Как составить таблицу по рискам предприятия

шахматы

Каждый бизнес встречается с рисками, которые иногда приводят к серьезным потерям. Все предусмотреть нельзя, но большинство угроз реально спрогнозировать и подготовить способы решения. Мы узнали у предпринимателей, как анализ рисков помогает остаться на плаву.

Содержание статьи

1. Что такое анализ рисков бизнеса
2. Какие риски бывают в бизнесе

2.1 Внутренние
2.2 Производственные
2.3 Финансовые
2.4 Страховые
2.5 Коммерческие
2.6 Внешние

3. Как оценивать риски в бизнесе?

3.1 Качественная оценка
3.2 Метод аналогий
3.3 Контрольные списки источников рисков
3.4 Метод рейтинговых оценок
3.5 Метод экспертных оценок

4. Как запустить процесс анализа бизнес-рисков

Что такое анализ рисков бизнеса

Если говорить просто, то это план действий для кризисных моментов. Риски прописывают на этапе запуска в бизнес-плане или инвестиционном проекте. На основе анализа рассчитывают финансовую модель, потому что угрозы влияют на окупаемость.

Риски учитывают и в работающем бизнесе. Например, предприниматель открыл ларек с шаурмой в марте 2020 года, а уже в апреле произошел локдаун. Кухню не подготовили к работе на доставку, посетителей принимать нельзя, и бизнес встал. По идее даже такую ситуацию нужно предвидеть, чтобы избежать проблем.

Аналитик компании 3DAnalytics Денис Загребиль считает, что в пандемию обострились регуляторные риски:

«Сегодня актуальны регуляторные риски. Как пример введение штрафов за несоблюдение требований карантина; открытие/закрытие туристических направлений. Конечно, риски зависят от вида деятельности. В моей практике риски часто встречаются в финансовой деятельности (банки, страхование, инвестиции), информационной безопасности, экологической безопасности»

В риск-анализе прописывают 4 основных параметра:

  • Вероятность. Возникновение пандемии спрогнозировать маловероятно, а вот штрафы контролирующих органов в общепите случаются не так уж и редко.
  • Степень воздействия. Здесь прогнозируют потери бизнеса от возникновения рисков. МЧС может оштрафовать, а Роспотребнадзор закрыть точку до устранения недоработок. Нужно посчитать, сколько денег теряет компания в этом случае.
  • Ответственный. Этот человек предотвращает риски или минимизирует последствия.
  • Бюджет. Риски — это всегда затраты, и лучше продумать заранее, как компенсировать потери.

Какие риски бывают в бизнесе

У каждого бизнеса свой круг рисков, поэтому лучше открывать дело в сфере, в которой разбираетесь. Так проще определить круг потенциальных угроз. Но обычно выделяют 6 типов рисков.

Внутренние

Эти угрозы появляются от действий руководства или сотрудников. Например, компания дала таргетированную рекламу в соцсетях. Клиенты начали задавать вопросы в личных сообщениях, а менеджер односложно отвечает, не выводит на диалог, не задает вопросы. В итоге реклама привела потенциальных покупателей, но по вине сотрудника продажи не состоялись.

Производственные

На производстве происходит брак из-за человеческого фактора или некачественного сырья. Или завод встал из-за аварии на подстанции, а оборудование вышло из строя.

Финансовые

Это все, что связано с деньгами. Например, компания отправила продукты в розничные магазины, а те не расплатились в срок. Или предприниматель потратил деньги поставщиков на покупку машины, а у него не осталось средств, чтобы расплатиться по обязательствам.

Страховые

Есть случаи, которые можно заранее предусмотреть и застраховать: пожар или воровство оборудования. Бизнес несет затраты на страховку, но если риски произойдут, то предприниматели получат компенсацию.

Коммерческие

Эти угрозы влияют на реализацию товаров или услуг. Например, магазин одежды столкнулся с тем, что клиенты предпочитают покупать в интернете. Или веб-студия не находит клиентов, потому что конкуренты делают сайты дешевле.

Внешние

На эти условия предприниматель не может повлиять: изменения в законодательстве, пандемия или нововведения в налоговой системе. На последнем стоит остановиться чуть подробнее. В 2021 году предприниматели столкнулись с тем, что государство отменило режим ЕНВД, а взамен предложило измененный патент. Но, как правило, патент в регионах обходится дороже, чем «вмененка». И это несмотря на то что власти разрешили уменьшать стоимость на сумму страховых взносов.

В ФНС стали строже следить за предпринимателями и обоснованностью сделок. С 2021 года налоговики изменили алгоритмы проверки 6-НДФЛ, чтобы видеть предпринимателей, которые платят меньше средней зарплаты по отрасли. То есть если сотрудники получают небольшую официальную зарплату, то ФНС может прислать требование с просьбой указать причины.

Основатель «Школы Профессионального Владельца бизнеса» Оксана Дажун считает, что предприниматели должны обращать пристальное внимание на налоговые риски:

«Важно отслеживать в налоговом контроле результаты и планы ФНС. Изучите, как выбирают компании для плановой проверки, как проводить оптимизацию налогов, как работают суды и чего ждать бизнесу от налогового администрирования. Для этого хотя бы раз в год полезно посещать тренинги, семинары, где расскажут о нововведениях и о судебной практике.

