Что такое управление рисками: Управление рисками в бизнесе – не блажь, а необходимость – Управление рисками / Habr

Управление рисками — это… Что такое Управление рисками?

Управление рисками, риск-менеджмент (англ. risk management) — процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией.

Современная экономическая наука представляет риск как вероятное событие, в результате наступления которого могут произойти только нейтральные или отрицательные последствия. (Если событие предполагает наличие как положительных, так и отрицательных результатов, и в отдельных изданиях именуется спекулятивным риском, то оно исследовано экспертами не добросовестно. Эти события (а не событие) имеют дуальную природу и всегда (!) могут быть разделены на «шанс» (предполагаемое событие, способное принести кому-либо полезность, выгоду, прибыль) и «риск» (предполагаемое событие, способное принести кому-либо ущерб, убыток). Дуальные события могут быть сопутствующими (реализация шанса может повлечь за собой риск или наоборот), взаимоисключающими (игра в орлянку) или независимыми (реализация шанса и риска не зависит друг от друга, а определяется обстоятельствами и неопределенностью). Именно поэтому, в целях создания стройной системы взглядов на риск-менеджмент, следует признать все риски

чистыми, а дуальные события определенные как «спекулятивные» подвергать повторному анализу).

Цель риск-менеджмента в сфере экономики — повышение конкурентоспособности хозяйствующих субъектов с помощью защиты от реализации чистых рисков.

История теории риск-менеджмента

Теория риск-менеджмента основывается на трех базовых понятиях: полезности, регрессии и диверсификации.

В 1738 году швейцарский математик Даниил Бернулли дополнил теорию вероятностей методом полезности или привлекательности того или иного исхода событий. Идея Бернулли состояла в том, что в процессе принятия решения люди уделяют больше внимания размеру последствий разных исходов, нежели их вероятности.

В конце XIX века английский исследователь Ф. Гальтон предложил считать регрессию или возврат к среднему значению универсальной статистической закономерностью. Суть регрессии трактовалась им как возврат явлений к норме с течением времени. Впоследствии было доказано, что правило регрессии действует в самых разнообразных ситуациях, начиная с азартных игр и расчета вероятности возникновения несчастных случаев, и заканчивая прогнозированием колебаний экономических циклов.

В 1952 году аспирант Чикагского университета Гарри Марковиц в статье «Диверсификация вложений» («Portfolio Selection») математически обосновал стратегию диверсификации инвестиционного портфеля, в частности, он показал, как путем продуманного распределения вложений минимизировать отклонения доходности от ожидаемого показателя. В 1990 году Г. Марковицу присуждена Нобелевская премия за разработку теории и практики оптимизации портфеля фондовых активов.

Этапы риск-менеджмента

В риск-менеджменте принято выделять несколько ключевых этапов:

1. выявление риска и оценка вероятности его реализации и масштаба последствий, определение максимально-возможного убытка;
2. выбор методов и инструментов управления выявленным риском;
3. разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;
4. реализация риск-стратегии;
5. оценка достигнутых результатов и корректировка риск-стратегии.

Ключевым этапом риск-менеджмента считается этап выбора методов и инструментов управления риском.

Методы и инструментарий риск-менеджмента

Базовыми методами риск-менеджмента являются отказ от риска, снижение, передача и принятие.

Риск-инструментарий значительно шире. Он включает политические, организационные, правовые, экономические, социальные инструменты, причем риск-менеджмент как система допускает возможность одновременного применения нескольких методов и инструментов риск-управления.

Наиболее часто применяемым инструментом риск-менеджмента является страхование. Страхование предполагает передачу ответственности за возмещение предполагаемого ущерба сторонней организации (страховой компании). Примерами других инструментов могут быть:

• отказ от чрезмерно рисковой деятельности (метод отказа),
• профилактика или диверсификация (метод снижения),
• аутсорсинг затратных рисковых функций (метод передачи),
• формирование резервов или запасов (метод принятия).

Наиболее распространенные инструменты и методики (техники) менеджмента риска приводятся в международном стандарте ISO/IEC 31010:2009. В стандарте кратко описываются 31 техника менеджмента риска. Примеры техник включают: мозговой штурм, анализ «Что если…», FMEA, HAZOP, HACCP, диаграмма «галстук-бабочка», анализ дерева отказов, Байесовы сети, FN-кривые и др.

В этой статье не хватает ссылок на источники информации. Информация должна быть проверяема, иначе она может быть поставлена под сомнение и удалена. Вы можете отредактировать эту статью, добавив ссылки на авторитетные источники. Эта отметка установлена 15 мая 2011.

Критерии профессионализма риск-менеджера

Критерий 1. Эффективность программы риск-менеджмента, разработанная и внедренная в организации.

Критерий 2. Одна или несколько крупных проблем организации, которые обнаружил и решил риск-менеджер.

Критерий 3. Способность изобретательно применять широкий спектр инструментов риск-менеджмента и страхования.

Критерий 4. Примеры творческого и эффективного использования возможностей страхового рынка для создания системы защиты организации.

Критерий 5. Участие в создании системы разведки внутри и вне организации, которая эффективно собирает и хранит информацию о рисках, событиях и действиях, влияющих на управление рисками и страхованием организации.

Критерий 6. Способности квалифицированно управлять подразделением риск-менеджмента и осуществлять функцию риск-менеджмента в других подразделениях организации.

Критерий 7. Достижение наиболее экономически эффективной работы программы управления рисками в долгосрочной перспективе.

Критерий 8. Достижение высшей квалификации в одной или нескольких широких областях, что приводит к улучшению управления основными операциями организации.

Критерий 9. Проявление отношения и активные действия пo укреплению и развитию профессии «риск-менеджер».

Критерий 10. Продолжение образования в области управления рисками.

Сообщества, компании, профессиональные сайты по рискам

• GARP МИССИЯ: Как ведущая профессиональная ассоциация по управлению рисками, миссия Глобальной ассоциации профессионалов риска (GARP) заключается в продвижении профессии риск-менеджмента через образование, профессиональную подготовку и распространение передового опыта по всему миру.

См. также

Ссылки

Управление рисками в проекте

Как и любое серьезное начинание, ни один проект в процессе своей реализации не застрахован от рисков. Чем крупнее проект, тем больше и масштаб потенциальных рисков. Но когда речь идет об управлении проектами, по большей части нужно думать не об оценке рисков, т.к. она представляет собой промежуточное действие, а о разработке такого плана реагирования на изменения, который помог бы снизить степень рискованности. И в этом уроке мы поговорим о наиболее важных тонкостях и специфических особенностях управления рисками.

Проектные риски и неопределенность

Термин «риск» в проект-менеджменте означает вероятное событие, мешающее руководителю проекта и его команде достичь целей проекта или отдельных его параметров, обусловленных временными, количественными и стоимостными рамками. Риск связан с конкретными причинами и источниками и всегда имеет свои последствия. Другими словами, риск влияет на результаты проекта.

Риски проекта всегда связаны с неопределенностью. Исходя из этого, необходимо иметь представление о степени неопределенности и ее причинах. Неопределенность следует понимать как состояние объективных условий, в которых проект начинает реализовываться, но которое не позволяет предвидеть результаты принимаемых решений из-за неполноты и неточности информации. Степень неопределенности играет большую роль, т.к. проект-менеджер может управлять лишь теми рисками, по которым известно хотя бы что-то существенное.

Когда информации нет, любые риски называются неизвестными. Они требуют создания специального резерва без реализации управленческих процедур. Если же по угрозам есть даже минимальная информация, уже можно разрабатывать план реагирования, направленный на минимизацию риска. Ниже представлена схема управления рисками с позиции неопределенности:

Другой не менее важный нюанс для понимания специфики риска проекта – это динамичность карты рисков, изменяющаяся по мере решения проектных задач. Обратите внимание на модель динамики вероятности риска и объема потерь:

На начальном этапе проекта вероятность угрозы максимальна, однако возможные потери находятся на низком уровне. К окончанию же проектных работ возрастает величина потерь, но снижается вероятность угроз.

Руководствуясь этой особенностью, можно сделать два вывода: во-первых, в процессе осуществления проекта имеет смысл анализировать риски по нескольку раз (карта рисков всегда будет изменяться), а во-вторых, наиболее оптимально риски минимизируются на стадии разработки проекта или в процессе разработки проектной документации (это многократно снижает затраты, нежели на стадии непосредственной реализации проекта).

Концепция управления рисками

Методология управления рисками, имеющаяся на сегодняшний день, подразумевает активную работу с источниками и последствиями определяемых угроз. Вообще, управление рисками является совокупностью процессов, основой которых служит идентификация и анализ рисков и разработка мер по минимизации уровня негативных последствий как результата наступления рисковых событий.

В PMBoK (Своде знаний по управлению проектами (от англ. Project Management Body of Knowledge)) выделяются шесть основных процессов управления рисками. Визуальная схема их последовательности такова:

Т.е., к основным процедурам управления проектными рисками относятся:

• Идентификация рисков
• Анализ риска (качественный и количественный)
• Планирование реагирования на риски
• Контроль над рисками

Идентификация – это определение рисков, основанное на определении продуцирующих их факторов, а также документальное оформление параметров этих рисков. Качественный и количественный анализ причин возникновения и возможности отрицательных последствий необходимы для формирования оценочной процедуры. Планирование реагирования на найденные риски предполагает создание комплекса мер, направленных на снижение негативного воздействия рисков на параметры и результаты проекта. Но главенствующее место в этой системе занимают именно мониторинг рисков и контроль над ними – они осуществляются на протяжении всего жизненного цикла проекта.

Благодаря умелому управлению рисками можно достичь:

• Объективного восприятия и понимания участниками проекта неопределенностей и рисков, связанных с его реализацией, их источников и возможных отрицательных событий как результата появления рисков
• Поиска и расширения возможностей для эффективного решения проектных задач с учетом найденных неопределенностей
• Разработки путей минимизации проектных рисков
• Доработки проектных планов с учетом выявленных рисков и комплексов мер по их минимизации

Проектные риски могут управляться как менеджером проекта, так и всеми участниками проектной команды в разной степени. В процессе применяются методы экспертных оценок, мозговые штурмы, обсуждения и интервьюирование, а также программно-математический аппарат и т.д.

