Метод анализа кредитного риска ориентированный на идентификацию потенциальных зон риска это метод

Обновлено: 02.05.2024

ГОСТ Р ИСО/МЭК 31010-2011

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДЫ ОЦЕНКИ РИСКА

Risk management. Risk assessment methods

* По данным официального сайта Стандартинформ

ОКС 03.100.01. - Примечание изготовителя базы данных.

Дата введения 2012-12-01

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 31010:2009* "Менеджмент риска. Методы оценки риска" (ISO/IEC 31010:2009 "Risk management - Risk assessment techniques").

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (подраздел 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительных приложениях ДА и ДБ

5 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Введение

Практически все организации сталкиваются с необходимостью оценки риска для снижения количества опасных событий и достижения поставленных целей.

Цели организации могут затрагивать различные аспекты ее деятельности: от стратегии до выпуска конкретной продукции, разработки процессов и проектов. Цели могут быть определены в социальной, экологической, технологической, коммерческой, финансовой и экономической областях, а также в области репутации организации, ее безопасности и социального, культурного, политического воздействия на население.

Всей деятельности организации соответствует риск. Менеджмент риска помогает в принятии решений в условиях неопределенности и возможности возникновения событий или обстоятельств (плановых и непредвиденных), воздействующих на достижение целей организации.

Менеджмент риска включает применение логических и системных методов для:

- обмена информацией и консультаций в области риска;

- установления области применения при идентификации, анализе, оценке и обработке риска, соответствующего любой деятельности, процессу, функции или продукции;

- мониторинга и анализа риска;

- регистрации полученных результатов и составления отчетности.

Оценка риска является частью процесса менеджмента риска и представляет собой структурированный процесс, в рамках которого идентифицируют способы достижения поставленных целей, проводят анализ последствий и вероятности возникновения опасных событий для принятия решения о необходимости обработки риска.

Оценка риска позволяет ответить на следующие основные вопросы:

- какие события могут произойти и их причина (идентификация опасных событий);

- каковы последствия этих событий;

- какова вероятность их возникновения;

- какие факторы могут сократить неблагоприятные последствия или уменьшить вероятность возникновения опасных ситуаций.

Кроме того, оценка риска помогает ответить на вопрос: является уровень риска приемлемым, или требуется его дальнейшая обработка? Настоящий стандарт основан на успешно применяемых методах оценки риска и не содержит новых, неапробированных понятий и методов.

Настоящий стандарт является основополагающим стандартом в области менеджмента риска и предназначен для предприятий различных отраслей промышленности. Нормативные документы, содержащие методы и критерии оценки риска для конкретных отраслей, должны соответствовать требованиям настоящего стандарта.

1 Область применения

Настоящий стандарт разработан в дополнение к ИСО 31000 и содержит рекомендации по выбору и применению методов оценки риска.

Оценка риска, выполненная в соответствии с настоящим стандартом, применима при выполнении других элементов процесса менеджмента риска.

В настоящем стандарте представлены методы оценки риска и даны ссылки на другие международные стандарты, в которых более подробно описано применение конкретных методов оценки риска.

Настоящий стандарт не предназначен для целей оценки соответствия и использования в качестве обязательных или договорных требований.

Стандарт не содержит конкретных критериев для принятия решения по анализу риска и указаний по применению методов анализа риска в конкретной ситуации.

Настоящий стандарт допускает использование других методов оценки риска с учетом их применимости в конкретной ситуации.

Примечание - Настоящий стандарт не связан с аспектами безопасности. Стандарт является основополагающим стандартом в области менеджмента риска, любые ссылки на безопасность носят справочный характер. При введении в действие требований безопасности следует руководствоваться положениями Руководства ИСО/МЭК 51.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты*:

* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.

Руководство ИСО 73:2009 Менеджмент риска. Словарь. Руководящие принципы для использования в стандартах (ISO Guide 73:2009, Risk management - Vocabulary - Guidelines for use in standards)

ИСО/МЭК 31000:2009 Менеджмент риска. Общие принципы и руководство (ISO 31000:2009, Risk management - Principles and guidelines)

3 Термины и определения

В настоящем стандарте применены термины и определения по Руководству ИСО/МЭК 73.

4 Понятие оценки риска

4.1 Цели и преимущества

Основной целью оценки риска является представление на основе объективных свидетельств информации, необходимой для принятия обоснованного решения относительно способов обработки риска.