Алгоритм формирования СФЗ

По результатам СВОТ-анализа составить список рисков, угроз, возможностей и сильных сторон бизнеса:

  • Сформулировать проблему — то, что может быть эффективно.
  • Сформулировать риск — то, что может случиться, если ничего не делать.
  • Сформулировать цель — до какого состояния мы хотим и можем снизить риск.
  • Сформулировать мероприятия по управлению рисками — что мы будем делать.
  • Назначить ответственного за каждый риск.
  • Установить конечные и контрольные сроки воздействия на риск.
  • Коллегиально установить вероятность наступления риска по 10-балльной шкале.
  • Коллегиально установить глубину последствий риска по 10-балльной шкале.
  • Определить степень риска и категорию реагирования.
  • Внести мероприятия в общий стратегический план мероприятий, индивидуальные СМАРТ-задачи»

Денис Загребиль считает, что риски у каждого бизнеса разные, но некоторые встречаются чаще:

«Риски зависят от этапа развития бизнеса или компании. Но основными я считаю некачественное оказание услуг, недобросовестных поставщиков и сотрудников, переоценку рыночных возможностей. В целом, на мой взгляд, управленческие решения часто принимаются без тщательного анализа рисков бизнеса, ситуационно или на основании опыта»

Как оценивать риски в бизнесе?

Для этого нужно погрузиться в бизнес-процессы и понять слабые места. Учебники по бизнесу выделяют 5 основных методов проведения риск-анализа.

Качественная оценка

Это таблица, где риски распределяют по степени возникновения:

  • Высокий;
  • Средний;
  • Низкий.

После этого прописывают, как компания реагирует на каждый из рисков. Например, предприниматели заранее знали про отмену ЕНВД. Соответственно, за год до этого продумывали действия для бизнеса: выбор системы налогообложения, сокращение издержек, смена торговых точек.

Руководитель компании «Понимай Франчайзинг» Олег Шатилов проводит качественную оценку перед каждым запуском франшизы:

«Компания предлагает партнерам известность бренда, которая создает поток входящих клиентов. Но это касается первичного привлечения, а должны работать и процессы, направленные на сопровождение и удержание (crm и технологии обучения). И если эти процессы не работают, то франшиза не привлечет новых партнеров. Они узнают, что работа плохо выстроена, и пройдут мимо»

Метод аналогий

Это сравнение рисков на базе реализованных проектов такой же тематики. Пилорама запускает производство пеллетов, а коммерческий директор работал на таком заводе в прошлом. Он расскажет, с какими рисками столкнется пилорама и как их избежать. Для этого метода пригодятся сторонние эксперты, которые запускали такие проекты и знают подводные камни.

Коммерческий директор предприятия «Люкшудьинский леспромхоз» Александр Труфанов считает, что общение с конкурентами помогает понять будущие проблемы:

«Мы решили запустить производство фанеры. Мы всегда в диалоге с другими предприятиями и знаем, что главная трудность — поиск сырья. Но у нас собственное сырье, и риски другие. Например, трудно найти работников. В нашей местности просто некому работать. Но скоро рядом построят жилой комплекс, и мы планируем привлекать персонал из этих домов. Поэтому новое производство запустим после окончания стройки»

Контрольные списки источников рисков

Когда компания развивается, она накапливает опыт ошибок и проблем. Руководители заранее знают, с чем столкнутся на определенных этапах масштабирования. Например, пиццерия продает франшизу в разные города, и контрольный список поможет заранее понять опасности. Составляйте чек-лист проблем, который пополняется с каждым новым проектом.

Метод рейтинговых оценок

Это способ, когда ставят рискам оценки по пятибалльной или десятибалльной системе. Если государство собирается ужесточить наказание в области налогов, то риску ставят оценку 5. Значит, в ближайшее время придется вместе с бухгалтером оптимизировать налоги и учет, чтобы не привлекать внимание ФНС. Если у производства 3 постоянных поставщика и 2 в запасе, то угроза остановки не грозит. Этому риску ставят оценку 1 и не принимают срочных решений.

Метод экспертных оценок

Для этого метода привлекают сторонних экспертов: аналитиков, юристов, технологов. Выбор зависит от направления бизнеса. Каждый эксперт делает анализ рисков бизнеса по своей деятельности и определяет влияние на развитие проекта.

Если говорить про малый бизнес, то не всегда предприниматели проводят риск-анализ по методикам. Часто это происходит по наитию и на основе опыта. Денис Загребиль считает, что этот подход не совсем верен:

«Сложность использования метода в необходимости привлекать нескольких экспертов из разных областей или одного, но с широкой экспертизой.
Для оценки рисков в связи с выходом на новые рынки необходимо знать требования местного законодательства к качеству продукции (юристы), конкурентную среду, каналы продвижения, ценообразование (маркетолог, аналитик), квалификацию персонала в стране. Неоспоримый плюс привлечения экспертов возможность комплексной оценки рисков. Минус же в том, что зачастую требуется участие нескольких экспертов по одинаковым вопросам»

А эксперт по франчайзингу Евгений Талдыкин считает, что с риск-анализом справится руководитель и сотрудники:

«Я был директором по франчайзингу сети парикмахерских. Обедал с сотрудниками и задавал вопросы: что будет, если завтра упадут продажи в 10 раз? Или из-за чего от нас отвернутся потенциальные партнеры? Сотрудникам нравилось доверие, и они активно отвечали на вопросы. А уже из ответов рождались решения. Например, в один момент мы поняли, что у нас много партнеров, менеджеры не в состоянии каждый день поддерживать общение со всеми. В чатах повисли десятки неотвеченных сообщений, а это угроза, что люди откажутся от сотрудничества и расскажут другим. А что будет, когда количество партнеров еще увеличится? Стали работать над проблемой и внедрили чат-бота, который отслеживал чаты с неотвеченными сообщениями, чтобы менеджеры в Отделе сопровождения вовремя отвечали. В целом сессии по анализу рисков бизнеса давали идеи для автоматизации, изменения процессов, увольнения или приема персонала»

Как запустить процесс анализа бизнес-рисков

Определить риски для бизнеса не так сложно. Не стоит бояться научных названий и думать, что без специалистов не обойтись. Конечно, в некоторых случаях нужны эксперты, но основную работу проводят руководители и сотрудники компании.