Перед тем как начинать управление рисками, необходимо сформировать информационный контекст, в который входят внешние и внутренние условия для решения задач. К внешним условиям относятся конкурентные, экологические, технологические, социальные, правовые и экономические, политические и прочие аспекты. А внутренние состоят из ряда характеристик – это:

• Характеристики проекта и его целей
• Характеристики структуры и целей компании-организатора проекта
• Корпоративные регламенты и стандарты
• Информация о ресурсном обеспечении проекта

Начинать же управление проектными рисками, как и следует полагать, нужно с планирования.

Планирование управления рисками

Планирование управление рисками – это первый процесс среди всего комплекса процедур по работе с проектными угрозами. Планирование – это инструмент, позволяющий определить выбранные методы, инструменты и степень организации управления относительно конкретного проекта. Институт по управлению рисками (PMI от англ. Project Management Institute) придает данному процессу огромное значение в плане коммуникации с каждой заинтересованной в проекте стороной. В Руководстве PMBoK предлагается такая схема планирования управления рисками:

План управления рисками является документом, состоящим из нескольких разделов, а именно из:

• Общих положений
• Основных характеристик компании-организатора проекта
• Уставных характеристик проекта
• Целей и задач управления рисками
• Методологического раздела с описанием методов, средств анализа и оценки, источников сведений, рекомендуемых для использования с целью управления проектными рисками (все инструменты и методы необходимо расписывать по стадиям проектной реализации)
• Организационного раздела, включающего в себя распределение ролей и ответственности среди членов проектной команды, а также описание взаимосвязей с другими элементами управления проектом
• Бюджетного раздела, включающего в себя правила формирования и обеспечения выполнения бюджета управления рисками
• Регламентного раздела с указанием сроков, периодичности и продолжительности операций по управлению рисками, форм и состава управляющих документов
• Метрологического раздела, состоящего из принципов оценки, правил пересчета параметров и справочных шкал (они выполняют функцию вспомогательных средств для качественного и количественного анализа)
• Пороговых значений рисков – допустимых значений рисковых параметров на уровне проекта и отдельных угроз (необходимо учитывать важность и новизну проектной реализации)
• Раздела отчетности, рассматривающего вопросы периодичности, формы, порядки заполнения, сдачи и рассмотрения отчетов
• Раздела мониторинга и документационного обеспечения управления проектными рисками
• Раздела шаблонов для управления проектными рисками

После завершения этапа планирования управления рисками следует процесс их идентификации.

Идентификация проектных рисков

В процессе идентификации определяются и демонстрируются проектные риски. Результатом становится перечень рисков, рассортированных по степени их опасности. Как и к планированию рисков, к их идентификации следует привлекать всех членов проектной команды и участников проекта.

Идентификация является повторяющимся процессом, т.к. по ходу развития проекта могут возникать новые риски и становиться известной ранее недоступная информация об уже выявленных. Частота повторений, а также состав участников идентификации могут варьироваться, исходя из ситуации. Риски всегда должны описываться последовательно, чтобы было обеспечено четкое и недвусмысленное понимание каждого из них – это позволит поддерживать эффективный анализ и разработку плана реагирования. Описания должны составляться так, чтобы было можно сравнивать взаимосвязи рисков с проектом и воздействием других рисков.

Идентификацию нужно проводить в соответствии с результатами изучения всех определенных ранее факторов, но нужно понимать, что далеко не каждый фактор может быть выявлен и управляем. По мере разработки и дополнения проектных планов нередко появляются новые источники угроз, а число потенциальных рисков увеличивается по мере продвижения проекта к полной реализации. Результативная идентификация зависит также от того, есть ли в распоряжении детальная классификация рисков. Одной из самых полезных классификаций служит классификация рисков по степени контролируемости, например, такая:

Классификация рисков по степени контролируемости полезна тем, что помогает четко определить, под какие конкретные неконтролируемые факторы необходимо создавать резервы. Однако контролируемость рисков не дает гарантии того, что в управлении ими будет достигнут успех, по причине чего нужно руководствоваться и иными способами деления. Также заметим, что универсальной классификации рисков на сегодняшний день нет, что обусловлено уникальностью каждого проекта и многообразием сопровождающих проекты рисков. Помимо этого достаточно сложно определить грань между схожими рисками.

Что касается типовых признаков классификации, то к ним относятся:

• Источники рисков
• Последствия рисков
• Методы минимизации угроз

На стадии идентификации чаще всего используют первый признак. Ниже предлагается одна из наиболее популярных классификаций проектных рисков по источникам возникновения:

Оставшиеся два признака полезны при анализе факторов риска. Поэтому имеет смысл рассмотреть виды проектных рисков на основе уникальности их факторов:

• Специфические риски с позиции локального проекта (риски, зависящие от инновационной технологии, и т.п.)
• Специфические риски с позиции типа реализации проекта (учитываются факторы для IT-проектов, инновационных проектов, строительных проектов и т.п.)
• Общие риски для всех проектов (низкий уровень бюджетной проработки, рассогласование планов и т.п.)

Правильная идентификация зависит от грамотной формулировки риска, и очень важно не перепутать риск, его источник и последствия. Формулировка риска состоит, как правило, из двух частей: указания источника возникновения риска и указания события, несущего в себе угрозу. После того как риски идентифицированы и сформулированы следует переходить к их анализу и оценке.

Анализ и оценка проектных рисков

Анализировать и оценивать риски необходимо для того чтобы преобразовать найденные на этапе идентификации сведения в данные, которые позволят принимать ответственные решения. Качественный анализ включает в себя комплекс экспертных оценок вероятных неблагоприятных последствий, зависящих от выявленных факторов. А количественный анализ позволяет определить и уточнить количественные показатели вероятности возникновения угроз. Количественный анализ отнимает больше сил, но более достоверен. Чтобы его провести, нужно иметь качественные входные данные и использовать эффективные математические модели. Проводить же его должен высококвалифицированный персонал.

Но нередко и качественных аналитических показателей бывает достаточно, однако для этого по завершении анализа проект-менеджер должен получить:

• Приоритизированный перечень рисков
• Перечень позиций, для которых нужно провести дополнительный анализ
• Общее заключение по рискованности проекта

Эксперты выделяют два вида оценок: оценку вероятности наступления рисковых событий и оценку степени их воздействия на проект. Главным результатом качественного анализа можно назвать перечень ранжированных рисков с произведенными оценками и карту рисков. Вероятности наступления рисковых событий и их воздействия разделяются на группы в определенном диапазоне значений.

После проведения оценок выстраиваются специальные матрицы с ячейками, где указываются результаты произведения значения вероятности на степень воздействия. Итоговые данные делятся на сегменты, играющие роль основания ранжирования рисков. Матрица вероятности и воздействия может выглядеть так:

Исходя из вероятности наступления риска и степени его воздействия на проект, каждому из рисков присваивается свой рейтинг. Матрица отображает выявленные организационные пороги для разных рисков (низких, средних и высоких), позволяющие произвести оценку рисков как низкие, средние и высокие применительно к проекту.

В итоге в матрице появляются сегменты недопустимых, средних и незначительных рисков, называемые пороговыми уровнями. Но кроме установления двух главных параметров (вероятности и воздействия) качественный анализ требует установления и самой возможности управления рисками. Так, риски могут быть:

• Управляемыми
• Частично управляемыми
• Неуправляемыми

Ниже представлен алгоритм принятия решения по выявлению степени управляемости и величины риска:

Если выявляются неуправляемые опасные риски, их нужно обсуждать с заказчиками и инвесторами, т.к. выявление подобных угроз может стать причиной остановки процесса осуществления проекта.

Другим результатом анализа и оценки риска является карта риска, в наглядной форме представляющая рассмотренную выше матрицу. Карты выглядит примерно так:

Большой круг в правом верхнем углу – это недопустимые риски. Вероятности, находящиеся снизу и слева от красной линии в центре – это неопасные риски. На основе этой карты рисков можно планировать способы реагирования на риски.

Планирование реагирования на риски

В практической деятельности обычно выделяют четыре категории последствий рисков:

• Влияющие на бюджет
• Влияющие на сроки
• Влияющие на качество продукта
• Влияющие на функционирование продукта

Планирование способов реагирования является регламентированной процедурой разработки плана снижения рисков. В этом процессе определяются оптимальные меры повышения вероятности успеха проекта, предполагающие реагирование на угрозы в порядке приоритета. При расчете проектного бюджета в него следует включать целевые ресурсы и операции, ответственность за которые распределена между участниками проекта.

Всего существует четыре основных метода реагирования на риски:

• Избегание рисков. Считается самым активным методом, однако применим он не всегда. Актуален в случаях, когда можно полностью исключить источники риска.
• Минимизация рисков. Еще один активный метод, состоящий в уменьшении вероятности и снижении опасности рисков. Риски в этом случае должны полностью поддаваться контролю (чаще всего это внешние риски).
• Передача-страхование рисков. Для использования метода нужно найти третью сторону, которая будет готова принять на себя риски и их негативные последствия.
• Принятие рисков. Предполагает осознанную готовность к рискам и направление всех последующих усилий на устранение последствий.

Такова вкратце методологическая база риск-менеджмента на сегодняшний день. Проект-менеджер в своей работе в обязательном порядке должен учитывать эту информацию, т.к. от нее и ее использование зависит эффективность командной работы и достижение целей проекта. Но намного важнее, конечно же, практические навыки идентификации, анализа и реагирования на риски. Поэтому в качестве дополнения к представленному материалу предлагаем вам познакомиться с десятью золотыми правилами управления рисками от Барта Джутта.

10 золотых правил управления рисками от Барта Джутта

Барт Джутт – управляющий директор нидерландской компании Concilio по разработке специализированного программного обеспечения и признанный авторитет в области риск-менеджмента с 15-летним опытом работы с проектами. В своем пособии по управлению рисками он формулирует 10 правил, позволяющих успешно работать с угрозами при реализации проектов.

