На чем основывается процесс идентификации рисков
Что такое идентификация рисков в управлении проектами?
Плохое управление рисками — проблема, которая касается не только крупных компаний. Малые предприятия делают такие же ошибки, которые могут быть для них не менее (если не более) катастрофическими. Поэтому идентификацией проектных рисков должны заниматься не только крупные предприятия — она должна лежать в основе любого бизнеса.
Что такое управление рисками?
Управление рисками — это процесс выявления, отслеживания и обработки потенциальных рисков, которые могут повлиять на общее состояние бизнеса и его репутацию. Британская Ассоциация управления проектами (Association for Project Management, APM) описывает это так : «Анализ рисков и управление ими — это процесс, который позволяет видеть как отдельные рисковые события, так и общий риск, и проактивно ими управлять, достигая успеха путем снижения угроз, реализации возможностей и получения наилучших результатов».
Проект, который не поддерживается руководством, в который не вовлечены стейкхолдеры и для которого не практикуется строгий подход к выявлению рисков и управлению, имеет повышенный риск неудачи.
Рассматривать риски нужно в самом начале проекта, чтобы на основе сделанных выводов можно было принять решения относительно области воздействия, процессов и ресурсов.
Управление рисками — это не просто процесс, это культура. Том Уилсон (Tom Wilson), директор по управлению рисками компании Allianz, напоминает : «Управление рисками — это культура, а не культ. И работает она только тогда, когда ее практикуют все, а не только лишь несколько первопроходцев».
Что такое жизненный цикл и процесс идентификации риска?
Первый шаг процесса управления рисками — идентификация рисков. Вот как этот шаг описан в нашем руководстве «Оценка рисков проекта» : « Составьте список всех возможных рисков и возможностей, которые только могут прийти вам в голову. Если вы будете сосредоточены на одних лишь угрозах, вы можете упустить шанс предложить заказчику неожиданную ценность».
Последняя часть определения убедительно доказывает необходимость включения позитивных рисков в планирование — вы должны использовать любую возможность, чтобы удовлетворить стейкхолдеров.
Жизненный цикл идентификации рисков работает, как подпроект, и представляет собой процесс, который обеспечивает ключевые элементы общего плана управления рисками. Процесс идентификации рисков имеет определенную структуру и состоит из шести этапов:
Как определяются риски при управлении проектами
Для краткости мы сосредоточимся на первых трех шагах, которые охватывают идентификацию рисков; последующие шаги необходимы для проверки и формализации выводов в отношении общего объема проекта.
Типовая спецификация
Это заявление о наличии риска, основанное на полученной информации о причинах, последствиях, воздействии, областях риска и событиях. Зафиксировать все это в определенной последовательности помогает структурированный шаблон.
Подробная идентификация
Это более трудоемкий шаг, чем предыдущие, но он обеспечивает детализацию, необходимую для верной оценки риска. PMI называет пять необходимых инструментов:
Совет: ведите по всем вашим проектам реестр рисков, к которому вы можете обращаться, приступая к новому проекту — для этого можно использовать такой инструмент, как Wrike.
Примеры идентификации рисков
Приведем пару примеров: первый основан на методологии PMI, описанной выше, а второй отражен в онлайн-реестре рисков.
Пример идентификации риска 1
Пример идентификации риска 2
Как составить план управления рисками
К моменту завершения этапа выявления рисков у вас уже будет подробная информации по каждому риску, и вы сможете оценивать их, назначать ответственных и определять меры реагирования.
Но на этом работа не прекращается. По мере реализации проекта нужно отслеживать и выявлять новые риски. Важна и ответственность за риски, поэтому должны быть определены процессы коммуникации и эскалации. И это приводит нас к следующему вопросу: кто должен контролировать риски?
Кто должен контролировать риски?
В крупных организациях риск-менеджеров назначают из числа руководителей высшего звена, часто формируются комитеты по рискам с участием представителей различных департаментов, которые отчитываются перед генеральным директором и советом директоров. В таких компаниях управление рисками также регулярно контролируется извне.
Для небольших предприятий используется более легкая модель, но выявление рисков и управление ими всегда должно оставаться приоритетом.
Рекомендуется распределять обязанности в самом начале проекта, соотнося при этом организационные роли участников команды и их обязанности. Вот как это может выглядеть для крупных организаций.