  • Определите внутренние риски. У бизнеса есть цели и задачи. Выясните, что мешает выполнению плана на каждом этапе.
  • Сделайте базу рисков компании. Пропишите информацию про все риски, которые угрожают развитию. Распределите их по уровню опасности.
  • Назначьте ответственных. Руководитель не сможет контролировать все опасности. Поэтому делегируйте задачи сотрудникам, они на своем участке будут следить, чтобы риски не нанесли урон бизнесу.
  • Решите, как управлять рисками. Ответственные должны знать, на что обращать внимание при работе с рисками: как уменьшить опасность и что делать при возникновении.
  • Обновляйте базу рисков. Бизнес постоянно развивается и появляются новые опасности. Поэтому регулярно обновляйте базу данных, чтобы была полная картина опасностей и способов решений.

Карта рисков

Пример таблицы для контроля бизнес-рисков

Оксана Дажун считает, что эффективный анализ рисков бизнеса прежде всего зависит от руководителя:

«Управлять умеют все, вплоть до кухарок, но по факту мало кто этому учится. Сейчас MBI подтягивают понимание и учат, как управлять, но, к сожалению, я до сих пор встречаю огромное количество директоров, которые используют интуитивный подходит в управлении. А интуитивных подход это, как правило, реактивный подход: есть проблема есть реакция, нет проблемы нет реакции. В таких случаях риски всегда наступают и бьют очень больно. Главная задача перейти с реактивного управления на системный подход. Это значит, что нужно научиться предугадывать наступление рисков и выстроить хорошую систему мониторинга»

Анализ рисков бизнеса помогает предпринимателям подготовиться к возникновению проблем. Если подходить к этому системно, то у бизнеса появится защита от неожиданных потерь.

Источник

Дмитрий Могилко

Бизнес-архитектор

Эксперт-консультант ВЭШ СПГЭУ

Асессор по модели EFQM

Партнёр ГК «Современные технологии управления» (г. Санкт-Петербург)

Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.

Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.

Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).

Рис. 1. Структура основных понятий риск-менеджмента

Представленная модель построена на основе следующей логики.

  1. Организация осуществляет деятельность в конкретной ситуации под влиянием факторов внешней и внутренней среды [2, 3], при этом:
    • внешняя ситуация (среда) обусловлена влиянием культурных, социальных, правовых, финансовых, технологических, экономических факторов;
    • внутренняя ситуация (среда) отражает ценности, культуру и стиль руководства, организационную и ролевую структуру, политику, цели и стратегию организации.
  2. Негативное развитие ситуации обусловливает возникновение опасных событий (опасностей), которые характеризуются вероятностью и последствиями их наступления.
  3. Появление опасного события приводит к возникновению риска — влияния неопределенности на цели организации, при этом неопределенность обусловлена недостаточностью информации, понимания или знания относительно события, его последствий или возможности.
  4. Из множества вероятных рисков отбираются наиболее значимые для организации с помощью критериев риска, которые представлены признаками и правилами оценки его значимости [4].
    Критерии соответствуют виду риска [5] для одного из следующих классов опасностей по характеру происхождения:

    • природный;
    • биосоциальный;
    • техногенный;
    • экологический;
    • профессиональный;
    • информационный;
    • экономический;
    • террористический;
    • кибернетический;
    • иной [6].
  5. Значимые для организации риски, выбранные с помощью критериев, подлежат идентификации, включая обнаружение, распознавание и описание. При идентификации опасных событий также определяются объекты воздействия (реестра риска) и методы идентификации риска [7]. Характеристика опасного события включает:
    • идентификатор;
    • наименование и описание, в том числе:
      ○  источник опасного события;
      ○  объект воздействий опасного события (люди, экология, экономика, система управления, социальная среда и инфраструктура организации);
      ○  последствия опасного события [3];
    • этап жизненного цикла продукции (услуги) при возникновении опасного события;
    • возможные последствия;
    • необходимые предупреждающие средства контроля для реагирования на опасные события и способы восстановления деятельности [6].

    В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:

    • идентифицированные опасные события (инциденты — центральные узлы диаграммы);
    • источники опасных событий (на диаграмме слева) и последствия (на диаграмме справа);
    • установленные барьеры, предотвращающие эскалацию опасного события (предупреждающие меры на диаграмме слева) и нежелательные последствия (средства управления для восстановления и снижения последствий на диаграмме справа).

    Рис. 2. Диаграмма «галстук-бабочка»

  6. Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.

    Таблица 1. Реестр риска (упрощенная форма)

    Идентифи­катор опасного события Наименование и описание опасного события Ответствен­ный менеджер по риску Последствия опасного события (I) Вероятность опасного события (L) Оценка риска (I × L) Мероприя­тия по обработке риска Срок выполнения мероприятий по обработке риска Примечания
    План Факт
                       
                       
  7. Следующим за идентификацией этапом процесса управления риском является анализ его природы и уровня. При анализе риска определяются:
    • источники данных;
    • средства контроля;
    • методы анализа;
    • последствия реализации опасного события;
    • вероятность наступления опасного события;
    • оценка уровня риска [6].

    Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:

    • шкала последствий (табл. 2);
    • шкала вероятности (табл. 3).
    Таблица 2. Шкала оценивания последствий опасного события

    Последствие (I),
    баллы     		Описание
    последствий     		Объекты воздействия опасного события
    5 Катастрофические последствия Люди, окружающая среда, экономика, органы государственного и муниципального управления, социальная среда, инфраструктура
    4 Значительные последствия Люди, экономика, инфраструктура, окружающая среда, социальная среда
    3 Умеренные последствия Люди, экономика, инфраструктура
    2 Небольшие последствия Экономика, инфраструктура
    1 Малозначительные последствия Социальная среда

    Примечание: объекты воздействия опасного события приведены для примера.

