Управление рисками в проекте

Открытая публикация. Как сделать так, чтобы фактические результаты совпали с запланированными целями на 100%, что такое "позитивный риск" и как им нужно управлять, почему нивелирование рисков является лучшей стратегией риск-менеджмента – в открытой публикации лучшего риск-менеджера России и Золотого имени Высшей школы Валентина Николаенко.

Среди ученых нет единого мнения, как определять термин «риск» (таблица 1). Говоря о риске, многие из них сходятся к мнению, что риск – это некая неопределенность, которая может оказать влияние на запланированные цели.

В проектной деятельности под «риском» понимается возможное событие, порождаемое конкретными источниками, наступление которого, под воздействием определенных факторов (факторов риска), способно увеличить/уменьшить вероятность наступления данного события и оказать негативное/позитивное влияние на запланированные проектные цели, приводя к наступлению проблемных/благоприятных ситуаций.

Наличие проблемных/благоприятных последствий по причине наступления риска, в свою очередь, является основанием для дифференциации рисковых событий на «негативные риски» и «позитивные риски».


«Негативный риск» – это событие, которое может отрицательно повлиять на процесс достижения проектных целей. Под «позитивным риском», как правило, понимается событие, которое может положительно повлиять на процесс достижения проектных целей, предвосхищая запланированные результаты.


Пример того, как наступление негативного (t негативный риск) и позитивного (t позитивный риск) риска влияет на базовую длительность проекта (t), представлена на рисунке 1.

Под управлением рисками в проекте (риск-менеджментом) понимается совокупность процессов по оценке негативных/позитивных рисков, принятия управленческих решений по разработке мер воздействия, мониторинга неидентифицированных рисков и контроля идентифицированных рисков.


Управление рисками согласно ГОСТ Р ИСО 31000-2010


Современные стандарты риск-менеджмента являются базовыми документами, которые закрепляют основные действия по идентификации, оценке вероятности наступления и возможного ущерба, принятия решений по разработке мероприятий реагирования, контролю и мониторингу рисков. К данным стандартам могут быть отнесены стандарт Sarbanes-Oxley Act, IRM, AIRMIC и ALARM (FERMA RMS), стандарт COSO «ERM Integrated Framework», Australian Risk AS/NZS 4360:2004 и Handbook Risk Management Guidelines, а также стандарт ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство» (ISO 31000), который был опубликован 2009 г. и обновлен в 2010 г. Данный стандарт является легальным документом, который регламентирует процессы управления рисками.


Рассмотрим более подробно процесс управления рисками, описанный в стандарте ГОСТ Р ИСО 31000-2010. Современный российский стандарт риск-менеджмента постоянно обновляется, дополняется и постепенно создает семейство национальных стандартов по управлению рисками (таблица 2).

Риск-менеджмент, согласно стандарту ГОСТ Р ИСО 31000-2010, включает в себя семь видов деятельности: установление ситуации, идентификация риска, анализ риска, оценивание риска, воздействия на риск, мониторинг и контроль над риском, обмен информацией и проведение консультаций. Отметим, что объединенный вид деятельности таких процессов, как идентификация, анализ и оценивание риска в стандарте управления рисками, принято называть оценкой риска.


Рассмотрим каждый процесс ГОСТ 31000 подробнее.


Целью процесса идентификации рисков является выявление и фиксация негативных и позитивных рисковых событий, способных оказать влияние на успешное завершение проекта. Во время процесса идентификации фиксируются и вносятся в реестр рисков все возможные рисковые события, независимо от того, контролируются данные риски или нет.


Задача анализа риска заключается в сборе информации о рисках, которая будет использована в дальнейшем для корректного оценивания рисков, принятия управленческих решений, выборе наиболее подходящей стратегии воздействия на рисковые события.


Оценивание риска базируется на информации, полученной в результате анализа, которая используется для определения уровня риска. Обладая данными об уровне риска, можно определить тип риска и приоритет мер воздействия на риск. Процесс оценивания риска требует точности изменений, поэтому на практике широко используют как количественные, так и качественные методы оценивания.


Воздействие на риск включает в себя разработку мероприятий, нивелирующих, уменьшающих вероятность наступления и ослабляющих возможный ущерб от наступления негативных рисковых событий либо усиливающих и увеличивающих вероятность наступления позитивных рисков.


Процесс мониторинга и контроля включает в себя регулярный надзор за рисками, что влечет за собой установление и определение персональной ответственности за данный вид деятельности.


Идентификация рисков


Для выявления рисков отечественными (В. А. Никоновым, А. А. Поляковым, В. О. Ключниковым) и зарубежными (О. Хелмером, Н. Далкиным, Н. Ресчером, К. Эндрюсом, Т. Клетзом и др.) специалистами в областях управления проектами и управления рисками, применяются различные методы, а также их комбинации в зависимости от типов проектов (разработка программного обеспечения, сайта, портала, корпоративной системы, мобильного приложения, ERP-системы и др.), их размеров (краткосрочный, среднесрочный, долгосрочный) и методик управления (waterfall, agile). Методы, применяемые для выявления негативных и позитивных рисков в ИТ-проектах, представлены в таблице 3.

Рассмотрим более подробно ретроспективный анализ документации завершенных проектов. В своих трудах В. А. Никонов, А. А. Поляков, В. О. Ключников делают предположение о том, что качественно составленные проектные документы могут значительно ослабить влияние негативных рисков.

Пакет проектных документов, нивелирующий и/или ослабляющий влияние негативных рисков представлен в таблице 4.

Результаты исследований показывают, что не один из представленных методов идентификации рисковых событий, представленных в таблице 3, не является универсальным. Каждый из методов направлен на изучение определенной области и группы рисков. В этой связи для выявления уникальных и специфических событий рекомендуется использовать группу методов. Кроме того, для улучшения качества процесса идентификации рисков рекомендуется:

  • привлекать руководителей из других проектов, заказчиков, пользователей, независимых экспертов, участников проектной команды;

  • использовать для идентификации рисков различные методы;

  • анализировать проектную документацию ранее реализованных проектов.


Группировка негативных и позитивных рисков


Риск, как правило, характеризуется двумя параметрами, вероятностью наступления и возможным влиянием в случае его материализации.


Вероятность – это шанс того, что может что-то произойти. В теории вероятностей, вероятность измеряется от 0 до 1 или от 0% до 100%.


Влияние – это отклонение от того, что ожидается (положительное или отрицательное), которое может, например, изменяться в рублях, долларах, человеко-часах и др.

Необходимо отметить, что в проектной деятельности применение количественных методов не получило большого распространения. Среди основных причин отказа от применения данных методов выделяют следующие:

  • Время, отводимое для планирования на подготовительных этапах проектов, ограничено, поэтому оценивание рисков поводится силами экспертов.

  • Применение принципа KISS (Keep it Short and Simple). Э. Рэймонд утверждает, что при проектировании необходимо руководствоваться принципом KISS (Keep it Short and Simple) – «Простота – превыше всего», который запрещает использование сложного инструментария, если он не является необходимостью. По мнению Э. Рэймонда, использование сложного управленческого инструментария, например, такого как количественные методы оценивания рисков, не объединяет, а наоборот, приводит к непониманию между стейкхолдерами.

  • Применение принципа YAGNI (You aren’t gonna need it). В работе Р. Джеффриса, Э. Андерсона и Ч. Хендриксона акцентируется внимание на экспертных методах оценивания риска. Так, по мнению специалистов по реализации проектов, в процессах проектирования и управления должен быть заложен принцип YAGNI (You aren’t gonna need it) – «Вам это не понадобится», который декларирует отказ от избыточной деятельности. Согласно аналитическим выводам Р. Джеффриса, Э. Андерсона и Ч. Хендриксона, время, которое тратится на получение информации с помощью количественных методов, целесообразнее расходовать на ретроспективу и улучшение продукта.

  • Уникальность процесса разработки проекта. Использование количественных методов оценивания рисков не всегда возможно из-за особенностей и специфики проектов. Так, согласно определению, данному в стандарте проектной деятельности PMBOK® Guide, проект является уникальными процессом. В связи с этим использование статико-аналитических и структурно-имитационных методов не всегда возможно, так как для использования математического моделирования часто бывает недостаточно информации и накопленных статистических данных.

  • Неподходящий размер проекта. Для малых проектов, трудозатраты которых составляют менее 700 человеко-часов, использование количественных методов оценивания рисков являются нецелесообразным в связи с тем, что вероятность успешного завершения малых проектов гораздо выше – 76%, чем у среднесрочных проектов – 14% и долгосрочных проектов – 10%.

На практике чаще всего прибегают к использованию качественных методов оценки вероятности и влияния, где вместо единиц измерения, используют относительные алфавитно-числовые коэффициенты Харрингтона (таблица 5 и таблица 6).

Т. Мерна и Ф. Ал-Хани в своих трудах используя алфавитно-числовую шкалу Харрингтона распределяют негативные риски на четыре группы (рисунок 2):

  • Катастрофический риск («тигр») – это негативный риск, который имеет высокую степень вероятности наступления и способен оказать значительное негативное влияние. Считается, что материализация одного «тигра» может остановиться все проектных работы, до тех пор пока полученный урон не будет устранен (уход ключевого сотрудника из проекта, уход руководителя проекта от проекта, изменение требований в процессе реализации проекта и др.).

  • Непредсказуемый риск («аллигатор») – это негативное рисковое событие, имеющее низкую степень вероятности наступления, но обладающее способностью оказывать значительное негативное влияние. Отметим, что ущерб от наступления подобного риска способен привести к значительным проблемам, как и «тигр», например, заказчик подает исковые требования в арбитражный суд, подрядчик подает исковые требования в суд и др.

  • Часто встречаемый риск («щеночек»). «Щеночком» называют негативный риск, который имеет высокую степень вероятности наступления, но при этом не способен оказывать какого-либо значительного влияния (уход сотрудника на больничный, конфликт между участниками проекта и др.).

  • Несущественный риск или «котенок» – это негативное рисковое событие, которое имеет низкую степень вероятности наступления и при этом не обладает способностью оказывать какого-либо значительного влияния (отключение интернета, отключение электричества и др.). По мнению Т. Мерна и Ф. Ал-Хани, «котята» не способны хоть как-то навредить, поэтому ученые рекомендуют данные риски считать несущественными и игнорировать.

Ранжирование позитивных рисков принято проводить по следующим группам (рисунок 3). В частности:

  • Созидательный риск («слон») – это позитивный риск, который имеет высокую степень вероятности наступления и способен оказывать значительное влияние. Отметим, что «слон» может претворяться в жизнь независимо от превентивных и/или компенсирующих мероприятий, поэтому для созидательного риска нет необходимости в мерах, которые бы стимулировали наступление.

  • Непредсказуемый риск или «лев». Риски данной группы имеют низкую степень вероятности наступления, но обладают способностью оказывать значительное влияние. Необходимо сказать, что «лев» среди всех остальных групп позитивных рисков представляет наибольший интерес по причине того, что данный позитивный риск способен оказать большое положительное влияние и, как следствие, может значительно увеличить шансы на успех (привлечение в проект профессионала, привлечение в проект опытного руководителя проекта и др.).

  • Часто встречаемый риск («обезьяна»). Сепарация данного позитивного риска от остальных имеет большую практическую ценность, т. к. «дразня» руководителя и коллектив воспользоваться благами возможных позитивных эффектов, «обезьяна» вынуждает расходовать ресурсы, не оказывая при этом значительного влияния на успех.

  • Незначительный риск и/или «кролик». Незначительные риски имеют низкую степень вероятности наступления и не обладают способностью оказывать значительное позитивное влияние. Отметим, что «кролик» не способен быть хоть как-то полезен, поэтому риски, относящиеся к данной группе можно считать несущественными.

Необходимо отметить, что наибольший управленческий интерес для руководителя проекта представляют риски, которые попали в группы «тигры», «аллигаторы» и «львы».


Меры воздействия на риски


Разработка мер воздействия на риски включает в себя разработку мер плана мероприятий по превентивному воздействию на риски, или «плана А» и мер плана мероприятий по принятию рисков, или «плана Б».


План мероприятий по превентивному воздействию на риски – это документ, содержащий детальное описание мер упреждающего управления, который включает в себя следующую информацию:

  • перечень негативных и позитивных рисков;

  • информацию о владельцах рисков – лицах, ответственных за мониторинг и контроль над риском, а также за выбор и выполнение соответствующей стратегии реагирования на риск;

  • результаты анализа и оценивания рисков;

  • стратегии воздействия на риски;

  • информацию о необходимых ресурсах;

  • триггерные условия – события или ситуации, указывающие на то, что риск вот-вот наступит, т. е. признаки, по которым можно понять, что меры «плана А» оказались нерезультативным и в ближайшем будущем стоит ждать наступление риска.

План мер по принятию рисков включает в себя инструкции и резервы, которые используются в тех случаях, когда превентивные меры не принесли ожидаемого эффекта. Так, например, если было замечено триггерное условие заблаговременного сообщающее о том, что меры «плана А» не принесли ожидаемого эффекта, то тогда запускаются в работу меры «плана Б».


Меры «плана Б» также необходимы для достойного принятия вторичных рисков (рисков, которые могут возникнуть в результате проведенных мер «плана А») и рисков-невидимок (скрытых рисков, трансформирующихся сразу в проблемы).


Стратегии управления негативными и позитивными рисками в проектах


В своде правил проектного управления PMBOK® Guide рекомендуется использовать различные стратегий для управления рисками.


Например, наиболее результативной стратегией управления негативными рисками среди перечисленных по мнению создателей PMBOK® Guide, является стратегия «нивелирования», где осуществляется ликвидация источников риска.


Более подробная информация о стратегиях управления негативными и позитивными рисками в проектах, представлена в таблице 7.

Выводы

  1. Согласно стандарту ГОСТ Р ИСО 31000-2010, риск-менеджмент включает в себя семь видов деятельности: установление ситуации, идентификация риска, анализ риска, оценивание риска, воздействия на риск, мониторинг и контроль над риском, обмен информацией и проведение консультаций.

  2. Качественно составленные проектные документы могут значительно ослабить влияние негативных рисков.

  3. Для того, чтобы измерить вероятность наступления риска и возможное влияние от его материализации используют количественные (математические) методы и качественные (экспертные) оценки.

  4. Негативные риски распределяются на такие группы, как «тигры», «аллигаторы», «щеночки» и «котята». Позитивные риски распределяются на такие группы, как «слоны», «львы», «обезьяны» и «кролики».

  5. Разработка мер воздействия на риски включает в себя разработку мер плана мероприятий по превентивному воздействию на риски, или «плана А» и мер плана мероприятий по принятию рисков, или «плана Б».

Рекомендованная литература:

  1. Мадорская Ю. М. Повышение точности и сокращение времени планирования в процессах управления проектами по разработке программного обеспечения // Международная техническая конференция «Технические науки: проблемы и перспективы» Санкт-Петербург. – 2011. – С. 92-99.

  2. Raymond E. The Art of Unix Programming, 2003. – Addison-Wesley. – 549 p.

  3. Джеффрис Р., Андерсон Э., Хендриксон Ч., Джеффрис Р. Э. Extreme Programming Installed, 2000. – Addison-Wesley Professional. – 288 p.

  4. The CHAOS Manifesto. – Standish Group International, 2014. – 16 p.

  5. Merna T., Al-Thani F. Corporate risk management. – John Wiley & Sons, Ltd, 2008. – 2nd ed. – 443 p.

  6. Талеб Н. Н. Черный лебедь. Под знаком непредсказуемости – 2-е изд., доп. / Нассим Николас Талеб ; пер. с англ.. – М. : КоЛибри, Азбука-Аттикус, 2015. – 736 с.

  7. Николаенко В. С. Риск-менеджмент как необходимый фактор для успешного завершения ИТ-проектов, реализуемых в рамках национальной программы «Цифровая экономика» // Государственное управление. Электронный вестник, 2020. - №79. – С.271-295. - DOI: 10.24411/2070-1381-2019-10059.

  8. Никонов В. А. Управление рисками: Как больше зарабатывать и меньше тратить. – М. : Альпина Паблишерз, 2009. – 285 с.

  9. Поляков А.А., Ключников В. О. Опционный метод управления рисками в инвестиционных ИТ проектах // Вестник Московского университета. Серия 21: Управление (государство и общество). – 2010. – № 1. – С. 69-78.

  10. International Standards Organization. 2015. ISO 9000:2015 Quality Management Systems — Fundamentals and Vocabulary. Geneva: Author.

  11. Селиховкин И. Управление ИТ-проектом. Эффективная система «с нуля» в любой организации. – Санкт-Петербург, 2010. – 90 с.

Карта сайта

Справка о постановке на учет физического лица в качестве налогоплательщика налога на профессиональный доход за 2020 г. №1965729 от 08.08.2020 г.

здесь учат управлять

  • Vkontakte - серый круг
  • Facebook
  • YouTube

БЕЗРИСКОВЫХ

ВАМ ПРОЕКТОВ!

2018 - 2020

Николаенко Валентин Сергеевич ©