В небольших организациях владельцы бизнеса часто являются спонсорами проектов, а комитеты по рискам создаются реже. Наиболее добросовестные учредители оптимизируют для себя процессы управления рисками так, чтобы они работали достаточно эффективно.
Использование Wrike для управления (и митигации) рисков
Тем более странно, что многие крупные организации все еще полагаются на устаревшие инструменты управления рисками, такие как текстовые документы, электронные таблицы и электронная почта. По сути дела это само по себе создает всевозможные риски. Сколько файлов еще должно пропасть, и сколько раз должна всплыть старая версия документа, чтобы об этом задумались?
Используя современный, универсальный и мощный инструмент управления проектами, такой как Wrike, вы одновременно повышаете эффективность ведения проекта и снижаете риски. И вот почему:
Если вам кажется, что это может помочь вам рационализировать ваши процессы управления рисками, вооружитесь Wrike для вашего следующего проекта. Прямо сейчас загрузите бесплатную двухнедельную пробную версию и начните использовать Wrike для управления рисками проектов любого размера.
Управление рисками проекта
Идентификация рисков
Исходная информация для процесса идентификации [9]
Входной информацией для процесса идентификации рисков служит нижеследующая информация.
Описание содержания проекта. Допущения проекта приводятся в описании содержания проекта. Неопределенность в допущениях проекта следует рассматривать в качестве потенциального источника возникновения рисков проекта.
План управления рисками. Входами для процесса идентификации рисков из плана управления рисками являются схема распределения ролей и ответственности, резерв на операции по управлению рисками в бюджете и в расписании, а также категории рисков.
Методы и инструменты идентификации рисков
Методы сбора информации [ 10 ]
Сравнение методов идентификации рисков проекта [ 10 ] представлено в таблице 7.5.
| Метод идентификации | Преимущества | Недостатки |
|---|---|---|
| Мозговой штурм | Способствует взаимодействию членов группы. Быстрый. Недорогой | Может проявиться преобладание одной личности. Можно сосредоточиваться только в конкретных областях. Требует сильного ведущего. Для оценки необходимо контролировать склонности группы |
| Метод Delphi | Нет доминирования одной личности. Может проводиться дистанционно через электронную почту. Исключается проблема ранней оценки. Требует участия каждого члена группы | Занимает много времени. Высокая загрузка ведущего |
| Метод номинальных групп | Уменьшается эффект доминирующей личности. Обеспечивает взаимодействие участников. Дает упорядоченный список рисков | Требует много времени. Высокая загрузка ведущего |
| Карточки Кроуфорда | Быстрый. Легко реализуется. Должен участвовать каждый член группы. Вырабатывается большое количество идей. Можно проводить с группами больше обычного размера. Уменьшает эффект доминирующей личности | Меньшее взаимодействие между участниками |
| Опрос экспертов | Используется прошлый опыт | Эксперт может быть предвзятым. Требует много времени |
| Контрольные списки | Конкретный и упорядоченный. Легко использовать | Предвзятость. Может не содержать конкретных элементов для данного проекта |
| Метод аналогии | Использует прошлый опыт для исключения проблем в будущем. Подобные проекты содержат много сходных черт | Требует много времени. Легко получить результаты, не подходящие для данного случая. Аналогия может быть некорректной |
| Методы с использованием диаграмм | Ясное представление участвующих процессов. Легкость построения. Для них имеется много компьютерных инструментов | Иногда вводит в заблуждение. Может занимать много времени |
Выходы процесса идентификации рисков
В процессе идентификации список категорий рисков может пополняться новыми категориями, что может привести к расширению иерархической структуры рисков, разработанной в процессе планирования управления рисками.
Примеры форм Реестра рисков [ 5 ] приведены в таблицах 7.6 и 7.7.
Управление рисками проекта
Идентификация рисков
Исходная информация для процесса идентификации [9]
Входной информацией для процесса идентификации рисков служит нижеследующая информация.
Описание содержания проекта. Допущения проекта приводятся в описании содержания проекта. Неопределенность в допущениях проекта следует рассматривать в качестве потенциального источника возникновения рисков проекта.
План управления рисками. Входами для процесса идентификации рисков из плана управления рисками являются схема распределения ролей и ответственности, резерв на операции по управлению рисками в бюджете и в расписании, а также категории рисков.
Методы и инструменты идентификации рисков
Методы сбора информации [ 10 ]
Сравнение методов идентификации рисков проекта [ 10 ] представлено в таблице 7.5.
| Метод идентификации | Преимущества | Недостатки |
|---|---|---|
| Мозговой штурм | Способствует взаимодействию членов группы. Быстрый. Недорогой | Может проявиться преобладание одной личности. Можно сосредоточиваться только в конкретных областях. Требует сильного ведущего. Для оценки необходимо контролировать склонности группы |
| Метод Delphi | Нет доминирования одной личности. Может проводиться дистанционно через электронную почту. Исключается проблема ранней оценки. Требует участия каждого члена группы | Занимает много времени. Высокая загрузка ведущего |
| Метод номинальных групп | Уменьшается эффект доминирующей личности. Обеспечивает взаимодействие участников. Дает упорядоченный список рисков | Требует много времени. Высокая загрузка ведущего |
| Карточки Кроуфорда | Быстрый. Легко реализуется. Должен участвовать каждый член группы. Вырабатывается большое количество идей. Можно проводить с группами больше обычного размера. Уменьшает эффект доминирующей личности | Меньшее взаимодействие между участниками |
| Опрос экспертов | Используется прошлый опыт | Эксперт может быть предвзятым. Требует много времени |
| Контрольные списки | Конкретный и упорядоченный. Легко использовать | Предвзятость. Может не содержать конкретных элементов для данного проекта |
| Метод аналогии | Использует прошлый опыт для исключения проблем в будущем. Подобные проекты содержат много сходных черт | Требует много времени. Легко получить результаты, не подходящие для данного случая. Аналогия может быть некорректной |
| Методы с использованием диаграмм | Ясное представление участвующих процессов. Легкость построения. Для них имеется много компьютерных инструментов | Иногда вводит в заблуждение. Может занимать много времени |
Выходы процесса идентификации рисков
В процессе идентификации список категорий рисков может пополняться новыми категориями, что может привести к расширению иерархической структуры рисков, разработанной в процессе планирования управления рисками.
Примеры форм Реестра рисков [ 5 ] приведены в таблицах 7.6 и 7.7.
Идентификация рисков проекта
Цель процесса идентификации рисков состоит в определении потенциальных рисков, способных повлиять на успех проекта. Идентификацию рисков выполняют члены команды проекта и эксперты по вопросам управления рисками, в ней могут принимать участие заказчики, участники проекта и эксперты в определенных областях. Это итеративный процесс, поскольку по мере развития проекта в рамках его жизненного цикла могут обнаруживаться новые риски. Частота итерации и состав участников выполнения каждого цикла в каждом случае могут быть разными. В процессе идентификации должны принимать участие члены команды проекта, чтобы у них вырабатывалось чувство собственности и ответственности за риски и за действия по реагированию на них.
Идентификация рисков выполняется на основе разработанных ранее планов управления интеграцией, содержанием, сроками, качеством и человеческими ресурсами.
Также при разработке плана учитывается опыт выполнения аналогичных проектов.
Качественный анализ рисков
Количественный анализ рисков
Количественный анализ рисков обычно выполняется для рисков, которые были квалифицированы в результате качественного анализа. При количественном анализе также оцениваются вероятности возникновения рисков и размеры ущерба /выгоды; здесь анализируются риски, имеющие высокие и умеренные ранги. Выбор методов анализа определяется для каждого проекта и зависит от наличия времени и от бюджета.