Оценка риска обеспечивает:

- понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей организации;

- получение информации, необходимой для принятия решений;

- понимание опасности и ее источников;

- идентификацию ключевых факторов, формирующих риск, уязвимых мест организации и ее систем;

- возможность сравнения риска с риском альтернативных организаций, технологий, методов и процессов;

- обмен информацией о риске и неопределенностях;

- информацию, необходимую для ранжирования риска;

- предотвращение новых инцидентов на основе исследования последствий произошедших инцидентов;

- выбор способов обработки риска;

- соответствие правовым и обязательным требованиям;

- получение информации, необходимой для обоснованного решения о принятии риска в соответствии с установленными критериями;

- оценку риска на всех стадиях жизненного цикла продукции.

4.2 Оценка риска и структура менеджмента риска

Оценка риска, установленная в настоящем стандарте, соответствует структуре и процессу менеджмента риска, установленным ИСО 31000.

Структура менеджмента риска предусматривает установление политики, процедуры и организационных мероприятий, направленных на внедрение менеджмента риска во всех подразделениях организации.

Организация должна официально сформулировать политику и стратегию в области менеджмента риска, а также применять соответствующие методы оценки риска.

Ответственные за оценку риска должны знать:

- область деятельности и цели организации;

- уровень приемлемого риска и способы обработки неприемлемого риска;

- способы интеграции процессов оценки риска в процессы менеджмента организации;

- методы оценки риска и способы их применения в процессе менеджмента риска;

- систему подотчетности, распределения ответственности и полномочий в области оценки риска;

- требуемые и доступные ресурсы для выполнения оценки риска;

- способы регистрации и анализа оценки риска.

4.3 Оценка риска и процесс менеджмента риска

4.3.1 Общие положения

Оценка риска является основным элементом процесса менеджмента риска, включающего в соответствии с ИСО 31000 следующие элементы:

- обмен информацией и консультации;

- установление области применения менеджмента риска;

- оценку риска (включая идентификацию риска, анализ риска и сравнительную оценку риска);

- мониторинг и анализ риска.

Являясь основным элементом процесса менеджмента риска, деятельность по оценке риска должна быть интегрирована в другие элементы этого процесса.

Идентификация рисков - процесс определения рисков, способных повлиять на проект, и документирование их характеристик. Идентификацию рисков выполняют члены команды проекта и эксперты по вопросам управления рисками, в ней могут принимать участие заказчики, участники проекта и эксперты в определенных областях. Это итеративный процесс, поскольку по мере развития проекта в рамках его жизненного цикла могут обнаруживаться новые риски. Частота итерации и состав участников выполнения каждого цикла в каждом случае могут быть разными. В процессе идентификации должны принимать участие члены команды проекта , чтобы у них вырабатывалось чувство "собственности" и ответственности за риски и за действия по реагированию на них.

Исходная информация для процесса идентификации [9]

Факторы внешней среды предприятия - информация из открытых источников, в том числе коммерческие базы данных, научные работы, бенчмаркинг и другие исследовательские работы в области управления рисками.

Активы организационного процесса - информация о выполнении прежних проектов.

Описание содержания проекта. Допущения проекта приводятся в описании содержания проекта. Неопределенность в допущениях проекта следует рассматривать в качестве потенциального источника возникновения рисков проекта.

План управления проектом. Для идентификации рисков необходимо понимание планов управления расписанием, стоимостью и качеством, которые входят в план управления проектом , и анализ выходов этих процессов.

Методы и инструменты идентификации рисков

Анализ документации заключается в просмотре материалов проекта, разработанных до проведения данного анализа. Анализируется качество планов, согласованность планов, соответствие требованиям Заказчика, допущения проекта, базовые планы по содержанию срокам, стоимости, - все, что может служить показателями возможности риска в проекте.

Методы сбора информации [ 10 ]

  • Мозговой штурм. Целью мозгового штурма является создание подробного списка рисков проекта. Список рисков разрабатывается на собрании, в котором принимает участие 10-15 человек - члены команды проекта , часто совместно с участием экспертов из разных областей, не являющихся членами команды. Участники собрания называют риски, которые считают важными для проекта, при этом не допускается обсуждение выдвинутых рисков. Далее риски сортируют по категориям и уточняют.
  • Метод Дельфи аналогичен методу мозгового штурма, но его участники не знают друг друга. Ведущий, с помощью списка вопросов для получения идей, касающихся рисков проекта, собирает ответы экспертов. Далее ответы экспертов анализируются, распределяются по категориям и возвращаются экспертам для дальнейших комментариев. Консенсус и список рисков получается через несколько циклов этого процесса. В методе Дельфи исключается давление со стороны коллег и боязнь неловкого положения при высказывании идеи.
  • Метод номинальных групп позволяет идентифицировать и расположить риски в порядке их важности. Данный метод предполагает формирование группы из 7-10 экспертов. Каждый участник индивидуально и без обсуждений перечисляет видимые им риски проекта. Далее происходит совместное обсуждение всех выделенных рисков и повторное индивидуальное составление списка рисков в порядке их важности.
  • Карточки Кроуфорда. Обычно собирается группа из 7-10 экспертов. Ведущий сообщает, что задаст группе 10 вопросов, на каждый из которых участник письменно, на отдельном листе бумаги, должен дать ответы. Вопрос о том, какой из рисков является наиболее важным для проекта, ведущий задает несколько раз. Каждый участник вынужден обдумать десять различных рисков проекта.
  • Опросы экспертов с большим опытом работы над проектами.
  • Идентификация основной причины. Цель этого процесса: выявить наиболее существенные причины возникновения рисков проекта и сгруппировать риски по причинам, их вызывающим.
  • Анализ сильных и слабых сторон, возможностей и угроз (анализ SWOT). Цель проведения анализа - оценить потенциал и окружение проекта. Потенциал проекта, выраженный в виде его сильных и слабых сторон, позволяет оценить разрывы между содержанием проекта и возможностями его выполнения. Оценка окружения проекта показывает, какие благоприятные возможности предоставляет и какими опасностями угрожает внешняя среда.
  • Анализ контрольных списков. Контрольные списки представляют собой перечни рисков, составленные на основе информации и знаний, которые были накоплены в ходе исполнения прежних аналогичных проектов.
  • Метод аналогии. Для идентификации рисков этот метод использует накопленные знания и планы по управлению рисками других аналогичных проектов.
  • Методы с использованием диаграмм. К методам отображения рисков в виде диаграмм относятся диаграммы причинно-следственных связей и блок-схемы процессов, которые позволяют проследить последовательность событий, происходящих в данном процессе.

Сравнение методов идентификации рисков проекта [ 10 ] представлено в таблице 7.5.

Выходы процесса идентификации рисков

Результатом процесса идентификации рисков является Реестр рисков , содержащий:

  • список идентифицированных рисков;
  • список потенциальных действий по реагированию;
  • основные причины возникновения риска;
  • уточнение категорий рисков.

В процессе идентификации список категорий рисков может пополняться новыми категориями, что может привести к расширению иерархической структуры рисков, разработанной в процессе планирования управления рисками.

Идентификация рисков - процесс определения рисков, способных повлиять на проект, и документирование их характеристик. Идентификацию рисков выполняют члены команды проекта и эксперты по вопросам управления рисками, в ней могут принимать участие заказчики, участники проекта и эксперты в определенных областях. Это итеративный процесс, поскольку по мере развития проекта в рамках его жизненного цикла могут обнаруживаться новые риски. Частота итерации и состав участников выполнения каждого цикла в каждом случае могут быть разными. В процессе идентификации должны принимать участие члены команды проекта , чтобы у них вырабатывалось чувство "собственности" и ответственности за риски и за действия по реагированию на них.

Исходная информация для процесса идентификации [9]

Факторы внешней среды предприятия - информация из открытых источников, в том числе коммерческие базы данных, научные работы, бенчмаркинг и другие исследовательские работы в области управления рисками.

Активы организационного процесса - информация о выполнении прежних проектов.

Описание содержания проекта. Допущения проекта приводятся в описании содержания проекта. Неопределенность в допущениях проекта следует рассматривать в качестве потенциального источника возникновения рисков проекта.

План управления проектом. Для идентификации рисков необходимо понимание планов управления расписанием, стоимостью и качеством, которые входят в план управления проектом , и анализ выходов этих процессов.

Методы и инструменты идентификации рисков

Анализ документации заключается в просмотре материалов проекта, разработанных до проведения данного анализа. Анализируется качество планов, согласованность планов, соответствие требованиям Заказчика, допущения проекта, базовые планы по содержанию срокам, стоимости, - все, что может служить показателями возможности риска в проекте.

Методы сбора информации [ 10 ]

  • Мозговой штурм. Целью мозгового штурма является создание подробного списка рисков проекта. Список рисков разрабатывается на собрании, в котором принимает участие 10-15 человек - члены команды проекта , часто совместно с участием экспертов из разных областей, не являющихся членами команды. Участники собрания называют риски, которые считают важными для проекта, при этом не допускается обсуждение выдвинутых рисков. Далее риски сортируют по категориям и уточняют.
  • Метод Дельфи аналогичен методу мозгового штурма, но его участники не знают друг друга. Ведущий, с помощью списка вопросов для получения идей, касающихся рисков проекта, собирает ответы экспертов. Далее ответы экспертов анализируются, распределяются по категориям и возвращаются экспертам для дальнейших комментариев. Консенсус и список рисков получается через несколько циклов этого процесса. В методе Дельфи исключается давление со стороны коллег и боязнь неловкого положения при высказывании идеи.
  • Метод номинальных групп позволяет идентифицировать и расположить риски в порядке их важности. Данный метод предполагает формирование группы из 7-10 экспертов. Каждый участник индивидуально и без обсуждений перечисляет видимые им риски проекта. Далее происходит совместное обсуждение всех выделенных рисков и повторное индивидуальное составление списка рисков в порядке их важности.
  • Карточки Кроуфорда. Обычно собирается группа из 7-10 экспертов. Ведущий сообщает, что задаст группе 10 вопросов, на каждый из которых участник письменно, на отдельном листе бумаги, должен дать ответы. Вопрос о том, какой из рисков является наиболее важным для проекта, ведущий задает несколько раз. Каждый участник вынужден обдумать десять различных рисков проекта.
  • Опросы экспертов с большим опытом работы над проектами.
  • Идентификация основной причины. Цель этого процесса: выявить наиболее существенные причины возникновения рисков проекта и сгруппировать риски по причинам, их вызывающим.
  • Анализ сильных и слабых сторон, возможностей и угроз (анализ SWOT). Цель проведения анализа - оценить потенциал и окружение проекта. Потенциал проекта, выраженный в виде его сильных и слабых сторон, позволяет оценить разрывы между содержанием проекта и возможностями его выполнения. Оценка окружения проекта показывает, какие благоприятные возможности предоставляет и какими опасностями угрожает внешняя среда.
  • Анализ контрольных списков. Контрольные списки представляют собой перечни рисков, составленные на основе информации и знаний, которые были накоплены в ходе исполнения прежних аналогичных проектов.
  • Метод аналогии. Для идентификации рисков этот метод использует накопленные знания и планы по управлению рисками других аналогичных проектов.
  • Методы с использованием диаграмм. К методам отображения рисков в виде диаграмм относятся диаграммы причинно-следственных связей и блок-схемы процессов, которые позволяют проследить последовательность событий, происходящих в данном процессе.

Сравнение методов идентификации рисков проекта [ 10 ] представлено в таблице 7.5.

Выходы процесса идентификации рисков

Результатом процесса идентификации рисков является Реестр рисков , содержащий:

  • список идентифицированных рисков;
  • список потенциальных действий по реагированию;
  • основные причины возникновения риска;
  • уточнение категорий рисков.

В процессе идентификации список категорий рисков может пополняться новыми категориями, что может привести к расширению иерархической структуры рисков, разработанной в процессе планирования управления рисками.

Аннотация: Качественный анализ рисков. Количественный анализ рисков. Подтверждение содержания проекта.

Цель процесса идентификации рисков состоит в определении потенциальных рисков, способных повлиять на успех проекта. Идентификацию рисков выполняют члены команды проекта и эксперты по вопросам управления рисками, в ней могут принимать участие заказчики, участники проекта и эксперты в определенных областях. Это итеративный процесс, поскольку по мере развития проекта в рамках его жизненного цикла могут обнаруживаться новые риски. Частота итерации и состав участников выполнения каждого цикла в каждом случае могут быть разными. В процессе идентификации должны принимать участие члены команды проекта, чтобы у них вырабатывалось чувство собственности и ответственности за риски и за действия по реагированию на них.

Идентификация рисков выполняется на основе разработанных ранее планов управления интеграцией, содержанием, сроками, качеством и человеческими ресурсами.

Также при разработке плана учитывается опыт выполнения аналогичных проектов.

Качественный анализ рисков

Качественный анализ рисков подразумевает оценку рисков в терминах их возможных последствий, используя установленные критерии. Критерии могут учитывать затраты , официальные и предписанные требования, социально-экономические аспекты и факторы внешней среды, интересы заказчика, приоритеты и иные исходные данные для оценки. Результат процесса качественной оценки - определение градации рисков по их вероятности и последствиям

Основная проблема управления рисками заключается в размере перечня рисков, полученного на этапе идентификации. Управлять всеми выявленными рисками невозможно, так как это требует больших финансовых и кадровых затрат. Основные задачи качественного анализа состоят в разделении рисков на группы и расположении их в порядке приоритетов. Классифицировать риски можно, например, по их временной близости. Так, близкие риски должны иметь более высокий приоритет, чем риски, которые могут случиться в отдаленном будущем. Расположения рисков по степени их важности для дальнейшего анализа или планирования реагирования на риски может быть выполнено путем оценки вероятности их возникновения и воздействия на проект. Качественный анализ рисков - быстрый и недорогой способ установки приоритетов - выполняется на протяжении всего жизненного цикла проекта и должен отражать все изменения, относящиеся к рискам проекта.

Матрица вероятностей и последствий - инструмент, позволяющий определять ранг риска отдельно для каждой цели, например, для стоимости, времени или содержания. Ранг риска помогает управлять реагированием на риски. Например, для рисков, расположенных в зоне высокого риска (область красного цвета) матрицы, необходимы предупредительные операции и агрессивная стратегия реагирования (рис. 9.1). Для угроз, расположенных в зоне низкого риска (зеленый цвет), осуществление предупредительных операций может не потребоваться.

Матрица вероятностей и последствий позволяет отслеживать динамическую миграцию рисков . На рис. 9.2 показано изменение ранга риска А с течением времени. В апреле риск находился в зоне низкого риска, в мае переместился в область умеренного, а в июне попал в зону критически высокого риска (см. рис. 9.2).

Количественный анализ рисков

Количественный анализ рисков обычно выполняется для рисков, которые были квалифицированы в результате качественного анализа. При количественном анализе также оцениваются вероятности возникновения рисков и размеры ущерба /выгоды; здесь анализируются риски, имеющие высокие и умеренные ранги. Выбор методов анализа определяется для каждого проекта и зависит от наличия времени и от бюджета.

Исходной информацией для количественного анализа рисков служат:

  • активы организационного процесса;
  • описание содержания проекта;
  • план управления рисками;
  • реестр рисков ;
  • план управления проектом .

Наиболее распространенным методом количественного анализа является анализ дерева решений .

Дерево решений - это графический инструмент для анализа проектных ситуаций, находящихся под воздействием риска. Дерево решений описывает рассматриваемую ситуацию с учетом каждой из имеющихся возможностей выбора и возможного сценария. Дерево решений имеет пять элементов (рис. 9.3).

Точки принятия решений - это моменты времени, когда происходит выбор альтернатив.

Точка случайного события (точка возникновения последствий) - момент времени, когда с тем или иным результатом наступает случайное событие.

Ветви - линии, соединяющие точки принятия решений с точками случайного события. Ветви, исходящие из точки принятия решений , показывают возможные решения, а линии, исходящие из узлов случайных событий, представляют возможные результаты случайного события.

Вероятности - числовые значения, расположенные на ветвях дерева и обозначающие вероятность наступления этих событий. Сумма вероятностей в каждой точке принятия решений равна 1.

Ожидаемое значение (последствия) - это расположенное в конце ветви количественное выражение каждой альтернативы.

Модель создается слева направо. Построение начинается с отображения точки принятия решения, имеющей вид квадрата. Из этой точки рисуют количество ветвей, равное числу проектных альтернативных решений. В конце каждой ветви рисуют кружок, обозначающий возникновение допустимого случайного события, из которого выходят две ветви - возможные результаты вероятностного события. Ветви дерева берут свое начало в точке принятия решений и разрастаются до получения конечных результатов. Путь вдоль ветвей дерева состоит из последовательности отдельных решений и случайных событий.

Пример использования дерева решения

Торговая компания открывает новый магазин, который должен быть укомплектован новейшим оборудованием. Оборудование производят два конкурирующих поставщика (П1 и П2), объявивших одну и ту же дату появления на рынке нового оборудования. Для увеличения эффективности работы компания планирует осуществить внедрение ИС класса ERP . Разработаны три варианта расписания внедрения информационной системы: вариант 1, вариант 2, вариант 3. Длительность проекта рассматривается как параметр первостепенной важности. Расписание внедрения ИС зависит от поставки и монтажа оборудования. Команда проекта оценила вероятность того, что поставщик 1 (П1) или поставщик 2 (П2) поставит нужное оборудование первым. Анализ информации о прежних разработках поставщиков позволил предположить, что поставщик 1 поставит на рынок новое оборудование с вероятностью 60%; соответственно, для поставщика 2 эта вероятность будет равна 40%.

Команда проекта разработала сетевые графики трех альтернативных вариантов расписания внедрения ИС при условии, что оборудование уже поставлено, и оценила возможные значения продолжительности проекта.

Рассчитаем возможную длительность проекта для каждого точки случайного события:

  1. ожидаемая длительность для случайного узла А: (80 дней* 0,6) + (70 дней *0,4) = 76 дней;
  2. ожидаемая длительность для случайного узла Б: (70 дней * 0,6) + (75 дней *0,4) = 72 дня;
  3. ожидаемая длительность для случайного узла В: (75 дней * 0,6) + (80 дней *0,4) = 77 дней

Результат дерева решений - вариант расписания с наименьшей продолжительностью, равной 72 дням.

Дерево решений - инструмент, который позволяет наглядно провести анализ проектных решений, содержащих несколько путей решения. Такое определение данного метода дает возможность с полным основанием использовать его для принятий решений о продолжении и ходе развития проекта на шлюзах.

По итогам проведения качественного и количественного анализа риска необходимо выработать четкое представление о стратегиях, используемых для реагирования на каждый проектный риск.

Стратегия реагирования на риски - совокупность методов, которая будет использована для снижения негативных последствий или вероятности реализации идентифицированных рисков. Для каждого риска необходимо выбрать свою стратегию, которая обеспечит наиболее эффективную работу с ним.

Существует четыре типовые стратегии реагирования на появление негативных рисков: уклонение, передача, принятие и снижение.

Стратегия состоит в полном исключении воздействия риска на проект за счет изменений характера проекта или плана управления проектом . Некоторых рисков, возникающих на ранних стадиях проекта, например, из-за отсутствия четкого определения требований заказчика, можно избежать, затратив дополнительное время и увеличив трудозатраты на их выявление. Однако эта стратегия не может полностью исключить риск.

Стратегия передачи риска также исключает угрозу риска путем передачи негативных последствий риска с ответственностью за реагирование на риск на третью сторону. Передача риска обычно сопровождается выплатой премии за риск стороне, принимающей на себя риск и ответственность за его управление. Сам риск при этом не устраняется. Условия передачи ответственности за определенные риски третьей стороне могут определяться в контракте.

Стратегия означает решение команды не уклоняться от риска. При пассивном принятии риска команда ничего не предпринимает в отношении риска и в случае его возникновения разрабатывает способ его обхода или исправления последствий. При активном принятии риска план действий разрабатывается до того, как риск может произойти, и называется планом действий в непредвиденных обстоятельствах.

Стратегия снижения риска предполагает усилие, направленное на понижение вероятности и/или последствий риска до приемлемых пределов. В стратегии снижения используется включение в план проекта дополнительной работы, которая будет выполняться независимо от возникновения риска, как, например, проведение дополнительного тестирования функциональности информационной системы, разработка прототипа системы, дополнительное подключение к работе опытных сотрудников.

Подтверждение содержания проекта

Процесс подтверждения содержания формализует принятие завершенных результатов поставки проекта. Подтверждение содержания - это формальное принятие участниками проекта завершенного содержания проекта и относящихся к нему результатов поставки. Процесс подтверждения содержания проекта включает в себя проверку наличия всех работ , обеспечивающих результаты поставки. Если выполнение проекта прекращается досрочно, процесс подтверждения содержания должен установить и документировать уровень и степень его выполнения.

  • описание содержания проекта;
  • словарь ИСР ;
  • план управления содержанием проекта;
  • результаты поставки.

Подтверждение содержания выполняется методом инспекции, который включает в себя такие операции , как измерение, изучение и проверка, и служит для определения соответствия работ результатам поставки, требованиям и критериям приемки продукта.

Процесс подтверждения содержания документирует результаты поставки, которые прошли приемку в соответствии с процедурой приемки проектных документов. Непринятые результаты поставки документируются с указанием причин, по которым они не прошли приемку. Подтверждение содержания включает в себя сопроводительную документацию, полученную от заказчика или спонсора и подтверждающую факт приемки результатов поставки участниками проекта.

Что такое идентификация рисков в управлении проектами?

Если задать Google строку поиска «почему проваливаются проекты», вы получите несколько страниц статей и ресурсов, включая нашу статью «Пять причин, почему не выполняются проектные планы и как их избежать» . Многие причины носят процедурный характер и касаются, например, определения области действия , методологии и коммуникации, но есть и общая тема: отсутствие процесса выявления рисков .

Плохое управление рисками — проблема, которая касается не только крупных компаний. Малые предприятия делают такие же ошибки, которые могут быть для них не менее (если не более) катастрофическими. Поэтому идентификацией проектных рисков должны заниматься не только крупные предприятия — она должна лежать в основе любого бизнеса.

Что такое управление рисками?

Управление рисками — это процесс выявления, отслеживания и обработки потенциальных рисков, которые могут повлиять на общее состояние бизнеса и его репутацию. Британская Ассоциация управления проектами (Association for Project Management, APM) описывает это так : «Анализ рисков и управление ими — это процесс, который позволяет видеть как отдельные рисковые события, так и общий риск, и проактивно ими управлять, достигая успеха путем снижения угроз, реализации возможностей и получения наилучших результатов».

Проект, который не поддерживается руководством, в который не вовлечены стейкхолдеры и для которого не практикуется строгий подход к выявлению рисков и управлению, имеет повышенный риск неудачи.

Рассматривать риски нужно в самом начале проекта, чтобы на основе сделанных выводов можно было принять решения относительно области воздействия, процессов и ресурсов.

Управление рисками — это не просто процесс, это культура. Том Уилсон (Tom Wilson), директор по управлению рисками компании Allianz, напоминает : «Управление рисками — это культура, а не культ. И работает она только тогда, когда ее практикуют все, а не только лишь несколько первопроходцев».

С другой стороны, существуют риски, которые могут пойти на пользу проекту. Например, изменение правил организации может устранить бюрократию и сэкономить ваше время. Такие позитивные риски называют «возможностями», в отличие от негативных рисков — «угроз» . Подробнее об этом написано в нашем посте «Что такое позитивные риски в управлении проектами?»

Что такое жизненный цикл и процесс идентификации риска?

Первый шаг процесса управления рисками — идентификация рисков. Вот как этот шаг описан в нашем руководстве «Оценка рисков проекта» : « Составьте список всех возможных рисков и возможностей, которые только могут прийти вам в голову. Если вы будете сосредоточены на одних лишь угрозах, вы можете упустить шанс предложить заказчику неожиданную ценность».

Последняя часть определения убедительно доказывает необходимость включения позитивных рисков в планирование — вы должны использовать любую возможность, чтобы удовлетворить стейкхолдеров.

Как же выявляют риски? Для этого существуют различные концепции, и вы должны выбрать ту, которая лучше всего соответствует практике работы и ресурсам вашей организации. Институт управления проектами (Project Management Institute, PMI), например, опубликовал исчерпывающее руководство , в котором подробно объясняется его модель выявления рисков.

Жизненный цикл идентификации рисков работает, как подпроект, и представляет собой процесс, который обеспечивает ключевые элементы общего плана управления рисками. Процесс идентификации рисков имеет определенную структуру и состоит из шести этапов:

  • Типовая спецификация
  • Базовая идентификация
  • Подробная идентификация
  • Внешняя перекрестная проверка
  • Внутренняя перекрестная проверка
  • Завершение отчета

Как определяются риски при управлении проектами

Для краткости мы сосредоточимся на первых трех шагах, которые охватывают идентификацию рисков; последующие шаги необходимы для проверки и формализации выводов в отношении общего объема проекта.

Типовая спецификация
Это заявление о наличии риска, основанное на полученной информации о причинах, последствиях, воздействии, областях риска и событиях. Зафиксировать все это в определенной последовательности помогает структурированный шаблон.

Базовая идентификация
Это ответ на два вопроса о потенциальных рисках: почему с данными рисками должны (или не должны) столкнуться именно мы, и сталкивались ли мы с ними ранее. Первое можно получить с помощью SWOT-анализа , а второе обычно берется из отчета по результатам проекта или из базы знаний.

Подробная идентификация
Это более трудоемкий шаг, чем предыдущие, но он обеспечивает детализацию, необходимую для верной оценки риска. PMI называет пять необходимых инструментов:

  • Интервьюирование
  • Анализ предположений
  • Анализ документов
  • Дельфийский метод
  • Мозговой штурм

Завершив эти шаги, вы должны классифицировать риск на следующем этапе — в ходе внешней перекрестной проверки. Об этом мы пишем в статье «Структура разбивки рисков» .

Пятый этап — это внутренняя перекрестная проверка , в ходе которой риски сопоставляются с соответствующими частями работ. На этом этапе у вас начинает формироваться представление о том, какие части проекта более рискованны, чем другие, и какие стратегии снижения риска следует принять.

В ходе завершения отчета выводы оформляются в виде серии диаграмм, охватывающих рискованные области , причины рисков и их действие .

Совет: ведите по всем вашим проектам реестр рисков, к которому вы можете обращаться, приступая к новому проекту — для этого можно использовать такой инструмент, как Wrike.

Примеры идентификации рисков

Приведем пару примеров: первый основан на методологии PMI, описанной выше, а второй отражен в онлайн-реестре рисков.

Пример идентификации риска 1


Пример идентификации риска 2


Эти два примера не обязательно представляют альтернативные подходы. Скорее, первый является шаблоном идентификации риска , а второй — пример из реестра рисков с той же информацией.

При использовании онлайн-инструмента управления проектами становится намного проще управлять обоими процессами, обеспечивая прозрачность для заинтересованных сторон .

Как составить план управления рисками

Думайте о найденных вами рисках как об основе вашего плана управления рисками , в который обычно входят следующие части:

  • Выявление рисков
  • Оценка рисков
  • Распределение ответственности за те или иные риски между участниками проектной команды
  • Реакция на риски
  • Планирование постоянного мониторинга новых рисков и их устранения

К моменту завершения этапа выявления рисков у вас уже будет подробная информации по каждому риску, и вы сможете оценивать их, назначать ответственных и определять меры реагирования.

Но на этом работа не прекращается. По мере реализации проекта нужно отслеживать и выявлять новые риски. Важна и ответственность за риски, поэтому должны быть определены процессы коммуникации и эскалации. И это приводит нас к следующему вопросу: кто должен контролировать риски?

Кто должен контролировать риски?

В крупных организациях риск-менеджеров назначают из числа руководителей высшего звена, часто формируются комитеты по рискам с участием представителей различных департаментов, которые отчитываются перед генеральным директором и советом директоров. В таких компаниях управление рисками также регулярно контролируется извне.

Для небольших предприятий используется более легкая модель, но выявление рисков и управление ими всегда должно оставаться приоритетом.

Рекомендуется распределять обязанности в самом начале проекта, соотнося при этом организационные роли участников команды и их обязанности. Вот как это может выглядеть для крупных организаций.

  • Спонсор проекта
    Несет общую ответственность за проект, имеет представление о плане управления рисками и утверждает его.
  • Менеджер проекта
    Несет общую ответственность за управление рисками, включая коммуникации и эскалации.
  • Ответственный за риск
    Это может быть член команды проекта или стейкхолдер, который входит в команду и отвечает за тот или иной риск.
  • Комитет по рискам
    Имеет представление о рисках каждого проекта организации.

В небольших организациях владельцы бизнеса часто являются спонсорами проектов, а комитеты по рискам создаются реже. Наиболее добросовестные учредители оптимизируют для себя процессы управления рисками так, чтобы они работали достаточно эффективно.

Использование Wrike для управления (и митигации) рисков

Управление рисками — критически важная и весьма существенная часть управления проектами . К тому же оно довольно дорого стоит, если учесть, что на него может уходить до 20% всего проектного времени.

Тем более странно, что многие крупные организации все еще полагаются на устаревшие инструменты управления рисками, такие как текстовые документы, электронные таблицы и электронная почта. По сути дела это само по себе создает всевозможные риски. Сколько файлов еще должно пропасть, и сколько раз должна всплыть старая версия документа, чтобы об этом задумались?

Используя современный, универсальный и мощный инструмент управления проектами, такой как Wrike, вы одновременно повышаете эффективность ведения проекта и снижаете риски. И вот почему:

  • Ваши процессы идентификации рисков и управления ими централизованы и легко доступны
  • Для облегчения выполнения этапов плана управления рисками можно разрабатывать специальные рабочие процессы
  • Чтобы проще было находить одни и те же риски в разных проектах, можно создавать для них дополнительные уровни категоризации и тегов
  • Система предупреждает о наиболее критических и высокоприоритетных рисках
  • Вы всегда в курсе событий и получаете отчеты одним щелчком мыши
  • Коммуникации и совместная работа идут в режиме реального времени

Если вам кажется, что это может помочь вам рационализировать ваши процессы управления рисками, вооружитесь Wrike для вашего следующего проекта. Прямо сейчас загрузите бесплатную двухнедельную пробную версию и начните использовать Wrike для управления рисками проектов любого размера.

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: