Управление рисками в проекте

Управление рисками в проекте – раздел управления проектами, включающий в себя задачи и процедуры для определения возможных рисков в проекте, а также эффективных мер реагирования на них при осуществлении проекта [2].

Риски и возможности проекта – непредвиденные ситуации, которые могут негативно или позитивно воздействовать на достижение целей проекта. Риски и возможности являются следствиями неопределенности, присущей всем сферам человеческой деятельности.

Риск проекта – это опасность воздействия негативных событий и их возможных последствий [2].

Возможности в проекте рассматриваются как ожидаемые выгоды от позитивных случайных событий [2].

В стандарт PM BOK5 риски и возможности названы отрицательными и положительными рисками соответственно.

Риски воздействуют на основные цели проекта – сроки, стоимость и качество и характеризуются тремя основными параметрами:

• рисковым событием, оказывающим негативное воздействие на проект;

• вероятностью свершения события;

• величиной ущерба, нанесенного проекту таким событием.

Следовательно, риск — это комбинация вероятности события и его последствий.

Риски могут быть описаны с использованием следующих характеристик [5]:

- Причина или источник (описание риска). Явление, обстоятельство обусловливающее наступление риска.

- Симптомы риска (триггер), указание на то, что событие риска произошло или скоро произойдет.

Например, при заражении гриппом первопричина риска может быть не наблюдаема, можно наблюдать некоторые симптомы – поднялась температура.

- Последствия риска. Проблема или возможность, которая может реализоваться в проекте в результате произошедшего риска.

- Влияние риска (ущерб). Влияние реализовавшегося риска на возможность достижения целей проекта.

Риски могут быть классифицированы по нескольким основаниям:

1. По степени управляемости:

1.1. Известные - это те риски, которые можно идентифицировать и подвергнуть анализу. В отношении таких рисков можно спланировать ответные действия.

1.2. Неизвестные - риски, которые невозможно идентифицировать и, следовательно, спланировать ответные действия.

Единственное возможное управленческое действие - создать управленческий резерв бюджета проекта на случай незапланированных, но потенциально возможных изменений. На расходование этого резерва менеджер проекта, как правило, обязан получать одобрение вышестоящего руководства. Управленческие резервы на непредвиденные обстоятельства не входят в базовый план по стоимости проекта, но включаются в бюджет проекта.

2. По характеру последствий:

2.1. Чистые риски (простые или статические) характеризуются тем, что они практически всегда несут в себе потери, т.е. увеличение сроков, бюджета, потери качества.

2.2. Спекулятивные риски (динамические или коммерческие) характеризуются тем, что они могут нести в себе как потери, так и дополнительную прибыль по отношению к ожидаемому результату.

Например, вследствие колебания курсов валют могут возникнуть потери или непредвиденные выгоды.

3. По факторам возникновения:

3.1. Внешние, которые обусловлены окружением родительской организации – политические, экономические, социальные, форс-мажорные, и лежат за пределами контроля команды проекта;

3.2. Внутренние, которые зависят от внутренних факторов проекта (управленческие, технологические, организационные и пр.).

В зависимости от особенностей предметной области, организации могут составлять свою типологию рисков, документируя её в корпоративном стандарте управления проектами.

Процесс управления рисками в соответствии со стандартом ICB SOVNET 3.0 представлен в таблице 8.1.

Инициация управления рисками в проекте начинается с определения целей управления.

Управление рисками проекта должно быть нацелено на снижение вероятности возникновения и/или значимости воздействия неблагоприятных для проекта событий. Адекватное управление рисками в компании – признак зрелости проектного управления. Том де Марко пишет [6]: «Рассматривать только благоприятные сценарии и встраивать их в план проекта – настоящее ребячество. И все же мы постоянно так поступаем. …Если тех, кто говорит о возможных проблемах до открытия проекта, называют troublemakers, а тех, кто сдает проект спустя 2 месяца после обещанного срока, работая при этом по 60- 80 часов в неделю, – героями, то у вас плохая команда».

