что включает в себя процесс реагирования на риски
Управление рисками проекта
Повсеместная конкуренция, сокращение производственного цикла, увеличение производственной гибкости — все это сеет неопределенность при контроле проектов и повышает необходимость мышления, направленного на оценку рисков. Необходимо предупреждать опасности, тщательнее планировать свои действия и анализировать текущую деятельность, чтобы понять, какие риски могут преследовать и какие возможности можно раскрыть, если от них избавиться. Таким образом, риск-менеджмент становится важной частью принятия управленческих решений.
Конечно, можно рискнуть и жить без лишнего планирования и прогнозирования. Но тогда есть вероятность, что не только проект не будет правильно реализован: вся деятельность компании будет под угрозой. Такой поворот вряд ли устроит адекватного руководителя или владельца бизнеса.
Планирование управления рисками
Управление рисками — это деятельность, сопровождающая все этапы проекта. Работа не должна вестись от случая к случаю, она должна быть хорошо спланирована. Управление рисками требует множества ресурсов.
Планирование управления рисками подразумевает поиск работающих подходов к процессу. Оно помогает:
План состоит из нескольких элементов:
Идентификация рисков
Этот процесс связан с выявлением рисков, которые могут испортить проект или оказать на него необратимое воздействие. Повторять выявление рисков нужно на всех этапах проекта — ведь на протяжении его существования могут возникать разные новые сложности.
Идентификационные данные могут браться из различных источников. Например, это может быть база знаний, которая есть практически в каждой организации. В ней могут содержаться данные об аналогичных проектах, которые были в компании. На основании этой информации можно сделать вывод о вероятных рисках в новых проектах.
Еще один источник информации — научные работы, маркетинговая аналитика и другие данные, находящиеся в свободном доступе. Если проект не уникален, то можно равняться на опыт других аналогичных работ, созданных другими компаниями. Обычно они рассказывают о своем пути в формате кейсов. Там содержатся подробные данные о цели работы, связанных с ней трудностях и способах их преодоления.
Все проекты строятся на гипотезах и предположениях. Обычно все неточные данные указываются с пометкой. Другие же, считающиеся достоверными, принимаются как данность. Риски могут возникнуть из-за неверно обозначенных допущений, поэтому на них нужно обращать внимание и детально анализировать каждую неточность.
Сбор информации выполняется способами, которые требуют разного времени на подготовку:
Методы оценки рисков и инструменты управления рисками
Теоретические аспекты управления риском говорят, что методов оценки множество и каждый из них работает с использованием своих инструментов. Такими инструментами могут быть организационные, технические и другие действия, позволяющие обеспечить безопасность и безошибочность проекта. Количество инструментов никак не регулируется, их можно быть крайне много.
Классификация ведется по разным признакам: управленческим методам, сферам деятельности, выгодам, производственным фазам и т.д.
В соответствии с другой классификацией воздействие на риски состоит из нескольких этапов:
Этапы управления рисками
Мониторинг и контроль
Этот этап мы решили вынести в отдельный пункт, так как он по важности стоит не на последнем месте. При каждом новом проекте будут возникать свои риски, поэтому контроль должен быть регулярным. Важно быстро корректировать выбранную стратегию и подстраиваться под ситуацию — не всегда выбранный в начале путь оказывается эффективным. Для этого нужен мониторинг.
Каждый этап управления рисками связан с другими ступенями в единую цепь. Поэтому нельзя обращать внимание на один и не замечать другой. Ситуацию нужно анализировать и контролировать со всех сторон, тщательно углубляясь в детали и рассматривая их с точки зрения деятельности компании в целом.
В мире нет проектов, которые бы шли так, как их запланировали создатели на пути прописывания в документах. Возникают моменты, которые не были предусмотрены и под которые нужно подстраиваться здесь и сейчас. И не всегда эти моменты имеют положительный оттенок, чаще всего они связаны с серьезными рисками как в рамках реализации проекта, так и в деятельности всей компании. Это серьезный стресс для тех, кто работает. Поэтому надо быть готовым к таким проблемам и уметь их правильно решать.