1

Сделайте управление рисками частью проекта

Первое правило очень важно для успешного проектного риск-менеджмента. Если вы не сделаете управление рисками частью проекта, вы не сможете получить всех преимуществ от его использования. Некоторые компании, особенно те, которые сталкиваются с проектами впервые, не уделяют этому вопросу внимания, надеясь на то, что не столкнутся с рисками. От этого вся их проектная система становится неэффективной и подверженной массе опасностей. Но профессионалы всегда делают управление рисками частью своих ежедневных операций по проекту, в том числе и обсуждают соответствующие вопросы на совещаниях и мероприятиях по обучению персонала.

2

Определяйте риски на начальном этапе проекта

Первый этап в проектном риск-менеджменте основывается на выявлении присутствующих в проекте рисков. Для этого нужно сконцентрироваться на разработке возможных сценариев возникновения рисков. В работе следует использовать опыт и знания всех членов команды и участников проекта, а также сторонних экспертов. Такой подход позволит определить всевозможные угрозы, в том числе даже те, которые изначально не попали в поле зрения.

Для определения рисков рекомендуется проводить интервью и собеседования с членами команды, а также мозговые штурмы. Информация может заноситься в электронные документы и отражаться на бумаге. В качестве вспомогательных инструментов желательно использовать бизнес-планы, стратегии и прочие документы уже осуществленных проектов. Естественно, далеко не всегда можно определить все риски до их появления, но с помощью разных методов идентификации появляется возможность выявить большинство из них.

3

Сообщайте о рисках

Ошибка многих руководителей проектов состоит в том, что они не сообщают команде и другим участникам об угрозах. Причем это бывает даже в тех случаях, когда риски налицо. Но если у вас есть цель оперативно проработать угрозы, необходимо сразу же брать их во внимание и информировать о них других людей, чтобы своевременно включить в план работы задачи по их устранению.

4

На совещаниях по проекту информация о рисках всегда должна выноситься на повестку дня – это позволит обсудить проблемы, выделить время для их решения и выявить другие потенциальные угрозы, которые могут возникнуть. Не забывайте и о том, что обо всех рисках в обязательном порядке нужно сообщать спонсору и инициатору проекта.

5

Рассматривайте риски как возможности

Проектные риски – это в первую очередь угроза, но при помощи современных подходов можно найти положительные для проекта риски и сфокусироваться на них. Некоторые риски могут сослужить хорошую службу проекту, повлияв на его успешность и скорость реализации в позитивном ключе.

Чтобы у вас и у вашей команды была возможность найти обратную сторону рисков, нужно оставлять в запасе некоторое время на их дополнительное рассмотрение, а не бросаться, сломя голову, на их устранение. Даже 30 минут могут в корне изменить ситуацию, если вам удастся найти способ извлечь выгоду из, казалось бы, безвыходной ситуации.

6

Уточняйте вопросы ответственности

Ряд руководителей считает, что риски предупреждены уже после составления их перечня. Однако список служит лишь отправной точкой. Следующим шагом будет распределение ответственности за риски. За оптимизацию каждого риска для проекта должен отвечать конкретный сотрудник, и последствия такого подхода могут быть крайне благоприятны для исхода всего дела.

Изначально члены вашей команды могут чувствовать себя некомфортно, понимая, что на них возложена серьезная ответственность. Но с течением времени они адаптируются и станут выполнять действия и решать задачи по минимизации угроз должным образом.

7

Расставляйте приоритеты

Многие руководители предпочитают рассматривать и учитывать все риски в равной степени, считая, что это значительно упрощает реализацию проекта. Но это не лучшая стратегия, т.к. одни риски могут быть опаснее, чем другие, и степень их вероятности может быть выше. По этой причине лучше уделять время на проработку рисков, способных привести к самым крупным потерям.

Проанализируйте ваш проект на наличие недостатков, способных его подорвать. Если таковые имеются, присвойте им наивысший приоритет. Остальные риски следует приоритизировать, исходя из критериев важности, специфических для каждого конкретного проекта. Но обычно критериями служат последствия рисков.

8

Анализируйте риски

Четкое понимание характера риска – обязательное условие для управления им. По этой причине следует избегать поспешных выводов, а сосредотачиваться на более тщательном исследовании угроз. Анализ рисков осуществляется на нескольких уровнях. Если ваша цель – понять суть риска, подробно изучите его возможные последствия. Их скрупулезный анализ покажет вам особенности риска с позиции затрат, времени и качества результата.

А пристальное внимание к предшествующим возникновению риска событиям поможет составить список причин и обстоятельств его появления, благодаря чему можно будет разработать комплекс мер по их минимизации. Информация, собранная в процессе анализа, представляет собой ценные данные для проекта и служит исходным материалом для поиска мер по оптимизации рисков.

9

Планируйте риски

Наличие плана действий по работе с рисками повышает ценность всего проекта, т.к. вы имеете возможность предотвращать потенциальные угрозы и снижать воздействие уже существующих. А такой план можно составить только в том случае, если пройдены шаги, описанные выше, такие как разделение ответственности, приоритизация и анализ рисков.

При столкновении с угрозами есть несколько вариантов действий: минимизировать, избежать, принять или передать риски. Продумывайте стратегию реагирования на возможные риски, основываясь на этих вариантах. Понимание того, как действовать в ответ на угрозу, также помогает и в поиске самой угрозы.

10

Регистрируйте риски

Несмотря на то, что это правило по большей части относится к области бухучета, пренебрегать им не следует. Регистрация рисков позволяет отслеживать прогресс реализации проекта и всегда держать угрозы во внимании. Кроме того, это еще и отличный способ коммуникации, информирующий членов команды и участников проекта о происходящих событиях.

Заведите журнал рисков, в котором описывайте их, разъясняйте связанные с ними вопросы, анализируйте причины и следствия, а также фиксируйте наиболее эффективные способы реагирования. Такими записями вы всегда повысите эффективность своего риск-менеджмента.

Исследуйте риски и связанные с ними задачи

Благодаря регистрации рисков, о которой мы только что говорили, вы сможете отслеживать риски и связанные с ними задачи. Отслеживание является повседневной работой любого проект-менеджера, и его просто нужно внести в план своих дел на каждый день. Вместе с изучением сопутствующих задач гораздо легче выработать комплекс ответных мер.

Основное внимание в отслеживании рисков нужно уделять текущей ситуации в ходе проекта. Подумайте о том, какой риск наиболее вероятен на данный момент и изменились ли приоритеты рисков, чтобы понять, как действовать дальше и с какой стороны следует ожидать удара.

Грамотное управление проектными рисками сопряжено с множеством существенных выгод. Сюда относится и минимизация неопределенности, и нахождение массы возможностей и путей развития проекта, и соблюдение временных, стоимостных и качественных рамок, и, конечно же, получение прибыли.

Но все это станет реальностью только в том случае, если вместе с управлением рисками вы будете профессионально управлять и самими проектами. Для этого разработаны специальные методы, такие как Scrum, Agile, Kanban, PRINCE2 и некоторые другие. И в следующем уроке мы расскажем вам об этих методах и приведем их характеристики.

Проверьте свои знания

Если вы хотите проверить свои знания по теме данного урока, можете пройти небольшой тест, состоящий из нескольких вопросов. В каждом вопросе правильным может быть только 1 вариант. После выбора вами одного из вариантов, система автоматически переходит к следующему вопросу. На получаемые вами баллы влияет правильность ваших ответов и затраченное на прохождение время. Обратите внимание, что вопросы каждый раз разные, а варианты перемешиваются.

Сергей КрутькоКирилл Ногалес

Управление рисками — почему процедуры так редко работают? / Habr

Кажущаяся простота

В любом учебнике, включая PMBOK, процедура управления рисками описывается в кристально простых и понятных терминах.

Риск нужно:

• выявить
• подвергнуть качественному и количественному анализу
• поместить в соответствующий раздел матрицы рисков
• принять решение по работе с ним
• отслеживать до наступления или потери актуальности.

Однако в реальной жизни не так часто можно увидеть аккуратное следование этим процедурам и еще реже — пользу от этого.

За кажущейся простотой лежит ежедневная работа руководителя проекта, требующая дисциплины, творческого подхода и интеллектуальных усилий. А поскольку риск — это вероятное событие в будущем, которое может быть и не произойдет, заниматься этим сейчас некогда и не хочется — есть более насущные задачи.

Допустим, руководитель проекта понимает, что управлять рисками необходимо. Убеждать его в этом не нужно. Но как это сделать наиболее эффективным способом? Какие приемы и инструменты стоит использовать, чтобы с минимальными затратами времени действительно снизить потери от наступления рисков?

Инструменты работы с рисками

Есть набор обязательных инструментов, наличие которых, а также качество содержания уже говорит о том, что руководитель проекта старается управлять рисками. Это

• Реестр рисков
• Карточки критических рисков
• Поручения и задачи, связанные с рисками

Однако их наличие само по себе не обеспечивает результат.

Первое — необходимо правильно определить риск. Как правило, к неблагоприятным последствиям приводит цепочка событий. Что называть риском? Последствия или одно из событий, которые к нему приводят?

Давайте рассмотрим простой пример.

На рисунке приведена одна и та же цепочка, но акцент сделан на разных звеньях.

Можно попытаться никогда не опаздывать на работу. Например, чтобы наверняка избежать опоздания, выходить на полчаса раньше. И это хороший вариант, если вы — жаворонок, и полчаса сна утром для вас не является большой ценностью.

А можно перенаправить стационарный телефон на мобильный, и наверняка избежать пропущенного звонка, несмотря на опоздание.

Стоимость борьбы с вероятностью наступления риска в двух случаях разная. Полчаса сна или ничего не стоящее перенаправление на мобильный. В зависимости от определения, с чем мы боремся, стоимость предотвращения может различаться кардинально.

Рисковое событие — это то, с чем мы будем бороться, что мы будем пытаться предотвратить.

В качестве практической подсказки для определения рискового события можно использовать следующие критерии:

• Событие находится под непосредственным контролем — его можно распознать, на него можно воздействовать.
• Событие гарантированно приводит к наступлению последствий.
• Есть стандартный способ решения возникающей проблемы и этот способ, как правило, недорогой.

