Виды рисков в проектах и управление ими
- Владельцы бизнеса
- Руководители проектного офиса
- Руководители проектов
- Управление проектами
- Управление рисками
- 7 минут
Чтобы разобраться в понятии “управление рисками” и его роли в проектной деятельности, мы обратимся к истории и рассмотрим кейс по строительству здания парламента в Эдинбурге. Изначально стоимость работ была оценена в 40 миллионов фунтов стерлингов, но к моменту сдачи проекта смета выросла почти в 10 раз: строительство завершилось на цифре в 430 миллионов фунтов.
Почему так произошло и какие ошибки были допущены?
Членов парламента привлекли к обсуждению проекта только спустя два года после начала строительства: они настояли на увеличении количества помещений, что повлияло и на масштаб здания, и на его стоимость. Таким образом, недооцененность влияния стейкходеров привела к неверной оценке трудоемкости проекта, а также к невозможности управлять изменениями плана работ.
Можно ли было предвидеть такой исход? Как идентифицировать возможные нежелательные события, чтобы заранее разработать меры реагирования на них?
О том, какими бывают основные виды рисков, что такое управление рисками и как осуществлять их профилактику, речь пойдет в этой статье.
Что такое риски в проекте и что значит термин «управление рисками»
В рамках управления проектами риск – это неопределенное событие, которое при наступлении будет оказывать негативное влияние на проект.
Управление рисками – это регулярно выполняемые процедуры для поиска, оценки, реагирования и их контроля.
Возвращаясь к примеру строительства парламента, мы видим, что работа над идентификацией и анализом возможных нежелательных событий не была проведена. Например, понимая, какое влияние на проект могут оказать члены парламента, заказчик привлек бы их ещё на стадии планирования.
Перед тем, как перейти к способам идентификации рисков и другим этапам управления ими (оценке, мерам реагирования), рассмотрим самые популярные их виды.
Виды рисков в проектах и самые распространённые из них
Какие риски бывают и как их классифицировать? Начнем с того, что чем больше факторов сложности у проекта, тем выше вероятность возникновения нежелательного события. Рассмотрим факторы сложности проекта из Российской модели сложности, разработанной Павлом Алферовым и Проектной Практикой в 2018 году:
- Масштаб проекта: сложность определяется большой длительностью проекта, количеством организаций, принимающих участие, и объектов управления, бюджетом, объемом работ и т.д.
- Высокая неопределенность технологий реализаций: сложность определяется новизной технологий (инновационностью в целом или отсутствием опыта использования исполнителем) и необходимостью большого количества интеграций, а также возможностью замены ключевых технологий в ходе проекта.
- Высокая неопределенность требований: сложность определяется большим количеством сторон, участвующих в формировании требований, отсутствием экспертизы у заказчика и ожиданием существенных изменений.
- Критическое влияние внешних факторов: сложность определяется культурными различиями между участниками, важностью проекта для государственных органов, взаимосвязями с другими проектами и наличием каких-либо внешних ограничений.
Также риски могут делиться:
- по последствиям (увеличение бюджета, сроков проекта, изменение объёмов работ, потеря репутации, судебные иски и т.д.);
- по источнику возникновения (например, влияние оказывают внутренние факторы, когда есть опасность совершения ошибки в процессах, или внешние факторы, на которые невозможно повлиять – изменение в законодательстве, появление конкурентов, экономический кризис и т.д.);
- по области возникновения (юридические, производственные, финансовые);
- по уникальности (общие для всех или специфичные для какого-то отдельного проекта или предпринимательской деятельности).
Это самые популярные классификации, но они могут быть и другими.
Как найти риски проекта
Первый этап управления рисками проекта – их идентификация. Здесь нужно сформулировать нежелательное событие, а также проанализировать степень его влияния на проект и вероятность наступления. Результаты этого этапа отражаются в реестре рисков, статус-отчете по проекту.
Есть несколько методов их идентификации. Ниже разберем самые популярные из них.
- Диаграмма Исикавы или “рыбья кость”. Этот метод демонстрирует причинно-следственные связи между источниками нежелательных событий и последствиями рисковых событий.
Голова рыбьего скелета считается негативным последствием (например, срыв сроков запуска приложения), большие кости – источниками риска (пользователи, команда, разработка, компания), а мелкие – более детализированные источники риска второго уровня. Например, на большой кости “команда” будут расти следующие косточки: высокая операционная нагрузка, низкий уровень мотивации и т.д.
- Метод SWOT – анализа. Он позволяет выявить внутренние и внешние факторы, влияющие на проект, и найти среди них источники и нежелательных последствий, и признаки возможностей. Этот метод довольно популярен в менеджменте и используется не только для работы с рисками, но также и для оценки бизнеса, планирования рекламных кампаний и тд.
- Метод Дельфи также довольно широко используется. Его цель – выявление нежелательных событий с помощью оценки результатов опросов, мозговых штурмов и интервью, которые проводятся с группой экспертов.
- Использование библиотек типовых рисков – как тех, что вы составили сами, основываясь на опыте организации, так и внешних, например, библиотеки типовых рисков Перил.
- Мозговой штурм – самый простой метод идентификации. Так как работа с рисками циклична, метод мозгового штурма часто наиболее предпочтителен, так как он не требует сложной подготовки.
Важно не только правильно идентифицировать, но также и сформулировать нежелателКак оценить риски проектаьные события проекта: мы предлагаем делать это по схеме “причина-риск-последствие”.
