Тема: Управление рисками проекта

1. Основные понятия и определения

2. Планирование управления рисками. Идентификация рисков. Качественный анализ рисков. Количественный анализ рисков

3. Планирование реагирования на риски

4. Мониторинг и управление рисками

 

В первые десятилетия современного управления проектами основное внимание было уделено планированию и контролю проекта. Но повторяющиеся неудачи в достижении целей проекта, связанные с неучтенными рисками, привели к пониманию необходимости управления рисками на протяжении всего жизненного цикла. Несмотря на то, что ИТ-проекты могут быть связаны с большим или меньшим числом рисков, нет ни одного проекта, где бы риски полностью отсутствовали.

Проекты в области информационных технологий имеют специфические характеристики. Рыночная конкуренция, эволюция технических стандартов, другие факторы могут поставить перед командой проекта задачи по модифицированию утвержденных планов в середине проекта. Изменяющиеся требования Заказчика, новые технологии, растущие проблемы информационной безопасности, текучесть кадров - все это дополнительные факторы, способные повлечь за собой изменения в IT-проекте и заставить команду проекта принимать решения в условиях риска.

Процесс управления рисками тесно связан с общим жизненным циклом проекта. На ранних этапах преобладают риски, связанные с бизнесом, рамками проекта, требованиями к конечному продукту и проектированием этого продукта. На стадии реализации доминируют технологические риски, далее возрастает роль рисков, связанных с поддержкой и сопровождением системы. На протяжении всего жизненного цикла проекта возникают новые риски, что требует проведения дополнительных операций анализа и планирования.

Целью управления рисками проекта является повышение вероятности реализации и значимости позитивных событий и снижение вероятности реализации событий, негативных для целей проекта.

Основные понятия и определения

Установим основные понятия и определения, относящиеся к рискам.

Риск проекта - это кумулятивный эффект вероятностей наступления неопределенных событий, способных оказать отрицательное или положительное влияние на цели проекта [11]. Риски подразделяются на известные и неизвестные. Известные риски идентифицируются и подлежат управлению - создаются планы реагирования на риски и резервы на возможные потери. Неизвестные риски нельзя определить, и, следовательно, невозможно спланировать действия по реагированию на такой риск.

Событие риска - потенциально возможное событие, которое может нанести ущерб или принести выгоды проекту [11].

Вероятность возникновения риска - вероятность того, что событие риска наступит [11]. Все риски имеют вероятность больше нуля и меньше 100%. Риск с вероятностью 0 не может произойти и не считается риском. Риск с вероятностью 100% также не является риском, поскольку это достоверное событие, которое должно быть предусмотрено планом проекта.

Последствия риска, если он случится, выражаются через дни расписания, трудозатраты, деньги и определяют степень воздействия на цели проекта.

Величина риска - показатель, объединяющий вероятность возникновения риска и его последствия. Величина риска рассчитывается путем умножения вероятности возникновения риска на соответствующие последствия.

Резерв для непредвиденных обстоятельств (или резерв для покрытия неопределенности) - сумма денег или промежуток времени, которые необходимы сверх расчетных величин для снижения риска перерасхода, связанного с достижением целей проекта, до приемлемого для организации уровня; обычно включаются в базовый план стоимости или расписания проекта.

Управленческий резерв - сумма денег или промежуток времени, не включаемые в базовый план стоимости или расписания проекта и используемый руководством для предотвращения негативных последствий ситуаций, которые невозможно спрогнозировать.

Толерантность к риску - это готовность или неготовность лица или организации рисковать [11]. Некоторые организации берут на себя риск, в то время как другие его избегают. Одни компании рискуют потерять очень много денег ради шанса получить их еще больше. Другие компании не идут на риски, связанные с финансовыми потерями.

Управление рисками включает в себя шесть процессов: планирование управления рисками, идентификация рисков, качественный анализ рисков, количественный анализ рисков, планирование реагирования на риски, мониторинг и управление рисками. Взаимодействие процессов управления рисками представлено на рис. 7.1.

Планирование управления рисками

К планированию управления рисками следует относиться так же серьезно, как к планированию стоимости и расписания проекта. Качественное планирование повышает вероятность получения положительных результатов остальных процессов управления рисками. Планирование управления рисками - это процесс определения подходов и планирования операций по управлению рисками проекта [ 9 ]. Формирование стратегии компании по управлению рисками, основных правил, позволяющих управлять рисками проекта, является целью процесса планирования рисков.

Исходная информация для планирования рисков

Источниками входной информации для процессов планирования рисков являются:

Факторы внешней среды предприятия. Отношение к риску и толерантность к риску организаций и лиц, участвующих в проекте, оказывает влияние на план управления проектом и может проявляться в конкретных действиях.

Активы организационного процесса. Организации могут иметь заранее разработанные подходы к управлению рисками, например категории рисков, общие определения понятий и терминов, стандартные шаблоны, схемы распределения ролей и ответственности, а также определенные уровни полномочий для принятия решений.

Описание содержания проекта

План управления проектом

Рис. 7.1. Взаимосвязь процессов управления рисками

 

Методы и инструменты планирования рисков

В качестве инструментов и методов планирования управлением рисками используют совещания по планированию и анализу. Команда проекта проводит совещания для разработки плана управления рисками, в которых могут принимать участие менеджер проекта, отдельные члены команды проекта и участники проекта, представители организации, отвечающие за операции по планированию рисков и реагированию на них. На совещаниях составляются базовые планы по проведению операций управления рисками. Также разрабатываются элементы стоимости рисков и плановые операции, которые включаются соответственно в бюджет проекта и расписание. Утверждается распределение ответственности в случае наступления риска. Имеющиеся в организации общие шаблоны, касающиеся категорий рисков и определения терминов (например, уровни рисков, вероятность возникновения рисков по типам, последствия рисков для целей проекта по типам целей, а также матрица вероятности и последствий), приспосабливаются для каждого конкретного проекта с учетом его специфики. Выходы этих операций сводятся в план управления рисками.

Результаты процесса планирования рисков

План управления рисками - документ, разрабатываемый в начале проекта и содержащий описания структуры управления рисками проекта и порядок его выполнения в рамках проекта; включается в состав плана управления проектом. План управления рисками содержит следующие элементы [ 11 ]:

· Методология - определение подходов, инструментов и источников данных, которые могут использоваться для управления рисками в данном проекте.

· Распределение ролей и ответственности - список позиций выполнения, поддержки и управления рисками для каждого вида операций, включенных в план управления рисками, назначение сотрудников на эти позиции и разъяснение их ответственности.

· Определение операций по управлению рисками, которые необходимо включить в расписание проекта.

· Определение сроков и частоты выполнения операций по управлению рисками на протяжении всего жизненного цикла проекта.

· Выделение ресурсов и оценка стоимости мероприятий, необходимых для управления рисками. Эти данные включаются в базовый план по стоимости проекта.

· Классификации рисков (или категории рисков) - структура, на основании которой производится систематическая и всесторонняя идентификация рисков с нужной степенью детализации. Классификации рисков предназначены для нескольких целей. Во время выявления рисков они стимулируют видение проектной группой всех возможных рисков, возникающих из различных составляющих проекта. При проведении мозгового штурма классификации рисков облегчают одновременную работу с большим числом рисков, предоставляя подходящий способ группирования схожих рисков. Классификации помогают в разработке единой терминологии, используемой участниками проекта для мониторинга и отчетности о состоянии рисков, а также они совершенно необходимы для составления баз знаний о рисках. Классифицировать риски можно с помощью составления иерархической структуры или составив перечень различных аспектов проекта. В процессе идентификации категории рисков могут пересматриваться. На рис. 7.2 приведен пример иерархической структуры рисков, содержащей категории и подкатегории, которые могут появиться на типовом проекте. На рис. 7.3 представлена высокоуровневая классификация источников рисков проектов, используемая Microsoft Solutions Framework (MSF) [5].