В качестве источников информации для процессов определения возможных рисковых событий и определения возможных источников рисков в могут рассматриваться:

-информация о реализованных проектах, может содержаться в базе знаний организации. Проблемы, возникшие при реализации в завешенных проектах, могут рассматриваться как риски в новых проектах;

Таблица 8.1. Стадии процесса управления рисками в проекте

Инициация	Планирование	Организация и контроль	Анализ и регулирование	Закрытие
• Определение целей управления рисками в проекте; • Определение возможных рисковых событий; • Определение возможных источников рисков; • Определение допустимой степени риска участников; • Анализ альтернатив осуществления проекта; • Выбор стратегии управления рисками в проекте; • Определение требований к системе управления рисками; • Утверждение концепции; • Инициация.	• Уточнение источников рисковых событий; • Уточнение потенциальных рисковых событий; • Идентификация рисков или качественный анализ рисков; • Количественная оценка рисков; • Предотвращение или снижение ущерба от рисковых событий: - Распределение рисков между участниками проекта в соответствии с их функциями, долей участия и ответственностью; - Внесение изменений в проектные решения с целью снижения риска; - Перенос рисков на других участников; - Страхование рисков в проекте; - Планирование резервов для смягчения рисковых событий; - Разработка плана управления рисками в проекте.	• Организация управления рисками включает: - Применение системы управления рисками в проекте; - Распределение ответственности при управлении рисками; • Система контроля мер реагирования на рисковые события включает: -Методы сбора информации о состоянии «рисков» в проекте; - Методы и способы регистрации данных о состоянии «рисков»; - Хранение системы отчетности; • Проведение аудита: - Сбор информации по рисковым событиям; - Контроль мер реагирования на рисковые события; • Составление отчетов.	• Анализ состояния управления рисками в проекте: - Анализ свершившихся рисковых событий; - Анализ причин наступления рисковых событий; - Анализ корректирующих воздействий; • Дополнительная идентификация и анализ возможных рисковых событий; • Составление обновленного списка рисков; • Предложения по дополнительным мерам для снижения рисков; • Доведение информации, связанной с управлением рисками, до участников проекта, в соответствии с их ответственностью и компетентностью.	• Анализ и обобщение данных по проявлению рисков и неопределенности в проекте; • Анализ выполнения плана по управлению рисками; • Формирование исполнительной документации по рискам; • Подготовка сводного отчета по управлению рисками; • Выводы (извлеченные уроки) на основе проведенного анализа; • Формирование базы данных; • Формирование архива.

-информация из открытых источников - исследований в предметной области проекта, маркетинговая аналитика и пр.;

Например, Барии Боэм [10] приводит список 10 наиболее распространенных рисков программного проекта:

1. Дефицит специалистов.

2. Нереалистичные сроки и бюджет.

3. Реализация несоответствующей функциональности.

4. Разработка неправильного пользовательского интерфейса.

5. «Золотая сервировка», перфекционизм, ненужная оптимизация и оттачивание деталей.

6. Непрекращающийся поток изменений.

7. Нехватка информации о внешних компонентах, определяющих окружение системы или вовлеченных в интеграцию.

8. Недостатки в работах, выполняемых внешними (по отношению к проекту) ресурсами.

9. Недостаточная производительность получаемой системы.

10. “Разрыв” в квалификации специалистов разных областей знаний.

-допущения, сделанные при описании содержания проекта, также могут рассматриваться в качестве источников риска.

Например, при формировании бюджета проекта было сделано допущение, что средства на нужды проекта будут предоставлены заказчиком по мере возникновения потребностей, что не всегда может соблюдаться на практике. Таким образом, задержка финансирования может рассматриваться в качестве одного из потенциальных рисков проекта.

На стадии инициации команде проекта следует составить перечень всех возможных рисковых событий, который впоследствии будет уточнен на стадии планирования.

Определение допустимой степени риска участников должно быть зафиксировано в изложении основных принципов и подходов к управлению рисками. Обычно устанавливаются следующие параметры:

Риск-аппетит (склонность к риску)– уровень отклонения от целей проекта, на который организация готова пойти для достижения своих стратегических целей или других выгод

Толерантность к риску – уровень отклонения от цели, который компания в состоянии пережить без критических последствий для своего будущего.

Таким образом, мы можем говорить о нескольких градациях опасности рискового события (рисунок 8.1):

-приемлемые риски, опасность лежит в области риск-аппетита организации;

-критический уровень риска, опасность которого превышает риск-аппетит организации. Критический риск связан со значительными временными и/или финансовыми потерями в ходе выполнения проекта.

-катастрофический уровень риска, при реализации которого проект не может быть реализован.

Вероятность

Воздействие

Риск-аппетит

Толерантность к риску

Приемлемые

Критические

Катастрофические

Рисунок 8.1 Градации опасности рискового события

Планирование управления рисками в проекте начинается с уточнения рисковых событий и источников возникновения риска составленных на стадии инициации.

Идентификация рисков – это выявление рисков, способных повлиять на проект, и документальное оформление их характеристик.

Это итеративный процесс, который периодически повторяется на всем протяжении проекта, поскольку в рамках его жизненного цикла могут обнаруживаться новые риски.

