В любом учебнике, включая PMBOK, процедура управления рисками описывается в кристально простых и понятных терминах.
Риск нужно:
- выявить
- подвергнуть качественному и количественному анализу
- поместить в соответствующий раздел матрицы рисков
- принять решение по работе с ним
- отслеживать до наступления или потери актуальности.
Однако в реальной жизни не так часто можно увидеть аккуратное следование этим процедурам и еще реже — пользу от этого.
За кажущейся простотой лежит ежедневная работа руководителя проекта, требующая дисциплины, творческого подхода и интеллектуальных усилий. А поскольку риск — это вероятное событие в будущем, которое может быть и не произойдет, заниматься этим сейчас некогда и не хочется — есть более насущные задачи.
Допустим, руководитель проекта понимает, что управлять рисками необходимо. Убеждать его в этом не нужно. Но как это сделать наиболее эффективным способом? Какие приемы и инструменты стоит использовать, чтобы с минимальными затратами времени действительно снизить потери от наступления рисков?
Инструменты работы с рисками
Есть набор обязательных инструментов, наличие которых, а также качество содержания уже говорит о том, что руководитель проекта старается управлять рисками. Это
- Реестр рисков
- Карточки критических рисков
- Поручения и задачи, связанные с рисками
Однако их наличие само по себе не обеспечивает результат.
Первое — необходимо правильно определить риск. Как правило, к неблагоприятным последствиям приводит цепочка событий. Что называть риском? Последствия или одно из событий, которые к нему приводят?
Давайте рассмотрим простой пример.
На рисунке приведена одна и та же цепочка, но акцент сделан на разных звеньях.
Можно попытаться никогда не опаздывать на работу. Например, чтобы наверняка избежать опоздания, выходить на полчаса раньше. И это хороший вариант, если вы — жаворонок, и полчаса сна утром для вас не является большой ценностью.
А можно перенаправить стационарный телефон на мобильный, и наверняка избежать пропущенного звонка, несмотря на опоздание.
Стоимость борьбы с вероятностью наступления риска в двух случаях разная. Полчаса сна или ничего не стоящее перенаправление на мобильный. В зависимости от определения, с чем мы боремся, стоимость предотвращения может различаться кардинально.
Рисковое событие — это то, с чем мы будем бороться, что мы будем пытаться предотвратить.
В качестве практической подсказки для определения рискового события можно использовать следующие критерии:
- Событие находится под непосредственным контролем — его можно распознать, на него можно воздействовать.
- Событие гарантированно приводит к наступлению последствий.
- Есть стандартный способ решения возникающей проблемы и этот способ, как правило, недорогой.
Выявление рисков — процесс постоянный. Они могут быть сформулированы на основе предыдущего опыта, анализа текущей ситуации, их может сообщить кто угодно, и в какой угодно форме. Если держать глаза открытыми, информация о рисках будет всегда.
Вопрос в том, что из этого достойно попасть в реестр?
Запись в реестре рисков должна отличать конкретность:
- Если произойдет...
- Наступят последствия...
- Мы по этому поводу можем сделать следующее..
По каждому риску назначается ответственный и дата контроля.
Я рекомендую следующую структуру реестра рисков, которая, впрочем, может быть изменена или дополнена в соответствие с конкретными условиями и предпочтениями:
- № — Уникальный код риска
- Название — краткое обозначение риска
- Описание — описание рискового события и последствий
- Открыт — Дата регистрации риска
- Инициатор — ФИО инициатора
- Контроль риска — ФИО ответственного за регулярный контроль риска
- Приоритет — Высокий/ Средний/ Низкий
- Требуемая дата решения — Когда нужно решить о действиях по риску или проблеме
- Последствия наступления риска (сроки и стоимость) — К чему приведет наступление риска, в численном выражении.
- Действия по борьбе с риском — Что делать с риском
- Ответственный за действия — Кто должен эти действия выполнить
- Плановая дата действий — Когда нужно выполнить действия
- Действия при наступлении риска — Что делать, если риск наступит
- Дата статуса — Дата обновления статуса
- Статус — Открыт/ Анализ выполнен/ Решено/ Закрыт
Карта риска
Наиболее важные риски достойны того, чтобы по ним создать отдельный документ — карту риска.
В карте риска мы пишем:
- подробное описание того, что может произойти
- какие последствия возникнут, желательно выраженные в деньгах
- вероятность возникновения
- варианты действий (ничего не предпринимать, сделать что-то, сделать что-то другое)
- Решение и план действий
Карта риска очень удобна для эскалации. Если действия зависят от кого-то другого, кто не во власти руководителя проекта, то эскалация необходима.
