Как и любое серьезное начинание, ни один проект в процессе своей реализации не застрахован от рисков. Чем крупнее проект, тем больше и масштаб потенциальных рисков. Но когда речь идет об управлении проектами, по большей части нужно думать не об оценке рисков, т.к. она представляет собой промежуточное действие, а о разработке такого плана реагирования на изменения, который помог бы снизить степень рискованности. И в этом уроке мы поговорим о наиболее важных тонкостях и специфических особенностях управления рисками.

Проектные риски и неопределенность

Термин «риск» в проект-менеджменте означает вероятное событие, мешающее руководителю проекта и его команде достичь целей проекта или отдельных его параметров, обусловленных временными, количественными и стоимостными рамками. Риск связан с конкретными причинами и источниками и всегда имеет свои последствия. Другими словами, риск влияет на результаты проекта.

Риски проекта всегда связаны с неопределенностью. Исходя из этого, необходимо иметь представление о степени неопределенности и ее причинах. Неопределенность следует понимать как состояние объективных условий, в которых проект начинает реализовываться, но которое не позволяет предвидеть результаты принимаемых решений из-за неполноты и неточности информации. Степень неопределенности играет большую роль, т.к. проект-менеджер может управлять лишь теми рисками, по которым известно хотя бы что-то существенное.

Когда информации нет, любые риски называются неизвестными. Они требуют создания специального резерва без реализации управленческих процедур. Если же по угрозам есть даже минимальная информация, уже можно разрабатывать план реагирования, направленный на минимизацию риска. Ниже представлена схема управления рисками с позиции неопределенности:

Другой не менее важный нюанс для понимания специфики риска проекта - это динамичность карты рисков, изменяющаяся по мере решения проектных задач. Обратите внимание на модель динамики вероятности риска и объема потерь:

На начальном этапе проекта вероятность угрозы максимальна, однако возможные потери находятся на низком уровне. К окончанию же проектных работ возрастает величина потерь, но снижается вероятность угроз.

Руководствуясь этой особенностью, можно сделать два вывода: во-первых, в процессе осуществления проекта имеет смысл анализировать риски по нескольку раз (карта рисков всегда будет изменяться), а во-вторых, наиболее оптимально риски минимизируются на стадии разработки проекта или в процессе разработки проектной документации (это многократно снижает затраты, нежели на стадии непосредственной реализации проекта).

Концепция управления рисками

Методология управления рисками, имеющаяся на сегодняшний день, подразумевает активную работу с источниками и последствиями определяемых угроз. Вообще, управление рисками является совокупностью процессов, основой которых служит идентификация и анализ рисков и разработка мер по минимизации уровня негативных последствий как результата наступления рисковых событий.

В (Своде знаний по управлению проектами (от англ. Project Management Body of Knowledge)) выделяются шесть основных процессов управления рисками. Визуальная схема их последовательности такова:

Т.е., к основным процедурам управления проектными рисками относятся:

• Идентификация рисков
• Анализ риска (качественный и количественный)
• Контроль над рисками

Идентификация - это определение рисков, основанное на определении продуцирующих их факторов, а также документальное оформление параметров этих рисков. Качественный и количественный анализ причин возникновения и возможности отрицательных последствий необходимы для формирования оценочной процедуры. Планирование реагирования на найденные риски предполагает создание комплекса мер, направленных на снижение негативного воздействия рисков на параметры и результаты проекта. Но главенствующее место в этой системе занимают именно мониторинг рисков и контроль над ними - они осуществляются на протяжении всего жизненного цикла проекта.

Благодаря умелому управлению рисками можно достичь:

• Объективного восприятия и понимания участниками проекта неопределенностей и рисков, связанных с его реализацией, их источников и возможных отрицательных событий как результата появления рисков
• Поиска и расширения возможностей для эффективного решения проектных задач с учетом найденных неопределенностей
• Разработки путей минимизации проектных рисков
• Доработки проектных планов с учетом выявленных рисков и комплексов мер по их минимизации

Проектные риски могут управляться как менеджером проекта, так и всеми участниками проектной команды в разной степени. В процессе применяются методы экспертных оценок, обсуждения и интервьюирование, а также программно-математический аппарат и т.д.

Перед тем как начинать управление рисками, необходимо сформировать информационный контекст, в который входят внешние и внутренние условия для решения задач. К внешним условиям относятся конкурентные, экологические, технологические, социальные, правовые и экономические, политические и прочие аспекты. А внутренние состоят из ряда характеристик - это:

• Характеристики проекта и его целей
• Характеристики структуры и целей компании-организатора проекта
• Корпоративные регламенты и стандарты
• Информация о ресурсном обеспечении проекта

Начинать же управление проектными рисками, как и следует полагать, нужно с планирования.

Планирование управления рисками

Управление рисками - это первый процесс среди всего комплекса процедур по работе с проектными угрозами. Планирование - это инструмент, позволяющий определить выбранные методы, инструменты и степень организации управления относительно конкретного проекта. Институт по управлению рисками (PMI от англ. Project Management Institute) придает данному процессу огромное значение в плане коммуникации с каждой заинтересованной в проекте стороной. В Руководстве PMBoK предлагается такая схема планирования управления рисками:

План управления рисками является документом, состоящим из нескольких разделов, а именно из:

• Общих положений
• Основных характеристик компании-организатора проекта
• Уставных характеристик проекта
• Целей и задач управления рисками
• Методологического раздела с описанием методов, средств анализа и оценки, источников сведений, рекомендуемых для использования с целью управления проектными рисками (все инструменты и методы необходимо расписывать по стадиям проектной реализации)
• Организационного раздела, включающего в себя распределение ролей и ответственности среди членов проектной команды, а также описание взаимосвязей с другими элементами управления проектом
• Бюджетного раздела, включающего в себя правила формирования и обеспечения выполнения бюджета управления рисками
• Регламентного раздела с указанием сроков, периодичности и продолжительности операций по управлению рисками, форм и состава управляющих документов
• Метрологического раздела, состоящего из принципов оценки, правил пересчета параметров и справочных шкал (они выполняют функцию вспомогательных средств для качественного и количественного анализа)
• Пороговых значений рисков - допустимых значений рисковых параметров на уровне проекта и отдельных угроз (необходимо учитывать важность и новизну проектной реализации)
• Раздела отчетности, рассматривающего вопросы периодичности, формы, порядки заполнения, сдачи и рассмотрения отчетов
• Раздела мониторинга и документационного обеспечения управления проектными рисками
• Раздела шаблонов для управления проектными рисками

После завершения этапа планирования управления рисками следует процесс их идентификации.

Идентификация проектных рисков

В процессе идентификации определяются и демонстрируются проектные риски. Результатом становится перечень рисков, рассортированных по степени их опасности. Как и к планированию рисков, к их идентификации следует привлекать всех членов проектной команды и участников проекта.

Идентификация является повторяющимся процессом, т.к. по ходу развития проекта могут возникать новые риски и становиться известной ранее недоступная информация об уже выявленных. Частота повторений, а также состав участников идентификации могут варьироваться, исходя из ситуации. Риски всегда должны описываться последовательно, чтобы было обеспечено четкое и недвусмысленное понимание каждого из них - это позволит поддерживать эффективный анализ и разработку плана реагирования. Описания должны составляться так, чтобы было можно сравнивать взаимосвязи рисков с проектом и воздействием других рисков.

Идентификацию нужно проводить в соответствии с результатами изучения всех определенных ранее факторов, но нужно понимать, что далеко не каждый фактор может быть выявлен и управляем. По мере разработки и дополнения проектных планов нередко появляются новые источники угроз, а число потенциальных рисков увеличивается по мере продвижения проекта к полной реализации. Результативная идентификация зависит также от того, есть ли в распоряжении детальная классификация рисков. Одной из самых полезных классификаций служит классификация рисков по степени контролируемости, например, такая:

Классификация рисков по степени контролируемости полезна тем, что помогает четко определить, под какие конкретные неконтролируемые факторы необходимо создавать резервы. Однако контролируемость рисков не дает гарантии того, что в управлении ими будет достигнут успех, по причине чего нужно руководствоваться и иными способами деления. Также заметим, что универсальной классификации рисков на сегодняшний день нет, что обусловлено уникальностью каждого проекта и многообразием сопровождающих проекты рисков. Помимо этого достаточно сложно определить грань между схожими рисками.

Что касается типовых признаков классификации, то к ним относятся:

• Источники рисков
• Последствия рисков
• Методы минимизации угроз

На стадии идентификации чаще всего используют первый признак. Ниже предлагается одна из наиболее популярных классификаций проектных рисков по источникам возникновения:

Оставшиеся два признака полезны при анализе факторов риска. Поэтому имеет смысл рассмотреть виды проектных рисков на основе уникальности их факторов:

• Специфические риски с позиции локального проекта (риски, зависящие от инновационной технологии, и т.п.)
• Специфические риски с позиции типа реализации проекта (учитываются факторы для IT-проектов, инновационных проектов, строительных проектов и т.п.)
• Общие риски для всех проектов (низкий уровень бюджетной проработки, рассогласование планов и т.п.)

Правильная идентификация зависит от грамотной формулировки риска, и очень важно не перепутать риск, его источник и последствия. Формулировка риска состоит, как правило, из двух частей: указания источника возникновения риска и указания события, несущего в себе угрозу. После того как риски идентифицированы и сформулированы следует переходить к их анализу и оценке.

Анализ и оценка проектных рисков

Анализировать и оценивать риски необходимо для того чтобы преобразовать найденные на этапе идентификации сведения в данные, которые позволят принимать ответственные решения. Качественный анализ включает в себя комплекс экспертных оценок вероятных неблагоприятных последствий, зависящих от выявленных факторов. А количественный анализ позволяет определить и уточнить количественные показатели вероятности возникновения угроз. Количественный анализ отнимает больше сил, но более достоверен. Чтобы его провести, нужно иметь качественные входные данные и использовать эффективные математические модели. Проводить же его должен высококвалифицированный персонал.

Но нередко и качественных аналитических показателей бывает достаточно, однако для этого по завершении анализа проект-менеджер должен получить:

• Приоритизированный перечень рисков
• Перечень позиций, для которых нужно провести дополнительный анализ
• Общее заключение по рискованности проекта

Эксперты выделяют два вида оценок: оценку вероятности наступления рисковых событий и оценку степени их воздействия на проект. Главным результатом качественного анализа можно назвать перечень ранжированных рисков с произведенными оценками и карту рисков. Вероятности наступления рисковых событий и их воздействия разделяются на группы в определенном диапазоне значений.

После проведения оценок выстраиваются специальные матрицы с ячейками, где указываются результаты произведения значения вероятности на степень воздействия. Итоговые данные делятся на сегменты, играющие роль основания ранжирования рисков. Матрица вероятности и воздействия может выглядеть так:

Исходя из вероятности наступления риска и степени его воздействия на проект, каждому из рисков присваивается свой рейтинг. Матрица отображает выявленные организационные пороги для разных рисков (низких, средних и высоких), позволяющие произвести оценку рисков как низкие, средние и высокие применительно к проекту.

В итоге в матрице появляются сегменты недопустимых, средних и незначительных рисков, называемые пороговыми уровнями. Но кроме установления двух главных параметров (вероятности и воздействия) качественный анализ требует установления и самой возможности управления рисками. Так, риски могут быть:

• Управляемыми
• Частично управляемыми
• Неуправляемыми

Ниже представлен алгоритм принятия решения по выявлению степени управляемости и величины риска:

Если выявляются неуправляемые опасные риски, их нужно обсуждать с заказчиками и инвесторами, т.к. выявление подобных угроз может стать причиной остановки процесса осуществления проекта.