Для идентификации рисков могут быть использованы следующие методы:

· обзор документации, который представляет собой структурированный анализ документации по проекту, включая планы, допущения, архивы предыдущих проектов, соглашения и другую информацию [1];

· методы сбора информации, включая:

1. метод Дельфи;

2. мозговой штурм;

3. опрос экспертов

4. методы анализа производственных систем.

· анализ контрольных списков, которые разрабатываются на основе информации о проектах-аналогах и сведений, полученных из различных источников информации. Контрольный список должен содержать перечень всех видов возможных рисков проекта.

· анализ допущений (Assumption Analysis) – методика выявления обоснованности гипотез и допущений, принятых в проекте.

· анализ с использованием диаграмм:

1. Причинно-следственные диаграмма (диаграмма Ишикавы. диаграмма "Рыбий скелет") (Cause-and-Effect Diagram, Fishbone Diagram) – иллюстрирует связь различных факторов с возможными проблемами или эффектами.

2. Блок схемы (Flow Charts) систем или процессов – показывают взаимоотношения и механизмы причинной обусловленности различных элементов системы.

3. Диаграмма влияния (Influence Diagram) – графическое представление проблемы с выявлением взаимных влияний, временных связей событий и других взаимоотношений между управляемыми параметрами и результатами проекта.

Качественный анализ рисков представляет собой процесс расстановки приоритетов между рисками для дальнейшего анализа или действия с помощью оценки и суммирования вероятности их возникновения и воздействия.

Качественный анализ включает:

- Определение вероятности реализации рисков.

- Определение тяжести последствий реализации рисков.

- Определения ранга риска по матрице «вероятность - воздействие».

Для определения вероятности и воздействия используются шкалы.

Шкала оценки воздействия отражает значимость риска в случае его возникновения. Шкала оценки воздействия может различаться в зависимости от потенциально затронутой риском цели, типа и размера проекта, принятыми в организации стратегиями и его финансовым состоянием, а также от чувствительности организации к конкретному виду воздействий.

Один из примеров шкалы воздействий рисков на основные цели проекта приведен в таблице 8.2. Однако, эксперты отмечают сложность практического применения данной шкалы, поэтом в практике она как правило заменяется более простой (1-приемлемое, 2- критическое и 3-катастрофическое воздействие).

Подобная шкала разрабатывается и для оценки вероятности возникновения рискового события (1-маловероятно, 2-возможно, 3- очень вероятно).

Для определения ранга риска используется матрица вероятностей и последствий (рисунок 8.2). Ранг риска определяется произведением веса вероятности и значимости последствий.

Таблица 8.2 Шкала воздействий риска на основные цели проекта [1]

Цель проекта	Показаны относительные или числовые шкалы
Очень низкое/0,05	Низкое/0,10	Среднее/0,20	Высокое/0,40	Очень высокое/0,80
Стоимость	Незначительное увеличение стоимости	Увеличение стоимости<10%	Увеличение стоимости на 10-20%	Увеличение стоимости на 20-40%	Увеличение стоимости >40 %
Сроки	Незначительное увеличение сроков	Увеличение сроков <5%	Увеличение сроков на 5-10%	Увеличение сроков на 10-20 %	Увеличение сроков >20%
Содержание	Сокращение содержания едва заметно	Воздействию подвержены незначительные области содержания	Воздействию подвержены значительные области содержания	Сокращение содержания неприемлемо для спонсора	Конечный результат проекта практически бесполезен
Качество	Ухудшение качества едва заметно	Воздействию подвержены только самые требовательные области применения	Снижение качества требует одобрения спонсора	Снижение качества неприемлемо для спонсора	Конечный результат проекта практически бесполезен

Вероятность

Ранг риска -высокий -средний -низкий

Рисунок 8.2. Пример матрицы «вероятность-воздействие»

Обычно шкалы матрицы определяются заранее перед началом проекта и могут быть адаптированы к конкретному проекту в ходе процесса планирования управления рисками.

Результатом идентификации и качественного анализа рисков является их подробное описание в реестре.

Реестр рисков — это документ, содержащий результаты анализа рисков и планирования реагирования на риски. Подготовка реестра рисков начинается в процессе идентификации рисков, в течение которого реестр заполняется указанной ниже информацией [1]:

• Список идентифицированных рисков. Идентифицированные риски описываются с достаточной степенью детализации. В данном списке может использоваться определенная структура для описания рисков, например: может произойти СОБЫТИЕ, которое окажет ВОЗДЕЙСТВИЕ, или если существует ПРИЧИНА, то может произойти СОБЫТИЕ, которое будет иметь ПОСЛЕДСТВИЕ. Кроме того, при построении списка идентифицированных рисков могут стать более очевидными первопричины данных рисков. Это фундаментальные условия или события, которые способны вызвать наступление одного или нескольких идентифицированных рисков. Они должны регистрироваться и использоваться для поддержки идентификации рисков в будущем в рамках данного и других проектов.