3. Исполнение плана работы с рисками
Можно выявлять риски, вести реестр, оформлять карточки. Но если нет действий по рискам, то все предыдущие шаги оказываются бесполезными.
Возможны следующие стратегии работы с риском и примеры ее применения:
- Уклониться — не делать проект; отказаться от применения неизвестной технологии.
- Сдерживать — предпринять любые действия по снижению вероятности или степени влияния последствий: привлечь субподрядчика с соответствующим опытом; переместить рискованные задачи в начало проекта; провести дополнительное тестирование.
- Принять — сформировать резерв под наступление риска (временной буфер, запас в бюджете)
- Передать — возложить кого-то (заказчика, подрядчика, страховую компанию) ответственность за реализацию задачи, по которой есть риск, или его последствия.
После того, как вы решили, какую стратегию выбрать, запланировали действия, важно обеспечить их выполнение.
На одном из проектов я применял следующую практику. Назначал совещание по рискам с заместителем генерального директора заказчика и приходил с несколькими карточками рисков. Просил прочитать, при необходимости что-то пояснял, просил выбрать один из вариантов или сформулировать другое решение. После этого — расписаться на бумаге. Это очень стимулировало к действиям людей в подчинении этого руководителя.
Однако не всегда такая схема применима, если не соответствует корпоративной культуре или у руководителя есть тактика ухода от решения. Манипуляция — дело творческое.
На другом проекте мы оформляли карты рисков на портале проекта (см. Использование JIRA и Confluence в ведении проекта), которые потом собирались в реестр автоматически. Такой вариант удобнее, чем пытаться вместить все обилие информации в таблице Excel. Более того, за счет связи с системой управления задачами было легко вести планирование и контроль действий по рискам.
Это изложение не претендует на строгость терминов и полноту раскрытия темы. Вместо этого я постарался поделиться тем, что реально работает.
Если осознавать важность управления рисками, систематически пользоваться инструментами и подходить к этому практично, то можно избежать множества осложнений и вызванной ими лишней работы.
Комментарии (13)
mokhin-denis
10.11.2018 18:22Никаких дискуссий нет: риск это и как угроза и как возможность. А то, что не встречали на практике — это не значит, что таких рисков нет совсем. Ну а при управлении рисками — верно, предпринимая попытки исключить один риск, важно не родить два новых.
lingvo
10.11.2018 18:56Опишу свою практику управления рисками.
Отмечу, что каждый риск имеет такие характеристики, как:
- вероятность наступления — probability
- последствия — impact
Они выражаются в числах от 1 до 10. — Т.е 1 — это низкая вероятность, или незначительные последствия, 10 — это высокая вероятность / значительные или критические последствия.
При анализе рисков важно правильно оценить эти две величины, потому что потом они перемножаются и вместе дают такую вещь, как степень критичности риска, которая в свою очередь дает возможность рассортировать риски по критичности, чтобы заняться самыми важными из них в первую очередь
Управление рисками в принципе заключается в том, чтобы за счет каких-либо мероприятий уменьшить либо probability, либо impact, либо и то и другое до приемлемых значений.
Теперь насчет практики. JIRA отлично подходит для управления рисками. В моем случае я попросил админов сделать специальный Workflow в Jira — Risk Management Workflow и специальный тип issue, который логично называется Risk. Помимо стандартных полей в риске есть поля impact и probability, куда можно ввести соответствующие цифровые значения. В описании риска в подробной форме описывается суть риска, причины, последствия. Workflow включает основные этапы жизни риска — выявление, анализ, назначение, планирование, отслеживание, закрытие — тыкаешь кнопку и риск идет по workflow.
Также есть поле Risk management — где в текстовой форме описывается идея минимизации риска.
Но это поле не главное. Главное то, что после того, как риск создан, можно создавать задания в той же Jira, которые линкуются с риском по типу resolved by. И этих заданий может быть несколько, и каждое может линковаться с одним или несколькими рисками. Суть в том, что задание должно быть направлено на уменьшение impact и/или probability соответствующего риска.
Ну а далее обычные действия — можно сделать матрицу рисков. Найти наиболее критичные. Назначить риски и задания конкретным пользователям, следить за выполнением, понижать и повышать важность рисков, комментировать.
lingvo
10.11.2018 22:38Единственная проблема — статья так и не дает ответа на вопрос "почему процедуры так редко работают". А еще больше — почему мало кто использует Риск Менеджмент.