Выявление рисков — процесс постоянный. Они могут быть сформулированы на основе предыдущего опыта, анализа текущей ситуации, их может сообщить кто угодно, и в какой угодно форме. Если держать глаза открытыми, информация о рисках будет всегда.

Вопрос в том, что из этого достойно попасть в реестр?

Запись в реестре рисков должна отличать конкретность:

• Если произойдет…
• Наступят последствия…
• Мы по этому поводу можем сделать следующее..

По каждому риску назначается ответственный и дата контроля.

Я рекомендую следующую структуру реестра рисков, которая, впрочем, может быть изменена или дополнена в соответствие с конкретными условиями и предпочтениями:

1. № — Уникальный код риска
2. Название — краткое обозначение риска
3. Описание — описание рискового события и последствий
4. Открыт — Дата регистрации риска
5. Инициатор — ФИО инициатора
6. Контроль риска — ФИО ответственного за регулярный контроль риска
7. Приоритет — Высокий/ Средний/ Низкий
8. Требуемая дата решения — Когда нужно решить о действиях по риску или проблеме
9. Последствия наступления риска (сроки и стоимость) — К чему приведет наступление риска, в численном выражении.
10. Действия по борьбе с риском — Что делать с риском
11. Ответственный за действия — Кто должен эти действия выполнить
12. Плановая дата действий — Когда нужно выполнить действия
13. Действия при наступлении риска — Что делать, если риск наступит
14. Дата статуса — Дата обновления статуса
15. Статус — Открыт/ Анализ выполнен/ Решено/ Закрыт

Карта риска

Наиболее важные риски достойны того, чтобы по ним создать отдельный документ — карту риска.

В карте риска мы пишем:

• подробное описание того, что может произойти
• какие последствия возникнут, желательно выраженные в деньгах
• вероятность возникновения
• варианты действий (ничего не предпринимать, сделать что-то, сделать что-то другое)
• Решение и план действий

Карта риска очень удобна для эскалации. Если действия зависят от кого-то другого, кто не во власти руководителя проекта, то эскалация необходима.

3. Исполнение плана работы с рисками

Можно выявлять риски, вести реестр, оформлять карточки. Но если нет действий по рискам, то все предыдущие шаги оказываются бесполезными.

Возможны следующие стратегии работы с риском и примеры ее применения:

• Уклониться — не делать проект; отказаться от применения неизвестной технологии.
• Сдерживать — предпринять любые действия по снижению вероятности или степени влияния последствий: привлечь субподрядчика с соответствующим опытом; переместить рискованные задачи в начало проекта; провести дополнительное тестирование.
• Принять — сформировать резерв под наступление риска (временной буфер, запас в бюджете)
• Передать — возложить кого-то (заказчика, подрядчика, страховую компанию) ответственность за реализацию задачи, по которой есть риск, или его последствия.

После того, как вы решили, какую стратегию выбрать, запланировали действия, важно обеспечить их выполнение.

На одном из проектов я применял следующую практику. Назначал совещание по рискам с заместителем генерального директора заказчика и приходил с несколькими карточками рисков. Просил прочитать, при необходимости что-то пояснял, просил выбрать один из вариантов или сформулировать другое решение. После этого — расписаться на бумаге. Это очень стимулировало к действиям людей в подчинении этого руководителя.

Однако не всегда такая схема применима, если не соответствует корпоративной культуре или у руководителя есть тактика ухода от решения. Манипуляция — дело творческое.

На другом проекте мы оформляли карты рисков на портале проекта (см. Использование JIRA и Confluence в ведении проекта), которые потом собирались в реестр автоматически. Такой вариант удобнее, чем пытаться вместить все обилие информации в таблице Excel. Более того, за счет связи с системой управления задачами было легко вести планирование и контроль действий по рискам.

Это изложение не претендует на строгость терминов и полноту раскрытия темы. Вместо этого я постарался поделиться тем, что реально работает.

Если осознавать важность управления рисками, систематически пользоваться инструментами и подходить к этому практично, то можно избежать множества осложнений и вызванной ими лишней работы.

Система управления рисками в организации и на предприятии

Современный деловой мир динамичен. После двух лет междувременья (2014-2015 гг.) постепенно проступают черты новой реальности для перспектив развития бизнеса в России. В условиях сжавшегося рынка и слабого рубля предприятия вынуждены формировать и всемерно развивать свой экспортный потенциал, что потребует дополнительной перестройки менеджмента. В этой связи система управления рисками, которую так или иначе придется создавать предприятиям, может стать ресурсом привлекательности для инвесторов и фактором успеха на внешних и внутренних рынках.

Сущность управления рисками

Данная статья перекликается с материалами статьи на тему организационных аспектов риск-менеджмента на предприятии. Под управлением рисками предлагается понимать совокупность целенаправленных процедур по выявлению, оценке и уменьшению риска до установленных стратегическим выбором значений, предполагающая многоступенчатый процесс реализации. Экономической целью управления служит уменьшение или компенсация ущерба для организации при возникновении неблагоприятных последствий решений.

В условиях неопределенности хозяйственной деятельности предприятия управление риском представляет собой комплекс регулирования стратегических, тактических, проектных и оперативно-производственных отношений. Комплексный подход имеет ряд преимуществ (ниже размещена соответствующая схема), и с позиции функций управления задействуется практически весь арсенал средств менеджмента, включая компоненты финансового управления, логистики, экономики, учета, продаж и т.д. Комплекс процедур направлен на:

• прогнозирование рисковых событий и их идентификацию;
• обоснование уклонения от риска;
• обоснование допустимости риска;
• минимизацию риска с применением доступной гаммы инструментов;
• устранение причин и последствий рисковых событий;
• адаптацию компаний, выстоявших в кризисный период, к новым условиям хозяйствования;
• защиту от банкротства.

Схема демонстрации преимуществ комплексного подхода к управлению рисками

Неопределенность деятельности слабо коррелирует с масштабами деятельности. Действительно, регулярный менеджмент, который удается развернуть на крупных предприятиях, дает значительную «фору» в сравнении с эмпирическими методами управления в малом бизнесе. Но, во-первых, себестоимость управления резко возрастает, во-вторых, само число факторов риска становится значительно больше. Поэтому с уверенностью можно утверждать, что одним из условий успешности деятельности является исполнение руководством бизнеса, независимо от его размера, антирисковых мероприятий. Другой вопрос, насколько системным является управление рисками?

Объектами управления выступают собственно риск, экономические отношения, сопутствующие вероятным неблагоприятным событиям и рисковые инвестиции. Субъекты управления могут быть рассмотрены как в широком, так и в узком смысле слова. С общей позиции ими выступают все члены коллектива организации, включая руководителей и сотрудников. В узком смысле субъектами являются специально уполномоченные руководители, сотрудники и подразделения компании. Цели и задачи управления рисками связаны с этапами развития бизнеса и прохождения им стадий жизненного цикла. Схема изменения состава целей управления на этапах деятельности организации и соответствующие им задачи показаны на схеме далее.

Динамика целей и состав задач управления рисками по этапам развития компании

Понятие и содержание систем управления рисками

Система управления рисками (СУР) как совокупность взаимосвязанных элементов, с одной стороны, содержит две подсистемы: управляющую и управляемую. Кроме того, СУР выступает компонентом системы более высокого ранга – общекорпоративного менеджмента и руководствуется предписаниями стратегии организации. С другой стороны, система включает в себя технологический комплекс управления и комплекс организационных средств и структур. Обратите внимание на схему «Здания СУР», представленную далее. В ней отображены основные элементы системы управления рисками.

Схема «Здание СУР» во взаимосвязи технологических и организационных аспектов

Система управления рисками на предприятии – это элемент механизма внутреннего контроля и управления рисками, который является частью общекорпоративного управления, технологическим средством и инструментами, обеспечивающими эффективность функционирования риск-менеджмента. Данная система обеспечивает организационные предпосылки, принципы и структуры для проектирования, внедрения и совершенствования бизнес-процессов управления рисками организации. Таким образом, СУР создает инфраструктуру для риск-менеджмента на регулярной основе.

Обеспечение минимизации уровня неопределенности в отношении достижимости поставленных перед руководством задач, разработка и практическое развитие процессов управления рисками является главной целью СУР. Под указанными задачами рассматриваются результаты, подлежащие достижению согласно стратегии развития, в программах тактического и операционного уровней. СУР служит регламентированному управлению оцененными рисками, а также поддержанию на уровне предпочтительного приемлемого риска интегрального риска компании. Схема взаимосвязи управления интегральным риском с заинтересованными сторонами размещена ниже.

Схема урегулирования конфликта ведущих лиц бизнеса через управление интегральным риском

Система риск-менеджмента, особенно в крупных компаниях, называется корпоративной системой управления рисками (КСУР). Помимо простого расширения аббревиатуры, это, как правило, влечет повышение требований к уровню регламентации деятельности в рамках системы. С позиции решения основных задач в КСУР последовательно выполняются следующие этапы.

1. Диагностика СУР на уровне единиц бизнеса и всей компании.
2. Разработка основных структур КСУР (организационной, информационной, финансовой и т.п.).
3. Создание регламентационного и методологического обеспечения КСУР.
4. Структуризация баз данных по выявленным рискам и состоявшимся рисковым событиям.
5. Разработка механизмов мониторинга и отчетности по возникшим событиям.
6. Выявление, идентификация и оценка рисков, составление плана по их минимизации и компенсации.
7. Формирование карты рисков.
8. Интеграция процедуры актуализации карты в процесс бизнес-планирования.
9. Анализ и оценка фактов реагирования на рисковые события.

Специфика стандартизации управления рисками

Системы управления рисками на отечественных предприятиях строятся на основе достаточно слабо адаптированных к нашим реалиям западных стандартов. Я не рассматриваю здесь опыт банков и страховых компаний. Представляется, что в данном секторе экономики точка невозврата пройдена и темпы развития риск-менеджмента и поддерживающих их СУР можно считать удовлетворительными. Интересует, на что могут опереться российские компании, в первую очередь, производственного сектора, чтобы достаточно оперативно нарастить свой потенциал управления рисками? Для этого нужно коснуться истории развития системного подхода к риск-менеджменту в мире и в нашем государстве.

