Иерархия рисков: от редких до определенных, от незначительных до катастрофичных

Качественный анализ рисков

Качественный анализ рисков проекта – процесс расстановки приоритетов в отношении рисков проекта для дальнейшего анализа или действий, выполняемый путем оценки вероятности возникновения и воздействия рисков на проект.

Как оценить вероятность риска на проекте? Достаточно сложный вопрос, если учесть, что сам по себе проект – нечто уникальное, соответственно, могут быть новые, очень специфические риски.

Если есть возможность – проводится анализ статистики прошлых проектов (если она есть), но чаще привлекаются, опять же, эксперты для оценки вероятности.
Еще один важный нюанс – эксперту сложно оценить вероятность рисков в процентах, поэтому часто употребляются общие фразы – такие, как «скорее всего», «с большой вероятностью» и т.п. Было проведено исследование для англоговорящих людей, что значит каждое слово.

Из этого исследования следует, что если эксперт говорит, что такое событие происходит «достаточно часто», его вероятность на уровне от 70 до 80%.

Я не встречал подобного исследования для русского языка – что подразумевается под тем или иным словом: «всегда», «точно», «почти всегда», «обычно» и т.д. Возможно, лингвисты сделают в дальнейшем такое же исследование для русского языка. Тогда станет более понятным, что эксперты, сотрудники, коллеги понимают под тем или иным словом или фразой.

Чаще используется пятибалльная оценка вероятности риска. Таким образом, мы ограждаем эксперта от численных оценок вероятности, и он применяет следующие термины: «очень высокая вероятность», «высокая», «средняя», «низкая», «очень низкая». В то же время помним, что эксперт может ошибиться вследствие своей субъективности. Этот риск можно снизить привлечением нескольких экспертов. Есть методы, которые рекомендуются стандартом, тот же метод Дельфи позволяет согласовать мнения экспертов.

Оценка влияния риска. Каждый человек может по‑своему оценить влияние события как с точки зрения сроков, так и с точки зрения затрат, которые мы понесем, если оно произойдет. Чтобы согласовать оценки экспертов, рекомендуется использовать матрицу, которая позволяет оценить одинаково. Работает это так: если мы моделируем наступление какого‑либо рискового события, то необходимо рассчитать, как это изменит срок проекта. Вносим это событие в календарный план проекта и определяем, насколько сдвинулся срок проекта, насколько увеличилась стоимость проекта, как изменилось качество, как событие повлияло на содержание, цели проекта. К примеру, если сроки увеличились на 5%, то оцениваем влияние этого события как слабое. Если стоимость выросла на 18%, влияние этого риска оцениваем как достаточно сильное. Таким образом, согласовываем оценки экспертов в области влияния риска.

Получив оценку вероятности и оценку влияния, можно посчитать ранг риска. Самая простая формула:

Ранг = Вероятность * Влияние
Чтобы расшифровать полученное значение, обратимся к таблице

Это не единственная формула для расчета ранга риска, есть и другие. Все зависит от внутренней методологии. Если после расчета риск попадает в красную ячейку, это сигнализирует об опасности, на такие риски нужно обязательно реагировать. В желтых ячейках – средние риски и в зеленых – слабые, которые можно просто принять.

Кроме того, в стандарте уточняется, что при расчете ранга риска может учитываться ряд параметров. Допустим, срочность – период времени, в течение которого меры реагирования на риск должны быть осуществлены, чтобы они дали ожидаемый результат. Короткий период показывает высокую срочность.

Если учитывать срочность риска, формула выглядит следующим образом:

Ранг = Вероятность * Влияние * Срочность

Таким образом, срочные риски получают более высокий приоритет.

Оценка рисков проекта

Пример предопределенности, приведенный выше, когда планово повышается стоимость программного обеспечения, очень характерен. Есть методики, позволяющие оценить и предвидеть многие и не столь простые ситуации. Вот пример оценки рисков проекта с выбором определенной позиции. Любой инвестиционный проект подразумевает прежде всего видение инвестора, а не посредников и предпринимателя, реализующего проект.

Первым делом нужно рассматривать макроэкономическую ситуацию — как в стране пребывания, так и в мире в целом, если производится оценка рисков проекта. Пример объявления санкций у всех перед глазами. Если ситуация рассмотрена внимательно, можно предполагать безошибочно, насколько хорошо или слабо будет развиваться экономика.