    Таблица 3. Шкала оценивания вероятности наступления опасного события

    Оценка вероятности,
    %     		Качественная оценка вероятности, баллы
    Очень высокая — 81–100 Очень высокая — 5
    Высокая — 61–80 Высокая — 4
    Средняя — 21–60 Средняя — 3
    Низкая — 1–20 Низкая — 2
    Очень низкая — менее 1 Очень низкая — 1

    Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).

    Таблица 4. Матрица риска, ранги

    Качественная оценка вероятности опасного события Последствия
    Малозначительные (1) Небольшие (2) Умеренные (3) Значительные (4) Катастрофические (5)
    Очень низкая (1) 1 2 3 4 5
    Низкая (2) 2 4 6 8 10
    Средняя (3) 3 6 9 12 15
    Высокая (4) 4 8 12 16 20
    Очень высокая (5) 5 10 15 20 25

  8. Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:

    • определение критериев приемлемости риска;
    • сопоставление оценки риска с критериями приемлемости;
    • заключение о приемлемости риска и необходимости его обработки [6].

    По результатам анализа определяется уровень риска в следующих интервалах:

    • ранг 0 — риск отсутствует, никакие действия не предпринимаются;
    • 0–4 — риск низкий, предпринимаются низкозатратные действия;
    • 5–8 — риск средний, предпринимаются действия с учетом временных и экономических затрат;
    • 9–16 — риск высокий, необходимо срочное выполнение мероприятий по снижению риска;
    • 16–25 — риск высокий, необходимо предпринять незамедлительные действия по его снижению [7].

  9. После оценки риска наступает этап его обработки / модификации посредством:

    • избежания, т. е. отказа от деятельности;
    • принятия;
    • устранения источника риска;
    • изменения его вероятности;
    • изменения его последствий;
    • разделения риска с другой стороной [2].

    Обработка риска включает следующие этапы:

    • определение целей обработки риска;
    • определение и выбор способов обработки риска (с учетом затрат, эффективности обработки, уровня остаточного риска);
    • разработка и осуществление плана обработки риска [3].

  10. Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:

    • измеряться в процентах, представлять собой число (номер) или соотношение;
    • определяться сопоставимыми значениями за определенный промежуток времени;
    • иметь базовые значения;
    • иметь недорогие и простые (в интерпретации и контроле) данные [9, 10].

Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.

Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:

  • соблюдать принципы менеджмента риска;
  • нести ответственность, выполнять обязанности и иметь полномочия в области менеджмента риска;
  • формировать реестр риска и вести отчетность в соответствии с установленными в организации формами, с применением стандартизованных терминов и принятых критериев [5].

Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:

  • знание политики, стратегии и целей организации в области менеджмента риска;
  • понимание связи политики в области риска с общей политикой и стратегическими целями организации, а также с требованиями и ожиданиями причастных к этому сторон;
  • знание процессов и специфики работы организации;
  • знание необходимых правовых требований, в том числе требований нормативной и технической документации: технических регламентов, стандартов и рекомендаций в области риска;
  • знание и правильное использование терминов менеджмента риска;
  • знание карты этого процесса;
  • знания в области применения реестра риска.

Основные требования к навыкам менеджеров по риску включают способности:

  1. Идентифицировать, описать и зарегистрировать опасные события и оценить соответствующие им риски.
  2. Применять критерии допустимого риска организации.
  3. Задействовать методы оценки риска.
  4. Использовать методы разработки и ведения реестра риска.
  5. Применять методы обработки и мониторинга риска организации, в том числе методы оценки результативности и эффективности мероприятий по снижению риска.
  6. Использовать методы анализа менеджмента риска и управления документацией в этой области.
  7. Обеспечивать от имени высшего руководства внедрение процесса менеджмента риска, а также разработку, внедрение, функционирование и поддержку в рабочем состоянии соответствующей системы.
  8. Доводить до сведения высшего руководства информацию о работе системы менеджмента риска и всех необходимых улучшениях, при этом в отчете по реестру риска необходимо указывать:
    • перечень опасных событий, связанный с ними риск и способы обработки;
    • оценку эффективности мер по обработке ключевых видов рисков;
    • произошедшие изменения за отчетный период;
    • необходимые изменения в стратегиях, целях и задачах в области риск-менеджмента для предотвращения или снижения возможных потерь;
    • предполагаемую причину неэффективности мероприятий по обработке риска;
    • необходимые действия для выполнения мероприятий по обработке риска;
    • меры повышения эффективности риск-менеджмента [6].
  9. Обеспечивать понимание риска персоналом организации.
  10. Согласовывать процесс риск-менеджмента с общей системой процессов организации.
  11. Внедрять решения, принятые по результатам оценки риска.
  12. Поддерживать и постоянно улучшать систему риск-менеджмента.

Оценка риска осуществляется группой, включающей следующие роли:

  • владелец / спонсор — инициирует и контролирует осуществление оценки риска, обеспечивает необходимыми ресурсами (финансовыми, материальными, нематериальными) выполнение плана-графика по времени;
  • руководитель группы — управляет выполнением оценки риска;
  • эксперт по исследуемому направлению — предоставляет соответствующие информацию, данные и экспертные оценки, относящиеся к исследуемому риску;
  • помощник — оказывает помощь при оценке риска, организует совещания по ней;
  • участник — активно участвует в процессе оценки риска [3].

Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:

  • цель: постоянное определение, анализ, обработка и мониторинг рисков;
  • выходы: область применения менеджмента рисков, определение и выполнение стратегий менеджмента рисков, определение рисков, анализ рисков, оценивание степени риска, применение обработки риска;
  • виды деятельности: планирование менеджмента рисков, менеджмент профиля рисков, анализ рисков, обработка рисков, мониторинг рисков, оценка процесса менеджмента рисков.

В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).

Рис. 3. IDEF0-модель процесса менеджмента риска

Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.

Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.

Таблица 5. Основные параметры паспорта риска

Параметр Требования и рекомендации
1

Код регистрации (в реестре) и название риска (опасного события)

Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях. В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении [5].

2

Тип риска (внешний или внутренний)

При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска [3].

3

Вид риска (экономический, технический, социальный, экологический)

Высшее руководство должно установить критерии риска, используемые в реестре. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Последние должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных к процессу сторон [5].

4

Владелец риска (ответственный за менеджмент риска)

  • Владелец риска — лицо или организационная единица, которые имеют полномочия и несут ответственность за управление рисками [2].
  • Ответственность за менеджмент риска, в том числе за его контроль и мониторинг, должна быть возложена на ответственного менеджера по риску или группу менеджмента риска [7].
5

Риск-менеджеры (эксперты по оценке риска)

  • Для идентификации рисков необходимо привлекать людей, обладающих соответствующими знаниями [2].
  • Высшее руководство должно назначить во всех подразделениях организации квалифицированный персонал, ответственный за внедрение результатов анализа и оценки риска [5].
6

Область или объект воздействия риска (организация, среда, персонал, продукт, процесс)

При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами могут быть:

  • организация в целом, ее структурное подразделение или его часть;
  • продукция, услуга, процесс или вид деятельности;
  • персонал или отдельные работники [7].
7

Заинтересованные (причастные) стороны, подверженные риску

  • При выборе вариантов воздействия на риск организация должна рассматривать значения и восприятие заинтересованных сторон и наиболее подходящие способы обмена информации с ними [2].
  • Основные заинтересованные стороны должны быть привлечены к работе по установлению целей и области применения оценки риска, а в дальнейшем — в группу оценки риска для обеспечения объективности выводов [3].
8

Источник и условия возникновения риска (опасного события)

Анализ риска включает исследование источников опасных событий, их последствий и вероятности появления. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности [7].

9

Уровень (балл) последствий воздействия риска (опасного события)

  • При анализе последствий определяют характер и тип воздействия, которое может произойти при возникновении конкретного события, ситуации или обстоятельств [2].
  • Группа оценки риска должна внимательно проанализировать весь диапазон последствий для каждого опасного события, при этом необходимо использовать таблицу последствий. Каждый вид последствий должен быть зарегистрирован в реестре риска [3].
10

Уровень (балл) вероятности возникновения опасного события

После определения последствий для каждого опасного события следует выявить соответствующую вероятность. Используя таблицу оценки вероятности опасного события, для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска [3].

11

Оценка уровня (ранга) риска

Ранжирование опасных событий проводят в соответствии с ущербом. Результатом анализа и сравнительной оценки риска является ранжирование, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска [6].

12

Решение о необходимости обработки риска

  • Оценивание риска включает сравнение уровня риска, выявленного в процессе анализа, с установленными критериями риска во время рассмотрения ситуации (контекста) [2].
  • Целью сравнительной оценки риска малой организации является принятие на основе результатов анализа риска и критериев приемлемости риска решений о необходимости обработки риска и о расстановке приоритетов при ее выполнении [7].
13

Мероприятия по обработке риска (снижению вероятности и/или последствий)

Целью плана обработки риска является регистрация выбранных способов обработки риска. План обработки риска должен включать в себя:

  • детальное обоснование причин для выбора метода обработки риска;
  • ожидаемые преимущества выбранного метода обработки риска;
  • предлагаемые действия;
  • необходимые ресурсы;
  • распределение ответственности и полномочий;
  • календарный план выполнения работ;
  • критерии качества работы;
  • требования к обмену информацией и мониторингу [3].
14

Ответственный за обработку риска

Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за них. Ответственными, как правило, назначают:

  • менеджеров по риску, если в качестве стратегии снижения риска выбраны его устранение, снижение или оптимизация;
  • ответственную сторону, если в качестве стратегии снижения риска выбрана его передача;
  • ответственного, наделенного полномочиями принятия риска, если оно выбрано в качестве стратегии снижения риска [6].
15

Срок выполнения мероприятий по обработке риска

Этапы обработки риска включают в себя:

  • выбор стратегии обработки риска;
  • оценку последствий, вероятности опасного события и риска после применения выбранной стратегии обработки;
  • идентификацию мероприятий по обработке риска;
  • определение сроков выполнения мероприятий по обработке риска;
  • определение ответственных за выполнение мероприятий;
  • оценку результатов обработки риска [6].
16

Индикаторы мониторинга риска

  • Должна быть четко определена ответственность за проведение мониторинга и пересмотра рисков. Процессы мониторинга и пересмотра, осуществляемые организацией, должны затрагивать все аспекты процесса риск-менеджмента. Результаты мониторинга и пересмотра должны быть документированы [2].
  • Организация должна обеспечивать непрерывность процесса менеджмента риска, по этому необходимо проводить регулярный мониторинг всех его видов и пересмотр записей в реестре [7].
  • Для повышения эффективности контрольных процедур с помощью ключевых индикаторов риска необходимо:
    ○  выбрать индикаторы для каждого значимого риска;
    ○  определить интервалы значений индикаторов, соответствующие приемлемому риску, высокому риску и т. п.;
    ○  документировать проведение мониторинга индикаторов и предоставления соответствующей отчетности руководству [9].
  • Все организации должны иметь перечень индикаторов риска, которые видоизменяются с течением времени. Перечень индикаторов должен подвергаться периодическому анализу и пересмотру [9].
  • Службы внутреннего контроля и аудита должны с определенной периодичностью производить проверки ключевых индикаторов риска на своевременность предоставления, достоверность данных, актуальность [9].
  • Отчет должен содержать и структурировать следующую информацию:
    ○  источник информации для каждого индикатора;
    ○  лицо, ответственное за предоставление данных;
    ○  частоту обновления данных;
    ○  планирование, сроки и время исполнения [9].
17

