План реагирования на риски
Что такое план реагирования на риски?
План реагирования на риски оценивает риски и определяет действия по увеличению числа благоприятных возможностей и уменьшению количества опасностей для целей проекта [3]. Эффективный план должен быть реалистичным (в части оценки серьезности рисков), своевременным, учитывающим себестоимость, требующим от всех участников осознания своей сопричастности проекту и находящимся во «владении» ответственного лица. Но главное – план должен быть упреждающим, предполагающим заблаговременную (до наступления события риска) разработку действий (рис. 9.2). План следует рассматривать не как средство обеспечения полного контроля событий, а как способ подготовки к возможным неблагоприятным событиям.
Разработка плана реагирования на риски
Принятие решений – вероятно, наиболее тяжелая работа, выпадающая на долю менеджеров проектов. Несложно принять решение в ситуации полной определенности, когда вся необходимая информация уже доступна, а результаты известны. Но, к сожалению, чаще приходится работать в условиях неполной информации и неопределенных результатов. Это и есть область управления рисками проекта. За пределами данной сферы лежит область полной неопределенности, характеризующаяся абсолютным отсутствием информации. Континуум «полная определенность (известные) – риски (известные неизвестные) – полная неопределенность (неизвестные неизвестные)» изображен на рис. 9.3.
Рис. 9.2.Пример плана реагирования на риски
Рис. 9.3.Континуум неопределенности и планирования реагирования на риски[29]
Мы акцентируемся на области рисков путем разработки плана реагирования в ходе простого цикла, состоящего из идентификации, оценивания, реагирования и документирования. Ключевые термины содержатся во врезке «Основные определения, относящиеся к рискам».
Основные определения, относящиеся к рискам:
•риск проекта. Кумулятивный эффект вероятностей наступления неопределенных событий, способных оказать отрицательное влияние на цели проекта [1];
•событие риска. Описание потенциально вредоносных событий, которые могут произойти, нанеся ущерб проекту;
•вероятность риска. Вероятность того, что событие риска наступит;
•влияние риска(последствие риска, сумма ставок). Степень воздействия на цель проекта;
•статус события риска(величина критерия, ранг). Мера значительности события риска;
•резерв на покрытие неопределенности. Сумма денег или промежуток времени, обычно включаемые в базовый план стоимости или расписания проекта для снижения риска перерасхода, связанного с достижением целей проекта, до приемлемого уровня [6];
•управленческий резерв. Сумма денег или промежуток времени, не включаемые в базовый план стоимости или расписания проекта и используемые руководством для предотвращения негативных последствий будущих ситуаций, которые невозможно спрогнозировать.
Подготовка исходной информации.К планированию рисков следует относиться столь же тщательно, сколь и к планированию стоимости или расписания. Начать необходимо с подготовки точной исходной информации, к которой относятся:
•план управления рисками;
•результаты планирования проекта;
•категории рисков;
•историческая информация.
План управления рисками – это документ, разрабатываемый в начале проекта и представляющий собой график работы с рисками в течение жизни проекта. В план может быть включено следующее [5]:
•методология. Идентифицирует и описывает подходы, инструменты и источники данных, используемые для работы с рисками;
•роли и обязанности. Определяет, кто и какую работу выполняет в ходе управления рисками проекта, начиная от членов проектных команд и заканчивая членами команд управления рисками компании;
•бюджетирование и временные рамки. Устанавливает бюджет для управления рисками проекта, а также частоту процессов управления рисками;
•инструменты. Описывает, какие конкретные методы качественного и количественного анализа рисков следует использовать и когда;
•отчетность и отслеживание. Определяет формат плана реагирования на риски и отчета, способы документирования результатов действий по управлению рисками, доведения информации о них до сведения заинтересованных сторон и ее сохранения для накопления опыта и извлечения уроков.
Очевидно, что предназначение плана управления рисками состоит не в том, чтобы работать с отдельными рисками проекта, а в том, чтобы руководить проектной командой при разработке и последующем мониторинге исполнения плана реагирования.
Результатом планирования проекта является базовый план производительности (хода исполнения), включающий в себя базовые планы содержания, стоимости, времени (расписания) и качества – всего, что подвергается риску. Обладание полным знанием об этих результатах критически важно для разработки планов реагирования, способных противостоять вероятным рискам. Риски можно сгруппировать по разным признакам. Например, по воздействию, оказываемому на проект, выделяются риски содержания, риски качества, риски расписания и финансовые риски – иными словами, неспособность выполнить работы проекта в соответствии с запланированными содержанием, качеством, расписанием и стоимостью. Другой способ классификации – деление по источнику рисков на внешние (но непредсказуемые), внешние предсказуемые (но неопределенные), внутренние нетехнические, технические и легальные [1]. Сторонники этой точки зрения стремятся найти баланс между внутренними и внешними воздействиями. Фирма и выполняемые в ней проекты требуют логически непротиворечивой, вписывающейся в ее бизнес и культуру классификации рисков, которая может служить каркасом для систематической идентификации рисков и работы с ними. Поскольку при управлении рисками необходимо множество данных, надежная историческая информация, в частности записи об исполнении прошлых проектов, протокол совещаний, проводившихся по окончании прошлых проектов, опубликованные источники (например, исследования по вопросам бенчмаркинга продуктов), имеет жизненно важное значение. Хотя подобная информация дает представление о том, что именно может пойти не так, при применении прошлого опыта к прогнозированию рисков будущих проектов важно соблюдать осторожность.
Идентификация рисков.Назначение данного шага состоит в том, чтобы идентифицировать все потенциальные риски, которые могут повлиять на успех проекта. Этой цели служат и вовлечение проектной команды в мозговой штурм, и получение консультаций у более опытных членов команды, и опрос экспертов, не имеющих отношения к проекту. В любом случае нужно принять во внимание следующее. Во-первых, в течение жизненного цикла проекта уровень риска меняется. Как правило, он относительно высок на ранних стадиях проекта, потому что предстоит инвестировать еще много ресурсов. На более поздних стадиях, когда основные ресурсы инвестированы и большая часть неизвестных условий стала известной, риски снижаются. Кроме того, некоторые риски возникают только на определенных стадиях проекта – например, риски, связанные с приемосдаточными испытаниями, обычно возникают незадолго до завершения работ. Иногда источником риска могут стать даже допущения (см. врезку «Является ли риском допущение?»). Динамическая природа рисков делает процесс идентификации итеративным, требуя их постоянного пересмотра и внесения в план соответствующих корректив [6].
ЯВЛЯЕТСЯ ЛИ РИСКОМ ДОПУЩЕНИЕ?
Этот вопрос менеджеры проекта часто задают на совещании по реагированию на риски. Допущения представляют собой факторы, не совсем известные либо неопределенные, которые, однако, для целей планирования считаются истинными или определенными. Например, некая фирма запустила проект разработки и вывода на рынок продукта в одной из стран Тихоокеанского бассейна. Основное допущение заключалось в том, что темпы ежегодного роста рынка в этой стране составят порядка 10%. Опираясь на свой опыт, фирма сначала задокументировала такое допущение путем его определения, назначения ему «владельца» и определения метрики для мониторинга [3]. Затем менеджер проекта сообщил «владельцу» о необходимости периодических проверок данных показателей, чтобы гарантировать, что допущение не подвергается никаким изменениям. Используя упреждающий подход, «владелец» определил момент, когда допущение становится риском (точкой инициации), и возможные действия по реагированию на риск.
Несколько месяцев спустя в стране возник экономический спад, и темпы роста стали отрицательными. Проектная команда пересмотрела основное допущение и, поскольку спад предполагался длительный, решила, что допущение превратилось в риск, после чего привела в действие план реагирования на риски. Итак, можно утверждать, что допущение не является риском, а скорее служит источником потенциального риска.
Во-вторых, события риска редко наступают независимо друг от друга. Напротив, они, как правило, взаимодействуют и в сочетании приводят к возникновению больших рисков. Поиск таких взаимодействий является важной частью процесса идентификации рисков. И наконец, поскольку риски могут существовать во всех типах пакетов, менеджеры должны проводить их идентификацию систематически, чтобы не оставить ни одного подводного камня не только внутри проекта, но и в окружении, в котором он выполняется, включая руководство и заинтересованные стороны. Огромную помощь здесь способна оказать классификация рисков. Наш пример (рис. 9.2) использует СДР (столбец 1) в качестве систематизирующего каркаса для идентификации рисков. Уже с первого пакета работ можно спрашивать команду: «Что может пойти не так?» – имея в виду: «Какие события риска в состоянии повлиять на пакет работ (столбец 2)?» Допустимо применить и другие способы классификации – по воздействию или первичному источнику – в качестве контрольного списка при идентификации возможных рисков для первого пакета работ, а затем поступать подобным образом и для остальных пакетов. Использование СДР в качестве опоры также обеспечивает получение определенных выгод, в частности межпроектную связность, возможность сравнения и возможность создания исторической базы данных рисков.
Качественное оценивание.Основная проблема здесь заключается в выявлении слишком большого количества рисков. Какие из них заслуживают внимания? Очевидно, те, которые характеризуются наиболее значительным воздействием на проект и наиболее высокой вероятностью возникновения. Вначале следует изучить СДР на предмет выявления критических рисков (они, скорее всего, находятся в наиболее важных частях СДР), а затем проанализировать воздействие, вероятность и серьезность каждого риска.
В ходе качественного оценивания используется нечисловая шкала вероятности, например 5-балльная:
1 – весьма маловероятно;
2 – маловероятно;
3 – вероятно;
4 – весьма вероятно;
5 – почти наверняка [7].
Если для надежного количественного оценивания вероятностей, рассматриваемого в следующем параграфе, у вас не хватает опыта или данных, то вполне приемлемыми будут качественные шкалы. Выполните качественную оценку вероятности каждого риска по нечисловой шкале, а затем оцените их воздействие – снова по дискретной шкале, к примеру такой:
1 – очень слабое воздействие;
2 – слабое воздействие;
3 – среднее воздействие;
4 – значительное воздействие;
5 – весьма значительное воздействие.
Чтобы проиллюстрировать вышесказанное, допустим, что воздействие некоторого риска может иметь три проявления: возрастет стоимость проекта, сдвинется расписание, снизится качество. Для каждого проявления воздействия несложно определить его величину, как показано для рисков расписания в табл. 9.1. После того как все три проявления будут проранжированы, общим воздействием риска считается максимальное из них [8].
Когда все риски оценены подобным образом, следует применить формулу, объединяющую вероятность возникновения риска и его воздействие, чтобы получить показатель серьезности риска. Хотя существуют и нелинейные формулы, удобнее воспользоваться линейными:
Серьезность = вероятность + N × воздействие.
N– повышающий коэффициент. Если, например, N= 2, то при расчете серьезности риска воздействие будет иметь вдвое больший вес, чем вероятность. В этом случае оцененные значения вероятности и воздействия нужно подставить в формулу:
Серьезность = вероятность + 2 × воздействие,
а получившиеся значения представить в виде матрицы 5 × 5 «Вероятность – воздействие» (рис. 9.4). Такая матрица обычно делится на красную, желтую и зеленую зоны, соответствующие рискам с высокой (критические и имеющие наивысший приоритет), средней серьезностью (околокритические и имеющие средний приоритет) и низкой (некритические и имеющие наинизший приоритет) серьезностью, на основе принятых в организации пороговых значений. При наличии большого количества рисков местоположение риска в матрице определяет его ранг и, следовательно, серьезность. Квадраты с наибольшими значениями имеют самый высокий ранг, а квадраты с равными значениями могут быть проранжированы в порядке значимости воздействия [8]. С каким же количеством рисков наивысшего ранга следует иметь дело?
Крупные проекты обычно фокусируются на первых 10 рисках максимального ранга. Напротив, в малых проектах могут ограничиться первыми тремя рисками, поскольку недостаточное количество ресурсов не позволяет учитывать большее их число. Оба описанных подхода опасны: если эти проекты имеют больше 10 или больше трех рисков в красной зоне соответственно, то из рассмотрения неизбежно будут исключены некоторые критические риски. С другой стороны, если в красной зоне находится всего один риск, а остальные расположены в зеленой зоне, то на отслеживание первых 10 или первых трех рисков тратятся лишние ресурсы.
Рис. 9.4.Разделение рисков по степени серьезности с помощью матрицы «Вероятность – воздействие»
Каким же будет разумный выход из создавшегося положения? Реагируйте на риски, имеющие в матрице наивысший ранг, вплоть до ранга установленного заранее значения [8]. Например, сфокусируйтесь на работе с рисками, балл которых не ниже 11 (см. рис. 9.4), а остальные рассматривайте как некритические. При таком подходе вы не будете разбрасываться ресурсами и в то же время не пропустите значительные риски.
Как уже упоминалось, при недостатке опыта или данных для надежной количественной оценки вполне достаточно качественного оценивания рисков, базирующегося на нечисловых шкалах. После этого можно переходить к этапу реагирования. Если же у вас имеются опыт и необходимая информация, то следующим действием должно стать количественное оценивание риска.
Количественное оценивание.На данном шаге выполняется численный анализ вероятности каждого риска, степени тяжести его последствий и величина общего риска проекта [5]. Количественная оценка может применяться как отдельно от качественной, так и совместно с ней. Если позволяют время и бюджет и если нужны оба типа оценки, наилучшим выбором будет именно совместное использование. Мы также предпочитаем этот вариант. Процесс оценки начинается с обработки результатов уже проведенной идентификации рисков. Необходимо численно выразить вероятность возникновения каждого риска. Например, если команда указала значение «90%», значит, имеется 10%-ная вероятность того, что событие риска не наступит. Ясно, что вероятность наступления такого события плюс вероятность его ненаступления в сумме равны 1. Оценка вероятностей основана на надежной исторической информации об аналогичном опыте в прошлых проектах либо на мнении экспертов. В нашем примере (рис. 9.2, событие риска 2, столбец 3) команда рассмотрела записи о прошлом исполнении и опросила нескольких опытных менеджеров. Затем каждый член команды предложил свою оценку вероятности, и после обсуждения итоговым значением сочли 90%. Далее следует определить воздействие риска, то есть степень тяжести его последствий. Хотя воздействие может быть выражено практически в любых единицах (процент, потерянная доля рынка, показатель уменьшения количества заказчиков), мы остановимся на оценке воздействия рисков на стоимость и сроки. В нашем примере цель проекта состоит в том, чтобы обеспечить соблюдение расписания, вот почему основное внимание следует уделить тому воздействию, которое риск оказывает на расписание (рис. 9.2, столбец 4). С помощью этих данных можно определить статус события риска (называемый также величиной критерия или рангом) по следующей формуле [1]:
Статус события риска = вероятность риска × воздействие.
В примере (рис. 9.2, событие риска 2, столбец 5) статус события риска, рассчитанный по приведенной формуле, равен 54 дням. Когда будут известны статусы всех событий риска, нужно определить, какие из них действительно важны и заслуживают внимания, а какие незначительны. Для этого следует использовать методы, подобные тем, которые применялись при анализе серьезности риска в ходе качественного оценивания. Во-первых, установить численные интервалы серьезности, которые определяют, является событие риска критическим (потенциальным узким местом, способным прервать выполнение проекта), околокритическим (могущим стать таким узким местом) или некритическим (сопровождающимся минимальными рисками). Например, в одном небольшом проекте статус события риска считался критическим при превышении срока в 15 дней, от 7 до 14 дней – околокритическим, менее 7 дней – некритическим. Во-вторых, реагировать на риски, имеющие рейтинг от наивысшего до заранее оговоренного уровня. В рассматриваемом случае внимание требовалось сфокусировать на первых 10 рисках.
Сразу после определения степени воздействия риска возникает другой вопрос: «Влияет ли данное событие на другие события риска?» Если влияет, такие события необходимо идентифицировать. Дело в том, что множество малых рисков могут взаимодействовать, и в результате воздействие суммы рисков становится значительно большим, чем сумма воздействий отдельных рисков. Для предотвращения такой возможности информация о зависимых рисках будет использоваться на следующем шаге для организации действий по реагированию.
Реагирование.Кульминацией плана реагирования на риски является его наиболее творческая часть – определение упреждающих действий по реагированию, которые выбираются из диапазона действий, возможных по отношению к данному событию риска, с целью снижения угроз для проекта. Подобное действие должно опираться на политики и процедуры, установленные в плане управления рисками. В частности, проактивное действие по реагированию включает в себя три практических шага: превентивное действие, точка инициализации и действие в случае наступления события риска (см. рис. 9.2, столбцы 8 – 10). Превентивное действие представляет собой основную стратегию реагирования на риск – план A. Однако на практике эта стратегия может как работать, так и не работать. Точка, в которой мы признаем, что основная стратегия не работает, есть точка инициации. В этот момент к исполнению принимается запасная стратегия – план B, призванный противодействовать риску. Например, превентивным действием для события 9 на рис. 9.2 является аутсорсинг – тестирование качества программного обеспечения усилиями сторонней (более крупной и лучше укомплектованной персоналом) фирмы. Если к 1 июня вендор, обеспечивающий тестирование, не будет выбран, а наряд на закупку будет выпущен, превентивное действие считается неуспешным и приостанавливается. Это и является точкой инициации, в которой реализуется «запасное» действие – возврат к прежнему вендору, который, хоть и не является крупной фирмой, тем не менее имеет время для проведения тестирования.
Любое приемлемое действие по реагированию может быть отнесено к одному из четырех обширных классов: избегание, перенос, снижение и принятие риска [5]. Изменение плана или условий проекта с целью устранения некоторого риска – это избегание. При отсутствии эксперта, способного произвести качественный бизнес-анализ определенного риска, избегание осуществляется путем приглашения такого эксперта (см. строку 1 на рис. 9.2). Перенос риска включает в себя смещение последствий события риска на третью сторону наряду со смещением права собственности на реагирование [5]. Менеджер проекта, где есть риск того, что тестирование качества программного обеспечения силами своих сотрудников будет выполняться медленно, может перенести риск, наняв специалистов из профессиональной фирмы для выполнения такого тестирования (см. строку 2 на рис. 9.2). Снижение риска заключается в уменьшении вероятности и/или воздействия неблагоприятного риска до приемлемого порога. В примере на рис. 9.2 (строка 3) риск того, что занятость руководителей замедлит выполнение проекта, можно снизить за счет сокращения количества обзоров основных контрольных событий, которые необходимо представить руководителям для принятия решения о продолжении/прекращении проекта. Три стратегии реагирования – избегание, перенос и уменьшение – применяются тогда, когда возникшие риски имеют наивысший ранг. Очевидно, эти способы реагирования должны быть встроены в план проекта.
Что касается остальных рисков, то для реагирования на них можно использовать стратегию принятия. Эта стратегия подразумевает, что менеджеры не хотят менять план проекта либо не видят способа четко сформулировать необходимые действия для работы с данным риском [5]. Типичный пример принятия риска – установление резервов на покрытие неопределенности (см. врезку «Сколько резер-вов планировать?»).
СКОЛЬКО РЕЗЕРВОВ ПЛАНИРОВАТЬ?
Вернемся немного назад и поразмышляем о континууме «полная определенность (известные) – риск (известные неизвестные) – полная неопределенность (неизвестные неизвестные)». Какие типы резервов необходимы для того, чтобы адекватно реагировать в любой из этих трех ситуаций?
В силу полностью определенного характера известные не требуют никаких резервов. Но как компенсировать последствия риска в случае известных неизвестных? Одни фирмы создают в базовом плане отдельный фонд, используемый в качестве резервов расписания и стоимости, из которых будет осуществляться покрытие неопределенности, – резервов неопределенности; другие вводят эти резервы в отдельные операции. Мы являемся сторонниками первого подхода, однако второй подход – между прочим, довольно рискованный (из-за того, что «владельцы» операций склонны беззастенчиво вычерпывать резервы) – похоже, получил более широкое распространение. Как формируется подобный фонд? Среди популярных методов – использование стандартных резервов и резервов в виде процентных значений с учетом прошлого опыта [1]. Применение плана реагирования на риски (см. рис. 9.2) может быть подходящим способом вычисления объема такого фонда. Возьмем из плана какой-нибудь риск, который не относится к числу рисков с наивысшим рейтингом, и назовем его риском с низким рейтингом. Перемножая вероятность возникновения и воздействие риска, мы получим статус события риска, который может быть выражен в терминах стоимости или расписания. Числа, приведенные в столбце 5 плана (см. рис. 9.2), по сути, представляют собой стоимостные и временные резервы для события риска. Сумма резервов для всех событий риска низкого рейтинга, присутствующих в плане, равна величине резерва неопределенности проекта. Преимущество такого подхода заключается в интеграции упреждающего плана реагирования на риски с оцениванием стоимости и календарным планированием. Фирма может называть подобный фонд фондом на покрытие изменений (AFC). При наступлении любого из событий риска «владелец» операции вправе обратиться в AFC для получения резерва средств или времени.
Неизвестные неизвестные абсолютно невозможно предвидеть, однако они все равно случаются [1]. Именно поэтому некоторые фирмы вводят управленческие резервы, включающие в себя средства или время для компенсации последствий ситуаций невыполнения стоимостных или временных целей проекта. Как только резервы будут использованы, базовый план меняется. Контроль за управленческими резервами относится к числу обязанностей высшего руководства, как правило, спонсора проекта.
Неотъемлемой частью разработки плана реагирования являются идентификация рисков и назначение им «владельцев» – лиц или сторон, ответственных за каждые превентивное действие, точку инициации и действие в случае наступления события риска. Учтите, что одни риски являются автономными («владельцы» единолично и полностью отвечают за управление ими), а другие могут быть взаимозависимыми. В последнем случае разработка относящихся к ним превентивных действий, точек инициации и действий при наступлении события риска, равно как и «владение» ими, должны осуществляться с учетом имеющихся зависимостей.
Документирование.Представление результатов планирования реагирования на риски в виде документа, содержащего выводы и рекомендации, дает менеджерам возможность предпринимать ряд важных действий [1]: принимать решения по проекту, полностью осознавая существующие риски, оценивать риски текущего проекта и, наконец, использовать этот документ в качестве базового плана для анализа управления рисками в ходе послепроектного обзора, служащего прекрасным источником информации для исторических баз данных рисков. Рассмотрим для примера некую производственную компанию, в которой результаты оценивания рисков наряду с другой проектной документацией хранятся в виде архива на Web-сайте, на диске и в рабочей тетради проекта, где содержатся документы, сохраняемые после завершения проекта.
Использование плана реагирования на риски
Когда использовать.Не существует проекта, который бы не выиграл от наличия такого плана. Небольшие проекты обычно полагаются на качественное оценивание и матрицу «Вероятность – воздействие», ограничиваясь рассмотрением нескольких событий риска, имеющих наиболее высокий ранг. Планирование в таких проектах по преимуществу неформальное, равно как и периодические пересмотры плана по ходу выполнения работ. План реагирования на риски применительно к крупным и сложным проектам иногда бывает чрезмерно упрощенным, однако он широко используется – с большей степенью формализации и ориентации на количественное оценивание. Поскольку в крупных проектах внимание сконцентрировано на большем количестве событий риска с наивысшим рейтингом, то и периодические пересмотры плана также проводятся с большей степенью формализации.
Время использования.Командам, выполняющие малые и простые проекты, на проведение совещания по разработке плана достаточно от одного до нескольких часов. Однако это время растет пропорционально размеру и сложности проекта. Команде, несущей ответственность за реализацию большого и сложного проекта, могут потребоваться десятки часов на составление плана реагирования на риски.
Выгоды.План реагирования на риски помогает тщательно проанализировать множество неопределенностей, обратить особое внимание на области, характеризующиеся наивысшими рисками, – как до начала работ, так и по ходу выполнения проекта [9], что позволяет изыскать эффективные способы проактивного снижения рисков, а не устранения их последствий. В результате появляется возможность интеграции рисков непосредственно в процесс планирования и исполнения проекта и обеспечивается лучшее понимание целей, содержания и хода проекта [1]. Кроме того, план содержит информацию, необходимую для обоснованного планирования действий в непредвиденных ситуациях, раннего предупреждения о рисках и более реалистичного подхода к исполнению проекта.
Преимущества и недостатки.Основное преимущество плана реагирования на риски:
•простота. Это особенно верно в отношении качественной части плана, где используется наглядная цветовая индикация уровня серьезности. Количественная часть, избавленная от статистики, также проста и может применяться ко многим проектам. Однако оборотной стороной данного достоинства является основной недостаток метода:
•акцентирование на отдельных событиях. Основной упор в плане делается на отдельные события риска. И хотя допускается наличие риска, возникающего вследствие взаимодействия подобных событий, план не предлагает надежных механизмов для работы с ними. Если к сказанному добавить тот факт, что план реагирования на риски применяет точечные оценки вероятности и воздействия, становится ясным, почему при выполнении крупных проектов план рекомендуется использовать не отдельно, а в сочетании с другими, более сложными инструментами, например с анализом Монте-Карло.
Вариации.Существует огромное количество вариаций матрицы «Вероятность – воздействие» и плана реагирования на риски. Сама матрица может иметь различные названия, например матрица рисков[8] или P-I-таблица, а план реагирования на риски может именоваться реестром рисков[4]. Вариации обычно различаются шкалами для оценивания вероятности и воздействия рисков, формулами определения меры серьезности и методами деления матрицы на зоны. Одна из таких вариаций, используемая в матрицах «Вероятность – воздействие», обеспечивает ранжирование рисков, оказывающих множественное воздействие на такие показатели, как расписание, стоимость и качество. Когда идентифицируется одиночный риск, его вероятность и воздействие на каждый показатель вычисляются так, как описано в методе, представленном в табл. 9.1. Например, расчет воздействия риска на расписание служит для определения весового коэффициента его вероятности (Wsp) и воздействия (Wsi). Повторив эти операции для воздействий на стоимость и качество, мы получим общий рейтинг риска, равный (Wsp + Wsi) + (Wcp + Wci) + (Wqp + Wqi). Затем полученные величины используются для ранжирования рисков. Этот подход называют еще полуколичественным [4]. Аналогичные подходы могут применяться для вычисления статуса события риска и ранжирования рисков в плане реагирования.
Адаптация плана.Будучи инструментом общего назначения, план реагирования на риски может до определенной степени помочь компании. Чтобы извлечь максимум пользы, необходимо адаптировать его к специфике фирмы и выполняемых проектов. Ниже приводятся некоторые соображения, которые могут помочь при такой подстройке.
Резюме
В данном разделе рассматривался план реагирования на риски – инструмент, с помощью которого можно оценивать риски и идентифицировать действия, направленные на увеличение благоприятных возможностей и уменьшение угроз для целей проекта. Любой проект способен извлечь пользу из наличия плана реагирования на риски. Малые проекты обычно опираются на неформальное, качественное оценивание и принимают в рассмотрение лишь несколько событий риска наивысшего ранга. Крупные проекты фокусируются на большем количестве событий риска наивысшего ранга и, кроме того, проводят формальные периодические переоценки плана. План помогает выявить области проекта, которые характеризуются наивысшими рисками, и определить эффективные способы проактивного снижения этих рисков. Он также дает возможность более обоснованно планировать неопределенности и обеспечивает раннее предупреждение о рисках. Основные положения, которые необходимо учесть при структурировании такого плана, представлены во врезке «Проверка плана реагирования на риски».
ПРОВЕРКА ПЛАНА РЕАГИРОВАНИЯ НА РИСКИ
Убедитесь, что план реагирования на риски включает:
• идентифицированные риски;
• матрицу «Вероятность – воздействие»;
• вероятности наступления событий риска и их воздействия;
• статус событий риска;
• затрагиваемые события риска;
• превентивное действие, точку инициации, действие при наступлении события риска;
• имя «владельца» риска.