4.1 Планирование управления рисками
Планирование управления рисками — процесс, определяющий, каким образом осуществлять управление рисками проекта. Ключевая выгода данного процесса состоит в обеспечении того, чтобы степень, тип и наглядность управления рисками были соразмерны рискам и важности проекта для организации.
Процесс планирования управления рисками должен определить правила и подходы к управлению рисками проекта, а именно:
• способы выявления и источники рисков;
• роли и ответственности, как на уровне руководства, так и на уровне членов команды – может быть создана специальная команда управления рисками;
• бюджет управления рисками;
• периодичность идентификации, анализа и оценок рисков;
• критерии пороговых величин, после которых требуется вмешательство;
• формы отчетности и документирования.
Раскрытие перечисленных пунктов приводит к созданию на выходе процесса плана управления рисками. На входе процесса необходимо иметь такие источники как:
• план управления проектом;
• Устав проекта;
• реестр заинтересованных лиц;
• факторы среды предприятия;
• активы процессов организации;
• другая необходимая и доступная информация из общего плана проекта.
Полезным приложением к Плану управления рисками может являться построение иерархической структуры рисков (ИС Рисков). Вначале строится шаблон ИС Рисков, а далее по аналогии с ИСР, источники (причины) рисков детализируются до таких рисков, за которые можно назначить одно ответственное лицо (см. Рис. 16).
Процесс планирования управления рисками должен определить правила и подходы к управлению рисками проекта, а именно:
• способы выявления и источники рисков;
• роли и ответственности, как на уровне руководства, так и на уровне членов команды – может быть создана специальная команда управления рисками;
• бюджет управления рисками;
• периодичность идентификации, анализа и оценок рисков;
• критерии пороговых величин, после которых требуется вмешательство;
• формы отчетности и документирования.
Раскрытие перечисленных пунктов приводит к созданию на выходе процесса плана управления рисками. На входе процесса необходимо иметь такие источники как:
• план управления проектом;
• Устав проекта;
• реестр заинтересованных лиц;
• факторы среды предприятия;
• активы процессов организации;
• другая необходимая и доступная информация из общего плана проекта.
Полезным приложением к Плану управления рисками может являться построение иерархической структуры рисков (ИС Рисков). Вначале строится шаблон ИС Рисков, а далее по аналогии с ИСР, источники (причины) рисков детализируются до таких рисков, за которые можно назначить одно ответственное лицо (см. Рис. 16).
Рис. 16. Пример ИС Рисков
4.2 Идентификация рисков
Идентификация рисков — процесс определения перечня рисков, которые могут воздействовать на проект, и документирования их характеристик. Ключевая выгода данного процесса состоит в документировании существующих рисков, а также в знаниях и возможностях, которые это предоставляет команде проекта для того, чтобы предвидеть возможные события.
На входе процесса идентификации рисков предполагается иметь максимальное число источников данных:
• план управления рисками;
• план управления стоимостью;
• план управления расписанием;
• план управления качеством;
• план управления человеческими ресурсами;
• базовый план по содержанию;
• оценки стоимости операций;
• оценки длительности операций;
• реестр заинтересованных лиц;
• документы проекта;
• закупочная документация;
• факторы среды предприятия;
• активы процессов организации.
На выходе необходимо получить:
• реестр рисков (пронумерованный список рисков с описанием).
На этом этапе риски должны быть четко разграничены и о рисках должны быть точно записаны следующие данные:
• наименование и дата идентификации риска;
• описание риска.
По ходу выполнения проекта информация о рисках должна обновляться и дополняться следующими данными:
• лицо, ответственное за управление риском;
• ссылка на ИСР, где могут возникнуть дополнительные работы;
• вероятность возникновения риска;
• последствия риска;
• стратегия реагирования на риск и т.д.
На входе процесса идентификации рисков предполагается иметь максимальное число источников данных:
• план управления рисками;
• план управления стоимостью;
• план управления расписанием;
• план управления качеством;
• план управления человеческими ресурсами;
• базовый план по содержанию;
• оценки стоимости операций;
• оценки длительности операций;
• реестр заинтересованных лиц;
• документы проекта;
• закупочная документация;
• факторы среды предприятия;
• активы процессов организации.
На выходе необходимо получить:
• реестр рисков (пронумерованный список рисков с описанием).
На этом этапе риски должны быть четко разграничены и о рисках должны быть точно записаны следующие данные:
• наименование и дата идентификации риска;
• описание риска.
По ходу выполнения проекта информация о рисках должна обновляться и дополняться следующими данными:
• лицо, ответственное за управление риском;
• ссылка на ИСР, где могут возникнуть дополнительные работы;
• вероятность возникновения риска;
• последствия риска;
• стратегия реагирования на риск и т.д.
4.3 Способы идентификации рисков
Идентификация рисков – это процесс, требующий интеллектуальных усилий, абстрагирования, опыта и знаний.
Возможные инструменты и методы:
• обзор документации;
• методы сбора информации:
мозговой штурм;
метод Дельфи;
проведение интервью;
анализ первопричины;
• анализ с помощью контрольного списка;
• анализ допущений;
• методы диаграмм:
диаграммы причинно-следственных связей;
блок-схемы процесса и системы;
диаграммы влияния;
• анализ SWOT;
• экспертная оценка.
Можно осуществлять структурированный анализ документации по проекту, включая планы, допущения, архивы предыдущих проектов, соглашения и другую информацию. Качество планов, а также согласованность планов с требованиями и допущениями проекта могут служить показателями рисков в проекте.
Целью мозгового штурма является создание всеобъемлющего списка рисков проекта. Как правило, мозговой штурм проводит команда проекта, часто с участием ряда экспертов из разных областей, не являющихся членами команды. Генерация идей, относящихся к рискам проекта, происходит под руководством модератора либо в традиционной свободной форме мозгового штурма, либо с помощью структурированных методов проведения массовых интервью. За основу может приниматься система категорий рисков, например иерархическая структура рисков. Далее риски подлежат идентификации и категоризации по типам, а их определения – уточнению.
Метод Дельфи – это способ достижения консенсуса между экспертами. Данный метод предполагает, что эксперты по рискам проекта принимают в нем 42 участие анонимно. С помощью опросного листа модератор собирает идеи о важных рисках проекта. Ответы резюмируются и затем возвращаются экспертам для дальнейших комментариев. Консенсуса можно достичь за несколько циклов данного процесса. Метод Дельфи помогает снизить необъективность в оценке данных и устраняет избыточное влияние отдельных лиц на конечный результат.
Проведение интервью среди опытных участников проекта, заинтересованных сторон или экспертов по предметной области способствует идентификации рисков.
Анализ первопричины представляет собой особый метод определения проблемы, выявления основополагающих причин, приведших к ней, и разработки предупреждающих действий.
Контрольные списки идентификации рисков разрабатываются на основе исторической информации и знаний, полученных в ходе исполнения предыдущих аналогичных проектов или из других источников информации. В качестве контрольного списка рисков можно также использовать самый нижний уровень RBS. Хотя контрольный список может быть кратким и простым, невозможно создать исчерпывающий список, и поэтому необходимо удостовериться, что контрольный список не используется с целью избежать усилий по надлежащей идентификации рисков. Команда должна также уделять внимание вопросам, которые не нашли своего отражения в контрольном списке. Кроме того, контрольный список необходимо время от времени сокращать для удаления или архивирования связанных пунктов. При завершении проекта контрольный список следует пересматривать, чтобы учесть в нем извлеченные уроки и улучшить его для использования в будущих проектах.
Анализ допущений исследует обоснованность допущений применительно к проекту. Данный анализ позволяет идентифицировать риски проекта, возникающие вследствие неточности, нестабильности, противоречивости или неполноты допущений.
Диаграммы причинно-следственных связей, также известные как диаграммы Исикавы или диаграммы «рыбий скелет», используются для определения причин возникновения рисков.
Блок-схемы процесса или системы – вид графического отображения, демонстрирует порядок взаимодействия различных элементов системы между собой и их причинно-следственные связи.
Диаграммы влияния – графическое представление ситуаций, отображающее причинно-следственные связи, последовательности событий во времени и другие отношения между переменными и результатами.
Анализа SWOT позволяет провести анализ проекта с точки зрения каждого из аспектов: сильных и слабых сторон, благоприятных возможностей и угроз (strengths, weaknesses, opportunities, and threats, SWOT), что делает идентификацию рисков более полной, учитывая риски внутри проекта. При использовании данного метода начинают с определения сильных и слабых сторон организации, уделяя особое внимание либо проекту, либо организации, либо области бизнеса в целом. Затем в процессе анализа SWOT идентифицируют любые благоприятные возможности проекта, обусловленные сильными сторонами организации, а также любые угрозы, появляющиеся вследствие ее слабых сторон. При помощи данного анализа также исследуют, насколько сильные стороны организации компенсируют угрозы, и идентифицируют благоприятные возможности, которые можно использовать для преодоления слабых сторон.