Схема мировой истории развития стандартов в области управления рисками

Состав действующих национальных и международных стандартов в области риск-менеджмента

Выше представлены схема истории стандартизации и состав действующих стандартов в области риск-менеджмента в мире. Очевидно, что для того чтобы российское предприятие удовлетворяло запросам инвесторов и вызывало доверие на международной арене, подход к построению КСУР должен быть, по крайней мере, близок к мировым стандартам. И чтобы удовлетворить требования биржевых торговых площадок, международного и российского корпоративного законодательства, сама система должна быть прозрачна и понятна для компетентного заинтересованного лица.

Модель управления рисками COSO ERM не является стандартом и представляет собой глубокую методологическую разработку. Поэтому куб COSO трудно обойти вниманием и не акцентировать его основные постулаты. Ниже представлены две схемы, дающие обзорную картину данной концепции. В модели:

• определены основные понятия системы внутреннего контроля;
• подробно описаны основные компоненты процесса управления рисками;
• представлена интегрированная модель управления рисками в кубической визуальной форме;
• выработаны принципы настоящей системы управления;
• сформулированы функции и обязанности участников процесса управления рисками;
• описан собственно процесс управления;
• даны рекомендации внешним и внутренним заинтересованным сторонам в обеспечении успешного функционирования СУР в компаниях.

Основные компоненты модели управления рисками COSO ERM

Компания всегда остается один на один со своими рисками и на внутренних рубежах занимает оборону от угроз и последствий их воплощения. Регулятивные органы также занимают свое место на «дальних подступах к фронту боевых действий». И поддержка регуляторов, безусловно, нужна бизнесу. Другое дело, что отечественные стандарты представляют собой «кальку» с западных аналогов. При этом нужно понимать, что реальная практика общей массы фирм в развитых странах ушла далеко вперед в силу более длительной истории и другого уровня управленческой культуры. Тем не менее, в качестве базиса предоставляемые регуляторами ресурсы полезны для старта внедрения КСУР.

Схема состава регуляторов, определяющих требования к СУР

Алгоритм построения КСУР в компании

Мы с вами помним аксиому, что менеджмент и его компоненты находятся в связке со стратегией компании. Она определяет принципы управленческой деятельности и основные акцентные точки. Специфика управления рисками состоит в том, что локальная стратегия работы с рисками подвергается серьезной корректировке в середине процесса управления. Для построения СУР важен опыт компании в практическом применении финансово-экономической теории, налогового и гражданского права, внешних нормативных актив и стандартов.

Внутренние и внешние опоры построения СУР в компании

Построение системы управления рисками по модели, которая предлагается ниже, основано на опыте российских компаний с ориентиром на методику COSO. Данная модель подразумевает следующие этапы алгоритма.

1. Анализ среды. В первую очередь анализируют элементы внешней среды (деятельность ЦБ РФ, Госдумы, Минфина, ФНС и т.д.), предпринимательскую среду, конъюнктуру рынка, ресурсы предпринимательской деятельности. Все это создает внешние факторы риска.
2. Установление заказчика процессов управления рисками. От этого зависит успех внедрения КСУР. Очень часто в российских компаниях заказчиком выступает финансовая служба, что связано с доминирующей ролью финансовых рисков функционирования компании. Заказчиком в ряде случаев выступает генеральный директор, и особенно ценно, если его начинания поддерживаются позицией основных акционеров.
3. Определение организационной структуры управляющей подсистемы. Система может управляться специально выделяемым специалистом или руководителем обособленного подразделения, который координирует различные направления: рисковых вложений, страховых операций, венчурных инвестиций. Такое организационное построение носит название концентрированной модели. Вторым вариантом организации СУР может выступать распределенная модель управления рисками.
4. Разработка регламентирующей документации системы: политики управления рисками, положения (концепции) по управлению рисками, декларации о рисках. Политика служит основным документом КСУР, она находится в общем доступе на корпоративном портале.
5. Разработка и корректировка корпоративной карты рисков. Здесь циклически реализуются мероприятия по выявлению, идентификации и оценке рисков компании.
6. Выработка стратегии управления рисками. В стратегии, помимо принципов выбора методов работы с рисками, механизмов их финансирования, особое место занимают показатели эффективности СУР и распределение зон ответственности между управляющей компанией и единицами бизнеса.
7. Собственно реализация программы минимизации и компенсации рисков.
8. Разработка процесса оперативного регулирования рисков.
9. Регулярный аудит КСУР.
10. Внедрение процедур информирования об изменениях в КСУР.
11. Создание и развитие систем контроля и мониторинга.
12. Внедрение процедур сохранения и архивирования информации, генерируемой в системе.

Принципы реализации СУР

Принципы функционирования СУР в компании определяют также процессы ее внедрения и развития. Данные принципы подлежат соблюдению руководителями, ответственными за исполнение процедур системы специалистами и всеми сотрудниками компании.

1. Принцип ориентации на цели. Цели прописаны в стратегических документах компании: в стратегиях развития, плане стратегических мероприятий, корпоративных картах, бизнес-планах.
2. Принцип балансировки рисков и прибыли. СУР должен способствовать балансу между риском и доходностью (прибыльностью) бизнеса с учетом требований законодательных актов и положений внутренних регламентов.
3. Принцип учета неопределенности. Неопределенность присутствует в любой бизнес-деятельности и является неотъемлемой частью принимаемых в компании решений. СУР служит систематизации сведений об источниках (факторах) неопределенности и содействует ее снижению.
4. Принцип системности. Системный подход позволяет вовремя и полноценно выявить, идентифицировать и оценить риски, снизить их негативные последствия или компенсировать влияние на результаты деятельности.
5. Принцип качественной информации. Для функционирования СУР требуется своевременная, безопасная и точная информация. При принятии решений, тем не менее, нужно учитывать ограничения и допущения источников сведений, возможную субъективность позиции экспертов и особенности используемых методов оценки и моделирования рисковых ситуаций.
6. Принцип закрепления ответственности за управление рисками. Вводится понятие «владелец риска», этот статус присваивается одному из руководителей компании. Ему придается ответственность за соответствующие процедуры управления в пределах приданных полномочий и функционального состава.
7. Принцип эффективности. СУР должна обеспечивать разумное и экономически обоснованное сочетание результативности управления и расходов на его организацию и производство.
8. Принцип непрерывности. СУР функционирует в условиях регулярности (цикличности) основных процессов и их непрерывности. Процессы системы берут начало в момент разработки стратегии компании и охватывают все области ее деятельности.
9. Принцип интеграции. Система принятия решений на всех уровнях управления должна включать в свой состав предметную сферу СУР. Решения вырабатываются и утверждаются с учетом обстоятельств и вероятности возникновения неблагоприятных последствий, связанных с их принятием.
10. Принцип расширенности. СУР предполагает выявление, оценку и урегулирование всех возможных угроз деятельности, не ограничиваясь только финансовыми и страхуемыми рисками. По трем последним принципам далее представлены схемы их основных элементов.

Состав процедур принципа непрерывности СУР

Состав процедур принципа непрерывности СУР

Схема основных элементов принципа расширенности СУР

Оценка компании на предмет управления рисками

Что делать компании, если она только задумывается о внедрении СУР или, если элементы системы уже присутствуют, но непонятно, как и в каком направлении двигаться дальше? Специалисты рекомендуют в таком случае выполнить анализ системы управления рисками на предприятии с целью определить ее сильные и слабые стороны и пути дальнейшего развития.

Действующим и потенциальным заинтересованным сторонам в деятельности компании и в инвестировании в нее очень полезно было бы узнать о реальном состоянии дел с позиции регулярного риск-менеджмента. Консалтинговая группа KPMG в 2015 году проводила исследование «Практика управления рисками в России», в котором к 48 респондентам обратились с вопросом о проведении диагностики СУР. Результаты ответов представлены на диаграмме далее.

Результаты опроса 48 компаний России о диагностике СУР. Источник: KPMG Россия. 2015

В исследовании отмечается, что в большинстве своем оценка системы проводится силами внутреннего аудита. Многие компании проводят диагностику силами других внутренних подразделений. Например, ответственность за эту работу возлагается на риск-менеджера или на подразделение, которое координирует функционирование СУР в компании. Значительная часть компаний приглашают консультантов. В основном это крупные компании и организации с участием иностранного капитала.

В любом случае, оценку системы проводить нужно и достаточно регулярно. Лучше, если диагностические мероприятия проводятся в независимом режиме, объективности больше. Однако на первых порах можно начать с процедуры самооценки. Это полезно и просто. Я бы предложил руководителю компании, начинающей работу в данном направлении, провести тестирование риск-менеджмента. Собрать совет директоров или правление, пригласить на него несколько перспективных и опытных специалистов, которые «болеют» за бизнес, и в режиме групповой работы заполнить размещенную ниже таблицу.

Таблица самооценки риск-менеджмента в компании

Выполните следующую инструкцию по работе с таблицей.

1. Разбейте собравшихся руководителей и специалистов на четыре группы.
2. Каждой группе выдайте пустой бланк таблицы.
3. Попросите каждую группу перечислить пять наиболее важных рисков, с которыми сталкивается компания.
4. Предложите участникам оценить каждый риск по 10-ти бальной шкале по критерию важности.
5. Попросите оценить эффективность управления каждым из рисков.
6. Соберите таблицы, поручите секретарю составить единый перечень рисков и подсчитать уровень разрыва для них в виде разницы между важностью и эффективностью.
7. Если ответы у групп будут существенно отличаться, то рисков вероятно окажется значительно больше, чем можно было себе представить.

Современное состояние управления рисками в России

В условиях современных российских реалий, к сожалению, говорить о создании полноценной системы риск-менеджмента на малых предприятиях пока не приходится. Речь можно вести о крупных компаниях и части бизнеса среднего масштаба, но уже имеющего развитые элементы регулярного менеджмента. Надо понимать, что у нас часто риск-менеджмент прорастает поэлементно, по назревшей потребности (например, имеются техногенные угрозы, экологические риски, постоянные потери, возникающие при транспортировке грузов). На Западе превалирует интегрированный подход к созданию СУР, в нем управление выстраивается для всей гаммы факторов риска. При этом методики внедрения и архитектура системы носят унифицированный характер.