Например: компания никогда не организовывала молодежный форум, поэтому могла согласиться на сжатые сроки, вследствие чего срок проекта значительно увеличится, и организация/конкретный человек пожертвует своей репутацией.
Как оценить риски проекта
После идентификации необходимо провести оценку нежелательных событий, определив их степень влияния на проект, вероятность наступления и уровень (ранг). Существует несколько вариантов оценки, которые могут зависеть от сферы или масштаба проекта, но в этой статье мы остановимся на самом простом и универсальном способе.
Сначала нужно определить степень влияния и вероятность наступления риска. Делать это рекомендуем экспертным путем, то есть в ходе мозгового штурма и общения с командой. Степень влияния и вероятность наступления обычно принимают значения: низкая, средняя или высокая.
Например, если речь идет о разработке инновационного ПО, риск несоблюдения сроков обладает высокой степенью влияния, так как заказчику важно выпустить рабочую версию раньше конкурентов. Вероятность его наступления будет также высокой, так как из-за инновационности продукта конечные требования не до конца определены, а для разработки необходимо большое количество сложных интеграций.
На основе данных о степени влияния и вероятности наступления нежелательного события можно определить его уровень.
Это рекомендуется сделать с помощью матрицы, где точка пересечения шкал влияния и вероятности является уровнем (рангом) нежелательного события. Например, риск с низкой степенью влияния, но с высокой вероятностью имеет умеренный уровень.
Вы составили список рисков: что теперь делать? Процесс управления рисками компании
В управление рисками проекта входит этап планирования мер реагирования на них. Мы выделяем две основные стратегии:
- превентивное воздействие;
- реагирование на уже реализовавшееся нежелательное событие.
Разновидность мероприятий по реагированию зависит от выбранной стратегий. Например, для мер превентивного реагирования на риск характерны такие мероприятия, как:
- исключение рисковых задач из плана (если позволяет технология проекта);
- строгое следование инструкциям и чек-листам;
- отказ от сотрудничества с ненадежными партнерами и тд.
Для стратегии реагирования на уже реализовавшиеся риски проекта характерны следующие мероприятия:
- проработка нескольких сценариев развития при наступлении рискового события;
- использование резервов предприятия;
- выделение дополнительного бюджета;
- увеличение сроков проекта и тд.
По каким критериям выбирать ту или иную стратегию?
Критерий 1: воздействие на причину
Основное правило данного критерия звучит так: если вы можете воздействовать на причину – выбирайте превентивные меры; если нет – выбирайте реагирование на реализовавшееся нежелательное событие.
Например:
- потеря ключевого сотрудника по причине его госпитализации приведет к остановке работы и сдвигу сроков проекта – здесь нельзя повлиять на причину, поэтому реагируем на уже наступившее событие;
- отзыв лицензии банка по причине каких-то внутренних процессов приведет к остановке его работы, сокращению сотрудников и тд. – здесь можно повлиять на причину (стратегия превентивного реагирования).
Однако бывают исключения: отзыв лицензии банка по каким-то внешним причинам приведет к остановке работы банка – здесь невозможно повлиять на причину, однако если мы не будем работать превентивно и допустим наступление риска, учреждение закроется.
Какой из этого можно сделать вывод: указанный критерий применим, но работает не во всех случаях.
Критерий 2: стоимость мероприятия по реагированию
Если стоимость реагирования ниже, чем стоимость устранения последствий, выбирайте стратегию превентивного реагирования.
Например, организация пожарной безопасности – дорогое мероприятие, однако при пожаре ущерб может быть куда более значительным. Соответственно, для организации выгоднее работать с риском превентивно, то есть соблюсти меры безопасности.
Если же стоимость реагирования выше, чем стоимость устранения последствий, то есть смысл выбрать стратегию реагирования на реализовавшийся риск. Пример: в вашем проекте есть риск того, что поставщик не поставит нужную деталь в срок, поэтому вам придется заказать новую в другом месте за 10 тысяч рублей, а доставят её через 10 дней. В данной ситуации вы можете решить самостоятельно изготовить необходимую деталь, но на её изготовление у вас уйдет 30 дней и придется потратить 50 тысяч рублей. Проще и дешевле будет реагировать на данное событие, если оно реализуется, чем реагировать превентивно.
Данный критерий, в отличие от первого, работает практически всегда. Но все же при выборе стратегии реагирования необходимо работать с каждым риском в отдельности, не используя универсальные критерии.
Задачи менеджера по управлению рисками
В зависимости от размеров организации, отрасли и количества проектов к работе с рисками может привлекаться как целый отдел, так и отдельный менеджер. Что делает риск-менеджер:
- разрабатывает методику управления рисками;
- идентифицирует потенциальные нежелательные события, вносит их в реестр и проводит актуализацию данных;.
- проводит оценку;
- разрабатывает и реализовывает стратегии предотвращения и устранения рисков;
- мониторит и контролирует нежелательные события во время реализации проекта;
- обучает членов команды, как реагировать на наступившие нежелательные события;
- работает над совершенствованием бизнес-процессов для минимизации рисков (создание инструкций, чек-листов и т.д).
Если вы задумались о необходимости управления рисками в вашей организации и не знаете с чего начать, приходите к нам на бесплатную “Сессию ясности”. Чтобы записаться, напишите “ЯСНОСТЬ” в Телеграм @Malakhov_Andrey.