Риски могут быть идентифицированы непосредственно экспертами, имеющими соответствующий опыт работы в подобных проектах или областях бизнеса. Таких экспертов должен определять руководитель проекта и приглашать для рассмотрения всех аспектов проекта и идентификации возможных рисков на основе своего предыдущего опыта и областей компетенции. Во время данного процесса необходимо учитывать необъективность экспертов.
Возможные инструменты и методы:
• обзор документации;
• методы сбора информации:
мозговой штурм;
метод Дельфи;
проведение интервью;
анализ первопричины;
• анализ с помощью контрольного списка;
• анализ допущений;
• методы диаграмм:
диаграммы причинно-следственных связей;
блок-схемы процесса и системы;
диаграммы влияния;
• анализ SWOT;
• экспертная оценка.
Можно осуществлять структурированный анализ документации по проекту, включая планы, допущения, архивы предыдущих проектов, соглашения и другую информацию. Качество планов, а также согласованность планов с требованиями и допущениями проекта могут служить показателями рисков в проекте.
Целью мозгового штурма является создание всеобъемлющего списка рисков проекта. Как правило, мозговой штурм проводит команда проекта, часто с участием ряда экспертов из разных областей, не являющихся членами команды. Генерация идей, относящихся к рискам проекта, происходит под руководством модератора либо в традиционной свободной форме мозгового штурма, либо с помощью структурированных методов проведения массовых интервью. За основу может приниматься система категорий рисков, например иерархическая структура рисков. Далее риски подлежат идентификации и категоризации по типам, а их определения – уточнению.
Метод Дельфи – это способ достижения консенсуса между экспертами. Данный метод предполагает, что эксперты по рискам проекта принимают в нем 42 участие анонимно. С помощью опросного листа модератор собирает идеи о важных рисках проекта. Ответы резюмируются и затем возвращаются экспертам для дальнейших комментариев. Консенсуса можно достичь за несколько циклов данного процесса. Метод Дельфи помогает снизить необъективность в оценке данных и устраняет избыточное влияние отдельных лиц на конечный результат.
Проведение интервью среди опытных участников проекта, заинтересованных сторон или экспертов по предметной области способствует идентификации рисков.
Анализ первопричины представляет собой особый метод определения проблемы, выявления основополагающих причин, приведших к ней, и разработки предупреждающих действий.
Контрольные списки идентификации рисков разрабатываются на основе исторической информации и знаний, полученных в ходе исполнения предыдущих аналогичных проектов или из других источников информации. В качестве контрольного списка рисков можно также использовать самый нижний уровень RBS. Хотя контрольный список может быть кратким и простым, невозможно создать исчерпывающий список, и поэтому необходимо удостовериться, что контрольный список не используется с целью избежать усилий по надлежащей идентификации рисков. Команда должна также уделять внимание вопросам, которые не нашли своего отражения в контрольном списке. Кроме того, контрольный список необходимо время от времени сокращать для удаления или архивирования связанных пунктов. При завершении проекта контрольный список следует пересматривать, чтобы учесть в нем извлеченные уроки и улучшить его для использования в будущих проектах.
Анализ допущений исследует обоснованность допущений применительно к проекту. Данный анализ позволяет идентифицировать риски проекта, возникающие вследствие неточности, нестабильности, противоречивости или неполноты допущений.
Диаграммы причинно-следственных связей, также известные как диаграммы Исикавы или диаграммы «рыбий скелет», используются для определения причин возникновения рисков.
Блок-схемы процесса или системы – вид графического отображения, демонстрирует порядок взаимодействия различных элементов системы между собой и их причинно-следственные связи.
Диаграммы влияния – графическое представление ситуаций, отображающее причинно-следственные связи, последовательности событий во времени и другие отношения между переменными и результатами.
Анализа SWOT позволяет провести анализ проекта с точки зрения каждого из аспектов: сильных и слабых сторон, благоприятных возможностей и угроз (strengths, weaknesses, opportunities, and threats, SWOT), что делает идентификацию рисков более полной, учитывая риски внутри проекта. При использовании данного метода начинают с определения сильных и слабых сторон организации, уделяя особое внимание либо проекту, либо организации, либо области бизнеса в целом. Затем в процессе анализа SWOT идентифицируют любые благоприятные возможности проекта, обусловленные сильными сторонами организации, а также любые угрозы, появляющиеся вследствие ее слабых сторон. При помощи данного анализа также исследуют, насколько сильные стороны организации компенсируют угрозы, и идентифицируют благоприятные возможности, которые можно использовать для преодоления слабых сторон.
Риски могут быть идентифицированы непосредственно экспертами, имеющими соответствующий опыт работы в подобных проектах или областях бизнеса. Таких экспертов должен определять руководитель проекта и приглашать для рассмотрения всех аспектов проекта и идентификации возможных рисков на основе своего предыдущего опыта и областей компетенции. Во время данного процесса необходимо учитывать необъективность экспертов.
4.4 Качественный анализ рисков
После того, как все риски идентифицированы, проводят качественный анализ рисков с целью упорядочить риски по уровням их значимости.
Качественный анализ рисков – процесс расстановки приоритетов в отношении рисков для их дальнейшего анализа или действий, выполняемый путем оценки и сопоставления их воздействия и вероятности возникновения. Ключевая выгода данного процесса состоит в том, что он позволяет руководителям проектов уменьшать уровень неопределенности и фокусироваться на высокоприоритетных рисках. Значимость риска определяется соотношением двух факторов – вероятностью риска и последствиями риска для целей проекта. При качественном анализе рисков эти два фактора описываются «оценочно», например, вероятность низкая, средняя, высокая, последствия незначительные, умеренные, значительные и т.д. Поэтому такое ранжирование рисков по уровням важности не требует больших временных и денежных затрат, большого объема подробной информации.
На входе процесса качественного анализа рисков имеем:
• план управления рисками;
• базовый план по содержанию;
• реестр рисков;
• факторы среды предприятия;
• активы процессов организации.
На выходе:
• обновление документов проекта: ранжирование рисков по уровням важности, перечень рисков, требующих дополнительно анализа, тренд результатов при повторении качественного анализа, т.е. тенденции изменения рисков.
Основным методом качественного анализа рисков является использование матрицы вероятности и воздействия. Она содержит две шкалы:
• шкалу вероятности, которая обычно имеет линейный диапазон значений [0,1], [1,10] или [1,100];
• шкалу последствий, которая может быть, как линейной, так и нелинейной, и отражает значимость последствий.
Каждый риск ориентировочно оценивается по вероятности и последствиям и, согласно матрицы, получает определенный ранг (рейтинг) важности. В зависимости от ранга, т.е. клетки матрицы, куда он попадает, риски подразделяют на Низкие, Средние и Высокие. Пороги для такого деления рисков в каждой организации устанавливаются самостоятельно в зависимости от толерантности к рискам.
Кроме того, в некоторых организациях могут составляться отдельные матрицы вероятности и последствий для отдельных целей проекта (стоимости, сроков, содержания, качества) с разной шкалой и порогами.
Поскольку точная оценка вероятности и последствий на этом этапе может быть затруднена, то можно предложить вариант матрицы вероятности и последствий с упрощенной шкалой.
Качественный анализ рисков – процесс расстановки приоритетов в отношении рисков для их дальнейшего анализа или действий, выполняемый путем оценки и сопоставления их воздействия и вероятности возникновения. Ключевая выгода данного процесса состоит в том, что он позволяет руководителям проектов уменьшать уровень неопределенности и фокусироваться на высокоприоритетных рисках. Значимость риска определяется соотношением двух факторов – вероятностью риска и последствиями риска для целей проекта. При качественном анализе рисков эти два фактора описываются «оценочно», например, вероятность низкая, средняя, высокая, последствия незначительные, умеренные, значительные и т.д. Поэтому такое ранжирование рисков по уровням важности не требует больших временных и денежных затрат, большого объема подробной информации.
На входе процесса качественного анализа рисков имеем:
• план управления рисками;
• базовый план по содержанию;
• реестр рисков;
• факторы среды предприятия;
• активы процессов организации.
На выходе:
• обновление документов проекта: ранжирование рисков по уровням важности, перечень рисков, требующих дополнительно анализа, тренд результатов при повторении качественного анализа, т.е. тенденции изменения рисков.
Основным методом качественного анализа рисков является использование матрицы вероятности и воздействия. Она содержит две шкалы:
• шкалу вероятности, которая обычно имеет линейный диапазон значений [0,1], [1,10] или [1,100];
• шкалу последствий, которая может быть, как линейной, так и нелинейной, и отражает значимость последствий.
Каждый риск ориентировочно оценивается по вероятности и последствиям и, согласно матрицы, получает определенный ранг (рейтинг) важности. В зависимости от ранга, т.е. клетки матрицы, куда он попадает, риски подразделяют на Низкие, Средние и Высокие. Пороги для такого деления рисков в каждой организации устанавливаются самостоятельно в зависимости от толерантности к рискам.
Кроме того, в некоторых организациях могут составляться отдельные матрицы вероятности и последствий для отдельных целей проекта (стоимости, сроков, содержания, качества) с разной шкалой и порогами.
Поскольку точная оценка вероятности и последствий на этом этапе может быть затруднена, то можно предложить вариант матрицы вероятности и последствий с упрощенной шкалой.
4.5 Количественный анализ рисков
Количественный анализ рисков обычно проводится после качественного анализа рисков. Количественный анализ рисков – процесс численного анализа воздействия идентифицированных рисков на цели проекта в целом. Ключевая выгода данного процесса состоит в том, что он предоставляет количественную информацию о рисках в поддержку процесса принятия решений с целью уменьшения неопределенности проекта.
Этот процесс заключается в следующем:
• количественной оценке вероятностей и последствий каждого риска, сортировке рисков по приоритетам;
• определении рисков, требующих реагирования и сосредоточения усилий;
• количественном определении величины резервов по стоимости и срокам;
• определении наиболее реальных сценариев достижения целей по стоимости, срокам и содержанию для проекта в целом.
На входе процесса количественного анализа рисков имеем как минимум следующую информацию:
• план управления рисками;
• план управления стоимостью;
• план управления расписанием;
• реестр рисков;
• факторы среды предприятия;
• активы процессов организации.
На выходе:
• обновления документов проекта:
перечень рисков по приоритетам, оценка последствий рисков;
вероятностный анализ проекта;
тренды результатов (при повторном анализе).
Количественный анализ рисков производится в отношении тех рисков, которые в результате процесса качественного анализа рисков были классифицированы как потенциально и существенным образом влияющие на конкурирующие требования проекта. В процессе количественного анализа рисков оценивается воздействие данных рисков на цели проекта. Он используется, в основном, для оценки совместного воздействия всех рисков на проект. Когда риски попадают в количественный анализ, данный процесс может использоваться для присвоения числового рейтинга приоритетности этим рискам по отдельности.
В некоторых случаях выполнение процесса количественного анализа рисков невозможно в связи с отсутствием необходимых данных для разработки соответствующих моделей. Руководитель проекта должен пользоваться экспертной оценкой для определения необходимости и целесообразности количественного анализа рисков. Выбор метода (методов) анализа в каждом конкретном проекте определяется наличием времени и бюджетом, а также потребностью в качественном и количественном описании рисков и их воздействий. Чтобы определить, был ли риск проекта успешно снижен, количественный анализ рисков следует, при необходимости, повторно провести в рамках процесса контроля рисков. Анализ тенденций может указать на необходимость уделить больше или меньше внимания соответствующим действиям по управлению рисками.
Этот процесс заключается в следующем:
• количественной оценке вероятностей и последствий каждого риска, сортировке рисков по приоритетам;
• определении рисков, требующих реагирования и сосредоточения усилий;
• количественном определении величины резервов по стоимости и срокам;
• определении наиболее реальных сценариев достижения целей по стоимости, срокам и содержанию для проекта в целом.
На входе процесса количественного анализа рисков имеем как минимум следующую информацию:
• план управления рисками;
• план управления стоимостью;
• план управления расписанием;
• реестр рисков;
• факторы среды предприятия;
• активы процессов организации.
На выходе:
• обновления документов проекта:
перечень рисков по приоритетам, оценка последствий рисков;
вероятностный анализ проекта;
тренды результатов (при повторном анализе).
Количественный анализ рисков производится в отношении тех рисков, которые в результате процесса качественного анализа рисков были классифицированы как потенциально и существенным образом влияющие на конкурирующие требования проекта. В процессе количественного анализа рисков оценивается воздействие данных рисков на цели проекта. Он используется, в основном, для оценки совместного воздействия всех рисков на проект. Когда риски попадают в количественный анализ, данный процесс может использоваться для присвоения числового рейтинга приоритетности этим рискам по отдельности.
В некоторых случаях выполнение процесса количественного анализа рисков невозможно в связи с отсутствием необходимых данных для разработки соответствующих моделей. Руководитель проекта должен пользоваться экспертной оценкой для определения необходимости и целесообразности количественного анализа рисков. Выбор метода (методов) анализа в каждом конкретном проекте определяется наличием времени и бюджетом, а также потребностью в качественном и количественном описании рисков и их воздействий. Чтобы определить, был ли риск проекта успешно снижен, количественный анализ рисков следует, при необходимости, повторно провести в рамках процесса контроля рисков. Анализ тенденций может указать на необходимость уделить больше или меньше внимания соответствующим действиям по управлению рисками.