Управление рисками проекта помогает подумать и определить угрозы заранее, понять как их избежать и продолжать работать в изменяющихся условиях. Предотвратить последствия проще, чем разбираться с измененной ими реальностью. Поэтому стоит как можно больше ресурсов выделять на управление рисками проекта и не лениться проводить исследования для выявления вероятных проблем.
Управление рисками организации
Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.
Управление рисками организации: основные направления
Процессы управления рисками охватывают 4 основные области:
Управление рисками угроз
Для оценки угроз, риск менеджеры следуют следующим пяти шагам:
Этот процесс ориентирован на превентивное и на антикризисное управление рисками.
В управлении рисками следует различать понятия риска, угрозы и воздействия:
Внутренний контроль
Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.
Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.
Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.
Внутренний аудит
Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.
Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.
Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.
Соответствие регуляторным требованиям
Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.
Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.
Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.
Примеры подходов к управлению рисками организации
В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.
ISO 31000
ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.
Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.
ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.
Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.
Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.
В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.
О ERM они сказали следующее:
…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management
Примеры типов рисков
Процессы управления рисками
COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:
Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance
COSO акцентирует внимание на пяти компонентах системы управления рисками организации:
Руководство и культура
Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.
Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.
Стратегия и постановка целей
Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.
Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.
Производительность
Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.
В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.
После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.
Анализ и пересмотр
Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.
Информация, коммуникация и отчетность
ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.
Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.
Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):
Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.
Процесс управления рисками организации
Процесс управления рисками организации состоит из пяти элементов:
Определение целей и обеспечение согласованности ERM со стратегией бизнеса
В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.
Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.
Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.
Идентификация и документирование рисков
Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.
Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.
Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.
Оценка документированных рисков
Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.
После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.
Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.
Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.
Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.
Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.
Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.
Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:
Ответ на риск
Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.
Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.
Ответ на риск подразделяется на четыре собственные категории:
Уклонение
Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.
Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.
Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.
Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.
Снижение
Часто риски могут быть снижены различными способами.
Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.
Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.
Разделение
Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.
На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.
Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.
По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.
Принятие
Принять риск это значит не предпринимать никаких действий.
Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.
Мониторинг рисков
Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.
Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.
Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.
Идентификация рисков проекта
Цель процесса идентификации рисков состоит в определении потенциальных рисков, способных повлиять на успех проекта. Идентификацию рисков выполняют члены команды проекта и эксперты по вопросам управления рисками, в ней могут принимать участие заказчики, участники проекта и эксперты в определенных областях. Это итеративный процесс, поскольку по мере развития проекта в рамках его жизненного цикла могут обнаруживаться новые риски. Частота итерации и состав участников выполнения каждого цикла в каждом случае могут быть разными. В процессе идентификации должны принимать участие члены команды проекта, чтобы у них вырабатывалось чувство собственности и ответственности за риски и за действия по реагированию на них.
Идентификация рисков выполняется на основе разработанных ранее планов управления интеграцией, содержанием, сроками, качеством и человеческими ресурсами.
Также при разработке плана учитывается опыт выполнения аналогичных проектов.
Качественный анализ рисков
Количественный анализ рисков
Количественный анализ рисков обычно выполняется для рисков, которые были квалифицированы в результате качественного анализа. При количественном анализе также оцениваются вероятности возникновения рисков и размеры ущерба /выгоды; здесь анализируются риски, имеющие высокие и умеренные ранги. Выбор методов анализа определяется для каждого проекта и зависит от наличия времени и от бюджета.
Исходной информацией для количественного анализа рисков служат:
Пример использования дерева решения
| Классификация рисков | Уклонение от риска | Передача риска | Принятие риска | Снижение последствий вероятности возникновения риска | |
|---|---|---|---|---|---|
| Риски, связанные с масштабом проекта | Разделение проекта на несколько под-проектов. Сокращение функционального и географического объема проекта | Разделение проекта на несколько под-проектов, выделение пилотного проекта по подсистемам (ограниченного масштаба) | Увеличение трудоемкости работ и стоимости проекта | Детальный анализ каждого этапа работ, взаимодействие участников, организация работ | Детально проработанная программа качества, отработанное управление конфигурацией проекта, специальные процедуры взаимодействия участников |
| Риски, связанные с недостаточным опытом в сфере ИТ | Реализация только не технологической части проекта, передача технологической части проекта другой компании | Согласование с заказчиком большинства проектных документов, согласование всех изменений в функциональности системы | Увеличение трудоемкости работ и стоимости проекта | Проведение обучения пользователей, включая руководство, соблюдение технологии работы | Разработка и утверждение концепции проекта на возможно более ранней его стадии |
| Технические риски проекта | Использование более надежных | Документально зафиксированная | Увеличение трудоемко- | Строгий отбор проектной команды по | Использование стандартов пред- |
| технологических решений | персональная ответственность участников проекта, документальное фиксирование всех изменений в процессе проекта | сти работ и стоимости проекта | квалификационным критериям. Обучение участников проекта технологии проектных работ, инструментальным средствам | приятия для проектных работ, разработка стандартов проекта | |
| Организационные риски проекта | Значительное сужение объема проекта и превращение его в чисто инфраструктурный технологический проект | Включение представителей заказчика в рабочие группы | Увеличение трудоемкости работ и стоимости проекта | Обучение участников проекта(курс «управление проектом»), тренинги команды, как можно более полная формализация деятельности | Включение в команду администратора проекта, детальное распределение ролей в проекте |
| Операционные риски проекта | Изменение модели оплаты компании-исполнителю: перевод на оплату по результату оценки качества реализованного решения | Акт сдачи заказчику любого документа. Фиксирование отсутствия претензий заказчика по каждому этапу работы | Увеличение трудоемкости работ и стоимости проекта | Многократное тестирование созданных продуктов, тщательная экспертиза документов | Строгое выполнение процедур программы качества |
Команда проекта разработала сетевые графики трех альтернативных вариантов расписания внедрения ИС при условии, что оборудование уже поставлено, и оценила возможные значения продолжительности проекта.
Рассчитаем возможную длительность проекта для каждого точки случайного события:
По итогам проведения качественного и количественного анализа риска необходимо выработать четкое представление о стратегиях, используемых для реагирования на каждый проектный риск.
Существует четыре типовые стратегии реагирования на появление негативных рисков: уклонение, передача, принятие и снижение.
Стратегия передачи риска также исключает угрозу риска путем передачи негативных последствий риска с ответственностью за реагирование на риск на третью сторону. Передача риска обычно сопровождается выплатой премии за риск стороне, принимающей на себя риск и ответственность за его управление. Сам риск при этом не устраняется. Условия передачи ответственности за определенные риски третьей стороне могут определяться в контракте.
Стратегия означает решение команды не уклоняться от риска. При пассивном принятии риска команда ничего не предпринимает в отношении риска и в случае его возникновения разрабатывает способ его обхода или исправления последствий. При активном принятии риска план действий разрабатывается до того, как риск может произойти, и называется планом действий в непредвиденных обстоятельствах.
Стратегия снижения риска предполагает усилие, направленное на понижение вероятности и/или последствий риска до приемлемых пределов. В стратегии снижения используется включение в план проекта дополнительной работы, которая будет выполняться независимо от возникновения риска, как, например, проведение дополнительного тестирования функциональности информационной системы, разработка прототипа системы, дополнительное подключение к работе опытных сотрудников.
Подтверждение содержания проекта
Входной информацией для процесса являются:
Процесс подтверждения содержания документирует результаты поставки, которые прошли приемку в соответствии с процедурой приемки проектных документов. Непринятые результаты поставки документируются с указанием причин, по которым они не прошли приемку. Подтверждение содержания включает в себя сопроводительную документацию, полученную от заказчика или спонсора и подтверждающую факт приемки результатов поставки участниками проекта.