Далее анализируется положение в отрасли, где предположительно будет осуществляться проект при управлении рисками. Примером тому могут послужить благополучно работающие предприятия в наших сложных условиях мирового кризиса и многочисленных санкций, где вовремя проведены необходимые маркетинговые исследования, подробно сделан анализ деятельности конкурентов, спрогнозированы цены, проанализированы собственные и чужие технологии, а также приняты все меры для успешного преодоления сложностей при внезапном появлении новейших продуктов у конкурентов.

Следующим шагом исследуют непосредственно инвестиционный проект, рассматривая его с точки зрения производства. Рассматриваются все возможные сценарии по реализации, выбирается оптимальный, где возможно управление рисками проекта. Примеры такой работы известны каждому предпринимателю и прожект-менеджеру, поскольку это азы предпринимательской деятельности. Однако это еще не все. Нельзя обойтись без подробного исследования коммерческой и производственной деятельности: запасов материалов и сырья, технологии производства, а также и продаж, себестоимости продукции и многого другого.

Разработка мероприятий реагирования

Следующий процесс – планирование реагирования на риски – предполагает разработку вариантов, выбор стратегий и согласование действий относительно рисков проекта. Мы должны разработать такие противорисковые мероприятия, которые уменьшат вероятность или последствия угроз и увеличат вероятность возможностей или влияние возможностей на наш проект.

Начнем с угроз. В стандарте описаны четыре стратегии реагирования на угрозы:

• эскалация (передача риска наверх);
• уклонение (исключение риска из проекта);
• снижение (уменьшение вероятности возникновения риска);
• передача (ответственность за риск передается на третью сторону).

Бытовой пример. Допустим, у нас есть автомобиль, и есть угроза его угона.

Стратегия уклонения будет заключаться в том, чтобы вообще не иметь автомобиль – раз его нет, значит, риска угона нет. Стратегия снижения – это когда мы уменьшаем вероятность угона, ставим какую‑то серьезную систему сигнализаций. Хотя профессиональный угонщик может сказать, что вскроет любую систему, но вероятность того, что он будет заниматься именно нашим автомобилем, ниже, если рядом стоит аналогичная машина с простой сигнализацией.

Стратегия передачи предполагает, что мы передаем ответственность за событие, которое может произойти, на третью сторону, в нашем примере это страховка КАСКО. Стратегия эскалации применима в том случае, если хозяин автомобиля передает его родственнику, а тот предупреждает хозяина, что оставил машину в неблагоприятном с точки зрения возможности угона месте. Таким образом, он эскалирует риск, сообщив хозяину об угрозе, а тот уже должен предпринять действия.

Выделяются также четыре стратегии реагирования на возможности:

• эскалация (мы сообщаем о возможности наверх – нашему шефу, спонсору проекта, который решает, как эту возможность можно эффективно использовать);
• использование (нужно постараться сделать так, чтобы наша возможность обязательно произошла);
• разделение (делимся информацией с партнерами по проекту или по бизнесу, которые тоже используют наши возможности);
• увеличение (проводим какие‑то мероприятия, увеличивающие вероятность возможности, ее влияние на проект).

Затем выбираем одну стратегию как для угроз, так и для возможностей. Хотя стратегии можно комбинировать. Например, если говорим про угрозы, в примере про автомобиль можно комбинировать стратегии снижения и передачи, то есть можно поставить серьезную сигнализацию и при этом застраховать автомобиль КАСКО.

Определившись со стратегией, прорабатываем для нее мероприятия реагирования. Все это делаем только для опасных рисков.

Есть стратегия общего реагирования как на возможности, так и на угрозы. Для принятых рисков формируются резервы по стоимости и резерв по срокам, которые рассчитываются следующим образом:

Резерв по стоимости:

Резерв = Вероятность + Влияние (деньги)

Резерв по срокам:

Резерв + Вероятность + Влияние (сроки)

Понятно, что риски все равно будут реализовываться, но если мы правильно рассчитаем резервы, они помогут реализовать проект в срок и в рамках заложенного на проект бюджета.

В большинстве случаев в организациях с невысоким уровнем риск-менеджмента все управление рисками сводится к тому, чтобы заложить резервы по стоимости, срокам, даже не обосновав их, а исходя из позиции: «наверное, такой резерв нам понадобится» или «такого резерва хватит на наш проект». На мой вопрос, почему они так считают, слышу в ответ, что в прошлый раз закладывали меньше и резерва не хватило, поэтому сейчас заложили немного больше. Эта практика, на мой взгляд, объясняется тем, что персонал, задействованный в проекте, и руководитель проекта не имеют навыков управления рисками и знаний в этой области.