На мой взгляд это происходит потому, что Риск Менеджмент имеет смысл, когда уже все другие аспекты управления проектами в организации наработаны и закрыты — есть настроенные и работающие методики планирования и управления проектами, есть методики управления ресурсами, документацией, жизненным циклом продуктов и т.д. В этом случае Риск-Менеджмент в дополнение к уже существующим в организации методикам позволяет еще больше приблизить выполнение проекта к плану.
А если этого всего нет, и организация кроме модного Agile нифига не умеет — то риск менеджмент тут не поможет.
dantipov Автор
11.11.2018 10:48В статье написано, что процедуры редко работают, потому что это не так просто, как кажется, и требует усилий, а результаты не очевидны. Я даю рецепты, как это сделать проще и результативней.
Дожидаться, когда все остальное будет хорошо, нельзя. Управление рисками — это неотъемлемая часть работы РП, делает он это явно или нет. Я за то, чтобы сделать эту работу явной, структурированной и аудироемой.
Риск-менеджмент — это не серебряная пуля, которая решит все проблемы, так же как и все остальные процедуры. Все работает только в комплексе. Уберешь одну подпорку, конструкция упадет.lingvo
11.11.2018 20:58Но я все же считаю, что риск-менеджмент не является такой уж серьезной подпоркой в управлении проектами. Вы уже сами написали, что неявный риск-менеджмент практически всегда присутствует в той или иной форме при любых раскладах и его отсутствие обычно не приводит к особым проблемам в проектировании, кроме внеплановых увеличений сроков или стоимости проектов. Поэтому там, где это некритично, риск менеджмент вполне правильно игнорируется.
evilgeek
11.11.2018 19:23В большинстве проектов основной риск — в целеполагании, выборе/выделении ресурсов и контроле. Пока эти проблемы не решаются, любой алгоритм управления менее значимыми рисками вносит эффект на пределе погрешности измерения.
dantipov Автор
12.11.2018 17:33Согласен. Часто с самыми большими рисками сложно что-то поделать. И мы закрываем на них глаза. Поэтому на своем сайте я поставил, в качестве заглавной картинки к статье, идущий навстречу поезд.
alexhott
12.11.2018 21:10У нас тут сверху спустили всем задачу заняться рисками.
Но ресурсов на это дело не дали. В итоге люди, не имеющие в этой сфере опыта создали паспорта рисков, карты рисков, мероприятия и т.п. по полной программе.
Теперь с нас требуют отчеты о выполнении мероприятий.
Так вот потратив время на все это дело и не имея ресурсов на мероприятия в результате вероятность наступления рисков возросла.dantipov Автор
12.11.2018 21:21История прекрасная! Какие ресурсы вам нужны на это дело? С какой целью — обучиться и приобрести начальные навыки? Так это очень недорого стоит. Помочь? На сайте dantipov.tilda.ws есть мои кординаты
mokhin-denis
Замечательная статья. Однако, не указаны нормативные ссылки, где можно больше узнать про риски, например, ISO 31000 или ISO 9001:2015. Кроме того, хорош будет SWOT-анализ при идентификации рисков. Но самое главное, нужно дать определение риска (не абыв при этом, что это не только угроза, но и возможность), риск-менеджмента и риско-ориентированного мышления.
dantipov Автор
Денис, я ставил перед собой задачу — помочь руководителю проекта, который уже знает что-то о рисках, а может быть даже получил сертификат PMI, приземлить тему и использовать эти знания на практике. Теоретические и нормативные материалы найти не проблема. Спасибо, что указали стандарты, по названиям каждый может поискать в интернете.
Мне нравится определение риска, в сравнении с проблемой: «Если вы чувствуете неприятный запах, то это риск. Если наступили — то это уже проблема».
Буду благодарен, если немного подробнее напишите, каким образом используете SWOT анализ при идентификации риска.
mokhin-denis
А про SWOT анализ — если у вас в профиле указаны контакты, я вам напишу
dantipov Автор
Дискуссии на тему, включить ли возможности в понятие риска, ведутся снова и снова.
На практике в реестре рисков ни разу не видел возможностей. Из-за разницы вы интересах, часто возможности одних — это потери других, поэтому возможности не афишируются.
В любом случае, я не спорю о терминах. И да, моя статья посвящена работе с угрозами.