•• Список возможных реагирований. Иногда в процессе идентификации рисков могут определяться возможные реагирования на них. Такие меры реагирования, если они определены во время этого процесса, должны служить в качестве входов процесса планирования реагирования на риски. Пример реестра рисков представлен в таблице 8.3.

В процессе количественного анализа производится анализ численного воздействия идентифицированных рисков на цели проекта в целом. Количественный анализ производится в отношении рисков, которые в процессе качественного анализа были оформлены как критические и катастрофические.

В некоторых случаях выполнение количественного анализа рисков невозможно в связи с отсутствием необходимых данных для разработки соответствующих моделей.

Таблица 8.3 Пример реестра рисков строительного проекта

№	Описание риска	Причина	Воздействие	Триггер	Вероятность	Воздействие	Ранг	Реагирование
	Срыв сроков производства работ субподрядчиком	Отсутствие мощностей и/или опыта у подрядчика	Срыв сроков работ	Систематическое отклонение от календарного плана				Регулярный контроль выполнения работ подрядчиком, штрафные санкции в договоре
	Отсутствие исполнительной документации у подрядчика	Отсутствие квалифицированного персонала и опыта ведения работ	Невозможность сдачи объекта в эксплуатацию	Отсутствие необходимых актов на каждом этапе строительства				Контроль за сбором исполнительной документации, дополнительные санкции в договоре
	Претензии к выполненным работам подрядчика надзорных органов города	Нарушение норм и правил	Штрафные санкции	Вызов в ОАТИ				Технический надзор за работами, взыскание санкций
	Поставка некачественных материалов на объект	Отсутствие системы контроля у поставщиков	Срыв сроков работ	Отказ от приема материалов при входном контроле
	Скрытые объемы работ, не уточненные в ПСД	Ошибки при проектировании	Сокращение рентабельности проекта	Срыв календарного плана работ
	Некачественное выполнение работ подрядчиком	Экономия на персонале и материалах	Отказ от приемки работ заказчиком	Замечания заказчика, запись в журнале технадзора
	Повреждение материалов/оборудования в процессе строительства	Отсутствие культуры производства	Сокращение рентабельности проекта, срыв сроков работ	Фиксация случая в отчете технадзора

Характеристики методов, которые могут быть использованы для количественного анализа рисков представлены в таблице 8.4

Таблицы 8.4 Характеристика количественных методов оценки риска

Название	Сущность	Ограничения при использовании
Анализ чувствительности (метод вариации параметров)	Анализ степени изменения показателей эффективности в зависимости о изменения какого-либо исходного параметра проекта (плана)	Основан на допущении о том, что при изменении одного параметра все остальные остаются неизменными. Не позволяет получить вероятностные оценки возможных отклонений исходных и результирующих показателей.
Сценарный анализ	Разрабатывается три варианта сценария развития событий: базовый, оптимистический и пессимистический.	Сложность определения вероятности сценария (может быть интервальной) Сложность использования.
Построение дерева решений	Комплексный учет рисков проекта по отдельным последовательным этапам его осуществления. Представляет собой графическое изображение последовательности решений и состояний внешней среды с указанием соответствующих вероятностей и выигрышей (эффектов) для любых комбинаций вариантов и состояний.	Используется для анализа рисков в тех случаях, когда имеется обозримое количество вариантов развития Полезен, когда более поздние решения сильно зависят от решений, принятых ранее, но в свою очередь определяют дальнейшее развитие событий
Метод Монте-Карло (имитаци-онное моделиро-вание)	Синтез и развитие методов анализа чувствительности и анализа сценариев и представляет собой серию численных экспериментов, призванных получить эмпирические оценки степени влияния различных факторов (параметров) на зависящие от них результаты (эффект)	Чрезвычайно сложно определить реальные взаимосвязи между переменными Возможные погрешности также определяются на основе экспертной оценки

Предотвращение или снижение ущерба от рисковых событий, производится для критических и катастрофических рисков. Запланированные операции по реагированию на риски должны соответствовать серьезности риска, быть экономически эффективными в решении проблемы, своевременными, реалистичными в контексте проекта и согласованными со всеми участниками.

Существует четыре основных метода реагирования на риск (стратегии реагирования) [1]:

1. Уклонение от риска предполагает изменение плана управления проектом таким образом, чтобы исключить угрозу, вызванную риском, оградить цели проекта от последствий риска или ослабить цели, находящиеся под угрозой например, расширить рамки расписания, изменить стратегию или сократить содержание). Наиболее радикальной стратегией уклонения является полное прекращение проекта. От некоторых рисков, возникающих на ранней стадии проекта, можно уклониться путем прояснения требований, получения информации, улучшения коммуникаций или приобретения экспертизы.

Некоторые риски, возникающие на ранних стадиях проекта, можно избежать при помощи уточнения требований, получения дополнительной информации или проведения экспертизы. Естественным следствием уклонения от риска является упущенная выгода, которую могла принести область, связанная с этим риском.

2. Передача риска — стратегия реагирования на риск, посредством которой команда проекта перекладывает последствия наступления угрозы вместе с ответственностью за реагирование на третью сторону. Передача риска просто переносит ответственность за его управление другой стороне, но риск при этом никуда не девается. Передача риска практически всегда предполагает выплату премии за риск стороне, принимающей на себя риск.

Инструменты передачи могут быть весьма разнообразными и включают в себя, среди прочего: использование страховки, гарантии выполнения обязательств, гарантийные обязательства и т. д. Для передачи ответственности за определенные риски другой стороне могут использоваться договоры или соглашения.

3. Снижение рисков предполагает понижение вероятности и/или последствий негативного рискованного события до приемлемых пределов. Принятие предупредительных мер по снижению вероятности наступления риска или его последствий часто оказываются более эффективными, нежели усилия по устранению негативных последствий, предпринимаемые после наступления события риска. В качестве примеров действий по снижению рисков можно привести внедрение менее сложных процессов, проведение большего числа тестов или выбор более надежного поставщика.

4. Принятие риска означает, что команда проекта осознанно приняла решение не изменять план управления проектом в связи с риском или не нашла подходящей стратегии реагирования. Команда управления проектом вынуждена принимать все «неизвестные риски». Основной инструмент приятия рисков – резервирование.

Организация управления рисками предполагает разработку процедур управления рисками, включая систему отчетности, назначение ответственных за конкретные риски.

Контроль рисков — процесс применения планов реагирования на риски, отслеживания идентифицированных рисков, мониторинга остаточных рисков, выявления новых рисков и оценки результативности процесса управления рисками на протяжении всего проекта.

На стадии анализа и регулирования производится дополнительная идентификация, переоценка рисков, оценка эффективности мер по управлению рисками и их изменение.

Закрытие управления рисками в проекте предполагает детальную документацию информации о возникших рисках с целью её использования в будущих проектах.

Контрольные вопросы

1. Что такое риски и возможности проекта? На какие характеристики проекта они могут повлиять?

2. Какие методы могут быть использованы для минимизации неизвестных рисков?

3. Какая информация необходима для идентификации рисков?

4. Как называется указание на то, что рисковое событие произошло или скоро произойдет?

5. Использование этого метода предполагает изменение плана управления проектом таким образом, чтобы исключить угрозу, вызванную риском, как он называется?

6. Как называется риск, который характеризуется опасностью потерь, в размере равном или превышающем бюджет проекта

7. Для чего проводится качественный анализ рисков?

8. Какие методы используются для количественного анализа рисков?

Литература

1. Руководство к своду знаний по управлению проектами (Руководство PMBOK). Пятое издание// Project Management Institute, 2013. – 614 с.

2. Управление проектами. Основы профессиональных знаний. Национальные требования к компетентности специалистов (NCB – SOVNET National Competence Baseline Version 3.0) //Сертификационная комиссия СОВНЕТ. М,: ЗАО «Проектная ПРАКТИКА», 2010 – 256 c.

3. Богданов, В. В. Управление проектами. Корпоративная система — шаг за шагом / Вадим Богданов. — М.: Манн, Иванов и Фербер, 2012. — 248 c.

4. Дитхелм Г. Управление проектами. В 2 т. Т.1: пер.с нем. – СПб.:Издательский дом бизнес-пресса, 2004 – 400 с.

5. Милошевич Д. Набор инструментов для управления проектами / Драган З. Милошевич; Пер. с англ. Мамонтова Е.В.; Под ред. Неизвестного С.И. – М.: Компания АйТи; ДМК Пресс, 2008. – 729 с.

6. Том ДеМарко, Тимоти Листер. Вальсируя с Медведями: управление рисками в проектах по разработке программного обеспечения// М.: Компания p.m.Office, 2005.- 196 с.