Другим результатом анализа и оценки риска является карта риска, в наглядной форме представляющая рассмотренную выше матрицу. Карты выглядит примерно так:

Большой круг в правом верхнем углу - это недопустимые риски. Вероятности, находящиеся снизу и слева от красной линии в центре - это неопасные риски. На основе этой карты рисков можно планировать способы реагирования на риски.

Планирование реагирования на риски

В практической деятельности обычно выделяют четыре категории последствий рисков:

• Влияющие на бюджет
• Влияющие на сроки
• Влияющие на качество продукта
• Влияющие на функционирование продукта

Планирование способов реагирования является регламентированной процедурой разработки плана снижения рисков. В этом процессе определяются оптимальные меры повышения вероятности успеха проекта, предполагающие реагирование на угрозы в порядке приоритета. При расчете проектного бюджета в него следует включать целевые ресурсы и операции, ответственность за которые распределена между участниками проекта.

Всего существует четыре основных метода реагирования на риски:

• Избегание рисков. Считается самым активным методом, однако применим он не всегда. Актуален в случаях, когда можно полностью исключить источники риска.
• Минимизация рисков. Еще один активный метод, состоящий в уменьшении вероятности и снижении опасности рисков. Риски в этом случае должны полностью поддаваться контролю (чаще всего это внешние риски).
• Передача-страхование рисков. Для использования метода нужно найти третью сторону, которая будет готова принять на себя риски и их негативные последствия.
• Принятие рисков. Предполагает осознанную готовность к рискам и направление всех последующих усилий на устранение последствий.

Такова вкратце методологическая база риск-менеджмента на сегодняшний день. Проект-менеджер в своей работе в обязательном порядке должен учитывать эту информацию, т.к. от нее и ее использование зависит эффективность командной работы и достижение целей проекта. Но намного важнее, конечно же, практические навыки идентификации, анализа и реагирования на риски. Поэтому в качестве дополнения к представленному материалу предлагаем вам познакомиться с десятью золотыми правилами управления рисками от Барта Джутта.

10 золотых правил управления рисками от Барта Джутта

Барт Джутт - управляющий директор нидерландской компании Concilio по разработке специализированного программного обеспечения и признанный авторитет в области риск-менеджмента с 15-летним опытом работы с проектами. В своем пособии по управлению рисками он формулирует 10 правил, позволяющих успешно работать с угрозами при реализации проектов.

Сделайте управление рисками частью проекта

Первое правило очень важно для успешного проектного риск-менеджмента. Если вы не сделаете управление рисками частью проекта, вы не сможете получить всех преимуществ от его использования. Некоторые компании, особенно те, которые сталкиваются с проектами впервые, не уделяют этому вопросу внимания, надеясь на то, что не столкнутся с рисками. От этого вся их проектная система становится неэффективной и подверженной массе опасностей. Но профессионалы всегда делают управление рисками частью своих ежедневных операций по проекту, в том числе и обсуждают соответствующие вопросы на совещаниях и мероприятиях по обучению персонала.

Определяйте риски на начальном этапе проекта

Первый этап в проектном риск-менеджменте основывается на выявлении присутствующих в проекте рисков. Для этого нужно сконцентрироваться на разработке возможных сценариев возникновения рисков. В работе следует использовать опыт и знания всех членов команды и участников проекта, а также сторонних экспертов. Такой подход позволит определить всевозможные угрозы, в том числе даже те, которые изначально не попали в поле зрения.

Для определения рисков рекомендуется проводить интервью и собеседования с членами команды, а также мозговые штурмы. Информация может заноситься в электронные документы и отражаться на бумаге. В качестве вспомогательных инструментов желательно использовать бизнес-планы, стратегии и прочие документы уже осуществленных проектов. Естественно, далеко не всегда можно определить все риски до их появления, но с помощью разных методов идентификации появляется возможность выявить большинство из них.

Сообщайте о рисках

Ошибка многих руководителей проектов состоит в том, что они не сообщают команде и другим участникам об угрозах. Причем это бывает даже в тех случаях, когда риски налицо. Но если у вас есть цель оперативно проработать угрозы, необходимо сразу же брать их во внимание и информировать о них других людей, чтобы своевременно включить в план работы задачи по их устранению.

На совещаниях по проекту информация о рисках всегда должна выноситься на повестку дня - это позволит обсудить проблемы, выделить время для их решения и выявить другие потенциальные угрозы, которые могут возникнуть. Не забывайте и о том, что обо всех рисках в обязательном порядке нужно сообщать спонсору и инициатору проекта.

Рассматривайте риски как возможности

Проектные риски - это в первую очередь угроза, но при помощи современных подходов можно найти положительные для проекта риски и сфокусироваться на них. Некоторые риски могут сослужить хорошую службу проекту, повлияв на его успешность и скорость реализации в позитивном ключе.

Чтобы у вас и у вашей команды была возможность найти обратную сторону рисков, нужно оставлять в запасе некоторое время на их дополнительное рассмотрение, а не бросаться, сломя голову, на их устранение. Даже 30 минут могут в корне изменить ситуацию, если вам удастся найти способ извлечь выгоду из, казалось бы, безвыходной ситуации.

Уточняйте вопросы ответственности

Ряд руководителей считает, что риски предупреждены уже после составления их перечня. Однако список служит лишь отправной точкой. Следующим шагом будет распределение ответственности за риски. За оптимизацию каждого риска для проекта должен отвечать конкретный сотрудник, и последствия такого подхода могут быть крайне благоприятны для исхода всего дела.

Изначально члены вашей команды могут чувствовать себя некомфортно, понимая, что на них возложена серьезная ответственность. Но с течением времени они адаптируются и станут выполнять действия и решать задачи по минимизации угроз должным образом.

Расставляйте приоритеты

Многие руководители предпочитают рассматривать и учитывать все риски в равной степени, считая, что это значительно упрощает реализацию проекта. Но это не лучшая стратегия, т.к. одни риски могут быть опаснее, чем другие, и степень их вероятности может быть выше. По этой причине лучше уделять время на проработку рисков, способных привести к самым крупным потерям.

Проанализируйте ваш проект на наличие недостатков, способных его подорвать. Если таковые имеются, присвойте им наивысший приоритет. Остальные риски следует приоритизировать, исходя из критериев важности, специфических для каждого конкретного проекта. Но обычно критериями служат последствия рисков.

Анализируйте риски

Четкое понимание характера риска - обязательное условие для управления им. По этой причине следует избегать поспешных выводов, а сосредотачиваться на более тщательном исследовании угроз. Анализ рисков осуществляется на нескольких уровнях. Если ваша цель - понять суть риска, подробно изучите его возможные последствия. Их скрупулезный анализ покажет вам особенности риска с позиции затрат, времени и качества результата.

А пристальное внимание к предшествующим возникновению риска событиям поможет составить список причин и обстоятельств его появления, благодаря чему можно будет разработать комплекс мер по их минимизации. Информация, собранная в процессе анализа, представляет собой ценные данные для проекта и служит исходным материалом для поиска мер по оптимизации рисков.

Планируйте риски

Наличие плана действий по работе с рисками повышает ценность всего проекта, т.к. вы имеете возможность предотвращать потенциальные угрозы и снижать воздействие уже существующих. А такой план можно составить только в том случае, если пройдены шаги, описанные выше, такие как разделение ответственности, приоритизация и анализ рисков.

При столкновении с угрозами есть несколько вариантов действий: минимизировать, избежать, принять или передать риски. Продумывайте стратегию реагирования на возможные риски, основываясь на этих вариантах. Понимание того, как действовать в ответ на угрозу, также помогает и в поиске самой угрозы.

Регистрируйте риски

Несмотря на то, что это правило по большей части относится к области бухучета, пренебрегать им не следует. Регистрация рисков позволяет отслеживать прогресс реализации проекта и всегда держать угрозы во внимании. Кроме того, это еще и отличный способ коммуникации, информирующий членов команды и участников проекта о происходящих событиях.

Заведите журнал рисков, в котором описывайте их, разъясняйте связанные с ними вопросы, анализируйте причины и следствия, а также фиксируйте наиболее эффективные способы реагирования. Такими записями вы всегда повысите эффективность своего риск-менеджмента.

Исследуйте риски и связанные с ними задачи

Благодаря регистрации рисков, о которой мы только что говорили, вы сможете отслеживать риски и связанные с ними задачи. Отслеживание является повседневной работой любого проект-менеджера, и его просто нужно внести в план своих дел на каждый день. Вместе с изучением сопутствующих задач гораздо легче выработать комплекс ответных мер.

Основное внимание в отслеживании рисков нужно уделять текущей ситуации в ходе проекта. Подумайте о том, какой риск наиболее вероятен на данный момент и изменились ли приоритеты рисков, чтобы понять, как действовать дальше и с какой стороны следует ожидать удара.

Грамотное управление проектными рисками сопряжено с множеством существенных выгод. Сюда относится и минимизация неопределенности, и нахождение массы возможностей и путей развития проекта, и соблюдение временных, стоимостных и качественных рамок, и, конечно же, получение прибыли.

Но все это станет реальностью только в том случае, если вместе с управлением рисками вы будете профессионально управлять и самими проектами. Для этого разработаны специальные методы, такие как Scrum, Agile, Kanban, PRINCE2 и некоторые другие. И в следующем уроке мы расскажем вам об этих методах и приведем их характеристики.

Проверьте свои знания

Если вы хотите проверить свои знания по теме данного урока, можете пройти небольшой тест, состоящий из нескольких вопросов. В каждом вопросе правильным может быть только 1 вариант. После выбора вами одного из вариантов, система автоматически переходит к следующему вопросу. На получаемые вами баллы влияет правильность ваших ответов и затраченное на прохождение время. Обратите внимание, что вопросы каждый раз разные, а варианты перемешиваются.

Факторы риска оказывают негативное или позитивное влияние, как минимум, на одну из составляющих целей проекта (сроки, стоимость, качество). Следовательно, управление рисками должно быть нацелено на минимизацию негативных последствий неблагоприятных событий и максимизацию выгод в случае наступления благоприятных событий.

В процессе разработки системы интегрированного управления рисками проекта необходимо решить следующие задачи:

• – разработка и применение единообразных и последовательных подходов к выявлению, оценке и элиминированию рисков проекта;
• – выявление рисков, которые в наибольшей степени влияют на результаты реализации проекта, и разработка эффективной системы мероприятий по их элиминированию;
• – формирование возможности для акционеров (владельцев) задавать и отслеживать качество управления рисками проекта на основе четких и понятных критериев;
• – организация целенаправленной деятельности по управлению рисками с целью снижения их до приемлемого уровня, либо передача третьей стороне;
• – оперативное реагирование на возникающие рисковые события, отслеживание изменений внешней и внутренней бизнес-среды;
• – обеспечение комплексной работы по управлению рисками на регулярной основе, четко разграничив ответственность за наступление рисковых событий между различными направлениями деятельности и уровнями управления;
• – обеспечение функционирования внутреннего контроля и аудита, а также раскрытие информации по рискам;
• – снижение возможных рисковых убытков (потерь) и оптимизация затрат на все мероприятия, направленные на элиминирование рисков;
• – внедрение информационной системы интегрированного управления рисками инновационного проекта.

Стадии (этапы) основного процесса управления рисками проекта могут быть классифицированы по-разному. С учетом существующей практики процесс управления рисками проекта, как правило, включает в себя следующие стадии:

• – разработка целей и стратегий по управлению рисками;
• – идентификация рисков;
• – оценка и анализ рисков;
• – элиминирование рисков;
• – мониторинг рисков.
• 1. Разработка целей и стратегий по управлению рисками проекта осуществляется для определения модели будущего результата реализации проекта, а также конкретной совокупности ресурсов и способов (методов) их использования для получения требуемых ключевых экономических показателей реализации проекта.

