Этап 2. Планирование управления рисками
Планирование управления рисками - процесс, в рамках которого выясняется, каким образом будет осуществляться весь комплекс мер, связанных с анализом рисков, кто именно будет вовлечен в этот процесс, когда именно должны запускаться процедуры управления рисками и как часто.
Как правило, занимается этим менеджер проекта, однако в силу различных факторов в планирование и организацию работы с рисками может быть вовлечено большее число сотрудников. Назовем их условно RM-группа (RM - от risk management).
С практической точки зрения для создания успешного плана управления рисками
необходимо проделать следующее.
1. Просмотреть имеющиеся процедуры управления рисками, записи и отчеты по предыдущим
проектам.
2. На основании этого и с учетом специфики проекта определить, какие методы
управления рисками будут использованы для данного конкретного проекта, какие
данные и инструменты будут использоваться.
3. Определить роли и ответственность, а также конкретных людей, вовлеченных
в управление рисками.
4. Определить затраты на управление рисками для данного проекта.
5. Определить частоту, с которой процедуры управления рисками будут запускаться
в течение жизни проекта.
6. Определить, какие методы будут использованы для количественной и качественной
оценки рисков и интерпретации уровня риска.
7. Определить пороговые величины: уровень риска, при котором будут приниматься
меры.
8. Определить форматы отчетов: способы документации, анализа и распространения
отчетов об управлении рисками.
На данном этапе очень важно понять, что правильные формулировки для рисков приводят к правильным мерам. Стандартный и общепринятый формат определения риска - CRE-формат (Cause-Risk-Effect). При определении риска всегда нужно найти изначальную причину риска, а не ограничиваться поверхностной симптоматикой.
Этап 3. Идентификация рисков
Перейдем к более детальному рассмотрению процессов идентификации рисков, с которого начинается реальная работа с рисками конкретного проекта. Сам процесс идентификации рисков снижает общий риск проекта. Поэтому к процессу идентификации рисков относятся все более и более внимательно, стараясь исчерпать его возможности до конца.
При идентификации рисков важно обратить самое серьезное внимание на все допущения и предположения в проекте. В целом правильная тенденция относится к допущениям в проекте как к рискам ("Предположительно программное обеспечение будет работать без проблем"). Для наиболее полной идентификации рисков разработано несколько методов, которые по-разному сочетаются в реальной практике идентификации рисков.
На сегодняшний день хорошо зарекомендовали себя следующие шесть методов.
1. Сравнение со списком рисков и списком категорий рисков. Самая распространенная ошибка при идентификации рисков состоит в том, что из поля зрения выпускается целая категория рисков. Поэтому в стадии идентификации необходимо иметь список категорий рисков и помнить, что независимо от методов идентификации рисков вашего проекта должны быть учтены все категории рисков.
Общий список категорий рисков включает в себя:
a) технические, качественные или связанные с производительностью
b) риски управления проектами
c) организационные риски
d) внешние риски.
Особенно часто выпускаемые из внимания категории:
a) риски управления проектами (недостаток поддержки, отсутствие опыта оценки,
некачественный план проекта), отсутствие стандартной документации по проекту
b) культурные риски (даже если проекты разворачиваются в одной стране)
c) риски, связанные с качеством работ по проекту
d) риски, связанные с удовлетворенностью заинтересованных сторон проекта
e) организационные риски (недостатки приоритезации проектов в компании, неадекватное
финансирование, недостаток управления многозадачностью проекта, неаккуратность
при переходе от выполнения одной задачи к другой, некорректность санкционирования
переходов)
f) контрактные риски
g) риски выбора вендора и поставщиков
h) риски, связанные с изменением рынка по ходу проекта.
В идеале было бы правильно собрать и задокументировать все риски и категории рисков, с которыми когда-либо сталкивалась компания, работая с аналогичными проектами. Ценность такой базы данных была бы огромной. Однако компании практически никогда этим не занимаются. По опыту, работа RM-группы с данным списком увеличивает число идентифицируемых рисков на 30% и более.
2. Анализ рисков предыдущих проектов. Риски могут быть идентифицированы посредством изучения записей, связанных с предыдущими проектами. Сюда относятся изучение уже упомянутых списков рисков и их категорий, вероятности и воздействия рисков, планы ответных действий и выводы. Менеджеру проекта необходимо проанализировать имеющиеся в распоряжении документы.
Сюда относятся все входные документы для управления рисками, требования, схемы и шаблоны, спецификации, контракты и заказы, RFP, письма и т. д.
3. Мозговой штурм. Процесс, на первый взгляд простой и очевидный, должен быть грамотно подготовлен, чтобы качественно пройти. Задача состоит в том, чтобы собрать как можно больше возможных рисков в кратчайшее время. До начала штурма необходимо ознакомить всех членов группы с категоризированным предварительным списком рисков. Такая техника улучшает количественные и качественные результаты. При организации мозгового штурма следует четко определить участников. Рекомендуется также организовать мозговой штурм в несколько заходов с разными группами участников (конечные пользователи, RM-группа и любые заинтересованные стороны). Обязательно необходимы один-два человека, не вовлеченных в мозговой штурм, которые будут просто записывать идеи. В процессе штурма необходимо выяснить риски, относящиеся к проекту в целом, соответствующие риски для каждой задачи, категории рисков и уровни рисков, если возможно.
Конечно, метод мозгового штурма не открывает всех возможных рисков. Часть рисков "всплывет" у участников после сессии, некоторые люди не любят выступать публично, многие будут говорить слишком много, забивая других, многие просто побоятся открыто заявлять о рисках, связанных с их отделом, опасаясь последствий. Поэтому идентификация рисков не должна ограничиваться техникой мозгового штурма. Его используют в сочетании с другими методиками, которые могут быть проведены анонимно (анонимность происходящего надо заявить открыто во всех анкетах).
4. Интервью с экспертами. Как правило, в качестве экспертов выступают функциональные руководители и менеджеры, которым случалось проводить аналогичные либо смежные проекты. В силу важности источника интервью с экспертами должны быть тщательно продуманы.
Прежде чем приступить к прояснению интересующих вопросов, правильно будет задать следующие предварительные вопросы.
- Какие проблемы вам кажутся возможными, если для анализа рисков проекта будет использован такой-то метод?
- С какими проблемами вы сталкивались, работая над проектами, подобными нашему?
- О чем вы больше всего беспокоитесь в отношении данного проекта?
- Что может пойти не так?
- Какие возможности, по вашему мнению, откроются по мере выполнения данного проекта?
После чего перейдите к интересующим вопросам, которые тоже необходимо четко сформулировать, например: "У нас есть опасение, связанное с проблемой А. Придется нам столкнуться с этой проблемой или нет? Когда? Сколько раз? Что может произойти, если эта проблема возникнет сегодня, завтра? Какова вероятность возникновения этой проблемы по шкале от 1 до 10?". Как видите, при интервью важно задавать углубляющие вопросы. Кроме того, договоритесь о возможности последующих встреч, так как невозможно учесть все сразу при обсуждении.
Еще один хороший прием состоит в том, чтобы, общаясь с экспертом, разделить роли как минимум между тремя людьми. Один человек задает вопросы, другой записывает ответы, третий следит за невербальными аспектами общения. Последнее крайне важно (учитывая, что 55% коммуникации проходит невербально).
5. Техника номинальной группы (nominal group technique). Данная методика используется всякий раз, когда необходимо выяснить мнение группы людей по какому-то вопросу. Для общих случаев данная методика подробно описана во многих источниках. В приложении к практике управления рисками данная технология выглядит следующим образом. Сначала формируется группа, и собирается список рисков от каждого члена группы. Затем, до начала основной сессии, индивидуальные списки компилируются в один мастер-список. Далее каждому члену группы предоставляется на рассмотрение мастер-список, и он ранжирует каждый риск, используя шкалу от 1 до 10. После этого все рейтинги сводятся в новую таблицу, и выявляются высокоприоритетные риски. Недостаток этой методики состоит в том, что крупный риск может быть корректно идентифицирован одним ключевым сотрудником, но при этом не поддержан группой. Именно поэтому отбирать участников группы необходимо очень тщательно.
6. Дельфи-техника (delphi technique). Эта методика используется для опроса некоторой небольшой группы экспертов и может быть использована для того, чтобы прийти к экспертному подтверждению найденных ранее рисков проекта, а также для проведения количественного анализа идентифицированных рисков и выяснения, какие меры должны быть приняты.
Сначала надо определиться, кто из экспертов может помочь в подтверждении рисков. Потом разослать опросники и скомпилировать экспертные оценки в один список. Переслать откомпилированный список каждому эксперту, с просьбой представить дополнительные комментарии по поводу данного списка. После чего повторно откомпилированный список с комментариями экспертов сводится в финальный список. Сложность данной методики - в необходимости определенного искусства интерпретации экспертных оценок, позволяющего скомпилировать окончательный список.
Умелое сочетание данных технологий помогает преодолеть психологические проблемы при групповой идентификации рисков (вспомните, многие люди неспособны проявить себя в мозговом штурме). В реальности устойчивые результаты дает следующее сочетание техник идентификации.
Выделяется две принципиальные группы участников: периферийно затрагиваемые данным проектом и непосредственно вовлеченные в проект. Периферийной группе высылается анкета с предложением идентифицировать риски. Как правило, при этом участники следуют предлагаемой форме. Вторая группа непосредственно вовлеченных в проект интервьюируется членами команды риска или приглашается на сессию мозгового штурма. Риски в этом случае компилируются менеджером проекта. Кроме того, членам RM-группы также предлагается заполнить формы или участвовать в мозговом штурме. Далее RM-группа получает откомпилированный список рисков, который предлагается оценить. Все полученные риски должны быть отражены в виде RMC-карт (см. врезку). После чего RM-группа должна проанализировать их и распределить по группам и следующим категориям: технологии, культура, персонал, изменения. После этого менеджер проекта добавляет еще и риски относящиеся к рынку и конкуренции.
Риски или факты?Часто риски путают с фактами. В списки рисков пытаются включить уже известные проблемы с ресурсами для определенных частей проекта или недостаток времени для завершения проекта. Известные недостатки — это факты, а не риски. То, что случается с вероятностью 100%, является не риском, а фактом, который должен быть учтен в плане проекта, а не в плане управления рисками. С любыми недостатками, в том числе с недостатками поддержки со стороны управления, необходимо иметь дело до начала проекта. Менеджер проекта просто не должен соглашаться выполнять проекты с нереальными сроками или бюджетами. С другой стороны, риски не гарантированы на 100%, что коренным образом отличает их от фактов. |
Показатели полноты процесса идентификации
Много ли рисков должно быть выявлено? Многие менеджеры полагают, что если они определили пять основных рисков, то работа по идентификации рисков проведена успешно. Такой формальный подход чаще всего обходится очень дорого. На стадии идентификации необходимо собрать как можно больше рисков. Чем больше рисков, тем более качественно прошла стадия. Группа из шести технически подкованных специалистов в длительном проекте должна обнаружить порядка 100-150 рисков.
Хороший показатель полноты данной работы - психологические индикаторы, например, возникновение мысли о том, что дальше идти уже просто глупо. Когда детализация опускается ниже уровня, диктуемого здравым смыслом, можно считать, что все необходимые риски были идентифицированы.
Об окончании работы также сигнализируют ответы на стандартные вопросы:
- Требуется ли еще больше усилий для идентификации рисков, или все возможное уже было сделано?
- Есть ли специалисты, с которыми еще необходимо было проконсультироваться по поводу рисков?
- Остались ли недоработанными какие-либо документы?
- Есть ли еще какие-то методы идентификации рисков, которые не были применены? Помогли бы они или нет?
- Достаточно ли хорошо понятны идентифицированные риски, чтобы перейти к их количественному анализу?
По окончании данной стадии управления рисками на руках должны быть следующие
документы:
1. Мастер-список рисков для данного проекта, расписанных по задачам.
2. Список допущений проекта.
3. Триггеры, если таковые были опознаны (к триггерам относят ранние признаки,
предупреждающие о наступлении рискованной ситуации).
4. Изменения и дополнения, которые в связи с рисками необходимо внести в другие
части плана проекта и в способы управления проектом.
Методы документирования рисковОдно из средств повышения эффективности анализа рисков - форматы документов, содержащих информацию о рисках. Сюда относятся формы, проверочные листы, RMC-карты и диаграммы сходства. Первые два формата принимают самые различные виды, последние формы является стандартными. Вид RMC-карты показан в таблице. RMC-карта такого вида позволяет легко сортировать отобранные риски, а также легко вносить изменения в информацию о риске.Таблица. Вид RMC-карты
|
Продолжение следует.