Сведения о результативности и эффективности обработки риска (оценка и опыт)

  • В реестр риска включают также оценку выполнения мероприятий по обработке риска [6].
  • В качестве объектов внутреннего аудита рекомендуется использовать следующие документы:
    ○  реестр риска, включающий описание, категорию, причину, вероятность, воздействие на цели, предполагаемые ответные действия и текущее состояние выявленного риска;
    ○  карту риска, которая отражает динамику изменения состояния защищенности организации во времени;
    ○  панель риска, содержащую информацию о ключевых индикаторах риска и динамике их изменения во времени;
    ○  отчеты о выполнении планов обработки риска;
    ○  аналитическое заключение о защищенности организации — детальное описание риска с присвоением веса, оценкой вероятности и возможного ущерба [9].
18

Направления улучшения инфраструктуры риск-менеджмента

  • Организациям рекомендуется разрабатывать, внедрять и постоянно улучшать инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру [2].
  • В рамках системы менеджмента риска необходимо установить систему отчетности об оценке риска, эффективности средств контроля и методов управления и мероприятий по обработке риска [5].
19

Периодичность актуализации оценки риска (реестра риска)

  • Процесс менеджмента риска должен быть непрерывным, поэтому менеджерам по риску следует проводить регулярный мониторинг всех видов риска и пересмотр записей в реестре, направленный на обеспечение достижения целей организации и выполнения установленных требований к риску. Для этого необходимы:
    ○  проведение регулярного анализа каждого риска, направленного на оценку полноты и правильности соответствующих описаний и расчетов, их соответствия существующим угрозам, последствиям, оценкам вероятности их появления, выбранной стратегии менеджмента риска и достаточности мер, направленных на снижение риска;
    ○  идентификация ключевых видов риска ответственным за менеджмент риска организации и обмен информацией о них с причастными сторонами;
    ○  актуализация мероприятий, направленных на снижение риска [6].
  • Анализ и пересмотр реестра риска следует проводить не реже одного раза в год. Периодичность анализа и пересмотра реестра риска устанавливает высшее руководство организации. Анализ и пересмотр реестра должны включать в себя обсуждение проблем, связанных с новыми видами идентифицированного риска и исключением из реестра риска устаревшей информации [6].
20

Дата актуализации сведений о риске (в реестре)

Для практического использования паспорт риска может быть реализован как нормативно-справочный документ в системе бизнес-моделирования Business Studio (рис. 4), при этом:

  • названия параметров риска указываются в поле «Раздел» атрибутов документа;
  • содержание (значение) параметров риска заносится в поле «Комментарий» атрибутов документа;

    • Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio

  • требования к параметрам риска указываются в поле «Комментарий» раздела атрибутов объекта (рис. 5).

    • Рис. 5. Карточка раздела документа

Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.

Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).

Рис. 6. Шаблон пользовательского отчета «Паспорт риска»

В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).

Рис. 7. Отчет «Паспорт риска»

Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.

  1. Лист «Матрица рисков» (рис. 8):
    • средневзвешенный уровень рисков организации (например, 10,25);
    • матрицу позиционирования рисков в координатах «Вероятность» и «Последствия» (например, риск «Высокая зависимость от ключевых сотрудников» имеет значения параметров: вероятность — 4 балла, последствия — 3 балла);
    • список (реестр) рисков, включающий дополнительные сведения: дату (обновления в карточке риска), код (регистрационный номер), владельца.

    2. Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу

  2. Лист «Риски» (рис. 9):
    • ранг уровня риска (например, 12);
    • сведения (содержание) о параметрах риска;
    • параметры риска (ссылки).

    3. Рис. 9. Лист «Риски» Excel-отчета по мониторингу

  3. Лист «Требования» (рис. 10):
    • наименование раздела (нормативно-справочного) документа;
    • требования и рекомендации стандартов для параметра риска.

    4. Рис. 10. Лист «Требования» Excel-отчета по мониторингу

Для удобства навигации отчет содержит необходимые автоматические ссылки.

ВЫВОДЫ

Предложенная автором структура паспорта риска, содержащая требования и рекомендации соответствующих стандартов, позволит определять и поддерживать необходимые компетенции участников инфраструктуры по управлению рисками. Применение системы Business Studio позволит осуществлять регулярную деятельность по актуализации реестра риска, поддержанию и развитию требуемых компетенций в области управления рисками, а также регулярный мониторинг выполнения мероприятий по их обработке.

Источники информации:

  1. ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования».
  2. ГОСТ Р ИСО 31000–2010 «Менеджмент риска. Принципы и руководство».
  3. ГОСТ Р 51901.23–2012 «Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска».
  4. Р 50.1.068–2009 «Менеджмент риска. Рекомендации по внедрению. Часть 1: Определение области применения».
  5. ГОСТ Р 51901.21–2012 «Менеджмент риска. Реестр риска. Общие положения».
  6. ГОСТ Р 51901.22–2012 «Менеджмент риска. Реестр риска. Правила построения».
  7. Р 50.1.084–2012 «Менеджмент риска. Реестр риска. Руководство по созданию реестра риска организации».
  8. ГОСТ Р ИСО/МЭК 30010–2011 «Менеджмент риска. Методы оценки риска».
  9. Р 50.1.090–2014 «Менеджмент риска. Ключевые индикаторы риска».
  10. ГОСТ Р ИСО/МЭК 12207–2010 «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств».
  11. Создание пользовательских отчетов.

Опубликовано по материалам:
«Менеджмент качества», 03/2019.

Октябрь 2019 г.

Рекомендуемые материалы по тематике

Превращение в гиганта: практика организационного развития ГК «Гулливер»

Процессный подход станет нашим рабочим инструментом — интервью с Денисом Клименко в проекте «Управление из первых рук»

BPM как способ узнать глубину кроличьей норы

Глоссарий

Источник

Для осуществления контроля над рисками и подбора наилучшего состава методов управления ими можно использовать составление карты рисков. Это способ быстрого и сжатого отображения деловых рисков предприятия, препятствующих достижению стратегических целей, хорошо зарекомендовавший себя в мировой практике управления финансами.  

Уровень негативного воздействия многих рисков может быть снижен за счет использования определенных элементов финансового механизма, облагающих положительной чувствительностью к данным рискам. Например, снижению вероятности рыночных рисков будет способствовать гибкая кредитная политика по отношению к клиентам, прогрессивные инструменты финансового стимулирования сотрудников. Эти элементы финансового механизма позволят получить лояльность клиентов и укрепить конкурентные преимущества компании за счет проявления инициативы, что в конечном счете будет способствовать выигрышу в конкурентной борьбе.

карта рисков.jpg

Рис. Методика постарения карты рисков предприятия

Риски оцениваются  в терминах: значимость – вероятность – причины.  Все риски можно классифицировать в интервале от «наименее вероятных с наименьшим воздействием до наиболее вероятных с наибольшим воздействием».  Карта рисков является хорошо зарекомендовавшим себя инструментом управления рисками, ее использование соответствует международной практике внутреннего контроля по стандартам COSO.

На рис. представлена методика составления карты рисков. Вероятность рисков может оцениваться в процентах, либо в баллах (низкая, средняя, высокая, критическая). Значимость (или финансовые последствия наступления риска) может оцениваться в денежном выражении, либо в баллах. В то же время, оценка в баллах хотя и допускается, но делает карту рисков весьма условным инструментом, созданным на основе профессионального суждения, поэтому точная оценка вероятности в процентах и финансовых последствий риска в денежном выражении более уместна.

Наиболее спорным моментом является расположение кривой «терпимости» к риску. Эта кривая представляет собой линию между максимально допустимым значением вероятности рисков и критической величиной финансовых последствий риска. Эта критическая величина (см. точку Х на рис.) — такая величина финансовых потерь, при которой продолжение деятельности предприятия невозможно или же наступает банкротство. Например, в результате пожара сгорает незастрахованное производственное оборудование, а имеющихся финансовых ресурсов с учетом возможного кредитования не хватает на приобретение нового. Другой пример, предъявление юридического иска на сумму, при погашении которой (даже за несколько периодов) инвестиционный проект становится в итоге неэффективным. Рассматривая любое предприятие, как инвестиционный проект, Х такая величина финансовых потерь с учетом полученного за них страхового возмещения, при подстановке которой в инвестиционную модель NPV проекта будет равно нулю.

Соединив точку Х на рис.  с максимальным значением вероятности риска получим кривую терпимости к риску (пунктирная прямая линия на рис.). Эта линия показывает допустимую вероятность возникновения событий, вызывающих определенные финансовые последствия. Данный метод управления рисками предполагает, что риски, находящиеся выше «кривой терпимости» требуют незамедлительных мер по уменьшению их воздействия путем применения к ним таких методов, как страхование, диверсификация, совершенствование систем контроля и др. Риски, находящиеся ниже кривой терпимости считаются допустимыми, и их контроль и страхование имеет второстепенное значение.

Кривая терпимости может отклоняться от прямой линии вниз (точечная линия на рис.) или вверх (сплошная линия на рис.). Степень такого отклонения определяется используемым подходом к оценке рисков.

При определении вероятности рисков предприятием используется ряд допущений, которые могут быть как консервативными, так и оптимистическими. Вероятность рисков может оцениваться как на основе внутренней информации, так и на основе внешних статистических источников. Точное определение вероятности риска – чрезвычайно сложно и лежит в компетенции специалистов по актуарным расчетам, поэтому в практике компаний малого и среднего бизнеса обычно делается упрощенная оценка исходя из соотношения затраты/результаты.

Если выбранный подход к оценке рисков обладает высокой степенью допущений, то кривую терпимости к рискам следует провести с наклоном вниз (точечная линия), тем самым подчеркнув необходимость контроля большего количества рисков. Если проведенная оценка рисков с целью экономии трудозатрат сделана на основе слишком консервативных допущений, то  кривую терпимости к рискам следует провести с наклоном вверх (сплошная линия), показав, что необходим контроль только самых существенных рисков.

Карта рисков является эффективным инструментом, позволяющим подобрать методы управления финансами, наиболее адекватные для сложившейся рыночной ситуации. С ростом предприятий, как вероятность, так и значимость рисков всех типов рисков изменяется. Изменяется и состав методов управления финансовыми потоками, но применяемые методы не всегда адекватны сложившейся рыночной ситуации. 

Источник

#статьи

  • 19 май 2022

  • 0

Управление рисками в проекте: как найти и оценить, как составить план защиты от них

Основы управления рисками для менеджеров, которые работают с проектами. Какими бывают риски и как на них реагировать. Пересказ лекции Google.

Кадр: фильм «Исходный код»

Анна Игнатьева

Обозреватель Skillbox Media по маркетингу и IT. С 2015 года работает с SEO, таргетированной и контекстной рекламой. Писала для Skypro, Yagla и Admitad.

