Планирование рисков
Первое, что необходимо
сделать в управлении рисками проекта
– запланировать их . В переводе на обыденный
язык это означает, что мы признаем наличие рисков
в проекте и намерены затратить некоторое
количество времени и денег на управление
рисками. Или сэкономить - если
риск положительный, например, предполагаемое
удешевление применяющихся в проекте
электронных устройств.
Затем нам необходимо произвести идентификацию рисков. Для этого команда
проекта и эксперты, которых удалось заполучить,
собираются в одной комнате и, забыв про
позитивное мышление, пытаются составить
полный список того, что в данном проекте
грозит нарушить наши планы. Затем позитивное
мышление включается, ищутся и фиксируются
благоприятные события, которые также
могут произойти. Не надо пытаться найти
все риски – вполне хватит полтора десятка
отрицательных и пяти положительных, поскольку
данный список будет изменяться и дополняться
по ходу проекта. Можно также использовать
и метод Дельфи, и карточки Кроуфорда,
но обязательно должен быть мозговой штурм.
Если есть информация о рисках подобных проектов, проводившихся
ранее – она будет крайне
полезна и сэкономит массу времени.
Далее мы производим сортировку рисков - группируем их по категориям,
с учетом степени их значимости для проекта.
Для этого можно использовать внешние
источники для описания групп рисков.
Так, например, в известной книге “Вальсируя
с медведями” ДеМарко и Листера приводятся
ТОР5 групп рисков для разработки ПО, сгруппированных
по степени значимости. Вот они:
1. Внутренние изъяны календарного планирования
2. Изменение требований
3. Текучесть кадров
4. Нечеткие спецификации
5. Низкая производительность
Обратите внимание, что риск, связанный
с плохой работой персонала, стоит на последнем
месте. Говоря иначе, основные риски состоят
не в том, что исполнители работают медленно,
а в том, что исполнители работают не над
тем, над чем нужно.
Цель данного этапа состоит также и в том,
чтобы отсеять риски, являющиеся малозначимыми
для проекта. Например, землетрясение
силой 8 баллов может уничтожить весь город,
в котором ведется работа над проектом,
но вероятность этого землетрясения –
миллиардные доли процента, если речь
идет о Москве. Также вероятно заболевание
на неделю одного из тестеров, но нет смысла
учитывать это на ранних этапах планирования
– лучше объявить риск с названием “недоступность
персонала” и включать туда все подобные
риски.
При планировании рисков
следует помнить, что это - не самоцель.
Можно спланировать все возможные риски
и потом тратить массу времени на их мониторинг,
тогда как не будет хватать времени на
остальное. Лучше установить для себя
некоторый порог рисков по стоимости и
регулярно отслеживать только те риски,
которые выходят за это порог. Остальные,
мелкие риски лучше писать в раздел "Прочее"
и рассматривать этот раздел, скажем, раз
в месяц.
На следующем этапе
мы производим количественный анализ
рисков. Собственно, это анализ
влияния рисков на стоимость и сроки проектов.
Полученные на данном этапе цифры используются
в качестве предварительных, далее, на
этапе планирования реагирования на риски,
они могут быть изменены. Сейчас же мы
просто оцениваем величину опасности
или благоприятные возможности.
Далее идет этап планирования реагирования на риски. Мы можем реагировать
на риски одним из четырех способов:
- Уклонение от риска
– предпринимаем корректирующие действия,
чтобы риск не наступил вообще. Например,
настаиваем на исключении из ТЗ спорного
пункта, возможность успешной реализации
которого сейчас не можем даже оценить.
- Ослабление риска -
предпринимаем корректирующие действия,
чтобы наступивший риск имел возможно меньшее влияние. Типичный пример – фраза в ТЗ: “уточняется на этапе технического проекта”
- Передача риска – мы
передаем риск другой стороне. Это не только
покупка страховки. Запись о форс-мажорных
обстоятельствах в договоре – пример
бесплатного перекладывания рисков большой
величины на заказчика.
- Принятие риска – мы
считаем, что с риском поделать ничего
нельзя, поэтому просто закладываем резервы
в бюджет и график для покрытия данного
риска.
Обратите внимание,
что когда на риск проекта не обращают
внимания на этапе идентификации, способ
реагирования на него всегда будет “Принятие”
– но в данном случае резервы в график
и бюджет не закладываются. Именно поэтому
важно идентифицировать все риски, а потом
отбрасывать малозначимые и маловероятные.
Итогом данного планирования
будет список рисков, подобный следующему(список
сокращенный, взят из учебного проекта):
В планирование реагирования
на риски входит также и назначение ответственных
за отслеживание тех или иных типов рисков,
чтобы следить за изменением их величины,
включать новые и исключать устаревшие.
Полученные данные
затем вносятся в план проекта - для учета
дополнительного времени и денег. При
этом следует помнить, что полученный
список рисков (известные неизвестные) - далеко не полный,
в процессе исполнения могут появиться
дополнительные риски (неизвестные неизвестные). Для реагирования
на них следует закладывать дополнительные
резервы в бюджет - резерв на непредвиденное,
как показано на рисунке.
Идентификация
рисков
Под идентификацией рисков
понимается действия, направленные на
определение параметров рисковой ситуации
(что может случиться, где, когда, как и
почему?)
Целью идентификации рисков
является составление полного перечня
рисков, которые могут повлиять на достижение
целей организации в рамках интегрированной
системы менеджмента. Этот перечень должен
быть максимально полным, так как неидентифицированные
риски могут представлять существенную
опасность для достижения поставленных
целей, вызвать потерю контроля над процессами
ИСМ и привести к утрате перспективных
возможностей.