В России несколько иначе. Допустим, институт страхования рисков исторически сложился в компании, и он начинает обрастать дополнительными «опциями», постепенно расширяясь в спектре работы с рисками. И в какой-то степени «велосипед изобретается заново» по уникальному алгоритму. Я не беру во внимание компании с участием иностранного капитала или бизнес олигополий или монополий. В них реализуется подход как раз с западной рисковой культурой. К сожалению, на отечественных предприятиях недостаточно реализуется принцип комплексности СУР. Этому много причин.

1. Первая, и, пожалуй, главная причина кроется в слабом осознании владельцами изменившейся среды бизнеса. Отдача от проектов внедрения СУР ими не ощущается в полной мере. Но ситуация быстро меняется, нужно выходить на внешние рынки. Это означает, что без реально работающих систем риск-менеджмента наши предприятия быстро проиграют конкуренцию. Владельцы бизнеса и топ-менеджмент уже начинают это понимать.
2. Вторая причина лежит в относительно высоких и длительных расходах на развитие систем управления рисками, которые имеют большой период окупаемости. Это в условиях продолжительной кризисной ситуации в экономике не способствует выделению соответствующих бюджетов. Однако эффективность СУР, к счастью, нетрудно рассчитать. Достаточно собрать статистику потерь от реализованных угроз за последние несколько лет и отследить динамику их изменений. Необходимо вычесть из суммы снижения потерь расходы на внедрение системы и эффект станет очевиден. Этот простой расчет может быть положен в основу KPI для руководителя отдела и риск-менеджеров, стать интересным стимулом для прямой мотивации сотрудников.

Управление рисками – не первый и не последний компонент системы менеджмента компании, который предстоит российскому бизнесу интегрировать в сферу своей регулярной деятельности. Конечно, это происходит непросто и не так быстро, как хотелось бы. Однако события развиваются своим чередом, и особых альтернатив у нас нет. Регуляторам хочется пожелать на базе международного опыта и национальных стандартов сделать хороший шаг вперед и разработать действительно добротную отечественную методику, подобную COSO. Бизнесменам же я желаю, считая экономику, смелее внедрять КСУР, не боясь экспериментировать. Это эффективно.

Управление рисками организаций — Википедия

Материал из Википедии — свободной энциклопедии

Управление рисками организаций (Система управления рисками^[1]; англ. Enterprise risk management) — процесс, выполняемый советом директоров и другими сотрудниками, начинающийся с выработки стратегии и затрагивающий всю деятельность компании и направленный на обнаружение событий, которые могут оказать влияние на компанию, управление соответствующим риском и контроль аппетита к риску в рамках достижения целей компании^[2][3].

Также ERM может характеризоваться как современная и интегрированная единая система управления (фреймворк) ключевыми рисками с целью достижения бизнес-целей, минимизации непредвиденной волатильности доходности и максимизации стоимости компании^[4]:53.

Выделяется три основные причины для внедрения ERM^[4]:54.

Организационная эффективность[править | править код]

В большинстве финансовых компаний в том или ином виде имеются функции риск-менеджмента и корпоративного контроля. Однако назначение в рамках ERM директора по рискам (англ. Chief Risk Officer; CRO) позволяет создать нисходящую координацию этих функций и повысить их эффективность. Такой подход позволяет обрабатывать не только риски, специфические для бизнес-направлений, но и взаимосвязи между ними^[4]:54-55.

Отчётность[править | править код]

При традиционном подходе сводная отчётность по рискам может быть искажена ввиду отсутствия ответственных за неё сотрудников: все бизнес-направления отвечают только за специфические для них риски.

ERM позволяет приоритизировать риски и объём раскрытия информации по ним в сводной отчётности, предоставляемой высшему руководству. По сути ERM позволяет ввести единую панель риск-индикаторов (англ. risk dashboard), предоставляющую своевременную и компактную отчётность по ключевым рискам^[4]:55.

Эффективность бизнес-деятельности[править | править код]

Внедрение ERM позволяет повысить эффективность бизнес-деятельности благодаря оптимизации бизнес-решений по размещению капитала, разработке продуктов и их прайсингу, а также M&A. Компании с ERM находятся в целом в более выгодном положении: единый фреймворк позволяет принимать более выгодные риски по сравнению с компаниями, использующими традиционный подход^[4]:55-56.

Позиция директора по рискам (англ. Chief Risk Officer; CRO) была выделена в финансовых компаниях в начале 1990-х годов. CRO отвечает за централизованное управление рисками, получая отчётность от руководителей подразделений контроля кредитного, рыночного, операционного рисков, управления страхованием и портфелем. В свою очередь, CRO отчитывается перед CEO. Именно директор по рискам является ответственным за разработку и внедрение ERM-фреймворка с учётом всех необходимых рисков^[4]:57-58.

ERM подразумевает управление рисками в рамках единого интегрированного фреймворка^[5].

Макроуровень[править | править код]

Преимуществом использования ERM на макроуровне является возможность достижения оптимального баланса между принятым риском и доходностью^[5].

При допущении идеальных рынков стоимость капитала компании определяется недиверсифицируемым (систематическим) риском. Однако в реальности стоимость создаётся и уменьшением диверсифицируемого риска, специфического для конкретной компании. Например, компания может быть подвержена риску фондирования. В рамках единой стратегии ERM компания может захеджироваться от такого риска, тем самым поддержав выполнение своего стратегического плана^[5].

Микроуровень[править | править код]

Управление на микроуровне относится к оценке каждого проекта на предмет соответствия оптимальному соотношению риска и доходности. Децентрализация на этом уровне определяется двумя основными принципами:

• Оценка каждого проекта должна выполняться с учётом его влияния на совокупный риск компании.
• Каждое бизнес-подразделение должно быть оценено на предмет своего вклада на совокупный риск компании^[5].

Такая децентрализация на микроуровне приводит к следующим изменениям на уровне корпоративного риск-менеджмента:

1. Общее улучшение риск-культуры компании.
2. «Персонализация» рисков: оценка KPI, основанная на уровне риска, служит стимулирующим фактором для менеджеров.
3. Оценка специфических рисков выполняется наиболее компетентными в соответствующих бизнес-направлениях сотрудниками^[5].

Качественный фреймворк ERM состоит из 7 основных компонентов:

1. Корпоративное управление (англ. Corporate governance) — совет директоров и руководство высшего звена должны выстроить организационные процессы и установить процедуры корпоративного контроля для эффективной оценки и управления риском в компании.
2. Линейное управление (англ. Line management) — выстраивание бизнес-стратегии в соответствии с общей корпоративной риск-стратегией.
3. Управление портфелем (англ. Portfolio management) — агрегирование и диверсификация рисков, а также их мониторинг относительно заданных лимитов.
4. Передача риска (англ. Risk transfer) — снижение/аутсорсинг нежелательных или концентрированных рисков, а также хеджирование рисков внутри портфеля.
5. Аналитика риска (англ. Risk analytics) — количественная оценка подверженности риску для дальнейшего анализа и отчётности.
6. Технологические и информационные ресурсы (англ. Data and Technology Resources) — улучшение качества данных для оценки рисков.
7. Управление отношениями с заинтересованными сторонами (англ. Stakeholder management) — имеет важное значение для составления кредитных рейтингов, а также внешнего анализа деятельности компании и принятия кредитных решений^[4]:61-66.

Этапы разработки ERM:

1. Определение допустимого уровня риска.
2. Определение уровня капитала компании, необходимого для поддержки текущего уровня бизнес-деятельности, в контексте установленного кредитного рейтинга.
3. Определение оптимального соотношения капитала и риска при установленном кредитном рейтинге.
4. Децентрализация определения соотношения капитала и риска посредством распределения капитала и системы мотивации менеджеров^[5].

Этапы внедрения ERM:

1. Определение и классификация рисков, которым подвержена компания.
2. Разработка целостного метода оценки подверженности компании рискам, выявленным на первом этапе^[5].

• Chapman R. J. Simple Tools and Techniques for Enterprise Risk Management. — John Wiley & Sons, 2011. — 494 p. — (The Wiley Finance Series). — ISBN 1119995531.
• Nocco B. W., Stulz R. M. Enterprise Risk Management: Theory and Practice : [англ.] // Journal of Applied Corporate Finance. — 2006. — Vol. 18, no. 4. — P. 8—20. — doi:10.1111/j.1745-6622.2006.00106.x.
• Lam J. Enterprise Risk Management: From Incentives to Controls. — 2. — John Wiley & Sons, 2014. — 476 p. — (Wiley Finance). — ISBN 9781118834435.

Немного теории об управлении рисками / Habr

Вводная информация по управлению рисками

К теме управления рисками я решил обратиться по нескольким причинам:

• недавно я разрабатывал методику и процедуру по управлению рисками в компании, где я работаю (разработка ПО под заказ, аутсорсинг) – соответственно, было перерыто и изучено очень много материалов, информация из которых потом была структурирована и оформлена в отдельный документ, который сейчас используется
• само по себе управление рисками является одной из ключевых активностей на проекте: на мой взгляд одной из самых сложных, но в то же время интересных (из каждого риска и события можно извлечь выгоду)
• как показывает опыт работы в компаниях-разработчиках ПО, управлению рисками выделяется либо очень мало времени, либо ими начинают управлять только тогда, когда они становятся проблемами (что, согласитесь, довольно поздно). Надеюсь, что информация, собранная здесь, подтолкнет интересующихся к дальнейшему изучению темы и внедрению соответствующих практик в работе

Однако стоит помнить следующее – управление рисками в любой сфере человеческой деятельности, на мой взгляд, это все-таки только прикладная дисциплина, которая предоставляет общие и практические рекомендации.

Ответы же на все вопросы в каждой конкретной ситуации придется искать самостоятельно – так что не стоит видеть в процессе управления рисками какой-то панацеи от всех бед, либо немедленного и радикального улучшения процесса разработки. Впрочем, несмотря на это, я считаю управление рисками обязательной частью хорошего процесса управления проектами.