Исходной информацией для количественного анализа рисков служат:
Пример использования дерева решения
| Классификация рисков | Уклонение от риска | Передача риска | Принятие риска | Снижение последствий вероятности возникновения риска | |
|---|---|---|---|---|---|
| Риски, связанные с масштабом проекта | Разделение проекта на несколько под-проектов. Сокращение функционального и географического объема проекта | Разделение проекта на несколько под-проектов, выделение пилотного проекта по подсистемам (ограниченного масштаба) | Увеличение трудоемкости работ и стоимости проекта | Детальный анализ каждого этапа работ, взаимодействие участников, организация работ | Детально проработанная программа качества, отработанное управление конфигурацией проекта, специальные процедуры взаимодействия участников |
| Риски, связанные с недостаточным опытом в сфере ИТ | Реализация только не технологической части проекта, передача технологической части проекта другой компании | Согласование с заказчиком большинства проектных документов, согласование всех изменений в функциональности системы | Увеличение трудоемкости работ и стоимости проекта | Проведение обучения пользователей, включая руководство, соблюдение технологии работы | Разработка и утверждение концепции проекта на возможно более ранней его стадии |
| Технические риски проекта | Использование более надежных | Документально зафиксированная | Увеличение трудоемко- | Строгий отбор проектной команды по | Использование стандартов пред- |
| технологических решений | персональная ответственность участников проекта, документальное фиксирование всех изменений в процессе проекта | сти работ и стоимости проекта | квалификационным критериям. Обучение участников проекта технологии проектных работ, инструментальным средствам | приятия для проектных работ, разработка стандартов проекта | |
| Организационные риски проекта | Значительное сужение объема проекта и превращение его в чисто инфраструктурный технологический проект | Включение представителей заказчика в рабочие группы | Увеличение трудоемкости работ и стоимости проекта | Обучение участников проекта(курс «управление проектом»), тренинги команды, как можно более полная формализация деятельности | Включение в команду администратора проекта, детальное распределение ролей в проекте |
| Операционные риски проекта | Изменение модели оплаты компании-исполнителю: перевод на оплату по результату оценки качества реализованного решения | Акт сдачи заказчику любого документа. Фиксирование отсутствия претензий заказчика по каждому этапу работы | Увеличение трудоемкости работ и стоимости проекта | Многократное тестирование созданных продуктов, тщательная экспертиза документов | Строгое выполнение процедур программы качества |
Команда проекта разработала сетевые графики трех альтернативных вариантов расписания внедрения ИС при условии, что оборудование уже поставлено, и оценила возможные значения продолжительности проекта.
Рассчитаем возможную длительность проекта для каждого точки случайного события:
По итогам проведения качественного и количественного анализа риска необходимо выработать четкое представление о стратегиях, используемых для реагирования на каждый проектный риск.
Существует четыре типовые стратегии реагирования на появление негативных рисков: уклонение, передача, принятие и снижение.
Стратегия передачи риска также исключает угрозу риска путем передачи негативных последствий риска с ответственностью за реагирование на риск на третью сторону. Передача риска обычно сопровождается выплатой премии за риск стороне, принимающей на себя риск и ответственность за его управление. Сам риск при этом не устраняется. Условия передачи ответственности за определенные риски третьей стороне могут определяться в контракте.
Стратегия означает решение команды не уклоняться от риска. При пассивном принятии риска команда ничего не предпринимает в отношении риска и в случае его возникновения разрабатывает способ его обхода или исправления последствий. При активном принятии риска план действий разрабатывается до того, как риск может произойти, и называется планом действий в непредвиденных обстоятельствах.
Стратегия снижения риска предполагает усилие, направленное на понижение вероятности и/или последствий риска до приемлемых пределов. В стратегии снижения используется включение в план проекта дополнительной работы, которая будет выполняться независимо от возникновения риска, как, например, проведение дополнительного тестирования функциональности информационной системы, разработка прототипа системы, дополнительное подключение к работе опытных сотрудников.
Подтверждение содержания проекта
Входной информацией для процесса являются:
Процесс подтверждения содержания документирует результаты поставки, которые прошли приемку в соответствии с процедурой приемки проектных документов. Непринятые результаты поставки документируются с указанием причин, по которым они не прошли приемку. Подтверждение содержания включает в себя сопроводительную документацию, полученную от заказчика или спонсора и подтверждающую факт приемки результатов поставки участниками проекта.
Идентификация опасностей и оценка рисков
Одной из отличительных особенностей системы управления охраной труда, которая соответствует требованиям национального стандарта СТБ 18001 является то, что указанная система базируется на процедуре идентификации опасностей и оценки рисков.
Что же понимается под идентификацией опасностей и оценкой рисков?
Обратимся к СТБ 18001. Согласно п.3.5 данного стандарта под идентификацией опасности понимается процедура установление наличия опасности и определение ее характеристик.
Согласно п.3.20 стандарта под оценкой рисков понимается процесс оценки величины риска и принятия решения, является ли он приемлемым с учетом осуществляемых мер управления.
Проанализировав эти термины можно сделать вывод, что работа по оценке рисков и определении мер управления должна начинаться с идентификации опасностей, выявив и описав опасности можно приступать непосредственно к оценке риска на тех рабочих местах, на которых уже были зафиксированы те или иные опасности. А оценив риск, необходимо обеспечить его ранжирование, т.е. упорядочение в зависимости от полученных значений. И далее, с учетом рангов (в данном случае используется ранжирование по типу: приемлемый/неприемлемый, а также низкий, средний и высокий риск) обеспечить разработку и реализацию тех или иных мероприятий, направленных на снижение значения риска и(или) на его полное устранение. На процессе идентификации опасностей и оценки рисков базируется процедура по установлению целей в области охраны труда и последующее формирование Программы управления охраной труда (в указанную программу должны включаться те мероприятия, которые необходимы для снижения рисков).
Иными словами, процесс идентификации опасностей и оценки рисков включает в себя следующие этапы:
С чего же можно начинать процедуру «поиска» потенциальных опасностей? Инженеру по охране труда в этом помогут следующие записи и документы:
При идентификации опасностей необходимо рассматривать не только опасности и риски от деятельности, выполняемой своим персоналом, но и опасности, возникающие от деятельности подрядчиков и посетителей, а также от использования продукции и услуг, поставленных другими организациями.
Идентификация опасностей проводится для:
По результатам идентификации опасностей для всех профессий рабочих и должностей служащих, согласно штатному расписанию, а также для определенных видов деятельности, формируется реестр опасностей организации (пример реестра опасностей здесь).
Далее необходимо оценить риски. Степень любого риска, вытекающего из выявленных опасностей, оценивается с учетом:
Один из самых несложных методов оценки рисков, который используют многие организации, это т.н. «Метод оценки рисков по вероятности возникновения и серьезности последствий». Суть метода в следующем, величина риска (его количественное выражение) прямо пропорциональна вероятности его возникновения и тяжести (серьезности) последствий. Т.е. для определения величины риска необходимо оценить с какой вероятностью то или иное событие может произойти и каковы могут быть последствия. Для расчетов используется формула:
R = P x S,
P — вероятность возникновения опасности, балл;
S — серьезность последствий воздействия опасности, балл.
Значения P и S варьируются в диапазоне от 1 до 5, где 1 – наименьшая вероятность и наименьшая серьезность последствий, а 5 – наоборот, наибольшая.
Пример оценки рисков приведен ниже:
Чтобы оценить риск падения работника на входном лестничном марше в здание необходимо ответить на 2 вопроса: а какова вероятность этого события и каковы могут быть последствия. Для более объективной оценки вероятности и серьезности последствий используются имеющие данные по несчастным случаям, записи журналов ежедневного контроля и иные сведения. Так, если за последний год неоднократно были замечания по содержанию лестничных маршев и дорожек, а в статистике несчастных случаев есть похожие случаи по отрасли (или даже в самой организации), то в данном случае определить величину вероятности и серьезности последствий, а следовательно и риска, можно будет более приближенно к реальности.
От того насколько точно были определены риски зависит и актуальность последующих мер управления.
Также организации необходимо определиться, какие же риски она считает для себя неприемлемыми (по которым меры управления должны разрабатываться и внедряться в первую очередь и под жестким контролем выполнения). Можно установить, что риски:
Это и есть т.н. ранжирование рисков.
Результаты оценки рисков, проведенных согласно вышеуказанной методике, оформляются обычно в виде карт оценки рисков (пример карты оценки рисков здесь) с обязательным отражением в них:
Все идентифицированные риски подлежат управлению. При определении мер управления рисками (с целью снижения воздействия факторов опасностей) или при рассмотрении изменений существующих мер управления могут применяться следующие меры по сокращению рисков:
На основе ранжирования рисков устанавливаются цели в области ОТ, которые служат основой для составления Программ управления ОТ (Планов мероприятий по ОТ), направленных на обеспечение безопасных условий труда, профилактику производственного травматизма, повышение квалификации работников (п.4.3.3 СТБ 18001-2009). Данные действия могут также повлечь за собой актуализацию Политики руководства в области охраны труда (п.4.2 СТБ 18001-2009).
После выполнения разработанных мероприятий проводится повторная оценка рисков с учетом предпринятых действий и анализ эффективности мероприятий по управлению рисками.
Повторную оценку целесообразно проводить не реже 1 раза в год перед проведением процедуры анализа высшим руководством СУОТ (п.5.6 СТБ 18001-2009).