Причинно-следственная связь
между основными составляющими идентификации
рисков представлена на рисунке 15 /5/.
Причины риска представляют
собой источник появления рисковой ситуации.
Например, нестабильность экономической
ситуации в стране порождает потенциальный
риск задержки погашения дебиторской
задолженности компании.
Факторы риска — это условия,
в которых проявляются причины риска,
обусловливающие появление рисковых ситуаций.
В развитие предыдущего примера
можно установить, что задержка с выплатой
дебиторской задолженности произошла
вследствие неконтролируемого роста инфляции
на фоне нестабильной макроэкономической
среды на уровне государства. В данном
случае фактором риска выступает неконтролируемый
рост инфляции.
Рисковая ситуация представляет
собой событие, обусловленное причинами
и факторами риска, которое может привести
к негативным или позитивным последствиям.
Отсутствия финансирования
организации со стороны дебиторской компании
иллюстрирует понятие рисковой ситуации.
Вид риска характеризует источник
появления рисковой ситуации. Другими
словами, вид риска определяет, кто из
заинтересованных сторон является «инициатором»
возникновения рисковой ситуации.
В рассматриваемом примере
вид риска является внешним, так как его
«инициатором» выступает внешняя заинтересованная
сторона — дебиторская компания.
Метод выявления характеризует
способ обнаружения рисковой ситуации.
Отсутствие финансирования
выявляется финансовоэкономической службой
организации путем мониторинга расчетного
счета и договорных обязательств между
организацией и дебитором.
Характеристики рисковой ситуации
определяются временными и структурными
параметрами появления риска.
В нашем примере отсутствие
финансирования может возникнуть на этапе
выполнения дебитором своих обязательств.
Последствия представляют собой
результаты рисковой ситуации в случае
их реализации.
Рассматриваемая рисковая ситуация
ведет к негативным последствиям для организации,
например, к срыву временных характеристик
(сроков) при реализации бизнес-процесса
или проекта.
Рисунок 15. Определение взаимосвязи между
составляющими идентификации рисков.
Разработать всеобъемлющий
перечень рисков можно в рамках систематического
процесса управления рисками, который
необходимо начинать с формулирования
и определения контекста риск-менеджмента
(см. предыдущий раздел). Для обеспечения
гарантии результативности идентификации
рисков рекомендуется подходить к бизнес-процессу,
проекту или деятельности последовательным
структурированием. На рисунке 16 приведен
базовый алгоритм разработки такой процедуры.
Этот алгоритм представляет собой ряд
последовательных вопросов. Ответы на
них позволяют разработать эффективную
процедуру идентификации рисков. Уровень
детализации вопросов зависит от статуса
процесса риск-менеджмента в контексте
деятельности, на которую он распространяется.
Идентификация рисков является
одним из базовых и основополагающих элементов
риск-менеджмента. При идентификации рисков
определяющим фактором является качество
используемой информации /5/. Качество
информации определяется следующими основными
параметрами:
Достоверность;
Объективность;
Своевременность;
Актуальность;
Полнота охвата.
При идентификации рисков рекомендуется
использовать метод «мозгового штурма»
и метод экспертных оценок /1/. Можно выделить
следующие источники получения информации,
используемой при идентификации рисков
/4/:
Проведение консультаций с
группами специалистов, имеющих опыт в
реализации деятельности, в рамках которой
осуществляется управление рисками;
Опыт конкурентов и других сторонних
организаций;
SWOT-анализ и результаты
маркетинговых исследований;
Отчеты по страховым случаям;
Результаты внутренних и внешних
аудитов;
Результаты инспекционных проверок
технологии реализации бизнес-процессов;
Записи прошлых событий, базы
данных по происшествиям, анализ проблем
и предыдущие перечни рисков (если таковые
имеются).
При идентификации рисков необходимо
также определиться со схемой их классификации.
Классификация рисков дает возможность
разделить их на однородные кластеры,
что позволяет систематизировать риски.
Необходимость классификации связана
с тем, что основной причиной возникновения
рисковой ситуации является неопределенность
предпринимательской среды — как внутренней,
так и внешней.
Классифицировать риски можно
по различным признакам. При этом необходимо
стремиться не столько перечислить все
виды рисков, сколько создать определенную
базовую схему, которая позволила бы не
упустить какие-либо из них. В рамках данной
публикации представлена классификация
рисков по видам предпринимательской
деятельности:
Производственная (производство
товаров и услуг);
Коммерческая (реализация товаров
и услуг);
Финансовая (управление финансовыми
потоками).
Рисунок 16. Базовый алгоритм разработки
процедуры идентификации рисков
Классификация рисков коммерческой
и финансовой деятельности предприятия
Для указанных видов предпринимательской
деятельности наиболее распространенной
и часто используемой является классификационная
схема рисков, предложенная в /3/. Ее основой
является разделение всех рисков по однородности
последствий от возникновения рисковой
ситуации (рисунок 17): чистые (нефинансовые),
спекулятивные (финансовые) и смешанные
(коммерческие) риски.
Рисунок 17. Генеральная классификация
рисков в деятельности коммерческих и
финансовых структур
Чистые (нефинансовые) риски
связаны с возникновением рисковых ситуаций,
которые непосредственно не возникают
в процессах движения финансовых потоков,
но оказывают на них значительное влияние.
Чистые риски могут быть разделены на
следующие типы (рисунок 18):
– природно-естественные;
– политические;
– социальные;
– транспортные.