Определение риска

Определений рисков огромное множество и все они, в принципе, общеизвестны и интуитивно понятны. Приведу тут лишь несколько запомнившихся мне цитат.

Risks are schedule delays and cost overruns waiting to happen (by Peter Kulik)

Risk is the possibility of suffering loss (SEI, Dorofee 96)

Также следует понимать основное отличие понятия риска от понятия проблемы:

• риск это некоторое событие, которое может случиться в будущем и может привести к определенным потерям (снижение качества продукта, перерасходование бюджета, задержка сроков либо полной неудачи проекта)
• проблема же – это событие, которое уже случилось. Риски превращаются в проблемы, если с ними не работать

Некоторые термины и определения

• Риск – некоторое событие или условие, которое может позитивно либо негативно повлиять на результат проекта (план, качество, стоимость, объем реализованной функциональности)
• Вероятность риска (Likelihood) – вероятность того, что риск сработает. Является одним из атрибутов риска и может измеряться целыми числами от 1 до 4 (где 1 – очень низкая вероятность, 4 – высокая вероятность)
• Влияние риска (Impact) – обозначает величину позитивных или негативных последствий для проекта, если риск срабатывает. Является одним из атрибутов риска и может измеряться целыми числами от 1 до 4 (где 1 –малое влияние, 4 – блокирующее влияние). Может также носить название «потери»
• Величина риска (Risk Exposure) – произведение вероятности на влияние риска (Risk Exposure = Likelihood x Impact)
• Mitigate (к сожалению, не смог адекватно перевести) – разрабатывать стратегии и план действия для снижения вероятности и/или влияния риска до какого-либо приемлемого уровня (к примеру, можно использовать матрицу величины риска, речь о которой пойдет позже)
• Mitigation strategy – план действий, направленный на снижение вероятности и/или влияния риска до какого-либо приемлемого уровня (план митигации рисков)
• Contingency – подход, направленный на минимизацию влияния риска после того, как он сработал
• Contingency plan – план, направленный на снижения влияния риска (последствий риска) после того, как риск сработал

Следует различать понятия Mitigation и Contingency – первый относится к рискам, второй – к проблемам. Реализовывать mitigation plan – снижать или вероятность или влияние риска когда/если он наступит; реализовывать contingency plan – снижать последствия уже наступившего риска.

Для одного и того же риска могут разрабатываться оба плана, но в большинстве случаев – только один (тут уже надо решить что важнее – не допустить срабатывания риска, или же минимизировать потери при его срабатывании). Также при разработке mitigation plan часто руководствуются либо только стратегией снижения влияния или только стратегией снижения вероятности риска (что позволяет экономить – зачем направлять усилия на снижение влияния риска, если одновременно снижается и его вероятность).

Процесс управления рисками

Ниже перечислены шаги, которые я обычно выделяю в процессе управления рисками.

• идентификация рисков
• анализ рисков
• планирование рисков
• разрешение рисков
• отслеживание и модификация данных по рискам (параметров и/или планов и стратегий)

С чего начать?

С чего начинается процесс управления рисками на проекте? Согласно теории – с идентификации риска(ов). Необходимо составить список рисков, которые бы наиболее полно отражали картину рисков и потенциальных проблем на проекте. Следует помнить, однако, что даже самый большой список никогда не будет полным – что-то всегда будет упущено. 😉

Анализ

Результатом этого этапа является качественная и количественная оценка риска, которая может проводиться по следующим направлениям:

• оценка риска – определение значений атрибутов Вероятность риска (Likelihood) и Влияние риска (Impact)
• классификация риска – группировка рисков, основанная на каких-либо характеристиках (например, по типу рисков их можно разделить на «Quality», «Management», «Hardware», «Software» и тд)
• приоритизация риска – расставление приоритетов. Практически приоритизация делается на основе матрицы величины риска, о которой я говорил выше

Likelihood\Impact	Small =1	Medium=2	Critical=3	Blocking=4
Very likely=4	4	8	12	16
High =3	3	6	9	12
Medium =2	2	4	6	8
Very low probability =1	1	2	3	4

При таком определении величина риска является простейшим способом определить количественную характеристику риска. Практически имеет смысл отслеживать и управлять рисками, которые находятся на главной диагонали данной матрицы или выше ее (то есть со значениями величины риска большими или равными 4 или 6).

После анализа риска мы можем составить топ10 рисков (Top 10 Risk List), выстроив риски по убыванию значения величины риска и выбрав первые десять. Следует помнить, что выбор большего числа рисков может превратить управление рисками в очень тяжелый процесс, который будет слишком дорог и неэффективен.

Планирование

Основной задачей планирования является ответ на вопрос, как мы будем обрабатывать каждый из рисков. Тут возможны следующие варианты:

• исследование риска (research) – проведение дальнейшего исследования риска для его детализации и более аккуратного планирования
• принятие риска (accept) – мы принимаем риск и готовы жить с его последствиями
• избежание риска (avoid) – мы предполагаем, что риск никогда не станет реальностью
• передача риска (transfer) – передача риска и ответственности за него в другую команду, другому менеджеру (возможно и руководству компании), другому лицу

Непосредственно для управления рисками должны быть разработаны mitigation strategy (действия, которые мы предпринимаем для снижения вероятности и/или влияния риска до какого-либо приемлемого уровня, если мы выбрали эту стратегию) и contigency plan (план действий на случай, если риск сработал).

Разрешение рисков

На данном этапе фактически происходит разрешение риска после того, как он сработал. То есть выполняется соотвуетствующий contingency plan. Задача этапа – выполнить его наиболее эффективным образом, а также собрать и проанализировать информацию о данном риске для следующего этапа.

Отслеживание и модификация данных по рискам

В данном этапе преследуются следующие цели:

• мониторинг статуса рисков
• мониторинг статуса mitigation strategy и contingency plan
• мониторинг проектных метрик, которые связаны с планами действий
• определять и извещать все заинтересованные стороны о том, что сработал триггер того или иного плана действий

Так как ситуация на проекте постоянно меняется, то необходимо постоянно отслеживать изменения параметров рисков, корректируя «Top 10 Risk List»:

• идентификация новых рисков, которые не учитывались до этого
• изменение количественных оценок на риски (возврат к этапу анализа, Top 10 Risk List может значительно измениться)
• определение, явилось ли изменение количественных оценок (если таковые есть) результатом выполнения тех или иных планов действий (mitigation strategy или contingency plan). Если величина риска снижается, то, скорее всего, mitigation strategy реализуется успешно, однако не стоит сильно обольщаться на этот счет
• определение методов и способов коррекции планов действий с учетом определенных изменений, переход к планированию

Заключение

Ключевым моментом процесса управления рисками должно быть периодическое повторение данных процессов, желательно согласованное с длительностью циклов разработки и рабочих процессов. Можно порекомендовать проводить оценку рисков один раз в 1-2 недели в зависимости от размера проекта (в некоторых особо крупных проектах периодичность может быть увеличена до месяца, однако больше я бы делать не стал).
Также хочу порекомендовать сохранять историю изменений списка рисков и их параметров (хотя бы Top 10 Risk List) – в будущем это даст нам необходимые статистические данные.

Постскриптум

Хочется отметить, что информация, приведенная выше, является выжимкой из большой, официальной и предельно формализованной процедуры по менеджменту рисков, которую я создал для компании, в которой работаю. Опущены некоторые формальные этапы (например, планирование управления рисками, контроль), для приведенных этапов дано описание их сути, что помогает понять их, но оставляет определенную свободу выбора и гибкость при применении на различных проектах.

Однако, можно обозначить пути для дальнейшего развития статьи

• детализация этапов (входные и выходные документы, ключевые активности и ответственности исполнителей)
• предложения по формату документов, которые могут использоваться в процессе
• обсуждение наиболее общих рисков и стратегий по их разрешению (так называемый Risk Assessment document)

Приглашаю все заинтересованные стороны к общению на данную интересную тему 😉

Полезные ссылки

MSF Risk Management Discipline v.1.1 — www.microsoft.com/downloads/details.aspx?FamilyID=6c2f2c7e-ddbd-448c-a218-074d88240942&displaylang=en (http://www.microsoft.com/Rus/Download.aspx?file=/Msdn/Msf/MSF_risks_mngt_rus.doc)

‘Continuous Risk Management at NASA’ — satc.gsfc.nasa.gov/support/ASM_FEB99/crm_at_nasa.html

PMBok — www.pmi.org/Marketplace/Pages/ProductDetail.aspx?GMProduct=00100035801

Risk Management @ SEI — www.sei.cmu.edu/risk

SWEBOK (Guide to the SoftWare Engineering Body Of Knowledge) 2004 (Iron Man) — www.swebok.org

Просто интересные скетчи по управлению проектами — jchyip.blogspot.com/2008/12/lean-it-in-sketches.html

предотвращение проблем vs. ведение регистра рисков / Habr

Странно, но факт

• Абсолютно все стандарты управления проектами и компаниями говорят о необходимости управления рисками. Предлагаются различные модели, инструменты и термины. Каждый ПМ понимает, что это важно. И проходят тренинги. И даже пытаются выполнять такую практику (или процесс) как Risk Management. Но не все (большинство) видят в этом смысл и пользу на практике. В лучшем случае заводят регистры рисков (про которые скоро забывают), в худшем говорят, что управление рисками происходит в ходе ежедневной коммуникации (непонятно, правда, что имеется ввиду под рисками и управлением.
• При наличии на проектах Risk register-а менеджмент компании считает что есть недостаток в про-активном управлении проекта и в коммуникациях с заказчиком, который регулярно жалуется на неожиданные проблемы на проекте.
• Проджект менеджеры и Проектные команды жалуются на большие затраты времени на работу с рисками (и, очевидно, отсутствием эффекта, а то бы не жаловались.

Эти и многие подобные наблюдения были сделаны мной в ходе внедрения системы управления качеством и проведения аудитов процессов в IT компании. В частности, процессов управления проектом. Как и любое нововведение, внедрение правил работы должно сопровождаться обоснованием зачем это нужно. Для этого, в дополненение к навыкам убеждения, необходимы знание теории и практических примеров — как негативных, так и позитивных. На них и основаны мои выводы о секретах эффективного Управления Рисками.

Риски, источники рисков, категории рисков

Анализ причин неэффективности или отсутствия управления рисками на проектах, показывает, что народ не правильно определяет риски и формулирует план реагирования (response actions).
Вот примеры типичных рисков, которые я в основном встречала в проектных регистрах рисков (обобщенные формулировки):

• «клиент может долго не отвечать»
• «сотрудник может внезапно отсутствовать на работе»
• «контракт подписан без тщательного изучения требований»
• «могут возникнуть проблемы с Интернет»

Господа, это же факты! Для борьбы с этими фактами существуют стандарты управления качеством (ISO), методологии управления проектами (например SCRUM), фрэмворки для организации работы (PMBOK, CMMI) и пр. В них собран опыт поколений менеджеров и разной степени успешности проектов. В них говорится о том, что нужно до подписания контракта оговорить обязательства сторон (commitments), заботиться о человеконезависимости процесса, создавать артефакты работы (документацию и данные, полученные в результате мониторинга) и пр. Заранее обдумывать вопросы непрерывности бизнеса, одним словом. Но это слишком «бюрократично» и «несовременно», по мнению многих менеджеров (особенно «оменеджерившихся» программистов, не в обиду будет сказано). Мы предпочитаем изобретать велосипед на каждом отдельном проекте, тушить пожары, в общем геройствовать. Подобные «риски» должны предотвращаться на этапе предварительного планирования проекта, желательно до подписания контракта.

В ходе проекта такие нерешенные заранее проблемы становятся уже источниками рисков. По поводу источников: типичные источники рисков, задокументированные в регистрах рисков, которые я наблюдала — «Клиент», «Команда», «environment», и т.д. Никто не задумывается над тем, что источник потенциальной проблемы это не обобщенное понятие, а определенная ситуация чаще всего негативная)!

«Клиент», «Команда», «environment» – это категории, через которые мы смотрим на ситуацию на проекте и можем найти негативные факты или ситуации, которые вызывают сомнения в достижении целей проекта.

Определенная негативная ситуация (чаще всего это отклонение от контракта, от стандартов работы, вызванные как ошибкой, так и сознательным решением) может повлечь за собой отклонения от желаемых (и запланированных) результатов работы, то есть целей проекта. Вот это уже проектный риск!

Оценка риска

Последствия (Impact) этого риска определяеюся тем, насколько большим будет отклонение от проектных целей, и тем, насколько большие отклонения мы можем себе позволить в отношении данной цели.
Пора, наверное, привести пример. Не полезнее ли вместо типичного
«Source«: Команда
«Risk«: Человек может заболеть
«Impact:» не сделаем вовремя
иметь следующую информацию:
«Source«: У человека (А), выполняющего задачи на критическом пути, беременная жена, которая должна родить в период выполнения человеком (А) своих задач (это факт)
“Risk«: вышеуказанный факт может повлечь отсутствие человека (А) более 3-х рабочих дней (риск)
«Impact: «возможно отклонение от расписания на 20%.
Отклонение от расписания на 20% может быть мелочью для одного проекта (где 20% это 4 рабочих часа и разница во времени с клиентом 8 часов в нашу пользу), но реальной трагедией для другого проекта (где 20% это 2 дня и у клиента назначена презентация с важными stakeholders на заранее определенное число). Учитывая все подобные реалии, оценивается серьезность риска (например, от 1 до 9, как в нашей компании).

Когда мы определились с последствиями риска, необходимо подумать о его вероятности (Probability). Вероятность риска, что человек может внезапно отсутствовать на работе, достаточно высока, так как на проекте есть несколько человек. У каждого из них может быть несколько причин отсутствовать. Но отсутствие вполне определенного человека в определенный период может не быть проблемой, а отсутствие другого в этот же период — будет трагедией. Вот еще один аргумент против обобщенных проблем и в пользу специфических рисков.

Серьезность риска – в классике – определяется произведением последствия на вероятность. В первую очередь, задача менеджера работать с самыми серьезными рисками. Это понимает каждый. Все так же знают и основные стратегии ответа на риск. Проблемы начинаются тогда, когда нужно продумать о планах ответа на риск.

Планы ответа на риск

Вот типичные примеры плана ответа на риск, которые я встречаю:

• »поговорить с клиентом»
• «не отпускать в отпуск»
• «проводить митинги»

Можем ли мы сказать, насколько будет снижен риск при применении этих планов? То есть насколько эффективны наши действия по Risk Management: насколько снизится вероятность? Насколько снизится ущерб?

План ответа на риск – это действие, которое должно полностью или частично убирать потенциальную проблему, но не констатация намерения ее предотвратить.

Действия также имеют свою стоимость (влияние на достижение целей проекта: например, человекочасы).

Только в том случае, когда есть 2 и более альтернативных сценария, с указанием их стоимости для проекта (например, один – реактивный, т.е. после срабатывания риска, а второй – превентивный, если план ответа на риск включается в план проекта изначально и выполняется), тогда мы можем принимать решение, что из этого делать. Или предоставить возможность руководству или клиенту принимать решение. Только в этом случае мы управляем (или принимаем участие в управлении) проектом, оправдывая звание Project Manager. Кстати, это неплохой способ заслужить уважение в глазах клиента, что ведет к снижению давления с его стороны.

Например, в риске с человеком (А), ответ может быть такой:

«Сделать возможным выполнение задачи другим человеком: ежедневный митинг по knowledge sharing со вторым человеком (1 час в день у основного действующего лица и 1 час в день у «бэкапа»)».

Стоимость ответа на риск=10 человекочасов в неделю, что в перерасчете на расписание будет N% отставания.

Сравниваем с возможным отклонением, если риск случится, учитываем вероятность риска, и идем с этим всем к тому, кто принимает решение. Возможным результатом будет уменьшение объема работ или принятие клиентом одного из отклонений.

Количество Рисков

Один из интересных вопросов – сколько может быть рисков на проекте?
Логический ответ – сколько угодно, и чем менее организована система и слабее запланирован проект – тем больше.
Более конкретно вопрос должен звучать так: «Сколько рисков нам нужно контролировать (документировать, следить за изменениями)».
На практике есть случаи:

• В регистре несколько (больше 2-3) десятков рисков, разной степени детализации. У менеджера уходит много времени на пересмотр их, на них в конечном итоге «забивают».
• В регистре рисков около 5-7 рисков, каждый их них глобален и отражает не столько возможные проблемы на проекте, сколько проблемы индустрии: технологий, управления персоналом и т.д. При этом, для них уже указаны степень серьезности, стратегия и план ответа. На них периодически смотрят с целью «не открыть ли риск». Проблемы тут как минимум две:
  • Неспецифичный риск ведет к неспецифичным ответным планам, невозможности эффективно оценить влияние риска на цели проекта
  • Причины переоткрытий могут быть разными, потенциальный ущерб тоже разный, соответственно, и ответные действия должны быть разными при каждом переоткрытии. Т.о. эти 5 «рисков» по сути – источники рисков.

• Нет регистра рисков. Риски не документируются. В лучшем случае риски обсуждаются, оцениваются и предлагают ответные действия, возможно, даже с оценкой ответных действий. В этом случае проблемы следующие:
  • можно забыть сделать анализ того, а были ли ответные действия эффективными
  • потерять важные уроки, которые можно было бы применить еще раз, как инструмент для «укрощения» клиента.

Количество рисков, за которыми нужно следить, должно быть таким, какое возможно переварить тем, кто отвечает за мониторинг и ответ на риски. Т.е. записать можно (а иногда и нужно) все проидентифицированные риски, а вот планировать ответные действия — только для тех, чье влияние на цели проекта действительно значимо.
При этом, если у Вас 10 рисков на этой неделе и 10 было на прошлой, но это скорее всего будут хотя бы частично другие риски: ведь ситуация изменилась появились новые обстоятельства, отпали старые. А вот источники этих рисков могут быть теми же.

То есть, все дело в правильной идентификации риска. Корректно сформулированный риск позволит оценить его влияние на цели проекта, а следовательно и отобрать наиболее актуальные и серьезные риски. Конечно, если цели проекта тоже сформулированы корректно. Но это уже другая тема.

Итог

• Применение практик управления рисками – не самоцель, а инструмент для:
  • упрощения жизни проектной команды
  • эффективной коммуникации с заказчиком и менеджментом компании (то есть инструмент, применяемый на регулярной, ежедневной основе) для достижения бизнес целей (целей проекта).

• Для того, чтобы извлечь наибольшую пользу при наименьших «лишних» затратах времени, рекомендуется начать не с Регистра рисков, а со следующих шагов:
  • Четко и корректно сформулируйте (запросите) цели проекта (доступные и понимаемые тем человеком, который занимается управлением рисками на проекте, например:
    
    «такие-то пользователи должны иметь возможность делать такие-то действия / получать такие-то данные с нашим приложением через 120 дней. Ошибки в таких-то запросах недопустимы».
  • Сформулируйте специфический и конечный (SMART) Риск для достижения ранее сформулированных целей. Для этого определитесь с:
    • его Источником (фактом, который – в отличие от риска — может быть актуальным на протяжение всего проекта).
    • Источники ищите в Категории рисков, которые актуальны для нескольких проектов, организации и индустрии в целом (например: управление человеческими ресурсами, определенная технология, национальная культура заказчика и пр.)

• Работая с рисками, помните следующее:
  • Цель оценки риска – измеримое потенциальное воздействие риска на цели проекта; цель ответа на риск – изменить (измеримо) потенциальное воздействие на цели проекта.
  • Эффективность Риск менеджмента определяется измеримыми показателями того, насколько удалось предотвратить потенциальные отклонения от целей проекта.

• И последнее. Часто приходится слышать, что – по разным причинам – «на этом проекте управлять рисками невозможно». Но Вы же Менеджер!
  • Project Manager отличается от Project Coordinator-а тем, что принимает участие в выработке наиболее оптимальных путей достижения целей проекта, в том числе и путем своевременного нахождения потенциальных проблем (рисков) и предложения альтернативных вариантов их решения.