Цель предполагает выбор конкретной модели будущего результата предпринимательской деятельности и совокупности ресурсов и методов их использования при наличии рассматриваемых факторов риска. Причем признаки, свойства и мера этого результата должны быть точно определены.

Разработка стратегий по управлению рисками опирается на план риск-менеджмента.

План риск-менеджмента должен охватывать следующие основные аспекты:

• – методологию – подходы, инструменты и источники информации, которые могут быть использованы для осуществления управления рисками;
• – распределение полномочий и ответственности – решение вопроса о том, какая структура и кто в ней осуществляет управление рисками для каждого типа действий и несет ответственность за результаты управления;
• – график проведения мероприятий – определяет, как часто будут осуществляться процедуры риск-менеджмента на предприятии. Результаты должны быть получены достаточно рано для принятия правильных решений. Решения должны периодически пересматриваться в процессе текущей деятельности;
• – методы расчетов и их интерпретация для проведения качественного и количественного анализа;
• – границы допустимости риска – пороговые критерии для каждого заинтересованного лица;
• – формы отчетов – описание того, как результаты процесса риск-менеджмента будут отражены в документации, как они будут анализироваться и передаваться для менеджеров, внутренних и внешних акционеров, контрагентов, инвесторов и т.д.

Для разработки плана риск-менеджмента могут использоваться стандартные технологии планирования. При этом для отдельных проектов следует использовать планирование "снизу вверх", так как каждый проект имеет свои особенности, а соответственно и подходы к управлению риском при их реализации могут различаться. Поэтому общий план риск-менеджмента необходимо корректировать с учетом особенностей конкретных проектов.

В результате разработки плана риск-менеджмента должны быть получены:

• – руководящие документы (стандарты предприятия) по организации риск-менеджмента. К таким документам может относиться, например, положение по управлению риском, содержащее ключевые моменты стратегии риск-менеджмента. Положение отражает философию компании по отношению к управлению риском. В нем должно быть очерчено разграничение полномочий между различными структурными единицами, указано, кто отвечает за определенные аспекты риск-менеджмента и т.п.;
• – план риск-менеджмента, отражающий методологию, распределение полномочий и ответственности, график проведения мероприятий, методы расчетов и их интерпретацию, границы допустимости риска, формы отчетов по каждому процессу и т.п. План риск-менеджмента не содержит мероприятий по противодействию конкретным рискам – он дополняется планом противорисковых мероприятий, разрабатываемым отдельно.
• 2. Идентификация (диагностика) рисков представляет процесс выявления подверженности организации неопределенности, что предполагает получение полной информации об организации, рынке, законодательстве, социальном, культурном и политическом окружении. Для идентификации риска необходим методологический подход с тем, чтобы выявить максимальное число рисков, которым подвержена организация во всех сферах деятельности.

Поскольку идентификация является обязательным и необходимым элементом процедуры управления рисками, ее определение дается практически во всех стандартах, регламентирующих процессы риск-менеджмента. К наиболее часто применяемым стандартам относится международный стандарт, разработанный Федерацией европейских ассоциаций риск-менеджеров (FERMA). В соответствии с ним, идентификация риска представляет собой процесс выявления подверженности организации неопределенности.

К основным ресурсам идентификации риска относятся:

• – план риск-менеджмента, разработанный на предыдущем этапе деятельности;
• – внутренние документы, регулирующие деятельность предприятия в различных областях – положение об организационной структуре, положение о финансовой структуре, документы, регламентирующие ресурсное обеспечение, закупки, систему сбыта, организацию бухгалтерского и управленческого учета и т.п. Это связано с тем, что идентификация рисков требует понимания миссии предприятия, особенностей его деятельности, интересов менеджеров и владельцев, что невозможно без получения данных по другим функциональным областям;
• – концепции и планы по отдельным проектам предприятия ;
• – принципы классификации риска. Они могут быть отражены в положении по управлению рисками, разрабатываемом на первом этапе, либо в плане риск-менеджмента. Если этого там нет, то такие принципы необходимо разработать;
• – информация из внешних источников, связанная с деятельностью подобных предприятий. Источниками такой информации могут быть знания и опыт менеджеров, коммерческие базы данных, публикации в научных журналах и т.д.

Идентификация рисков осуществляется различными методами , среди которых наиболее распространены следующие.

• Мозговой штурм является, пожалуй, наиболее часто используемой технологией идентификации риска. Его цель – получить обширный список рисков, который может быть использован впоследствии для проведения качественного и количественного анализа риска. Как известно, мозговой штурм базируется на следующих правилах:
• – критика высказываемых идей нежелательна;
• – количество высказанных идей превалирует над их качеством;
• – развитие идей других участников, безусловно, желательно;
• – не существует авторского права и иерархических различий.

В мозговом штурме может участвовать значительное количество участников, так как именно это обеспечивает необходимую широту списка рисков.

• Метод Дельфи используется для достижения согласованного мнения экспертов по перечню и характеристикам рисков. Участники идентифицируют риски анонимно и не встречаются друг с другом. Полученные результаты передаются экспертам для дальнейшей работы. Метод Дельфи помогает снизить необъективность и удерживает любого участника от чрезмерного влияния на результаты процесса.
• Анкетирование. Можно идентифицировать риски путем анкетирования экспертов с помощью специально разработанных опросных листов. Менеджер, отвечающий за идентификацию риска, подбирает подходящих экспертов и снабжает их необходимой информацией, например структурой декомпозиции работ и списком допущений. Эксперты выделяют риски, исходя из собственного опыта, информации о проекте и других источников информации, которые они сочтут полезными.
• SWOT-анализ. Позволяет рассмотреть предприятие с точки зрения каждой из SWOT-сторон (сильные и слабые стороны предприятия, благоприятные возможности и угрозы со стороны внешней среды) и расширить перечень принимаемых во внимание рисков.
• Структурные диаграммы позволяют анализировать особенности структуры предприятия и вытекающие из них риски. Данные, полученные таким путем, полезны прежде всего для оценки внутренних рисков, связанных с качеством менеджмента, организации сбыта и т.д., а также коммерческих рисков. Структурные диаграммы позволяют определить несколько форм возможного внутреннего риска: дублирование, зависимость и концентрацию. Конкретный вид структурных диаграмм зависит от сложившегося типа управления и принципов разделения функций для различных предприятий.
• Потоковые диаграммы изображают отдельные технологические процессы и их взаимосвязь. Их можно разделить на три большие группы, описывающие:
• – отдельный технологический процесс внутри предприятия;
• – совокупность производственных процессов и элементов управления;
• – технологическую цепочку, в которой предприятие составляет одну из частей.

Анализ потоковой диаграммы позволяет выявить "узкие места" производственного процесса.

В результате идентификации можно осуществить описание риска, которое представляет собой подробное описание выявленных рисков в определенном формате, что позволяет провести дальнейший, качественный анализ риска.

Описание риска может быть представлено в виде таблицы (табл. 6.3).

Таблица 6.3

Формат описания риска

Наименование риска	Название
Сфера риска	Описание событий, тин, количество и сферы воздействия
Тип риска	Тип риска в соответствии с бизнес-процессами
Заинтересованные лица	Заинтересованные лица и их ожидания
Количественное выражение риска	Важность, вероятность, последствия
Приемлемость риска	Возможные убытки и их финансовое значение. Цена риска. Вероятность и размер возможных убытков (прибыли). Цели контроля риска и желаемый уровень исполнения поставленных задач
Управление риском и механизмы контроля	Действующие методы и практика управления риском. Уровень надежности существующей программы контроля рисков. Существующие отчеты (протоколы учета и анализа контроля риска)
Возможности для улучшения
Стратегические изменения	Определение степени ответственности за разработку и внедрение стратегии управления риском

Описание риска служит основой для формирования "карты риска" организации, которая обобщает данные об описании риска, действующие механизмы контроля, планируемые мероприятия по снижению уровня риска, ответственных за мероприятия. Формирование "карты риска" позволяет четко сформулировать приоритетные направления в части управления рисками, определить наиболее эффективные методы контроля. В этих документах находят отражение не только категории рисков отдельных подразделений компании, описание их причин, вероятность возникновения, но и контрольные процедуры в отношении конкретных рисков, план действий по их минимизации, а также ответственность сотрудников различных структурных подразделений за управление рисками.

3. В процессе оценки и анализа рисков проекта в зависимости от уровня неопределенности используются качественные, количественные оценки или стресс-анализ.

Различные организации применяют разные методы измерения последствий и вероятностей событий. Для многих организаций достаточно использовать трехмерный метод оценки последствий – высокий уровень, средний, низкий.

Шкала вероятности риска обычно принимает значения от 0 (вероятность отсутствует) до 1 (полная определенность). Шкала тяжести риска отражает степень его влияния на цели проекта. Она может быть порядковой или количественной (числовой). Пример шкалы тяжести риска приведен в табл. 6.4.

Таблица 6.4

Пример описания влияния риска на цели проекта

Влияние на цели (ранговый коэффициент)
Цели проекта	Очень незначительное (0,05)	Небольшое (0,1)	Умеренное (0,2)	Существенное (0,4)	Очень значительное (0,8)
	Незначительный рост затрат	Рост затрат до 5%	Рост затрат в пределах	Рост затрат в пределах 10-20%	Рост затрат свыше 20%
График выхода на рынок с новым продуктом	Незначительное отставание от графика	Отставание от графика в пределах 5%	Задержка на 5-10%	Задержка на 10-20%	Задержка более чем на 20%
Объем продаж	Уменьшение объема продаж едва заметно	Сокращение за счет менее конкурентоспособной продукции	Сокращение за счет основной продукции	Сокращение объема продаж ставит под угрозу благосостояние
Качество	Снижение качества едва заметно	Снижение происходит только на незначительных участках	Снижение качества требует одобрения покупателей	Снижение качества становится неприемлемым для покупателей	Продолжение деятельности становится бессмысленно

Используя эти либо другие оценочные шкалы, можно определить ранг риска по отношению к целям проекта.

В проекте (или в организации, выполняющей проект) задается ранжированная матрица вероятностей и последствий риска. Эта матрица показывает уровень приемлемости риска для конкретной организации или проекта. Пример такой матрицы показан в табл. 6.5.

Таблица 6.5

Пример ранжированной матрицы вероятности и тяжести (последствий) риска

Оценки вероятности и тяжести для специфического риска
Вероятность (Р)	Значение риска = Р I
	Влияние на цели (стоимость, время, масштаб) (I )

Качественный анализ рисков требует точных и объективных данных, которые могут оказаться полезными для управления. Проверка качества, полноты и надежности данных позволяет оцепить степень, в которой результаты качественного анализа окажутся полезными для риск-менеджмента.

Основные результаты качественного анализа риска проявляются в следующем:

• – перечень проранжированных рисков, который может быть впоследствии использован для распределения ресурсов между различными участками деятельности предприятия или различными проектами;
• – список приоритетных рисков, требующих дальнейшего анализа и управления.

Количественный анализ рисков нацелен на получение численной оценки вероятности каждого риска и его влияния на цели предприятия. Количественный анализ риска обычно проводится после качественного. Можно использовать следующие ресурсы для проведения количественного анализа риска:

• – план риск-менеджмента;
• – перечень выявленных рисков;
• – перечень приоритетных рисков;
• – информацию из внешних источников;
• – внутренние документы предприятия.

Результаты количественного анализа риска:

• – ранжированный перечень количественно измеренных рисков. Включает те риски, которые представляют собой наибольшие угрозы или дают наиболее благоприятные возможности, а также количественные оценки их влияния;
• – прогнозы затрат, прибылей, графиков реализации проектов предприятия с учетом их вероятности;
• – оценки вероятности достижения целей при текущем уровне знания рисков.

Важным результатом количественного анализа должно стать примерное определение бюджета противорисковых мероприятий, т.е. того, сколько может потратить предприятие на снижение рисков, исходя из их общей вероятности и тяжести финансовых потерь, вызванных этими рисками.

4. Элиминирование рисков обеспечивает доведение выявленных и оцененных рисков до приемлемого уровня. Поиск приемлемого риска позволяет оценить воздействие рисков, концентрировать и распределять ресурсы, а также разрабатывать соответствующую программу (комплекс мероприятий), направленную на превентивное и последующее воздействие на риск.

Планирование противорисковых мероприятий должно быть адекватным тяжести воздействия рисков, эффективным с точки зрения затрат и результатов, соответствующим по времени, реалистичным, согласованным со всеми заинтересованными сторонами и адресным по распределению полномочий и ответственности. Часто требуется выбирать наилучшие меры из нескольких возможных альтернатив.

К основным ресурсам для разработки плана противорисковых мероприятий относятся:

• – план риск-менеджмента;
• – перечень ранжированных рисков, полученный в результате качественного анализа;
• – перечень приоритетных рисков с их количественной оценкой, полученный в результате количественного анализа;
• – прогнозы затрат, прибылей, графиков реализации проектов предприятия с учетом их вероятности;
• – оценки вероятности достижения целей при текущем уровне знания рисков;
• – перечень потенциальных мер реагирования на риск, доступных предприятию. В процессе идентификации риска могут быть определены действия, позволяющие реагировать на отдельные риски или категории риска;
• – границы допустимости риска. На разработку плана мероприятий оказывает влияние уровень риска, который организация считает приемлемым;
• – потенциальный объем финансирования риска (бюджет противорисковых мероприятий), составленный с учетом результатов качественного и количественного анализа рисков.

В результате планирования противорисковых мероприятий разрабатываются следующие документы.

• План противорисковых мероприятий. Должен быть составлен для такого уровня детализации, на котором будут осуществляться действия. Должен включать некоторое или все из ниже перечисленного:
  • – выявленные риски, их описания, область деятельности, на которую влияют риски, их причины и то, как они могут повлиять на цели предприятия;
  • – носители риска и связанная с ними ответственность;
  • – результаты качественного и количественного анализа риска;
  • – согласованные меры по управлению каждым из приоритетных видов риска;
  • – уровень остаточного риска, ожидаемый после осуществления стратегии риск-менеджмента;
  • – специфические меры по осуществлению выбранной стратегии;
  • – бюджет и время для осуществления мер управления риском;
  • – планы непредвиденных случайностей и борьбы с последствиями.
• Остаточные риски. Это те риски, которые остаются после принятия мер по управлению риском. Это также менее значимые риски, принятые предприятием и оставленные путем создания резервов ресурсов и времени.
• Вторичные риски. Эти риски возникают как прямой результат осуществления противорисковых мероприятий. Они должны быть выявлены и рассмотрены на предмет управления ими.
• Проекты возможных контрактов, которые позволяют определить ответственность каждой стороны по специфическим рискам, если они наступят, а также по страхованию, услугам и другим возможным действиям для избежания или уменьшения угроз.
• Необходимые резервы на непредвиденные события.
• Предложения по пересмотру плана риск-менеджмента и стратегий управления в других функциональных областях.
• 5. Мониторинг рисков проекта обеспечивает текущий анализ уровня диагностированных рисков и его соответствия уровню приемлемого риска, а также разработку контрольных процедур, направленных на повышение эффективности интегрированного управления рисками проекта.

Схема основного процесса управления рисками проекта представлена на рис. 6.3.

Рис. 6.3.

Результатом идентификации, анализа и оценки риска является отчет, содержащий информацию, позволяющую менеджеру принять рискованное решение.

Полученные оценки и принятое решение являются исходными данными для разработки мероприятий по снижению риска.

На первой фазе данного этапа происходит выбор стратегии и тактики управления рисками. Стратегия определяет направление и методы использования ресурсов для достижения поставленных целей. Тактика представляет набор практических методов и приемов риск-менеджмента для ограничения степени риска в конкретных условиях.

На следующей фазе осуществляется выбор средств и приемов управления риском, что предполагает выработку управленческого решения, содержащего экономически обоснованные рекомендации и мероприятия, направленные на уменьшение начального уровня риска до приемлемого уровня.

Завершающей фазой выступает разработка программы действий по снижению степени и величины риска. Программа представляет набор управляющих воздействий в виде антирисковых мероприятий и необходимых для этого объемов и источников финансирования, конкретных исполнителей и сроков выполнения.

Заключительными стадиями процесса выступают организация выполнения намеченной программы, контроль выполнения программы, анализ и оценка результатов антирисковых мероприятий (на основании составляемого отчета).

Важное значение имеет также мониторинг процесса риск-менеджмента. По мере осуществления деятельности риски меняются, прогнозируемые риски исчезают и возникают новые риски. Хорошо поставленные процессы мониторинга и контроля дают информацию, помогающую принимать эффективные решения еще до того, как возникают новые риски. Цель мониторинга риска – определить, что:

• – противорисковые меры были приняты так, как это планировалось;
• – противорисковые действия настолько эффективны, насколько ожидалось;
• – угроза риска изменилась с момента ее первоначального выявления;
• – имеются сигналы, свидетельствующие о возможности наступления риска;
• – возникли риски, не выявленные раньше.

Целесообразно осуществлять мониторинг на трех уровнях, соответствующих уровням управленческой иерархии (рис. 6.4).

Рис. 6.4.

Контроль риска включает периодическую отчетность, а также постаудит по противорисковым мероприятиям, что позволяет судить об эффективности плана риск-менеджмента и коррективах, которые нужно внести в план для уменьшения риска.

К основным ресурсам для мониторинга и контроля риска относятся:

• – план риск-менеджмента;
• – план противорисковых мероприятий;
• – результаты проведения дополнительной идентификации и анализа не выявленных ранее, либо вновь возникших рисков.

Можно выделить следующие основные методы мониторинга и контроля риска.

• Контрольные листы , например те анкеты, которые использовались для идентификации риска, могут также использоваться для мониторинга и контроля риска. Следует обратить внимание на внесение в них дополнительных пунктов, если они кажутся важными для конкретного проекта.
• Аудит риска . Аудиторы анализируют и фиксируют эффективность планирования противорисковых мер по избежанию, передаче и снижению риска, а также эффективность действий лиц, ответственных за риск.
• Периодический анализ результатов осуществления проектов . Должен осуществляться регулярно. Ранжирование рисков может изменяться в течение жизненного цикла проекта. Любые изменения могут потребовать дополнительного качественного и количественного анализа риска.
• Анализ полученных доходов . Используется для сравнения с базовыми планами.
• Анализ бюджета.

В результате мониторинга и контроля риска разрабатываются:

• – дополнительные рабочие планы. Это незапланированные ранее меры реагирования на растущие риски. Должны быть правильно зафиксированы и внесены в план управления риском;
• – перечень возможных корректирующих воздействий ;
• – перечень вносимых изменений в план противорисковых мероприятий ;
• – база данных предприятия по рискам ;
• – обновленные контрольные листы для идентификации риска.

Общая схема этапов риск-менеджмента представлена в табл. 6.6. Отметим, что жирным шрифтом в ней выделены те ресурсы, которые стали результатом предыдущих этапов деятельности, курсивом – другая информация, уже использовавшаяся на предыдущих этапах.

Таким образом, правильно организованное управление рисками представляет собой совокупность итеративных процессов, причем, чем более отдаленным является этан, тем меньше потребность менеджеров во внешней информации и больше внимания уделяется результатам предыдущих этапов. Это накладывает жесткие требования на качество осуществляемой деятельности.

Таблица 6.6

Схема этапов организации процесса риск-менеджмента (информационное обеспечение)

Этап риск-менеджмента	На входе (ресурсы)	На выходе (результаты)
Разработка плана риск-менеджмента	Стратегия риск-менеджмента на предприятии; нормативно-правовые акты, регулирующие деятельность предприятия; документы, регламентирующие деятельность предприятия; информация о внешнем экономическом окружении предприятия; организационная структура предприятия; информация о склонности к риску менеджеров и собственников; другие необходимые данные	Руководящие документы (стандарты предприятия) по организации риск-менеджмента; план риск-менеджмента
Идентификация риска	План риск-менеджмента; принципы классификации риска; внутренние документы, регулирующие деятельность предприятия в различных областях; концепции и планы по отдельным проектам предприятия; информация из внешних источников	Перечень выявленных рисков; перечень факторов риска
Качественный анализ	План риск-менеджмента; перечень выявленных рисков и влияющих на предприятие факторов риска; внутренние документы, регулирующие деятельность предприятия в различных областях; концепции и таны по отдельным проектам предприятия; требования к качеству информации	Ранжированный перечень рисков; список приоритетных рисков
Количественная оценка	План риск-менеджмента; ранжированный перечень рисков; перечень приоритетных рисков; информация из внешних источников; внутренние документы предприятия	Перечень приоритетных рисков с их количественной оценкой; прогнозы затрат, прибылей, графиков реализации проектов предприятия с учетом их вероятности; оценки вероятности достижения целей; потенциальный объем финансирования риска (бюджет противорисковых мероприятий)
Разработка и осуществление плана противорисковых мероприятий	План риск-менеджмента; ранжированный перечень рисков; перечень приоритетных рисков с их количественной оценкой; прогнозы затрат, прибылей, графиков реализации проектов предприятия с учетом их вероятности; оценки вероятности достижения целей; потенциальный объем финансирования риска (бюджет противорисковых мероприятий); перечень потенциальных мер реагирования на риск, доступных предприятию; границы допустимости риска	План противорисковых мероприятий; перечень остаточных рисков; перечень вторичных рисков; проекты возможных контрактов; необходимые резервы на непредвиденные события; предложения по пересмотру плана риск-менеджмента и стратегий управления в других функциональных областях
Мониторинг и контроль	План риск-менеджмента; план противорисковых мероприятий ; результаты проведения дополнительной идентификации и анализа остаточных и вторичных рисков	Дополнительные рабочие планы; перечень возможных корректирующих воздействий; перечень вносимых изменений в план противорисковых мероприятий; база данных предприятия по рискам; обновленные контрольные листы для идентификации риска

Риск - «подводная скала» (исп.-португ.), что ассоциируется с выражением «лавировать между скалами», т.е. подвергаться опасности. В различных источниках можно встретить разные определения риска:

Риск - потенциальная, численно измеримая возможность неблагоприятных ситуаций и связанных с ними последствий в виде какого-либо ущерба.

Риск - это степень опасности подвергнуться воздействию негативных событий и их возможных последствий.

Проектные риски - это возможность возникновения в ходе реализации проекта неблагоприятных ситуаций и последствий, связанных с нанесением ущерба.

Элементы риска:

• § Рисковое событие - точное описание того, что может повредить проекту, фиксация особенностей неблагоприятного события.
• § Вероятность проявление риска - степень вероятности наступления рискового события.
• § Величина ставки - значение возможных последствий, размер возможного ущерба.

Проекты всегда существуют в условиях неопределенности. Неопределенность - это совокупность неизвестных параметров будущего, отсутствие точного знания о вероятных событиях, которые могут быть как благоприятными, так и неблагоприятными.

В качестве причин неопределенности могут выступать недостаток информации, наличие элемента случайности, наличие противодействия. Реакция на риск, работа с риском индивидуальны и с необходимостью отражают личностные качества проект-менеджера.

Восприятие рисков несет на себе печать личности проект-менеджера, его управленческого стиля (табл. 17).

Таблица 17 Восприятие рисков менеджерами

Планирование управления рисками - это процесс определения подходов и планирования операций по управлению рисками проекта. Планирование процессов управления рисками позволяет обеспечить соразмерность уровня, типа, прозрачности управления рисками и важности проекта для организации, а также выделить достаточное количество времени и ресурсов для минимизации рисков (MPI PMBOK 2004. Русская редакция. С.242).

План управления рисками описывает способы осуществления всех процессов управления рисками. В план управления рисками может входить:

• § методология управления рисками;
• § роли и ответственность участвующих в управлении рисками;
• § бюджет управления рисками;
• § определение периодичности процедур управления рисками;
• § пороговые критерии для распознавания наступления риска;
• § категории рисков;
• § матрица вероятности и воздействия рисков;
• § форматы и шаблоны отчетов.

Идентификация рисков предусматривает определение рисков, способных повлиять на проект, и документальное оформление их характеристик. При необходимости в операциях по идентификации рисков могут принимать участие: менеджер проекта, члены команды, команда управления рисками (если таковая создана), эксперты в определенных областях, не входящие в команду проекта, заказчики, конечные пользователи, другие менеджеры проектов, участники проекта, и эксперты по вопросам управления рисками (PMI PMBOK 2004. Русская редакция. С.246).

Идентификация рисков - это выявление и классификация рисковых событий для проекта и видов потерь (ущерба) от наступления этих рисковых событий (рис. 28). Выходной документ - реестр рисков.

Реестр рисков - список идентифицированных рисков или условий возникновения рисковых событий.

Методы и средства идентификации рисков:

• § анализ документов;
• § SWOT - анализ;
• § мозговой штурм;
• § экспертный опрос. Метод Дельфи;
• § контрольные таблицы;
• § опросные листы;
• § диаграммы.

Рис. 28

Рассмотрим эти риски подробнее.

Внутрипроектные риски нетехнического характера

• 1. Маркетинговые риски:
  • § неправильный выбор рынков сбыта продукции;
  • § неверное определение стратегических операций на рынке;
  • § неточный расчет емкости рынка;
  • § неправильное определение мощности производства.
• 2. Риски участников проекта:
  • § запаздывание, срыв поставок сырья, стройматериалов;
  • § изменение возможных заказчиков проекта;
  • § срыв сроков проектных работ субподрядчиком;
  • § невыполнение обязательств кредиторами;
  • § неквалифицированный персонал;
  • § риск расхищения или растрат;
  • § риск порчи деловой репутации;
  • § риск несчастных случаев;
  • § риск текучести кадров.
• 3. Организационно-управленческие риски (риск неуправляемости проекта):
  • § ошибки проектирования;
  • § неправильная организация работ по проекту;
  • § недостаток координации работ;
  • § изменение руководства;
  • § слабый менеджмент;
  • § неправильное планирование проекта;
  • § ошибки в проектно-сметной документации.
• 4. Финансовые риски:
  • § процентный риск - незапланированное изменение процентной ставки при заключении долгосрочных соглашений о займе;
  • § кредитный риск - невозможность выполнения кредитного договора вследствие финансового краха;
  • § валютный риск - риск потенциальных убытков вследствие изменения валютных курсов.
• 5. Коммерческие риски (риски реализации продукции):
  • § непродуманность, неотлаженность, отсутствие сбытовой сети;
  • § задержка в выходе на рынок;
  • § невозможность реализовать продукцию в нужном стоимостном выражении и в намеченные сроки;
  • § непредсказуемость изменений закупочной цены товаров;
  • § рост издержек обращения;
  • § потери товара при хранении и транспортировке.
• 6. Специфические риски - редко встречающиеся проектные риски, чаще всего свойственные именно данному проекту (например, ядерный риск в проектировании или реконструкции атомных электростанций).

Производственные (технико-технологические риски)

• 1. Срыв графика работ.
• 2. Риск невыполнения работ.
• 3. Невыход на проектную мощность.
• 4. Производственный брак.
• 5. Перебои с топливом, оборудованием.
• 6. Износ оборудования.
• 7. Выпуск продукции низкого качества.
• 8. Недостаток рабочей силы.
• 9. Недостатки технологии, неправильный выбор оборудования.
• 10. Увеличение стоимости оборудования.

11. Рост расходов на зарплату.

Правовые риски

• 1. Ошибки в лицензиях.
• 2. Несоблюдение патентного права.
• 3. Невыполнение контрактов.
• 4. Возникновение судебных процессов с внешними партнерами.
• 5. Внутренние судебные процессы.

Внешне предсказуемые, но не до конца определенные

• 1. Рыночные.
• 2. Предпринимательские.
• § риск снижения рентабельности;
• § риск потери финансовой устойчивости и ликвидности.

Внешние непредсказуемые

• 1. Макроэкономические.
• 2. Экологические.

Планирование реагирования на риски - это процесс разработки методов реагирования на риск для увеличения благоприятных и уменьшения неблагоприятных последствий риска (табл. 22).

Итоговым документом является План реагирования на риски.

Таблица 20

План реагирования на риски может включать в себя:

• § идентифицированные риски, их описания, подверженную их влиянию область проекта (элемент WBS);
• § результаты качественного и количественного анализа рисков, включая список приоритетных рисков и вероятностный анализ проекта;
• § стратегии и методы реагирования на риски;
• § действия для реализации способов реагирования;
• § уровень риска после реализации этих действий;
• § бюджет и расписание работ, необходимых для минимизации рисков;
• § чрезвычайные резервы по срокам и стоимости для обеспечения толерантности заинтересованных лиц к рискам;
• § план действий в чрезвычайных обстоятельствах;
• § планы отставания для использования в качестве реагирования на наступивший риск;
• § остаточные риски, которые могут сохраниться после реагирования, а также сознательно принятые риски;
• § вторичные риски, возникающие в результате реагирования на первичный риск;
• § чрезвычайные резервы, сформированные в результате количественного анализа проекта.

Диверсификация - это распределение рисков между участниками проекта. Распределение рисков является эффективным способом их снижения. Логичнее сделать ответственным за конкретный риск того участника проекта, который обладает возможностью точнее и качественнее рассчитать и контролировать данный риск. Распределение рисков оформляется при разработке плана управления проектом, финансового плана и контрактных документов. При этом следует иметь в виду, что повышение рисков у одного из участников проекта должно сопровождаться адекватным изменением в распределении доходов от проекта. Поэтому при переговорах необходимо:

• § определить возможности участников проекта по предотвращению последствий наступления рисковых событий;
• § определить степень ответственности за риск, которую берет на себя каждый участник проекта;
• § договориться о приемлемом вознаграждении за риски.

Резервирование - создание резервного фонда финансовых средств на покрытие непредвиденных расходов. Зарубежный проектный опыт допускает увеличение стоимости проекта от 7 до 12% за счет резервирования средств на форс-мажор. Российские эксперты допускают увеличение стоимости проекта до 20%.

Резервирование всегда увеличивает проектные затраты, но зато и увеличивает проектную прибыль.Часть резерва должна находиться в распоряжении менеджера проекта, остальной частью распоряжаются в соответствии с контрактом другие участники проекта.

Резервирование средств предусматривает установление соотношения между потенциальными рисками, изменяющими стоимость проекта, и размером расходов, связанных с преодолением нарушений в ходе его реализации. При расчете рисков необходимо, чтобы сальдо накопленных реальных денег в финансовом плане проекта на каждом шаге расчета было не менее 8% планируемых на данном шаге затрат.

Страхование рисков - передача определенных рисков страховой компании. В зависимости от выбранного способа управления рисками различаются различные источники финансирования рисков:

• § средства, учитываемые в составе себестоимости изделий;
• § собственные средства предприятий, в том числе, уставной фонд и резервы, формируемые из прибыли;
• § внешние источники - кредиты, дотации, займы;
• § страховые фонды;
• § фонды самострахования.

Процесс минимизации рисков осуществляется по следующему алгоритму:

• § рассматривается риск, имеющий наибольшую важность для проекта;
• § определяется перерасход средств с учетом вероятности наступления неблагоприятного события;
• § определяется перечень возможных мероприятий, направленных на уменьшение вероятности и опасности рискового события;
• § определяются дополнительные затраты на реализацию предложенных мероприятий;
• § сравниваются требуемые затраты на реализацию предложенных мероприятий с возможным перерасходом средств вследствие наступления рискового события;
• § принимается решение об осуществлении или отказе от противорисковых мероприятий;
• § процесс сопоставления вероятности и последствий рисковых событий с затратами на мероприятия по их снижению повторяется для следующего по важности риска.

Мониторинг и управление рисками - это процесс идентификации, анализа и планирования вновь возникших рисков, отслеживания идентифицированных рисков и тех, которые отнесены в список для постоянного наблюдения, а также проверки и исполнения операций реагирования на риски и оценки их эффективности. В процессе мониторинга и управления рисками используются различные методики, например анализ трендов и отклонений, для выполнения которых необходимы данные об исполнении, собранные в процессе выполнения проекта. Мониторинг и управление рисками является непрерывным процессом, происходящим на протяжении всего жизненного цикла проекта (PMI PMBOK 2004. Русская редакция. С.264).

Мониторинг рисков - это процессы наблюдения за существующими рисками, выявления новых рисков, а также выполнения плана реагирования на риски:

• § пересмотр рисков;
• § аудит рисков;
• § анализ отклонений и трендов;
• § техническое измерение исполнения;
• § анализ резервов;
• § совещания по текущему состоянию.

Управление рисками осуществляется на всех фазах жизненного цикла проекта.

Этап 1. Предпроектное обоснование инвестиций, формулировка концепции проекта и его технико-экономическое обоснование. Анализ рисков производится в процессе предварительной экспертизы проекта. Необходимые действия этого этапа: идентификация и анализ рисков.

Этап 2. Планирование проекта. Работа с рисками включается в разработку сметы и бюджет проекта. Необходимые действия:

• § корректировка дерева решений;
• § определение структуры и объема резервирования средств;
• § учет рисков в финансовом плане проекта.

Этап 3. Реализация проекта. Работа с рисками ведется в процессе мониторинга. Необходимые действия:

• § формирование рабочего бюджета проекта;
• § страхование рисков;
• § контроль за использованием средств на непредвиденные расходы;
• § корректировка бюджета.

Этап 4. Завершение проекта. Работа с рисками ведется на этапе итоговой экспертизы проекта. Необходимые действия:

• § анализ использования средств на непредвиденные расходы;
• § анализ и обобщение фактических проявлений рисков и неопределенности по результатам проекта.

В одном из предыдущих статей, посвященных Управлению Проектами (УП), мы уже рассматривали вопрос бюджетирования . Сегодня предлагаем вам кратко ознакомиться с еще одним доменом PMBoK, который связан с управлением рисками проекта. Понятие управление рисками в менеджменте обладает никак не меньшей степенью важности чем управлением финансами, поскольку как раз риски могут оказывать существенно влиять на исполнение бюджета и вообще не сам процесс реализации проекта.

Управление рисками (risk management) - систематическое средство контроля проектов и снижения степени неопределенности их завершения. Практики управления рисками приложимы как к малым проектам продолжительностью в несколько недель и с небольшим бюджетом так и к крупным проектам продолжительностью в несколько лет и миллионными бюджетами.

В любом случае риск - это когда что-то что не гарантировано на 100%. Факт не является риском. Управление рисками направлено на то, чтобы идентифицировать, какие события чреваты рисками. Как заметил Дэвид Паккард однажды: "Половина проектов в Hewlett-Packard оказалась бесполезной тратой времени" .

Идеальным управлением рисками считалась бы практика, которая смогла бы однозначно отсеивать "провальные" проекты от "реальных". Правильная техника управления рисками позволяет менеджеру контролировать проект, а не наоборот, что бывает отнюдь не редко.

Управление рисками в известном смысле представляет собой попытки предсказания будущего. Управление рисками так или иначе сводится к пониманию степени воздействия различных событий на будущее проекта. Приведем конкретную ситуацию, участником которой автору этой статьи довелось быть.

Введение в управление рисками

Понятно, что под управлением рисками подразумевается идентификация и минимизация факторов риска.

Идентификация риска включает в себя определение следующих риск-факторов:

• вероятность того, что риск или возможность появится;
• его влияние или последствия, воздействие на проект;
• ожидаемое время появления - когда риск может возникнуть;
• как часто риск может возникать.

Процедура управления рисками состоит из нескольких этапов.

1. Сбор информации.

2. Планирование процедур управления рисками для данного проекта.

3. Идентификация рисков: определение специфических рисков для каждого проекта и каждой задачи. Составление полного списка рисков, включающего в себя, как правило, сотни рисков.

4. Качественный и количественный анализ рисков, полученных на предыдущей стадии, и составление короткого списка основных, наиболее опасных рисков. На этой стадии вероятность риска и степень влияния рисков на результат проекта определяются качественно. Здесь часто помогает опыт ведения похожих проектов.

5. После выделения наиболее опасных рисков принимается решение произвести их количественную оценку. Выводится общая оценка рискованности проекта и вероятность того, что требования проекта будут выполнены.

6. Планирование минимизации рисков, процедура RRP (risk response planning). Определение возможностей сократить общий риск проекта.

7. Мониторинг и контроль рисков. Под этим подразумевается постоянное отслеживание ситуации с проектными рисками. Управление рисками - не одномоментное мероприятие. Оно производится периодически, по мере того как изменения произошли или проблемы обнаружены.

Управление рисками: процессы

Управление рисками проекта включает в себя мероприятия по:

• идентификации (выявлению) рисков;
• анализу и приоритезации рисков;
• планированию реагирования на риски;
• мониторингу и контролю рисков.

Эти процессы взаимодействуют как друг с другом, так и с другими процессами управления проектами.

Этап 1. Сбор информации

Первый этап процесса управления рисками по проекту - это сбор необходимой информации, так как в отсутствии полной информации, имеющей отношение к делу, вероятность ошибок в расчетах и ложных предположений существенно увеличивается. Прежде чем подойти к вопросам управления рисками, необходимо хорошо представлять себе процесс управления0 проектами, так как эффективное управление рисками является его частью. Управление рисками аккуратно ложится на все стадии процесса управления проектами.

В целом на первом этапе процесса управления рисками можно выделить несколько приоритетных процессов.

1. Собрать и продумать предпосылки и истоки проекта. Необходимо четко понимать корпоративные цели проекта, знать ответы на все вопросы о причинах запуска проекта, ограничений и потенциальных проблем, имеющих отношение к проекту. Необходимо собрать информацию обо всех заинтересованных в проекте сторонах. С точки зрения идентификации рисков важно разобраться, кто является акционерами проекта, каковы их официальные цели, каковы их недекларируемые и неофициальные цели, каковы их сферы влияния, понимают ли заинтересованные лица свои роли в проекте.

2. Четко представлять все, что касается корпоративных процедур. Прежде всего - вопросы культуры производства и ведения проектов в компании. Затем - корпоративные процедуры управления рисками. В общем случае в организации уже должны быть формы для отчета по риску, шкалы оценки вероятности и воздействия, стандартные процедуры участия акционеров в управлении рисками, установки, связанные с ранжированием рисков и принятием решений о прекращении проектов, а также процедуры по аудиту рисков. Возможно, в компании уже есть зафиксированное корпоративное знание в области рисков. Кроме того, интерес могут представлять языковые барьеры, которые есть в компании, и социальные привычки сотрудников.

3. Проанализировать прошлые проекты. Если нет документации по оконченным в прошлом проектам, вся работа как будто начинается с самого начала. Нужна информация об историческом контексте предыдущих проектов, экономических условиях, организационных проблемах, реорганизации, целях компании, данных планирования проектов, списках рисков предыдущих проектов, списках категорий рисков, вероятности и последствиях рисков, методах, использованных для измерения эффективности управления рисками.

4. Окружение проекта - приоритет данного проекта по отношению к другим текущим проектам.

5. Масштаб проекта, его уникальность и спецификации. С позиций управления рисками нужно посмотреть на масштаб работ, требования и спецификации проекта. Нечеткие требования увеличивают риск проекта. Надо понять, есть ли какие-то области, где масштаб проекта не определен. Это случается очень часто. Какова уникальность проекта, какая часть работ ранее никогда не выполнялась? С какой работой вы знакомы, с какой незнакомы?

6. Оценки времени выполнения и затрат. Оценки времени выполнения и затрат должны проводиться для каждого проекта в трех вариантах: оптимистическая оценка, наиболее вероятная и пессимистическая. Если разброс между оптимистической и пессимистической оценкой значителен, оценка содержит в себе больше неопределенностей и дает сигнал о большом количестве скрытых рисков. Идентифицируя риск, надо принять во внимание: кто делал оценку? Была проведена детальная или высокоуровневая оценка? Каков метод оценки и уровень достоверности оценки?

Наконец, в завершающей стадии последуют отчеты об эффективности управления проектом, который включает в себя отчеты об эффективности управления рисками.

Оценка зон толерантности к рискам На этапе подготовки к управлению рисками по проекту полезно бывает предварительно понять, в каких областях проекта заинтересованные стороны и компания согласны принять риск. Это не является обязательным пунктом в ходе подготовки к проекту, так как впоследствии по каждому существенному риску управляющий комитет должен будет принимать специальное решение. Однако специалисты советуют оценивать зоны толерантности к рискам как можно раньше. Это д олжно помочь выделять наиболее опасные для компании риски из общего списка рисков на этапе 4, а также облегчить планирование минимизации рисков (процедура RRP). Зоны толерантности к рискам, как правило, задаются в зависимости от стоимости проекта, сроков выполнения, масштаба работы и критичности для компании. В типичном случае для оценки зон толерантности к рискам создается таблица следующего содержания. Заинтересованные стороны Ограничение Толерантность и пороговые значения ИТ-директор Время 2 дня задержки в инсталляции пакета Х ИТ-директор Время 5 дней задержки в завершении ключевого подпроекта Y Функциональный заказчик Производительность Мощность системы должна превышать 100 тыс. транзакций в минуту Главный бухгалтер Уровень удовлетворенности Готов участвовать только в двух совещаниях в месяц по данному проекту

Понимая, что управление рисками существенно увеличивает количество управленческой работы, многие менеджеры отказываются от подобных практик или игнорируют их внедрение. Однако управление рисками в связи с его неопровержимыми преимуществами становится неотъемлемой частью процессов управления проектами.

Этап 2. Планирование управления рисками

Планирование управления рисками - процесс, в рамках которого выясняется, каким образом будет осуществляться весь комплекс мер, связанных с анализом рисков, кто именно будет вовлечен в этот процесс, когда именно должны запускаться процедуры управления рисками и как часто.

Как правило, занимается этим менеджер проекта, однако в силу различных факторов в планирование и организацию работы с рисками может быть вовлечено большее число сотрудников. Назовем их условно RM-группа (RM - от risk management).

С практической точки зрения для создания успешного плана управления рисками необходимо проделать следующее.

1. Просмотреть имеющиеся процедуры управления рисками, записи и отчеты по предыдущим проектам.

2. На основании этого и с учетом специфики проекта определить, какие методы управления рисками будут использованы для данного конкретного проекта, какие данные и инструменты будут использоваться.

3. Определить роли и ответственность, а также конкретных людей, вовлеченных в управление рисками.

4. Определить затраты на управление рисками для данного проекта.

5. Определить частоту, с которой процедуры управления рисками будут запускаться в течение жизни проекта.

6. Определить, какие методы будут использованы для количественной и качественной оценки рисков и интерпретации уровня риска.

7. Определить пороговые величины: уровень риска, при котором будут приниматься меры.

8. Определить форматы отчетов: способы документации, анализа и распространения отчетов об управлении рисками.

На данном этапе очень важно понять, что правильные формулировки для рисков приводят к правильным мерам. Стандартный и общепринятый формат определения риска - CRE-формат (Cause-Risk-Effect). При определении риска всегда нужно найти изначальную причину риска, а не ограничиваться поверхностной симптоматикой.

Этап 3. Идентификация рисков

Перейдем к более детальному рассмотрению процессов идентификации рисков, с которого начинается реальная работа с рисками конкретного проекта. Сам процесс идентификации рисков снижает общий риск проекта. Поэтому к процессу идентификации рисков относятся все более и более внимательно, стараясь исчерпать его возможности до конца.

При идентификации рисков важно обратить самое серьезное внимание на все допущения и предположения в проекте. В целом правильная тенденция относится к допущениям в проекте как к рискам ("Предположительно программное обеспечение будет работать без проблем"). Для наиболее полной идентификации рисков разработано несколько методов, которые по-разному сочетаются в реальной практике идентификации рисков.

1. Сравнение со списком рисков и списком категорий рисков. Самая распространенная ошибка при идентификации рисков состоит в том, что из поля зрения выпускается целая категория рисков. Поэтому в стадии идентификации необходимо иметь список категорий рисков и помнить, что независимо от методов идентификации рисков вашего проекта должны быть учтены все категории рисков.

a) технические, качественные или связанные с производительностью

b) риски управления проектами

c) организационные риски

d) внешние риски.

Особенно часто выпускаемые из внимания категории:

a) риски управления проектами (недостаток поддержки, отсутствие опыта оценки, некачественный план проекта), отсутствие стандартной документации по проекту

b) культурные риски (даже если проекты разворачиваются в одной стране)

c) риски, связанные с качеством работ по проекту

d) риски, связанные с удовлетворенностью заинтересованных сторон проекта

e) организационные риски (недостатки приоритезации проектов в компании, неадекватное финансирование, недостаток управления многозадачностью проекта, неаккуратность при переходе от выполнения одной задачи к другой, некорректность санкционирования переходов)

f) контрактные риски

g) риски выбора вендора и поставщиков

h) риски, связанные с изменением рынка по ходу проекта.

В идеале было бы правильно собрать и задокументировать все риски и категории рисков, с которыми когда-либо сталкивалась компания, работая с аналогичными проектами. Ценность такой базы данных была бы огромной. Однако компании практически никогда этим не занимаются. По опыту, работа RM-группы с данным списком увеличивает число идентифицируемых рисков на 30% и более.

2. Анализ рисков предыдущих проектов . Риски могут быть идентифицированы посредством изучения записей, связанных с предыдущими проектами. Сюда относятся изучение уже упомянутых списков рисков и их категорий, вероятности и воздействия рисков, планы ответных действий и выводы. Менеджеру проекта необходимо проанализировать имеющиеся в распоряжении документы.

Сюда относятся все входные документы для управления рисками, требования, схемы и шаблоны, спецификации, контракты и заказы, RFP, письма и т. д.

3. Мозговой штурм. Процесс, на первый взгляд простой и очевидный, должен быть грамотно подготовлен, чтобы качественно пройти. Задача состоит в том, чтобы собрать как можно больше возможных рисков в кратчайшее время. До начала штурма необходимо ознакомить всех членов группы с категоризированным предварительным списком рисков. Такая техника улучшает количественные и качественные результаты. При организации мозгового штурма следует четко определить участников. Рекомендуется также организовать мозговой штурм в несколько заходов с разными группами участников (конечные пользователи, RM-группа и любые заинтересованные стороны). Обязательно необходимы один-два человека, не вовлеченных в мозговой штурм, которые будут просто записывать идеи. В процессе штурма необходимо выяснить риски, относящиеся к проекту в целом, соответствующие риски для каждой задачи, категории рисков и уровни рисков, если возможно.

Конечно, метод мозгового штурма не открывает всех возможных рисков. Часть рисков "всплывет" у участников после сессии, некоторые люди не любят выступать публично, многие будут говорить слишком много, забивая других, многие просто побоятся открыто заявлять о рисках, связанных с их отделом, опасаясь последствий. Поэтому идентификация рисков не должна ограничиваться техникой мозгового штурма. Его используют в сочетании с другими методиками, которые могут быть проведены анонимно (анонимность происходящего надо заявить открыто во всех анкетах).

4. Интервью с экспертами. Как правило, в качестве экспертов выступают функциональные руководители и менеджеры, которым случалось проводить аналогичные либо смежные проекты. В силу важности источника интервью с экспертами должны быть тщательно продуманы.

Прежде чем приступить к прояснению интересующих вопросов, правильно будет задать следующие предварительные вопросы.

• Какие проблемы вам кажутся возможными, если для анализа рисков проекта будет использован такой-то метод?
• С какими проблемами вы сталкивались, работая над проектами, подобными нашему?
• О чем вы больше всего беспокоитесь в отношении данного проекта?
• Что может пойти не так?
• Какие возможности, по вашему мнению, откроются по мере выполнения данного проекта?

После чего перейдите к интересующим вопросам, которые тоже необходимо четко сформулировать, например: "У нас есть опасение, связанное с проблемой А. Придется нам столкнуться с этой проблемой или нет? Когда? Сколько раз? Что может произойти, если эта проблема возникнет сегодня, завтра? Какова вероятность возникновения этой проблемы по шкале от 1 до 10?". Как видите, при интервью важно задавать углубляющие вопросы. Кроме того, договоритесь о возможности последующих встреч, так как невозможно учесть все сразу при обсуждении.

Еще один хороший прием состоит в том, чтобы, общаясь с экспертом, разделить роли как минимум между тремя людьми. Один человек задает вопросы, другой записывает ответы, третий следит за невербальными аспектами общения. Последнее крайне важно (учитывая, что 55% коммуникации проходит невербально).

5. Техника номинальной группы (nominal group technique) . Данная методика используется всякий раз, когда необходимо выяснить мнение группы людей по какому-то вопросу. Для общих случаев данная методика подробно описана во многих источниках. В приложении к практике управления рисками данная технология выглядит следующим образом. Сначала формируется группа, и собирается список рисков от каждого члена группы. Затем, до начала основной сессии, индивидуальные списки компилируются в один мастер-список. Далее каждому члену группы предоставляется на рассмотрение мастер-список, и он ранжирует каждый риск, используя шкалу от 1 до 10. После этого все рейтинги сводятся в новую таблицу, и выявляются высокоприоритетные риски. Недостаток этой методики состоит в том, что крупный риск может быть корректно идентифицирован одним ключевым сотрудником, но при этом не поддержан группой. Именно поэтому отбирать участников группы необходимо очень тщательно.

6. Дельфи-техника (delphi technique) . Эта методика используется для опроса некоторой небольшой группы экспертов и может быть использована для того, чтобы прийти к экспертному подтверждению найденных ранее рисков проекта, а также для проведения количественного анализа идентифицированных рисков и выяснения, какие меры должны быть приняты.

Сначала надо определиться, кто из экспертов может помочь в подтверждении рисков. Потом разослать опросники и скомпилировать экспертные оценки в один список. Переслать откомпилированный список каждому эксперту, с просьбой представить дополнительные комментарии по поводу данного списка. После чего повторно откомпилированный список с комментариями экспертов сводится в финальный список. Сложность данной методики - в необходимости определенного искусства интерпретации экспертных оценок, позволяющего скомпилировать окончательный список.

Умелое сочетание данных технологий помогает преодолеть психологические проблемы при групповой идентификации рисков (вспомните, многие люди неспособны проявить себя в мозговом штурме). В реальности устойчивые результаты дает следующее сочетание техник идентификации.

Выделяется две принципиальные группы участников: периферийно затрагиваемые данным проектом и непосредственно вовлеченные в проект. Периферийной группе высылается анкета с предложением идентифицировать риски. Как правило, при этом участники следуют предлагаемой форме. Вторая группа непосредственно вовлеченных в проект интервьюируется членами команды риска или приглашается на сессию мозгового штурма. Риски в этом случае компилируются менеджером проекта. Кроме того, членам RM-группы также предлагается заполнить формы или участвовать в мозговом штурме. Далее RM-группа получает откомпилированный список рисков, который предлагается оценить. Все полученные риски должны быть отражены в виде RMC-карт (см. врезку). После чего RM-группа должна проанализировать их и распределить по группам и следующим категориям: технологии, культура, персонал, изменения. После этого менеджер проекта добавляет еще и риски относящиеся к рынку и конкуренции.

Причиной возникновения рисков являются неопределенности, существующие в каждом проекте.

Риски могут быть «известные» - те, которые определены, оценены, для которых возможно планирование. Риски «неизвестные» - те, которые не идентифицированы и не могут быть спрогнозированы. Хотя специфические риски и условия их возникновения не определены, большую часть рисков можно предвидеть.

Цели управления рисками проекта - повышение вероятности возникновения и воздействия благоприятных событий и снижение вероятности возникновения и воздействия неблагоприятных для проекта событий.

Управление рисками - это процессы, связанные с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий. Процесс управления рисками проекта обычно включает выполнение следующих процедур:

• планирование управления рисками - выбор подходов и планирование деятельности по управлению рисками проекта;

• идентификация рисков - определение рисков, способных повлиять на проект, и документирование их характеристик;

• качественная оценка рисков - качественный анализ рисков и условий их возникновения с целью определения их влияния на успех проекта;

• количественная оценка - количественный анализ вероятности возникновения и влияния последствий рисков на проект;

• планирование реагирования на риски - определение процедур и методов по ослаблению отрицательных последствий рисковых событий и использованию возможных преимуществ;

• мониторинг и контроль рисков - мониторинг рисков, определение остающихся рисков, выполнение плана управления рисками проекта и оценка эффективности действий по минимизации рисков.

Все эти процедуры взаимодействуют друг с другом, а также с другими процедурами. Каждая процедура выполняется, по крайней мере, один раз в каждом проекте. На практике они могут частично совпадать и взаимодействовать.

Причиной возникновения риска является неопределенность, которая присутствует во всех проектах. Известные риски - это те риски, которые идентифицированы и подвергнуты анализу. В отношении таких рисков можно спланировать ответные действия с помощью процессов, описанных в данной статье. Но для неизвестных рисков спланировать ответные действия невозможно. В таких случаях разумным решением для команды проекта является выделение общего резерва на непредвиденные обстоятельства, в который будут включены эти неизвестные риски, а также все известные риски, для которых разработка конкретных мер реагирования не представляется экономически эффективной или возможной.

Организации принимают во внимание риски в той степени, в какой они соотносятся с угрозами проекта или с благоприятными возможностями, повышающими вероятность успешного выполнения проекта. Риски, представляющие собой угрозу для проекта, могут приниматься в том случае, если риск соразмерен выгоде, которую можно получить, приняв этот риск.

Отношение к риску со стороны отдельных людей и - в более крупных масштабах - организаций обусловлено их пониманием риска и ответной реакцией на возникновение риска. Там, где это возможно, отношение к риску должно быть выражено в явной форме. Для каждого проекта должен быть разработан последовательный подход к риску, удовлетворяющий требованиям организации, а информация о риске и управлении им должна быть открытой и достоверной. Реагирование на риски отражают то, как организация понимает баланс между принятием риска и уклонением от риска.

Для достижения успеха на протяжении всего проекта организация должна предпринимать заранее и последовательно предупредительные меры по управлению рисками.

Идентификация рисков определяет, какие риски способны повлиять на проект, и документирует характеристики этих рисков. Идентификация рисков не будет эффективной, если она не будет проводиться регулярно на протяжении реализации проекта.

Идентификация рисков должна привлекать как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов.

Планирование управления рисками

Тщательное и подробное планирование повышает вероятность успешного достижения результатов пяти других процессов управления рисками. Планирование управления рисками - это процесс определения подходов и планирования операций по управлению рисками проекта. Планирование процессов управления рисками позволяет обеспечить соразмерность уровня, типа и прозрачности управления рисками, как самому риску, так и значению проекта для организации, а также выделить достаточное количество времени и ресурсов для выполнения операций по управлению рисками и определить общее основание для оценки рисков. Процесс планирования управления рисками должен быть завершен на ранней стадии планирования проекта, поскольку он крайне важен для успешного выполнения других процессов.

Факторы внешней среды предприятия

Отношение к риску и толерантность к риску организаций и лиц, участвующих в проекте, оказывает влияние на план управления проектом. Отношение к риску и толерантность к риску могут быть зафиксированы в изложении основных принципов или проявляться в конкретных действиях.

Активы организационного процесса

Организации могут иметь заранее разработанные подходы к управлению рисками, например, категории рисков, общие определение понятий и терминов, стандартные шаблоны, схемы распределения ролей и ответственности, а также определенные уровни полномочий для принятия решений.

Совещания по планированию и анализ

Команда проекта проводит совещания для разработки плана управления рисками. В совещаниях могут принимать участие менеджер проекта, отдельные члены команды проекта и участники проекта, представители организации, отвечающие за операции по планированию рисков и реагированию на них, и, при необходимости, другие лица.

На таких совещаниях составляются базовые планы по проведению операций по управлению рисками. Также разрабатываются элементы стоимости рисков и плановые операции, которые включаются соответственно в бюджет проекта и расписание. Утверждается распределение ответственности в случае наступления риска. Имеющиеся в организации общие шаблоны, касающиеся категорий рисков и определения терминов (например, уровни рисков, вероятность возникновения рисков по типам, последствия рисков для целей проекта по типам целей, а также матрица вероятности и последствий), приспосабливаются для каждого конкретного проекта с учетом его специфики. Выходы этих операций сводятся в план управления рисками.

План управления рисками

План управления рисками содержит описания структуры управления рисками проекта и порядок его выполнения в рамках проекта. Этот план включается в состав плана управления проектом. План управления рисками включает в себя следующие элементы:

• Методология. Определение подходов, инструментов и источников данных, которые могут использоваться для управления рисками в данном проекте.

• Распределение ролей и ответственности. Список позиций выполнения, поддержки и управления рисками для каждого вида операций, включенных в план управления рисками, назначение сотрудников на эти позиции и разъяснение их ответственности.

• Разработка бюджета. Выделение ресурсов и оценка стоимости мероприятий, необходимых для управления рисками. Эти данные включаются в базовый план по стоимости проекта.

• Сроки. Определение сроков и частоты выполнения процесса управления рисками на протяжении всего жизненного цикла проекта, а также определение операций по управлению рисками, которые необходимо включить в расписание проекта.

• Категории рисков. Структура, на основании которой производится систематическая и всесторонняя идентификация рисков с нужной степенью детализации; такая структура способствует повышению эффективности и качества идентификации рисков. Организация может использовать разработанную ранее классификацию типичных рисков. Такую структуру можно разработать с помощью составления иерархической структуры рисков (ИСРс), но ту же задачу можно решить, просто составив перечень различных аспектов проекта. В процессе идентификации рисков категории рисков могут пересматриваться. Хорошей практикой считается пересмотр категорий рисков во время планирования управления рисками, перед тем как эти категории будут использованы в процессе идентификации рисков. Прежде чем принять к использованию в текущем проекте классификацию рисков, основанную на прежних проектах, ее, вероятно, потребуется уточнить, изменить или адаптировать к специфике нового проекта.

• Определение вероятности возникновения рисков и их последствий. Добросовестный и достоверный качественный анализ рисков предполагает, что определены различные уровни вероятностей возникновения рисков и их воздействия. Общие определения уровней вероятности и уровней воздействия адаптируются отдельно для каждого проекта в ходе процесса планирования управления рисками и используются затем в процессе качественного анализа рисков.

• Матрица вероятности и последствий. Расстановка рисков по приоритету соответствует потенциальной степени значимости их последствий для достижения целей проекта. Типичным способом расположения рисков по приоритету является использование справочной таблицы или матрицы вероятности и последствий. Обычно организация сама устанавливает сочетания вероятности и воздействия, на основании которых степень риска определяется как «высокая», «средняя» или «низкая», что, в свою очередь, определяет значимость для планирования реагирования на данный риск. Эти сочетания в процессе планирования управления рисками могут пересматриваться и адаптироваться к конкретному проекту.

• Отслеживание. Документирует порядок регистрации всех аспектов операций по рискам в интересах данного проекта, а также для будущих проектов и включения в документы по накопленным знаниям. Документирует, в каких случаях и как будет проводиться аудит процессов управления рисками.

Идентификация рисков

Идентификация рисков предусматривает определение рисков, способных повлиять на проект, и документальное оформление их характеристик. При необходимости в операциях по идентификации рисков могут принимать участие: менеджер проекта, члены команды проекта, команда управления рисками (если таковая создана), эксперты в определенных областях, не входящие в команду проекта, заказчики, конечные пользователи, другие менеджеры проектов, участники проекта и эксперты по вопросам управления рисками. Хотя главная роль в идентификации рисков принадлежит этим специалистам, следует поощрять участие в этом процессе всего персонала.

Идентификация рисков - это итеративный процесс, поскольку по мере развития проекта в рамках его жизненного цикла могут обнаруживаться новые риски. Частота итерации и состав участников выполнения каждого цикла в каждом случае могут быть разными. В этом процессе должны принимать участие члены команды проекта с тем, чтобы у них вырабатывалось чувство «собственности» и ответственности за риски и за действия по реагированию на них. Участники проекта, не входящие в команду проекта, могут предоставлять дополнительную объективную информацию. Обычно за процессом идентификации рисков следует процесс качественного анализа рисков. В случае если идентификация рисков происходит под управлением опытного менеджера по рискам, непосредственно за идентификацией может следовать количественный анализ рисков. В некоторых случаях уже сама идентификация риска может определять меры реагирования; эти меры должны фиксироваться для дальнейшего анализа и осуществления в ходе процесса планирования реагирования на риски.

Входы:

При идентификации рисков может оказаться полезной информация из открытых источников, в том числе коммерческие базы данных, научные работы, бенчмаркинг и другие исследовательские работы в данной области.

Информация о выполнении прежних проектов может быть доступна в архивах предыдущих проектов, как в ее исходном виде, так и в виде накопленных знаний.

Допущения проекта приводятся в описании содержания проекта. Неопределенность в допущениях проекта следует рассматривать в качестве потенциального источника возникновения рисков проекта.

Ключевыми входами для процесса идентификации рисков из плана управления рисками являются схема распределения ролей и ответственности, резерв на операции по управлению рисками в бюджете и в расписании, а также категории рисков. Эти мероприятия иногда находят свое отражение в иерархической структуре ресурсов.

Для процесса идентификации рисков также необходимо понимание планов управления расписанием, стоимостью и качеством, которые входят в план управления проектом. Выходы процессов из других областей знаний должны анализироваться для идентификации возможных рисков в рамках всего проекта.

Методы и средства:

Можно осуществлять структурированный анализ документации по проекту, включая планы, допущения, архив предыдущего проекта и другие источники. Качество планов, а также согласованность планов и их соответствие требованиям и допущениям проекта могут служить показателями возможности риска в проекте. Для идентификации рисков могут использоваться следующие методы сбора информации:

Мозговой штурм. Целью мозгового штурма является создание подробного списка рисков проекта. Обычно мозговой штурм проводит команда проекта, часто совместно с участием экспертов из разных областей, не являющихся членами команды. Генерация идей, относящихся к рискам проекта, происходит под руководством ведущего. За основу может приниматься система категорий рисков, например, иерархическая структура рисков. Далее риски подлежат идентификации и категоризации по типам, а их определения уточнению.

Метод Дельфи - это способ достижения консенсуса между экспертами. Данный метод предполагает, что эксперты по вопросам рисков проекта принимают в нем участие анонимно. С помощью опросного листа ведущий собирает идеи о важных рисках проекта. Составляются резюме ответов, которые потом возвращаются экспертам для дальнейших комментариев. Консенсуса можно достичь за несколько циклов этого процесса. Метод Дельфи помогает преодолеть необъективность в оценке данных и устраняет избыточное влияние отдельных лиц на результат работы.

Опросы. Проведение опросов среди опытных сотрудников, принимающих участие в проекте, среди участников проекта и экспертов в этой области, может способствовать идентификации рисков. Результаты опросов являются одним из основных источников информации в процессе сбора данных об идентификации рисков.

Идентификация основной причины. Это выявление наиболее существенных причин возникновения рисков проекта. Это позволяет дать более точные определения рискам и сгруппировать риски по причинам, их вызывающих. Реагирование на риски может быть эффективным только тогда, когда оно направлено на устранение основной причины возникновения риска.

Анализ сильных и слабых сторон, возможностей и угроз (анализ SWOT). Этот метод позволяет провести анализ проекта с позиции каждой из указанных выше сторон, что дает более полное представление о рисках проекта.

К методам отображения рисков в виде диаграмм относятся:

• Диаграммы причинно-следственных связей. Эти графики, известные также как диаграмма Ишикавы или диаграммы типа «рыбий скелет», используются для идентификации причин возникновения рисков.

• Системная диаграмма или диаграмма зависимостей процесса. Этот вид графического отображения демонстрирует порядок взаимодействия различных элементов системы между собой и их причинно-следственные связи;.

• Диаграммы влияния. Графическое представление ситуаций, отображающее взаимные влияния, временные связи событий и другие отношения между переменными и результатами.

Качественная и количественная оценка рисков

Качественная оценка рисков - процесс представления качественного анализа идентификации рисков и определения рисков, требующих быстрого реагирования. Такая оценка рисков определяет степень важности риска и выбирает способ реагирования. Доступность сопровождающей информации помогает легче расставить приоритеты для разных категорий рисков. Качественная оценка рисков - это оценка условий возникновения рисков и определение их воздействия на проект стандартными методами и средствами. Использование этих средств помогает частично избежать неопределенности, которые часто встречаются в проекте. В течение жизненного цикла проекта должна происходить постоянная переоценка рисков.

Количественная оценка рисков определяет вероятность возникновения рисков и влияние последствий рисков на проект, что помогает группе управления проектами верно принимать решения и избегать неопределенностей. Количественная оценка рисков позволяет определять:

• вероятность достижения конечной цели проекта;
• степень воздействия риска на проект и объемы непредвиденных затрат и материалов, которые могут понадобиться;
• риски, требующие скорейшего реагирования и большего внимания, а также влияние их последствий на проект.

Количественная оценка рисков часто сопровождает качественную оценку и также требует процесс идентификации рисков. Количественная и качественная оценка рисков могут использоваться по отдельности или вместе, в зависимости от располагаемого времени и бюджета, необходимости в количественной или качественной оценке рисков.

Планирование реагирования на риски, мониторинг и контроль

Планирование реагирования на риски - это разработка методов и технологий снижения отрицательного воздействия рисков на проект. Берет на себя ответственность за эффективность защиты проекта от воздействия на него рисков. Планирование включает в себя идентификацию и распределение каждого риска по категориям. Эффективность разработки реагирования прямо определит, будут ли последствия воздействие риска на проект положительными или отрицательными.

Стратегия планирования реагирования должна соответствовать типам рисков, рентабельности ресурсов и временным параметрам. Вопросы, обсуждаемые во время встреч, должны быть адекватны задачам на каждой стадии проекта, и согласованы со всеми членами группы по управлению проектом. Обычно требуются несколько вариантов стратегий реагирования на риски.

Мониторинг и контроль следят за идентификацией рисков, определяют остаточные риски, обеспечивают выполнение плана рисков и оценивают его эффективность с учетом понижения риска. Показатели рисков, связанные с осуществлением условий выполнения плана, фиксируются. Мониторинг и контроль сопровождает процесс внедрения проекта в жизнь.

Качественный контроль выполнения проекта предоставляет информацию, помогающую принимать эффективные решения для предотвращения возникновений рисков. Для предоставления полной информации о выполнении проекта необходимо взаимодействие между всеми менеджерами проекта.

Целью мониторинга и контроля является выяснить, было ли:

• система реагирования на риски внедрена в соответствии с планом;
• реагирование достаточно эффективно или необходимы изменения;
• риски изменились по сравнению с предыдущим значением;
• наступление влияния рисков;
• необходимые меры приняты;
• воздействие рисков оказалось запланированным или явилось случайным результатом.

Контроль может повлечь за собой выбор альтернативных стратегий, принятие корректив, перепланировку проекта для достижения базового плана. Между менеджерами проекта и группой риска должно быть постоянное взаимодействие, должны фиксироваться все изменения и явления. Отчеты по выполнению проекта должны формироваться регулярно.

Ссылки на литературу:

1. Дитхелм Герд Управление проектами. СПб, Бизнес-пресса, 2003, Том 1 «Основы», 390 с., Том 2 «Особенности», 274 с.

2. Мазур И.И., Шапиро В.Д. и др. Управление проектами (справочник для профессионалов). М.: «Высшая школа», 2001 - 880 с.

3. Под общей редакцией Шапиро В.Д. Управление проектами. Учебник. СПб.: «Два Три», 1996 - 610 с.

4. Покровский М.А. Основы управления проектами. Учебное пособие. Под ред. Фалько С.Г. М.: Изд-во МГТУ им. Баумана, 1998, 104 с.

5. Руководство к Своду знаний по управлению проектами. Третье издание (Руководство PMBOK)/. Американский национальный стандарт ANSI/PMI 99-001-2004.

6. Управление проектами. Основы профессиональных знаний. Национальные требования к компетенции специалистов. - М.: Изд-во «Консалтинговое Агентство «КУБС Групп - Кооперация, Бизнес-Сервис», 2001.

7. Щедровицкий Г.П. Организация. Руководство. Управление. (Оргуправленческое мышление: идеология, методология, технология. Курс лекций / из архива Г.П. Щедровицкого. Т.4). М.: «Путь», 2000 - 384 с.

8. Щедровицкий Г.П. Организация. Руководство. Управление. (Методология и философия оргуправленческой деятельности. Курс лекций / из архива Г.П. Щедровицкого. Т.5). М., 2003 - 288 с.