Рис. 7.2. Пример иерархической структуры рисков [9]

Рис. 7.3. Классификация источников риска

 

· Определение вероятности возникновения рисков и их последствий. Общие определения уровней вероятности и уровней воздействия адаптируются отдельно для каждого проекта в ходе процесса планирования управления рисками и используются в процессе качественного анализа рисков. Можно применить относительную шкалу, на которой вероятность обозначена описательно, со значениями от "крайне маловероятно" до "почти наверное", или шкалу, на которой вероятности соответствует цифровое значение, например: 0,1 - 0,3 - 0,5 - 0,7 - 0,9. В таблице 7.1 представлено семиуровневое разделение вероятности [ 5 ]. Для каждого интервала вероятностей выполнена относительная и числовая оценка.

 

Таблица 7.1. Семиуровневая оценка вероятности возникновения риска

Интервал вероятностей	Значение вероятности, используемое для вычислений	Словесная формулировка	Числовая оценка
От 1% до 14%	7%	крайне маловероятно
От 15% до 28%	21%	низкая вероятность
От 29% до 42%	35%	скорее нет
От 43% до 57%	50%	50-50
От 58% до 72%	65%	возможно
От 73% до 86%	79%	весьма правдоподобно
От 87% до 99%	93%	почти наверняка

При оценке воздействия риска определяется потенциальный эффект, который он может оказать на цель проекта (например время, стоимость, содержание или качество). В таблице 7.2 представлена шкала для оценки угрозы риска, определенного в денежном выражении.

 

Таблица 7.2. Шкала для оценки последствий риска, измеряемого в деньгах

Оценка	Денежное выражение
	до $100
	$100-$1000
	$1000-$10,000
	$10,000-$100,000
	$100,000-$1,000,000
	$1,000,000-$10 миллионов
	$10 миллионов-$100 миллионов
	$100 миллионов-$1 миллиард
	$1 миллиард-$10 миллиардов
	свыше $10 миллиардов

Когда денежные единицы не могут быть применены, проектная группа может использовать другие шкалы оценки последствий риска (таблица 7.3). Система оценки воздействий должна отражать политику и ценности организации и проектной группы.

 

Таблица 7.3. Шкала для оценки последствий риска, измеряемого отклонениями в стоимости, сроках и технических условиях проекта

Оценка	Перерасход средств	Календарный график	Технические условия
1 (низкая)	до 1%	сдвиг на 1 неделю	небольшая потеря производительности
2 (средняя)	до 5%	сдвиг на 2 недели	умеренное снижение производительности
3 (высокая)	до 10%	сдвиг на 1 месяц	серьезный ущерб для производительности
4 (критическая)	от 10%	сдвиг более 1 мес.	задача не может быть выполнена

Относительная шкала последствий разрабатывается каждой организацией самостоятельно. Шкала содержит только описательные обозначения, например "очень низкий", "низкий", "средний", "высокий" и "очень высокий", расположенные в порядке возрастания максимальной силы воздействия риска согласно определению данной организации. То же самое можно сделать иначе, путем присвоения данным последствиям цифровых значений, которые могут быть линейными и нелинейными, например 0,1 - 0,3 - 0,5 - 0,7 - 0,9 или 0,05 - 0,1- 0,2 - 0,4 - 0,8. В таблице 7.4 представлены как относительный, так и цифровой (в данном случае нелинейный) способы обозначения последствий риска для четырех целей проекта [ 9 ].

 

Таблица 7.4. Определение шкалы оценки воздействия для четырех целей проекта

Определенные условия для шкалы оценки степени возможного влияния риска (показаны только примеры негативных воздействий)
Цель проекта	Показаны значения по относительной и числовой шкалам
Очень низкое	Низкое	Умеренное	Высокое	Очень высокое
0,05	0,10	0,20	0,40	0,80
Стоимость	Незначительное увеличение	Увеличение < 5%	Увеличение 5-10%	Увеличение 10-20%	Увеличение > 20%
Сроки	Незначительное увеличение	Увеличение < 5%	Увеличение 5-10%	Увеличение 10-20%	Увеличение > 20%
Содержание (объем)	Изменения незаметны	Незначительные изменения	Значительные изменения	Неприемлемое для клиента изменение	Достижение конечных результатов невозможно
Качество	Изменения незаметны	Незначительные изменения	Изменение требует согласия клиента	Неприемлемое для клиента изменение	Достижение конечных результатов невозможно

· Матрица вероятности и последствий содержит комбинации вероятности и воздействия, при помощи которых рискам присваивается определенный ранг: низкий, средний или высший [ 9 ]. Матрица может содержать описательные термины или цифровые обозначения (рис. 7.4) и строится на основании шкал оценки вероятности и оценки степени влияния возможного риска. Левый столбец матрицы содержит значения вероятности возникновения риска, в первой строке расположена шкала со значениями возможных последствий. Ячейки заполняется результатами перемножения значений этих шкал. Сопоставляя значение ячейки матрицы со шкалой оценки воздействия (таблица 7.4), риски можно разделить по категориям - малые, средние и большие. Рассмотрим матрицу вероятности и последствий, представленную на рис. 7.4. Риски, имеющие очень высокие вероятности, но незначительные последствия, а также риски, имеющие низкие вероятности и незначительные последствия, считаются рисками, не оказывающими воздействия (клетки таблицы серого цвета). Риски с очень большими последствиями, но малой вероятностью, как и риски с незначительными последствиями и высокой вероятностью (клетки светло-серого цвета) имеют среднее воздействие на проект. Риски, которым необходимо уделять особое внимание, имеют достаточно высокую вероятность и существенные последствия (клетки таблицы, окрашенные темно-серым цветом).

 

Рис. 7.4. Матрица вероятности и последствий

 

· Уточненная толерантность к рискам участников проекта.

· Формы отчетности. Определяет формат реестра рисков и его содержание, а также любых других требуемых отчетов по рискам. Определяет, каким образом производится документирование, анализ и обмен информацией о результатах процесса управления рисками.

· Отслеживание. Документирует порядок регистрации всех аспектов операций по рискам в интересах данного проекта, а также для будущих проектов и для включения в документы по накопленным знаниям. Документирует, в каких случаях и как будет проводиться аудит процессов управления рисками.

В приложении 8 приводятся примеры формы для общего анализа проектных рисков, описание процедуры для управления рисками, форма запроса на регистрацию риска, описание процедуры управления рисками проекта.

Идентификация рисков

Идентификация рисков - процесс определения рисков, способных повлиять на проект, и документирование их характеристик. Идентификацию рисков выполняют члены команды проекта и эксперты по вопросам управления рисками, в ней могут принимать участие заказчики, участники проекта и эксперты в определенных областях. Это итеративный процесс, поскольку по мере развития проекта в рамках его жизненного цикла могут обнаруживаться новые риски. Частота итерации и состав участников выполнения каждого цикла в каждом случае могут быть разными. В процессе идентификации должны принимать участие члены команды проекта, чтобы у них вырабатывалось чувство "собственности" и ответственности за риски и за действия по реагированию на них.

Исходная информация для процесса идентификации [9]

Входной информацией для процесса идентификации рисков служит нижеследующая информация.

Факторы внешней среды предприятия - информация из открытых источников, в том числе коммерческие базы данных, научные работы, бенчмаркинг и другие исследовательские работы в области управления рисками.

Активы организационного процесса - информация о выполнении прежних проектов.

Описание содержания проекта. Допущения проекта приводятся в описании содержания проекта. Неопределенность в допущениях проекта следует рассматривать в качестве потенциального источника возникновения рисков проекта.

План управления рисками. Входами для процесса идентификации рисков из плана управления рисками являются схема распределения ролей и ответственности, резерв на операции по управлению рисками в бюджете и в расписании, а также категории рисков.

План управления проектом. Для идентификации рисков необходимо понимание планов управления расписанием, стоимостью и качеством, которые входят в план управления проектом, и анализ выходов этих процессов.