Планирование управления рисками

Первым процессом среди общего состава процедур работы с проектными угрозами является планирование управления рисками. Оно позволяет уточнить выбранные методы, инструменты и уровень организации управления применительно к конкретному проекту. Институт PMI данному процессу отводит важную роль для целей коммуникаций со всеми заинтересованными сторонами. Ниже представлена процессная схема планирования, размещенная в Руководстве PMBOK.

План управления рисками представляет собой документ, включающий определенный состав разделов. Рассмотрим пример развернутого содержания подобного плана.

Общие положения.
Основные характеристики компании.
Уставные характеристики проекта.
Цели, задачи управления рисками.
Методологический раздел. К методологии относятся методы, средства анализа и оценки, источники сведений, которые рекомендуется использовать для управления рисками проекта. Методы и инструменты расписаны по стадиям проектной реализации.
Организационный раздел. В него включается распределение ролей участников проектной команды с установлением ответственности за выполнение предусмотренных планом процедур, состав взаимосвязей с другими компонентами управления проектом.
Бюджетный раздел. Включаются правила формирования и обеспечения выполнения бюджета управления рисками.
Регламентный раздел, включающий сроки, периодичность, продолжительность операций по управлению рисками, формы и состав управляющих документов.
Раздел метрологии (оценки и пересчета). Принципы оценки, правила пересчета параметров и справочные шкалы определяются заранее, служат вспомогательными средствами качественного и количественного анализа.
Пороговые значения рисков

С учетом важности и новизны проектной реализации устанавливаются допустимые значения рисковых параметров на уровне проекта и отдельных угроз.
Раздел отчетности посвящен вопросам периодичности, формам, порядку заполнения, сдачи и рассмотрения отчетов по настоящему блоку управления проектами.
Раздел мониторинга и документационного обеспечения управления рисками по проекту.
Раздел шаблонов для управления рисками.

Планирование управления рисками

Планирование управление рисками – это первый процесс среди всего комплекса процедур по работе с проектными угрозами. Планирование – это инструмент, позволяющий определить выбранные методы, инструменты и степень организации управления относительно конкретного проекта. Институт по управлению рисками (PMI от англ. Project Management Institute) придает данному процессу огромное значение в плане коммуникации с каждой заинтересованной в проекте стороной. В Руководстве PMBoK предлагается такая схема планирования управления рисками:

План управления рисками является документом, состоящим из нескольких разделов, а именно из:

Общих положений
Основных характеристик компании-организатора проекта
Уставных характеристик проекта
Целей и задач управления рисками
Методологического раздела с описанием методов, средств анализа и оценки, источников сведений, рекомендуемых для использования с целью управления проектными рисками (все инструменты и методы необходимо расписывать по стадиям проектной реализации)
Организационного раздела, включающего в себя распределение ролей и ответственности среди членов проектной команды, а также описание взаимосвязей с другими элементами управления проектом
Бюджетного раздела, включающего в себя правила формирования и обеспечения выполнения бюджета управления рисками
Регламентного раздела с указанием сроков, периодичности и продолжительности операций по управлению рисками, форм и состава управляющих документов
Метрологического раздела, состоящего из принципов оценки, правил пересчета параметров и справочных шкал (они выполняют функцию вспомогательных средств для качественного и количественного анализа)
Пороговых значений рисков – допустимых значений рисковых параметров на уровне проекта и отдельных угроз (необходимо учитывать важность и новизну проектной реализации)
Раздела отчетности, рассматривающего вопросы периодичности, формы, порядки заполнения, сдачи и рассмотрения отчетов
Раздела мониторинга и документационного обеспечения управления проектными рисками
Раздела шаблонов для управления проектными рисками

После завершения этапа планирования управления рисками следует процесс их идентификации.

Мониторинг и контроль системы управления профессиональными рисками

Мониторинг требуется, прежде всего, для обнаружения изменений в характеристиках рисков под влиянием изменений среды, а также с целью подтверждения адекватности применения действующих процедур в изменившихся условиях.

Процесс мониторинга в обязательном порядке должен сопровождаться ведением документации, как на бумажных носителях, так и в электронном виде. Данные мониторинга также используются в целях оценки и прогноза состояния безопасности и охраны труда на предприятии.

Проводимый на основании непрерывного мониторинга анализ позволит оперативно выявлять возникающие проблемы на каждом рабочем месте, корректировать систему управления рисками с помощью организационных мер и влиять на безопасность трудового процесса в реальном времени.

Непрерывный мониторинг системы управления профессиональными рисками является наиболее оптимальным, поскольку дает оперативную, многостороннюю и достоверную информацию о системе и ее недостатках, которые обязательно проявляются в ходе трудовой деятельности.

Поскольку невозможно сразу построить идеальную систему управления профессиональными рисками, мониторинг позволяет выявить непредусмотренные дефекты и принять меры по их устранению, что в конечном итоге сохранит жизнь и здоровье работников.

Практическая значимость системы мониторинга заключается еще и в том, что ответственность за ту или иную возникшую ситуацию ложится на конкретного работника, который в свою очередь обязан выполнять требования охраны труда.

Экономические затраты на разработку и внедрение системы мониторинга управления профессиональными рисками должны планироваться в общих расходах на информатизацию и информационную деятельность в организации и внедрятся комплексно совместно с другими необходимыми для производства технологиями.

Способствовать решению задач результативного контроля системы управления профессиональными рисками могут:

  • проведение технических осмотров состояния оборудования (машин, механизмов, инструмента), проверка его соответствия требованиям безопасности;
  • проведение различных обучающих мероприятий: обучение безопасным методам и приемам выполнения работ и оказанию первой помощи пострадавшим на производстве, проведение инструктажей по охране труда, стажировки на рабочем месте и проверки знания требований охраны труда;
  • проведение профилактических и обязательных медицинских осмотров, наблюдение за состоянием здоровья работников в зависимости от условий труда с целью наиболее объективной оценки профессиональных рисков, отражающей влияние условий труда на здоровье работающих с учетом особенностей воздействия вредных факторов.

Внедрив систему управления профессиональными рисками, необходимо постоянно проверять, продолжает ли она оставаться эффективной, и в случае неудовлетворительного результата максимально быстро принимать корректирующие меры или при необходимости осуществлять переоценку профессиональных рисков.

Подводя итоги можно выделить основные шаги для организации работы по оценке рисков:

  1. Принятие решение о готовности предприятия к переходу на риск-менеджмент.
  2. Анализ опасных/вредных производственных факторов.
  3. Составление матрицы рисков.
  4. Подготовка индивидуальных карт профессиональных рисков на каждом рабочем месте.
  5. Обучение и вовлечение работников в процессы оценки рисков.
  6. Постоянная оценка рисков на каждом рабочем месте.
  7. Реализация корректирующих мер.
  8. Мониторинг и контроль системы управления профессиональными рисками.

Следует отметить, что вышеуказанные процессы имеют цикличный характер и по результатам контрольных мероприятий разрабатывается перечень корректирующих и предупредительных мероприятий, направленных на улучшение технологических процессов и снижение уровня неприемлемого риска с учетом возможных финансовых издержек.

Пример

Риск кибербезопасности

Дуглас В. Хаббард и Ричард Зайерсен берут общие исследования Кокса, Томаса, Братволда и Бикеля и проводят конкретное обсуждение в области риска кибербезопасности . Они отмечают, что, поскольку 61% профессионалов в области кибербезопасности используют ту или иную форму матрицы рисков, это может стать серьезной проблемой. Хаббард и Зайерсен рассматривают эти проблемы в контексте других измеренных человеческих ошибок и приходят к выводу, что «ошибки экспертов просто еще больше усугубляются дополнительными ошибками, вносимыми самими шкалами и матрицами. Мы согласны с решением, предложенным Томасом и др. Нет необходимости в кибербезопасности (или других областях анализа рисков, которые также используют матрицы рисков) заново изобретать хорошо зарекомендовавшие себя количественные методы, используемые для решения многих не менее сложных проблем ».

Сделайте управление рисками частью проекта

Первое правило говорит о том, что с рисками нужно работать систематически, а не от случая к случаю. Понимание основных принципов управления рисками будет солидным бонусом на собеседовании РМа, потому что учет возможных опасностей помогает выполнять все договоренности в рамках «проектного треугольника».

Под риском понимают условие или событие, которое с большей или меньшей вероятностью повлияет на достижение целей проекта: сроки, стоимость или качество.

Любой проект развивается в среде угроз и неопределенности, поэтому выбирать не приходится: команда либо начнет работать с рисками, либо «позволит рискам» управлять процессом.

Некоторые компании игнорируют вопрос возможных неприятностей и «реагируют на проблемы по мере поступления». Из-за этого вся система проекта подвергается опасности, становится малоэффективной.

Стандартно, работа по нейтрализации угроз состоит из 5 шагов:

  1. Идентификация возможных рисков.
  2. Классификация.
  3. Анализ.
  4. Составление плана реагирования.
  5. Отслеживание и предупреждение.

Эти шаги не происходят только однажды, в самом начале работы, а повторяются циклично, по крайней мере раз в каждой фазе проекта.

Для успешного реагирования важно определять не только риски, но и триггеры — факторы или обстоятельства, которые предшествуют наступлению риска. 

Если есть условие (угрозы или улучшения), возникает триггер, после которого наступают последствия.

Когда триггер определен, нужно оценить его и понять — насколько событие находится в зоне контроля, а затем установить стратегию смягчения триггера:

Допустим, есть риск упустить критическую дату запуска.

Задайте себе вопрос: «Почему появилась угроза не успеть? В чем первоначальная причина?»

Конкретизируйте, что именно не успеваете: разработать, портировать, тестировать. Например, выяснилось, что ключевое промежуточное ПО не портировано на вашу платформу.

Дальше нужно выяснить сроки: когда наступит last responsible moment для портирования ключевого промежуточного ПО, если критической датой для запуска будет 28 декабря?  

Дата, которую определили как last responsible moment (например, 1 октября), и будет триггером. Если к 1 октября работа не будет сделана — с высокой вероятностью наступит риск не успеть к дате запуска.

Для потенциального смягчения триггера можно, например, купить лицензию на исходный код и портировать самостоятельно.

Отслеживание триггеров помогает заметить, что команда не успевает пройти запланированные шаги и вовремя отреагировать.

Определение последствий и вероятности

Типичная матрица рисков представлена сеткой из 4х4. По вертикальной оси расположены критерии вероятности (редкие, маловероятные, возможные, очень вероятные, определенные), а по горизонтальной оси — критерии последствий (незначительные, минимальные, критичные, катастрофические).

Рис 1: Пример матрицы рисков

Последствия рисков, как это показано в сетке, используют слова в качестве описания и ранжируются согласно суровости: незначительные, минимальные, критичные, катастрофические. Незначительные риски меньше всего вредят проекту и потому их ранг минимален. Катастрофический риск — это тот, который будет иметь наибольшее значение в ранжировании по суровости. Определите толерантность путем определения материальных значений для каждого параметра суровости, а также по каким- то качественным характеристикам описываемых последствий. К примеру, незначительные риски — это те, которые подразумевают затраты в 2,000 — 10,000 USD и могут незначительно повлиять на сотрудников, не нарушают каких-либо законов или обладают минимальным влиянием на окружающую среду. Они получат Ранг 1 в матрице. Катастрофические риски — это те, которые подразумевают потери в 1 миллион долларов, могут привести к смерти или инвалидности, привести к невосполнимому вреду окружающей среды или полному закрытию бизнеса. Такой риск будет иметь значение Ранга 4 в матрице.

Ранг Значения Потери в у.е. (USD) Описание потерь
4 Катастрофическое $1 млн <
  • Может привести к смерти или инвалидности сотрудников.
  • Необратимый вред окружающей среде.
  • Закрытие бизнеса.
3 Критичное $200,000 -$1 млн
  • Может привести к инвалидности, физическому вреду или заболеванию 3 или более сотрудников.
  • Обратимый вред окружающей среде.
  • Нарушение законов.
2 Минимальное $10,000 — $200,000
  • Болезни или вред, приводящие к отстранению от работы на 1 или более рабочих дней.
  • Избегаемый вред окружающей среде, при котором можно провести действия по восстановлению.
1 Незначительное $2,000 — $10,000
  • Незначительные вред или заболевания сотрудников, что приведет к однодневному отсутствию.
  • Не нарушает законов.
  • Минимальный вред окружающей среде.

Таблица 1: Пример ранжирования по последствиям

Вероятность возникновения  рисков определяется такими значениями, как редкий, маловероятный, возможный, очень вероятный, определенный. Так же, как и с последствиями, вам стоит измерять критерий каким-нибудь количественным способом (к примеру, «Вероятный» означает, что риск может произойти несколько раз на протяжении проекта, не менее 10 и не более 100 раз) и присвоить логические ранги.

Ранг Значения Вероятности (на протяжении жизненного цикла бизнеса) Описание
5 Определенный Раз в 2 года Постоянно испытывается
4 Очень вероятный Раз в 4 года Часто происходит
3 Возможный Раз в 6 лет Происходит несколько раз
2 Маловероятный Раз в 12 лет Скорее всего не произойдет, но стоит ожидать
1 Редкий Раз в 24 года Редко происходит

Таблица 2: Пример ранжирования по вероятности

Как только критерии влияния и вероятности описаны, вы можете перейти к определению конкретных инцидентов, событий или условий, которые представляют опасность для бизнеса, и назначить им клетки в матрице. Приемом инцидента в офисе может быть «протекание труб » — данному риску можно присвоить блок Редкий (Ранг 5 по вероятности) и Незначительный(Ранг 1 по последствиям).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector