустимые риски. Вероятности, находящиеся снизу и слева от красной линии в центре - это неопасные риски. На основе этой карты рисков можно планировать способы реагирования на риски.

Планирование реагирования на риски

В практической деятельности обычно выделяют четыре категории последствий рисков:

• Влияющие на бюджет
• Влияющие на сроки
• Влияющие на качество продукта
• Влияющие на функционирование продукта

Планирование способов реагирования является регламентированной процедурой разработки плана снижения рисков. В этом процессе определяются оптимальные меры повышения вероятности успеха проекта, предполагающие реагирование на угрозы в порядке приоритета. При расчете проектного бюджета в него следует включать целевые ресурсы и операции, ответственность за которые распределена между участниками проекта.

Всего существует четыре основных метода реагирования на риски:

• Избегание рисков. Считается самым активным методом, однако применим он не всегда. Актуален в случаях, когда можно полностью исключить источники риска.
• Минимизация рисков. Еще один активный метод, состоящий в уменьшении вероятности и снижении опасности рисков. Риски в этом случае должны полностью поддаваться контролю (чаще всего это внешние риски).
• Передача-страхование рисков. Для использования метода нужно найти третью сторону, которая будет готова принять на себя риски и их негативные последствия.
• Принятие рисков. Предполагает осознанную готовность к рискам и направление всех последующих усилий на устранение последствий.

Такова вкратце методологическая база риск-менеджмента на сегодняшний день. Проект-менеджер в своей работе в обязательном порядке должен учитывать эту информацию, т.к. от нее и ее использование зависит эффективность командной работы и достижение целей проекта. Но намного важнее, конечно же, практические навыки идентификации, анализа и реагирования на риски. Поэтому в качестве дополнения к представленному материалу предлагаем вам познакомиться с десятью золотыми правилами управления рисками от Барта Джутта.

10 золотых правил управления рисками от Барта Джутта

Барт Джутт - управляющий директор нидерландской компании Concilio по разработке специализированного программного обеспечения и признанный авторитет в области риск-менеджмента с 15-летним опытом работы с проектами. В своем пособии по управлению рисками он формулирует 10 правил, позволяющих успешно работать с угрозами при реализации проектов.

Сделайте управление рисками частью проекта

Первое правило очень важно для успешного проектного риск-менеджмента. Если вы не сделаете управление рисками частью проекта, вы не сможете получить всех преимуществ от его использования. Некоторые компании, особенно те, которые сталкиваются с проектами впервые, не уделяют этому вопросу внимания, надеясь на то, что не столкнутся с рисками. От этого вся их проектная система становится неэффективной и подверженной массе опасностей. Но профессионалы всегда делают управление рисками частью своих ежедневных операций по проекту, в том числе и обсуждают соответствующие вопросы на совещаниях и мероприятиях по обучению персонала.

Определяйте риски на начальном этапе проекта

Первый этап в проектном риск-менеджменте основывается на выявлении присутствующих в проекте рисков. Для этого нужно сконцентрироваться на разработке возможных сценариев возникновения рисков. В работе следует использовать опыт и знания всех членов команды и участников проекта, а также сторонних экспертов. Такой подход позволит определить всевозможные угрозы, в том числе даже те, которые изначально не попали в поле зрения.

Для определения рисков рекомендуется проводить интервью и собеседования с членами команды, а также мозговые штурмы. Информация может заноситься в электронные документы и отражаться на бумаге. В качестве вспомогательных инструментов желательно использовать бизнес-планы, стратегии и прочие документы уже осуществленных проектов. Естественно, далеко не всегда можно определить все риски до их появления, но с помощью разных методов идентификации появляется возможность выявить большинство из них.

Сообщайте о рисках

Ошибка многих руководителей проектов состоит в том, что они не сообщают команде и другим участникам об угрозах. Причем это бывает даже в тех случаях, когда риски налицо. Но если у вас есть цель оперативно проработать угрозы, необходимо сразу же брать их во внимание и информировать о них других людей, чтобы своевременно включить в план работы задачи по их устранению.

На совещаниях по проекту информация о рисках всегда должна выноситься на повестку дня - это позволит обсудить проблемы, выделить время для их решения и выявить другие потенциальные угрозы, которые могут возникнуть. Не забывайте и о том, что обо всех рисках в обязательном порядке нужно сообщать спонсору и инициатору проекта.

Рассматривайте риски как возможности

Проектные риски - это в первую очередь угроза, но при помощи современных подходов можно найти положительные для проекта риски и сфокусироваться на них. Некоторые риски могут сослужить хорошую службу проекту, повлияв на его успешность и скорость реализации в позитивном ключе.

Чтобы у вас и у вашей команды была возможность найти обратную сторону рисков, нужно оставлять в запасе некоторое время на их дополнительное рассмотрение, а не бросаться, сломя голову, на их устранение. Даже 30 минут могут в корне изменить ситуацию, если вам удастся найти способ извлечь выгоду из, казалось бы, безвыходной ситуации.

Уточняйте вопросы ответственности

Ряд руководителей считает, что риски предупреждены уже после составления их перечня. Однако список служит лишь отправной точкой. Следующим шагом будет распределение ответственности за риски. За оптимизацию каждого риска для проекта должен отвечать конкретный сотрудник, и последствия такого подхода могут быть крайне благоприятны для исхода всего дела.

Изначально члены вашей команды могут чувствовать себя некомфортно, понимая, что на них возложена серьезная ответственность. Но с течением времени они адаптируются и станут выполнять действия и решать задачи по минимизации угроз должным образом.

Расставляйте приоритеты

Многие руководители предпочитают рассматривать и учитывать все риски в равной степени, считая, что это значительно упрощает реализацию проекта. Но это не лучшая стратегия, т.к. одни риски могут быть опаснее, чем другие, и степень их вероятности может быть выше. По этой причине лучше уделять время на проработку рисков, способных привести к самым крупным потерям.

Проанализируйте ваш проект на наличие недостатков, способных его подорвать. Если таковые имеются, присвойте им наивысший приоритет. Остальные риски следует приоритизировать, исходя из критериев важности, специфических для каждого конкретного проекта. Но обычно критериями служат последствия рисков.

Анализируйте риски

Четкое понимание характера риска - обязательное условие для управления им. По этой причине следует избегать поспешных выводов, а сосредотачиваться на более тщательном исследовании угроз. Анализ рисков осуществляется на нескольких уровнях. Если ваша цель - понять суть риска, подробно изучите его возможные последствия. Их скрупулезный анализ покажет вам особенности риска с позиции затрат, времени и качества результата.

А пристальное внимание к предшествующим возникновению риска событиям поможет составить список причин и обстоятельств его появления, благодаря чему можно будет разработать комплекс мер по их минимизации. Информация, собранная в процессе анализа, представляет собой ценные данные для проекта и служит исходным материалом для поиска мер по оптимизации рисков.

Планируйте риски

Наличие плана действий по работе с рисками повышает ценность всего проекта, т.к. вы имеете возможность предотвращать потенциальные угрозы и снижать воздействие уже существующих. А такой план можно составить только в том случае, если пройдены шаги, описанные выше, такие как разделение ответственности, приоритизация и анализ рисков.

При столкновении с угрозами есть несколько вариантов действий: минимизировать, избежать, принять или передать риски. Продумывайте стратегию реагирования на возможные риски, основываясь на этих вариантах. Понимание того, как действовать в ответ на угрозу, также помогает и в поиске самой угрозы.

Регистрируйте риски

Несмотря на то, что это правило по большей части относится к области бухучета, пренебрегать им не следует. Регистрация рисков позволяет отслеживать прогресс реализации проекта и всегда держать угрозы во внимании. Кроме того, это еще и отличный способ коммуникации, информирующий членов команды и участников проекта о происходящих событиях.

Заведите журнал рисков, в котором описывайте их, разъясняйте связанные с ними вопросы, анализируйте причины и следствия, а также фиксируйте наиболее эффективные способы реагирования. Такими записями вы всегда повысите эффективность своего риск-менеджмента.

Исследуйте риски и связанные с ними задачи

Благодаря регистрации рисков, о которой мы только что говорили, вы сможете отслеживать риски и связанные с ними задачи. Отслеживание является повседневной работой любого проект-менеджера, и его просто нужно внести в план своих дел на каждый день. Вместе с изучением сопутствующих задач гораздо легче выработать комплекс ответных мер.

Основное внимание в отслеживании рисков нужно уделять текущей ситуации в ходе проекта. Подумайте о том, какой риск наиболее вероятен на данный момент и изменились ли приоритеты рисков, чтобы понять, как действовать дальше и с какой стороны следует ожидать удара.

Грамотное управление проектными рисками сопряжено с множеством существенных выгод. Сюда относится и минимизация неопределенности, и нахождение массы возможностей и путей развития проекта, и соблюдение временных, стоимостных и качественных рамок, и, конечно же, получение прибыли.

Но все это станет реальностью только в том случае, если вместе с управлением рисками вы будете профессионально управлять и самими проектами. Для этого разработаны специальные методы, такие как Scrum, Agile, Kanban, PRINCE2 и некоторые другие. И в следующем уроке мы расскажем вам об этих методах и приведем их характеристики.

Проверьте свои знания

Если вы хотите проверить свои знания по теме данного урока, можете пройти небольшой тест, состоящий из нескольких вопросов. В каждом вопросе правильным может быть только 1 вариант. После выбора вами одного из вариантов, система автоматически переходит к следующему вопросу. На получаемые вами баллы влияет правильность ваших ответов и затраченное на прохождение время. Обратите внимание, что вопросы каждый раз разные, а варианты перемешиваются.

Вероятность возникновения риска - вероятность того, что событие риска наступит [ 11 ] . Все риски имеют вероятность больше нуля и меньше 100%. Риск с вероятностью 0 не может произойти и не считается риском. Риск с вероятностью 100% также не является риском, поскольку это достоверное событие, которое должно быть предусмотрено планом проекта.

Последствия риска , если он случится, выражаются через дни расписания, трудозатраты, деньги и определяют степень воздействия на цели проекта .

Планирование управления рисками

К планированию управления рисками следует относиться так же серьезно, как к планированию стоимости и расписания проекта . Качественное планирование повышает вероятность получения положительных результатов остальных процессов управления рисками. Планирование управления рисками - это процесс определения подходов и планирования операций по управлению рисками проекта [ 9 ] . Формирование стратегии компании по управлению рисками, основных правил, позволяющих управлять рисками проекта, является целью процесса планирования рисков.

Исходная информация для планирования рисков

Источниками входной информации для процессов планирования рисков являются:

Факторы внешней среды предприятия . Отношение к риску и толерантность к риску организаций и лиц, участвующих в проекте, оказывает влияние на план управления проектом и может проявляться в конкретных действиях.совещания по планированию и анализу . Команда проекта проводит совещания для разработки плана управления рисками, в которых могут принимать участие менеджер проекта, отдельные члены команды проекта и участники проекта, представители организации, отвечающие за операции по планированию рисков и реагированию на них. На совещаниях составляются базовые планы по проведению операций управления рисками. Также разрабатываются элементы стоимости рисков и плановые операции, которые включаются соответственно в бюджет проекта и расписание. Утверждается распределение ответственности в случае наступления риска. Имеющиеся в организации общие шаблоны, касающиеся категорий рисков и определения терминов (например, уровни рисков, вероятность возникновения рисков по типам, последствия рисков для целей проекта по типам целей, а также матрица вероятности и последствий ), приспосабливаются для каждого конкретного проекта с учетом его специфики. Выходы этих операций сводятся в план управления рисками.

Риски проектов Риск проекта – это неопределенное событие или условие, которое, в случае его наступления, будет иметь положительный или отрицательный эффект, по крайней мере, на один из целевых параметров проекта (время, стоимость, содержание, качество). У риска может быть одна или более причина, и, в случае его наступления, одно или более последствий. 2

Деловой риск - нормальный риск, связанный с предпринимательской деятельности, догорая предполагает разнообразные возможны для получения прибыли и убытков Чистый риск (подлежащий страхованию) - это: риск, предполагающий возможность или вероятность убытков без какой-либо возможности получения прибыли риск, которому необходимо уделить первостепенное внимание риск, который может быть передан другой стороне путем: заключения контракта, выдачи гарантии, страхованию. Основные типы риска 4

Управление рисками проекта - это систематический процесс выявления, анализа и реагирования на риски проекта; он включает процессы, которые связаны с: Проведением планирования управления рисками Идентификацией Анализом Реагированием Мониторингом и контролем на проекте Цели: Повысить вероятность и усилить последствия положительных случаев Понизить вероятность и ослабить последствия случаев, неблагоприятных для проекта Управление рисками проекта 5

Планирование управления рисками - это процесс, который определяет подход, планирование и осуществление операций управления рисками для проекта: Планирование процессов управления рисками важно для того, чтобы: убедиться, что уровень, тип, активность и видимость управления рисками сопоставимы как с самим риском, так и со значимостью проектной организации; обеспечить достаточно ресурсов и времени для операций управления проектами; создать согласованную основу для оценки риска; определить и утвердить методы и заявления заинтересованных сторон в отношении рисков; создать план управления рисками. Планирование управления рисками 7

Идентификация рисков - процесс определения того, какие риски могут повлиять на проект, и документирования их характеристик; для чего необходимо: выявить риск, который влияет на проект; указать внутренние и внешние источники риска; раскрыть причины и последствия риска; привлечь к участию соответствующих специалистов, заинтересованных лиц и внешних экспертов; отнести риски к определенной категории: риски управления проектами, организационные риски, внешние риски Выход процесса идентификации рисков - реестр рисков Идентификация рисков 8

Проведение качественного анализа рисков - это процесс оценки и вероятности наступления выявленных рисков, а также расстановка приоритетов в отношении рисков в соответствии с их потенциальным влиянием на цели проекта; для этого необходимо: оценить вероятность наступления или не наступления каждого выявленного риска; определить последствия каждого рискового случая о какой сумме идет речь «ли что может быть потеряно; оценить приоритетность рисков на основании их вероятности/последствия; выявите риски, которыми можно управлять (которые могут быть снижены). Проведение качественного анализа рисков 11

Оценка риска Факторы оценки включают: Прецедент (Наступал ли этот риск прежде?) Знание операции (Приходилось ли выполнять такую работу ранее?) Ресурсы и навыки Время, стоимость и качество Вероятность (Какова вероятность наступления риска?) Влияние (Каково его влияние на проект или бизнес?) 13

Измерение вероятности Вероятность Значение Низкая Срыв расписания, увеличение стоимости или ухудшение результата в потенциале маловероятно Умеренная Срыв расписания, увеличение стоимости или ухудшение результаты в потенциале возможны Высокая Срыв расписания, увеличение стоимости или ухудшение результаты в потенциале весьма вероятны 15

1. Определите приоритетность рисков, чтобы решить, заслуживают ли рисковые случаи вашего внимания 2. Определяйте приоритетность выявленных рисков только после проведения качественного анализа 3. Идентифицируйте 10 главных рисков Разработайте смягчающие меры для каждого из них 4. Регулярно пересматривайте и проводите оценку 10 главных рисков 5. Вносите рассмотрение 10 главных рисков в повестку дня регулярных совещаний по проекту Определение приоритетов рисков 20

Располагайте проанализированные рисковые случаи в порядке их значимости - от высокой к низкой По возможности используйте количественные инструменты систематизации; в ином случае пользуйтесь качественным анализом Рисковые случаи со сходной серьезностью указывайте отдельно Определяйте приоритетность рисковых случаев всей командой Не планируйте стратегии реагирования в рамках данного процесса Практический подход к определению приоритета рисков 21

Проведение количественного анализа рисков - это процесс числового анализа вероятности наступления каждого риска и их последствий для целей проекта, а также численного анализа общего проектного риска; для этого необходимо: рассчитать серьезность риска (подверженность риску) на основании вероятности риска и его влияния, которые были определены на этапе проведения качественного анализа рисков; определить приоритетность рисков, оцененных в числовом значении; составить список рисков по убыванию их серьезности; выявить риски, которыми можно управлять (которые могут быть снижены). Проведение количественного анализа рисков 22

К основным инструментам и методам для выявления рисков относятся: Сбор данных и методы их представления Опрос - используется для численного анализа вероятности и влияния рисков на цели проекта Распределение вероятностей - используется для представления неопределенности в значениях (непрерывные величины) или неопределенных событий (дискретные величины) Экспертные оценки - привлекайте специалистов, как внутренних, так и внешних, для оценки полученных данных и методов Инструменты и методы количественного анализа 23

Инструменты и методы количественного анализа Проведение количественного анализа рисков и метод моделирования Анализ чувствительности - помогает определить, какие риски имеют максимальное потенциальное влияние на проект Анализ ожидаемой денежной стоимости - статистический подход, который рассчитывает средний результат с учетом будущих сценариев, которым могут произойти или не произойти Анализ дерева решений - структурно обычно представляется в виде разветвляющейся диаграммы решений, которая описывает рассматриваемую ситуацию и последствия, которые могут иметь все возможные выборы Моделирование - переводит неопределенности, приведенные на детализированном уровне проекта, в потенциальное влияние на цели проекта 24

Планирование реагирования на риски - это процесс разработки вариантов и действий для расширения возможностей и сокращения угроз целям проекта; для этого необходимо: выявить риски и их описание, область проекта, на которую они влияют, причины рисков и их возможное влияние на цели проекта; определить, кто владеет теми или иными рисками и несет за них ответственность; использовать результаты процессов проведения качественного и количественного анализа рисков; разработать согласованные стратегии реагирования для каждого риска в плане рисков; осуществить специфические действия для осуществления выбранных стратегий реагирования; оценить уровень ожидаемого остаточного риска после реализации стратегии; определить бюджет или время для реагирования; оценить возможные потери и резервные планы. План реагирования на известные риски 26

1. Создать список рисков с точки зрения их приоритета для этапа анализа рисков. 2. Продуматьклассы рисков, чтобы не затрачивать лишних усилий. 3. Разработать различные альтернативы реагирования: оценить альтернативы и выбрать наиболее подходящую альтернативу длякаждого риска и класса риска; включить отобранные альтернативы в план управления рисками, другие планы проекта и WBS. 4. Сообщить о принятых решениях соответствующим заинтересованным сторонам. Стратегия уменьшения риска (практический подход) 29

Избежать - избежание риска предполагает изменение плана управления проектом с целью устранений угрозы, которая исходит от неблагоприятного риска, изолирования целей проекта от влияния риска или снижения цели, которая находится под угрозой Передать - передача риска требует передачи негативного влияния угрозы и необходимости реагирования третьим лицам Снизить - снижение риска предполагает уменьшение вероятности и/или влияния негативного случая риска до приемлемого порога Стратегии реагирования на негативные риски и угрозы 30

Стратегии реагирования на непредвиденные обстоятельства Планирование возможных потерь при рисках: подготовить план действий на случай наступления риска Средства на возможные потери или Рисковый резерв - Сумма денег или время, сверх запланированных, необходимые для снижения риска превышения целевых параметров проекта до приемлемого для организации уровня (самая типичная стратегия принятия) 33

Мониторинг и управление рисками - процесс отслеживания выявленных рисков, мониторинга остаточных рисков, идентификации новых рисков, выполнения планов реагирования на риски и оценки их эффективности на протяжении всего жизненного цикла проекта, включая: проведение контрольных экспертиз внешними специалистами; идентификация новых рисков, которые могут возникнуть в результате изменений; осуществление плана реагирования на риски в случае их наступления. Мониторинг и управление рисками 34

Убедитесь в том, что управление рисками действительно происходит! Привлекайте команду и заинтересованных лиц к процессу, не Делайте все самостоятельно. Включайте управление рисками в процессы планирования управления проектом. Выберите верные стратегии управления рисками (например, сдерживания или резервная) для каждого рискового случая. Осуществляйте мониторинг и управление рисками в регулярном порядке. Проводите переоценку риска после каждого рискового случая на предмер вероятности, последствий и новых случаев. Уведомляйте заинтересованные стороны о рисках должным образом. Удостоверьтесь в том, что план управления рисками соблюдается Роль менеджера проекта в управлении рисками 35

Управление рисками имеет важное значение для успеха проекта Используйте управление рисками целью достижения максимально положительного результата и минимизации негативных последствий Документируйте стандарты и процедуры управления рисками и регулярно пересматривайте их с командой проекта Ключевые идеи 36

Ключевые идеи раздела Принимайте меры для оценки и контроля каждого элемента риска Формально оценивайте результат каждого действия Риск включает в себя как возможности получения прибыли, так и потенциальную вероятность убытков Управление рисками - повторяющийся процесс, который осуществляется на всем протяжении жизненного цикла проекта 37

Глава 10. Управление рисками в проекте

Задача управления рисками - снизить влияние событий, угрожающих успешному выполнению проекта, то есть чреватых срывом графика, нарушением бюджета, невыполнением поставленных задач, а также низкой удовлетворенностью заказчика. Что касается таких вопросов, как охрана труда (то есть здоровье и безопасность) и защита окружающей среды и пр., - для этого предназначены другие процессы. Управление рисками нацелено на проблемы, не вошедшие в план вашего проекта и находящиеся вне зоны вашего контроля.

Управление рисками является частью процессов планирования проекта. Ведь необходимо разработать и включить в план меры реагирования на риски. Делая то или иное допущение, вы уже рискуете, потому что считаете, будто предположение ваше окажется верным. Если ваши ожидания не оправдаются, вы столкнетесь с реализовавшимся риском.

По РМВОК , к рискам можно относить как негативные (угрозы), так и позитивные незапланированные события. Если вы видите потенциальные возможности, которые по каким-либо причинам не можете реализовать в базовом плане, добавьте их в реестр рисков. Спланировав определенные мероприятия, вы сумеете, может быть, повысить вероятность наступления или позитивные последствия при реализации этих «положительных рисков» и тем самым получить дополнительную выгоду для проекта. Советую вести отдельный реестр «положительных рисков», то есть так называемых благоприятных возможностей. Пожалуйста, не забывайте, что при работе с «положительными рисками» все соответствующие правила применяются в зеркальном виде.

Есть несколько способов реагирования на риски:

1. Принять меры по предотвращению риска (например, снизить потребление горючих материалов во избежание пожара).

2. Определить и отслеживать симптомы для своевременной диагностики наступления риска (например, изучать прогнозы и осуществлять мониторинг фактической погоды).

3. Принять меры по снижению потенциальных последствий наступления риска (например, создать насыпи, защищающие от распространения протечек нефти).

4. Застраховаться от наступления рисков.

5. Разработать мероприятия по борьбе с наступившим риском (например, обратиться в пожарную охрану).

6. Смириться с риском.

В методе критической цепи используется упрощенный подход к управлению рисками, поскольку под рисками понимаются только особые причины вариабельности. Что касается общих причин, ССРМ предлагает специальные эффективные и достаточные меры для борьбы с их действием на расписание, затраты, а также - в какой-то степени - и на содержание проекта. Процесс управления качеством проекта - это тоже по-своему метод управления рисками, защищающий содержание проекта.

Описывая управление рисками, ни РМВОК , ни смежные с ним издания , ни множество авторов других трудов по управлению не делают различий между общими и особыми причинами вариабельности. Как мы упоминали в разделе 2.5, Деминг, отец TQM, называл это фатальной ошибкой .

10.1. Что такое управление рисками в проекте

У рисков есть две характеристики - вероятность наступления события и его влияние на проект. Весомость риска можно оценить, просто перемножив два этих параметра.

Существуют следующие типы рисков:

Риск некорректного определения содержания проекта: чреват неудовлетворенностью клиента. Примеры: не ясны потребности клиента; до конца не понятны границы содержания (то есть какие задачи призван решить проект); исходные установки и допущения, сделанные при планировании, не оправдались.

Бизнес-риски: могут повлиять на ценность проекта для бизнеса в целом. Примеры: финансовые риски, угроза репутации компании.

Риски, связанные с техническими трудностями реализации проектного задания: сопровождают разработку или использование новых редких технологий. Примеры: неожиданный побочный эффект, выявленный при создании нового лекарственного препарата.

Риск непредвиденных расходов: под их влиянием приходится тратить больше трети предусмотренного буфера на непредвиденные расходы.

Риски несоблюдения расписания: под их влиянием на выполнение работ тратится весь буфер на слияние путей или больше трети проектного буфера.

Риски в сфере охраны труда: превышающая стандартно допустимый уровень потенциальная угроза вреда здоровью и безопасности населения или команды проекта.

Риски, связанные с негативным воздействием на окружающую среду: некие природные факторы окружения, которые способны повлиять на соблюдение основных условий успешного выполнения проекта (содержание, время, деньги).

Риски, связанные с законодательной базой в государстве: изменение тех или иных нормативов, задающихся извне, например новые требования к безопасности товара, требование получить новый разрешительный документ либо задержка при обновлении имеющегося разрешительного документа, которые могут повлиять на соблюдение основных условий успешного выполнения проекта.

10.2. Процесс управления рисками

На рис. 10.1 представлена схема процесса управления рисками. Сначала необходимо определить, с какими рисками вы можете столкнуться при выполнении проекта.

Риски можно оценивать как по качеству, так и по количеству. К приемам количественной оценки относятся: анализ характера и последствий отказов, метод Монте-Карло, симуляция проекта, PERT, оценка вероятной безопасности и дерево рисков. Для рисков, которые можно описать численно (например, когда речь идет о затратах или количестве дней в расписании), последствия их наступления можно выразить, умножив «стоимость» риска на вероятность. Например, если вероятность перерасхода бюджета на $100 000 равна 50%, то риск «стоит» $50 000. Такие вычисления могут дать относительное представление о ранге риска, но сама цифра нужна, только если вы собираетесь застраховать риск. Потому что если ничего не произойдет, то вы ничего и не потратите, а если все же произойдет, то потеряете все $100 000, но никак не $50 000.

Я больше предпочитаю качественный анализ и распределение рисков по рангам. Потому что для проведения надежной количественной оценки, как правило, данных не хватает. При этом выведение каких-то цифр тем не менее дает чувство ложной достоверности анализа.

10.2.1. МАТРИЦА РИСКОВ

Табл. 10.1 представляет базовую матрицу, используемую в управлении рисками. В ней приводятся перечень рисков, результат оценки, действия по мониторингу, предотвращению или уменьшению последствий наступления рисков. Наполнение таблицы - это только пример. В ваших проектах могут быть свои особенности и свои риски. Однако настоятельно рекомендую группировать однотипные риски так, чтобы итоговый список был разумных размеров - не более 10-12 пунктов. Более точно количество рисков необходимо прикидывать, исходя из масштабности вашего проекта и условий его реализации. Список рисков по проектам на сумму меньше нескольких миллионов долларов и длительностью до года не должен превышать 10 пунктов. Если вам кажется, что по вашему - относительно небольшому - проекту одних только максимально вероятных и ощутимых рисков намного больше, чем 10, стоит задуматься, а надо ли вообще за такой проект браться.

Во второй колонке табл. 10.1 дано описание рисков. Для начала можно внести в список все ситуации, которые приходят в голову вам и вашим коллегам, а потом сгруппировать их для дальнейшего анализа. Можно расклассифицировать риски по степени их вероятности и по значимости (следующие две колонки). Например, у вас в перечне будет одно связанное с погодными явлениями событие, чреватое большими последствиями, и одно - малыми. Почему их стоит разделить? Потому что для них должны быть предусмотрены разные меры реагирования.

Дэвид Хильсон предложил очень удобный формат записи рисков: «В результате < причина > может наступить < следствие >, что приведет к определенным последствиям». Использование этой формулировки продемонстрировано в табл. 10.1: причины записаны жирным шрифтом, их следствия - курсивом, а финальные последствия - в стандартном виде.

В колонках 3, 4, 5 даны относительные количественные характеристики рисков. Риск интересен нам своей вероятностью и последствиями. Внизу таблицы толкуются принятые обозначения и также указан один из вариантов категоризации рисков по вероятности и по последствиям для проекта. При таком методе оценки вы сможете назначить риску ранг от 1 до 9. Обратите внимание: под вероятностью подразумевается вероятность наступления риска в ходе проекта. Максимальная степень вероятности здесь - 50%. Если вы уверены в неизбежности события больше, чем на 50%, его необходимо учесть при составлении плана проекта. То есть все риски с вероятностью больше 50% должны рассматриваться как исходные допущения уже при создании базового плана работ. Последствия таких рисков будут компенсироваться за счет проектного буфера и, при необходимости, буфера на непредвиденные расходы.

В вашей таблице могут оказаться и другие типы рисков, например связанные с охраной труда и безопасностью или с реакцией общественности. Дополнительная информация по качественному и количественному анализу рисков дана в разделе 10.3.

В шестой колонке перечислены параметры, подлежащие постоянному мониторингу. Необходимо регулярно производить оценку ситуации: может, пора пересмотреть рейтинг рисков или активировать запасной план действий на случай непредвиденных ситуаций. Конечно, следует по мере возможности установить заранее, что именно должно послужить для вас тревожным симптомом.

Колонки 7 и 8 - самые важные. Это перечень действий по предотвращению или снижению последствий наступления рисков. Действия могут влиять как на вероятность, так и на последствия. Например, система по предотвращению распространения утечки нефти сокращает уровень последствий, а не вероятность утечки. А цистерна с двойными стенками - мера по снижению вероятности утечки. Действия по предотвращению риска должны войти в план управления вашим проектом. Также может понадобиться спланировать и действия по снижению, например тренинги или срочную закупку комплектующих у другого поставщика.

10.2.2. ОЦЕНКА РИСКОВ

КАК ЧАСТЬ ПРОЦЕССОВ УПРАВЛЕНИЯ ПРОЕКТОМ

Важна не сама по себе оценка рисков, а то, как вы ею воспользуетесь. Конечно, если просто перечислить риски, вы потом сможете заявить: «А я вам говорил!» Но тогда возникнет вопрос, почему вы сами ничего не предприняли? Смысл в анализе рисков будет лишь тогда, когда вы на основе результатов этого анализа предпримете какие-либо действия. Это может быть:

Предотвращение или снижение вероятности наступления риска (например, разделить проект на фазы или тщательнее проанализировать неясные моменты, чтобы повысить точность оценок и прогнозов);

Передача риска (например, можно отдать часть работ субподрядчикам);

Отслеживание ситуации для выявления роста вероятности наступления риска (например, определить симптомы нежелательного события и контролировать их появление);

Предотвращение последствий риска, если он все-таки наступит;

Страхование рисков;

Снижение последствий риска, если он все-таки наступит.

Можно использовать различные комбинации этих действий - например, в соответствии с табл. 10.2.

10.3. Идентификация рисков

10.3.1. РЕЕСТР РИСКОВ

Существуют разные способы идентификации рисков. Один способ - рассмотреть все допущения и исходные установки, на основании которых вы оценивали длительность или стоимость работ. Потенциально любое из этих допущений может не оправдаться - это риск. Можно воспользоваться проверочными списками. Пример такого списка найдете в приложении А труда Макса Вайдмана . Кто-то прибегает к помощи специальных компьютерных программ . Еще способ, которым обычно я пользуюсь, - просто собраться всей командой проекта и составить перечень рисков

методом мозгового штурма. Можно вспомнить, какие проблемы возникали на подобных проектах ранее. Обычно с созданием списка рисков проблем не возникает. Однако никто не умеет заглядывать в будущее, поэтому реестр рисков никогда не будет полным. Фантазировать можно бесконечно, большого смысла в этом нет. Вам нужен список типов рисков, которые наиболее вероятны именно для вашего проекта.

10.3.1.1. Допущения проекта

Многие из сделанных вами допущений могут превратиться в риски, если в жизни все окажется не так, как вы предполагали. Например, вы исходили из установки, что инспекторская проверка займет, вероятнее всего, 60 дней, или 30 дней, если брать среднюю продолжительность. Если же на деле она длится больше, чем две трети проектного буфера, налицо риск, угрожающий успеху проекта. Исходя из этого опыта, при выполнении другого проекта с вовлечением того же инспектирующего органа вы будете уже готовы к тому, что инспекция может затянуться.

В то же время следует избегать слишком большого количества допущений. При формулировке исходных установок и сопряженных с ними рисков полагайтесь на здравый смысл.

10.3.1.2. Проверочные списки

Проверочные списки помогают установить, не пропустили ли вы чего-то важного. Однако у них есть два недостатка:

1) в разработанных заранее проверочных списках могут содержаться вроде бы весомые и значимые риски, которые на самом деле не существенны для вашего проекта;

2) ориентация на проверочные списки вселяет ложное чувство уверенности в том, что вы все учли и предусмотрели, ограничивает ваше мышление.

И снова - полагайтесь на здравый смысл.

10.3.1.3. Критическое осмысление плана

Необходимо окинуть ваш план критическим взглядом и подумать, а что может пойти не так на ключевых этапах. Это подмога в составлении списка рисков. На стадии идентификации рисков записывайте смело все, что приходит на ум. В дальнейшем вы сгруппируете однотипные риски.

10.3.1.4. Группирование рисков

Если список получается слишком длинным, следует сначала объединить похожие пункты и лишь затем приступать к выработке мер реагирования. Ваша задача - получить управляемое количество вероятных рисков. С увеличением детализации списка точность ваших прогнозов выше не станет. Ведь, по сути, число потенциальных рисков бесконечно. Вам никогда не перечислить их все. Гораздо более важно учесть самые существенные из угроз и установить систему мониторинга и реагирования на наступившие события. Невозможно сконцентрироваться, когда деталей слишком много, как невозможно и спланировать адекватные меры реагирования на все. Необходимо сократить список хотя бы до пары десятков наименований. А когда проект не из самых больших (то есть с бюджетом менее $10 млн и длительностью 1-2 года), список должен состоять не более чем из 10 пунктов. Иначе такой проект лучше, пожалуй, и не начинать.

10.3.2. КЛАССИФИКАЦИЯ РИСКОВ ПО ВЕРОЯТНОСТИ

Чтобы подобрать правильные меры реагирования на риск, необходимо оценить вероятность его наступления во время выполнения проекта. Нет смысла тратить ресурсы на защиту от событий, которые вряд ли произойдут. В то же время необходимо принять меры по предотвращению наступления рисков, вероятность которых высока, и подготовить план реагирования на ситуации хотя и маловероятные, но чреватые серьезными последствиями для проекта.

Питер Бернштайн отмечает: «Суть управления рисками заключается в том, чтобы расширить подконтрольные нам области и сузить зоны, логика событий в которых нам не известна и не поддается нашему влиянию». Далее он говорит, что страховка доступна лишь там, где действует закон больших чисел (смотрите четвертый пункт в перечне ниже). То есть там, где теория вероятностей работает на страховщика. В таком случае из самого определения риска следует, что мы имеем дело с маловероятным событием.

Наши способности в оценке вероятностей не выдерживают никакой критики . Прикидывая вероятность события, люди чаще всего попадают в сети логических предубеждений и ошибок. Как показывают исследования, в то же время мы, к сожалению, придерживаемся неоправданно высокого мнения о собственных знаниях и способностях. Приведу список наиболее распространенных заблуждений и ошибок, чтобы вы могли отдавать себе в них отчет. Как преодолеть их - тема для отдельного разговора.

Неспособность понять правила сочетания вероятностей. Вероятность наступления двух независимых событий вытекает из вероятностей наступления каждого из событий. Поскольку эти величины всегда меньше единицы, то совокупная вероятность наступления двух событий будет неизменно меньше, чем вероятность каждого из них в отдельности.

Игнорирование базовой вероятности. Имеется в виду неумение учитывать распределение выборки. Представим себе, что из коробки с бусами, в которой 90% бусин белые, мы вытащили одну бусину. Вероятность того, что в сумеречном освещении мы правильно угадаем цвет бусины, равняется 50%. Тот, кто тащил бусину, говорит: «Она черная». Какова вероятность того, что она действительно черная? Практически все отвечают - 50%. Правильный ответ - всего 5%.

Имеющийся опыт. Зачастую мы предвзято оцениваем вероятность события, исходя из недавнего опыта или общераспространенного мнения.

Незнание закона больших чисел. На основании незначительного количества случаев люди привычно делают выводы обо всем массиве элементов. Не учитывается, что вариабельность в небольшой выборке намного больше, чем в выборке крупной.

Подмена основания. Люди принимают «наиболее типичное» за «наиболее вероятное». Например, описание человека содержит характеристики, которые вызывают у людей ассоциации со школьным учителем. Людям предлагается выбрать один вариант в ответ на вопрос «Кто бы это мог быть вероятнее всего - школьная учительница? Сотрудница учреждения?». В ответ получаем, что, скорее всего, это учительница. Однако школьные учительницы тоже попадают в разряд «сотрудниц учреждения». Поэтому гораздо более вероятно, что описана «сотрудница учреждения», чем конкретно учительница.

Фиксация. Люди склонны придерживаться однажды высказанной позиции (собственной или чьей-то чужой), особенно когда речь заходит о цифрах. Поэтому так сильно влияние общественного мнения. Если вам нужна независимая оценка, не просите, чтобы человек посмотрел и оценил чужой результат, потому что тогда он сконцентрируется только на этом чужом результате, зафиксируется на нем.

Поиск подтверждений. Высказав свое мнение, люди склонны выискивать примеры, подтверждающие его правильность. К сожалению, подобные примеры не являются доказательством с научной точки зрения. Искать надо не подтверждение, а опровержение своих гипотез. Данный тип ошибки часто наблюдается при проведении тестирования. При этом тесты становятся совершенно бесполезными. Правильно при тестировании - пытаться опровергнуть, а не доказать.

Опираясь на эти пункты, вы можете критически оценить получившийся у вас список рисков и их ранжирование по вероятности и воздействию.

Спросите себя, не допустили ли вы какой-либо из перечисленных ошибок.

10.3.2.1. Высокая вероятность (3)

В реестр рисков не должны попасть события с вероятностью выше 50%.

Конечно, такие риски тоже необходимо учитывать - но в качестве допущений при создании базового плана проекта. Высокая вероятность - это вероятность между 50% и умеренной вероятностью (5-15%).

10.3.2.2. Средняя вероятность (2)

В упрощенном виде средней называется вероятность, которая меньше, чем высокая, но больше, чем низкая. Это события, которые на самом деле могут произойти, хотя об заклад вы за это биться и не стали бы (вернее, стали бы, только если ставки по-настоящему привлекательные).

10.3.2.3. Низкая вероятность

Маловероятные риски - это такие события, которые, скорее всего, за время реализации вашего проекта не случатся. Вероятность их наступления меньше 5%. Сюда, естественно, входят и ситуации, вероятность которых практически нулевая (1% и ниже). Маловероятные риски должны при необходимости учитываться в дизайне результата проекта (например, продукт должен быть устойчив к землетрясениям и неблагоприятным погодным условиям). Однако это не имеет отношения к оценке рисков самого проекта. Исключением может быть страхование от природных стихий (ураганов, наводнений) результатов строительных проектов.

10.3.3. КЛАССИФИКАЦИЯ РИСКОВ ПО ПОСЛЕДСТВИЯМ

Описывая риск, мы умножаем вероятность его наступления на степень его воздействия на проект. Поэтому необходимо оценивать последствия рисков - с точки зрения выполнения расписания, соблюдения бюджета или прогнозируемой рентабельности инвестиций. ССРМ предлагает уникальную классификацию рисков по их влиянию на проектный буфер и буфер на непредвиденные расходы. Размер буфера - это индикатор степени вероятности рисков, вызванных общими причинами вариабельности. Следовательно, он представляет собой разумное основание для измерения такой вариабельности.

10.3.3.1. Высокое воздействие (3)

Высокое воздействие риска на проект подразумевает такие последствия, как превышение проектного буфера или буфера на непредвиденные расходы, а также низкая степень удовлетворенности клиента или команды проекта результатом его выполнения.

10.3.3.2. Среднее воздействие (2)

Среднее воздействие оказывает такой риск, последствия которого вызовут утрату от одной до двух третей проектного буфера или от одной трети до полной величины буферов на слияние путей.

10.3.3.3. Низкое воздействие (1)

Последствия таких рисков приведут к уменьшению буферов не более чем на одну треть и не станут причиной недовольства клиента или команды.

10.4. Планирование управления рисками

10.4.1. МОНИТОРИНГ РИСКОВ

Необходимо спланировать мероприятия по отслеживанию статуса тех рисков, которые вы оставили в реестре рисков вашего проекта. Это означает, что необходимо как минимум регулярно анализировать список на проектных совещаниях (то есть раз в неделю или в месяц). Следует проверять, не наблюдается ли повторного проявления симптомов уже имевших место рисков или не ожидается ли наступление нового риска. Иногда нужно устанавливать более формальный процесс мониторинга ситуации с рисками.

10.4.2. ПРЕВЕНТИВНЫЕ МЕРЫ

Выработанные вами меры по предотвращению наступления рисков включаются в план проекта. Затем в рамках процесса оценки и контроля выполнения проекта следует проверять, выполняются ли эти меры.

10.4.3. МЕРЫ РЕАГИРОВАНИЯ

Меры реагирования (то есть снижения последствий реализации рисков) также должны быть частью плана вашего проекта. Проверку готовности этих мер следует осуществлять в рамках процесса оценки и контроля выполнения проекта (пример - инспекции соблюдения правил противопожарной безопасности, учебные тревоги). В план проекта такие рутинные проверки включать не нужно.

10.5. Итоги

Управление рисками направлено на вариабельность, вызванную особыми причинами, и включает мониторинг, предотвращение, снижение или страхование риска. В данной главе мы осветили следующие основные идеи:

ССРМ упрощает процесс управления рисками, так как устраняет необходимость - в рамках этого процесса - бороться с общими причинами вариабельности. Управление рисками в ССРМ нацелено только на особые причины вариабельности.

Процесс управления рисками необходимо включать в план управления проектом. Размах этого процесса должен быть соизмерим с масштабом и уровнем рискованности проекта.

Необходимо определить перечень рисков, оценить их вероятность и воздействие на проект.

Проектный буфер в плане проекта, созданном методом ССРМ, помогает оценить степень влияния риска на весь проект.

Команда проекта определяет стратегию реагирования на риски, как то предотвращение, снижение, страхование, отслеживание, игнорирование.

ЛИТЕРАТУРА

1. PMI, A Guide to the Project Management Body of Knowledge, Newton Square, PA: PMI, 2000 (в русском переводе: Руководство к своду знаний по управлению проектами/Под. ред. В. Либерзона, Д. Лобанова. - Институт управления проектами, 2004. - редакция 2000 года; Руководство к своду знаний по управлению проектами. - Project Management Institute, 2004. - редакция 2004 года).

2. Wideman, R. Max, Project and Program Risk Management, A Guide to Managing Project Risk and Opportunities, Newtown Square, PA: PMI, 1992.

3. Meredith, Jack R. and Samuel J. Mantel, Project Management, A Managerial Approach, New York: John Wiley and Sons, 1985, с. 68-71.

4. Wysocki, Robert K., Robert Beck Jr., and Daid B.Crane, Effective Project Management, New York: John Wiley & Sons, 1995.

5. Deming, W. Edwards, The New Economics, Cambridge, MA: MIT Press, 1993 (в русском переводе: Деминг У. Эдвардс. Новая экономика. - М.: Эксмо, 2006).

6. Hilson, David. “When Is a Risk Not a Risk: Part 2,” на сайте http://www.risk-doctor . com/pdf-briefings/risk-doctor07e.pdf (материал для книги взят с сайта 22 июня 2004 года).

7. Risk Trak, Risk Services & Technology, Amherst, NH, 03031.

8. Bernstein, Peter L., Against the Gods, The Remarkable Story of Risk, New York: John Wiley and Sons, 1996.

9. Kahneman, Daniel, Paul Slovic, and Amos Tversky, Judgment under Uncertainty: Heuristics and Biases, Cambridge: Cambridge University Press, 1982.

10. Belsky, Gary, and Thomas Gilovich, Why Smart People Make Big Money Mistakes, and How to Correct Them, New York: Simon & Schuster, 1999.

11. Russo, J. Edward, and Paul J.H. Schoemaker, Decision Traps, The Ten Barriers to Brilliant Decision Making, and How to Overcome Them, New York: Simon & Schuster, 1989.

Из книги Логистика: конспект лекций автора Мишина Лариса Александровна

2. Управление рисками В системе страхования, цель которого заключается в обеспечении высокой надежности работы логистической системы, главное место занимает управление.В данном сегменте выделяются группы факторов, определяющих эффективность

Из книги Даешь инжиниринг! Методология организации проектного бизнеса автора Кондратьев Вячеслав Владимирович

8. Управление рисками проекта Контент. Риск – вероятное событие, которое может нанести ущерб.Управление рисками – действия, позволяющие рационально сочетать результаты и риски проекта.Идентификация рисков – действия по выявлению, систематизации и анализу рисков:

Из книги Управление проектами для "чайников" автора Портни Стэнли И.

Определение и управление рисками Риск - это вероятность того, что вы не достигнете результата, сорвете график работ, перерасходуете средства из-за неожиданных и незапланированных затруднений. Поскольку будущее нельзя предвидеть полностью, риск присутствует во всех

Из книги Риск-менеджмент организации автора Ермасова Наталья Б.

Управление рисками проекта Идентификация рисков проекта - это только первый шаг, чтобы взять их под контроль. Затем нужно разработать соответствующие планы по ограничению их