Риски — неотъемлемая часть любого проекта, от семейного праздника до строительства гидроэлектростанции. Ни один проект не следует плану на 100%, даже если им руководит опытный менеджер. Управление рисками — отрасль проектного управления со своими техниками и методиками.

Мы перевели и пересказали главное из лекции об основах управления рисками «Risk Management Basics», которую подготовили в Google для курса по управлению проектами.

  • Что такое риски в проекте
  • Самые распространённые виды рисков
  • Как найти риски в проекте и оценить их
  • Вы нашли риски: что с ними делать
  • Как составить план по управлению рисками

Есть много определений риска, но мы дадим очень простое. Риск — это негативное событие, которое может произойти, а может и не произойти. Риски нужно отличать от проблем: риск станет проблемой, только если негативное событие произойдёт.

Проблемы мешают выполнению задач проекта. Если вы руководите проектом, вы должны помнить, что несёте ответственность за риски.

Вот несколько примеров рисков и проблем, к которым они привели.

  • Целью проекта было опубликовать исследование, но ведущий аналитик уволился, когда была готова только половина. Дедлайн сорвали, и задачу в срок не выполнили.
  • Спрос на товар резко вырос, и поставщик не смог поставить требуемое количество. Полки магазина опустели.
  • Компания продавала в офисы растения, которые почти не требуют ухода. Однако у поставщиков закончились специфические растения, в которых нуждалась компания, — папоротники и кактусы.

Фото: VILTVART / Shutterstock

Когда вы понимаете, какие риски есть в проекте, вы можете принять меры предосторожности — например, обратиться за консультацией. Если что-то пойдёт не так, у вас будет план, как решить проблему.

Управление рисками в проекте — это процесс поиска, оценки и предотвращения потенциальных проблем. Этот процесс регулярный, превентивных действий на старте проекта недостаточно.

Управление рисками не только снижает влияние негативных ситуаций на проект. Оно высвобождает ресурсы: материальные, трудовые.

Есть разные классификации рисков. Мы назовём виды рисков, которые упоминают чаще остальных.

Временные риски. Это вероятность того, что на выполнение задач в проекте уйдёт больше времени, чем запланировано. Помните о сроках, потому что время — это ресурсы. Если команда тратит много времени на задачи, растёт и фонд оплаты труда. Кроме того, стейкхолдеры проекта могут разочароваться из-за задержек.

Бюджетные риски. Из-за плохого планирования стоимость проекта может оказаться больше, чем заложено в бюджете. Обычно бюджет закладывают перед запуском проекта, тогда же планируют траты по статьям. Если команда не уложится в план, потребуются дополнительные средства, и если их не будет, проект остановится.

Риски изменения объёмов работы. Они могут появиться, если исполнители не поняли требований заказчика или он сам внёс в проект изменения. Это может привести к пересмотру бюджета, сроков и списка задач.

Внешние риски. Это потенциальные события, которые находятся за пределами компании и которые компания не может контролировать. Например, на проект могут повлиять новые законы.

Единая точка отказа. Так называют единственное событие, которое может остановить всю работу над проектом. Ни один член команды не сможет дальше выполнять свои задачи, пока проблема не решится. Например, для интернет-магазина единой точкой отказа может стать отключение электричества в офисе. Если доступ к инструментам, таким как CRM, был только из офиса, вся команда не сможет выполнять задачи.

В результате команда не выполнит ни одной задачи. Зная об этой точке отказа, можно принять меры: создать резервные копии сервисов и информации в облаке.

Зависимости. Это связи между двумя задачами в проекте: когда начало одной задачи зависит от завершения другой. Зависимости часто становятся риском для проекта.

Например, один из членов команды должен подписать контракт с заводом-поставщиком. Пока контракта нет — остальная команда не может выполнить ни один заказ. Если вовремя не подписать документ, то проект не закончат в срок.

Другой пример. Участник команды уходит в отпуск. Если он отвечал за критические процессы, то другие участники не смогут выполнять свои задачи. От этого риска можно было бы защититься, узнав о планах членов команды с самого начала.

Зависимости могут быть внутренними и внешними. Внутренние — зависимости внутри проекта. Например, чтобы начать разработку сайта, нужно сначала утвердить его дизайн.

Внешние зависимости — зависимости, над которыми у команды нет контроля. Например, компания покупает у фермы овощи для продажи, и если лето окажется засушливым или слишком дождливым, урожая будет меньше — а значит, компания не получит достаточно овощей.

Фото: chinahbzyg / Shutterstock

Рисков, которые могут повлиять на ваш проект, много. Нельзя предугадать их все, но можно проработать большинство из них. В следующем разделе мы рассмотрим методы поиска рисков.

Самый эффективный способ найти риски — мозговой штурм с командой проекта. Так каждый сможет предложить свои идеи. Лучше, если в мозговом штурме будут участвовать люди, занимающие разные роли в проекте, имеющие разный бэкграунд. Люди с разным опытом и набором навыков помогут найти риски, о которых руководитель не догадывается.

Некоторые члены команды участвовали в нескольких проектах внутри компании. Они поделятся информацией об опасностях, с которыми столкнулись коллеги. Новичок может рассказать об опыте команд, в которых он работал раньше.

Чтобы структурировать информацию, полученную во время мозгового штурма, используйте диаграмму Исикавы. Диаграмма, известная как «рыбьи кости», наглядно показывает причинно-следственные связи.

В «голову» рыбы помещают риск, который нужно проанализировать. На «костях» пишут причины, которые могут привести к негативному событию. К ним могут вести «кости» поменьше — причины второго порядка. Иногда добавляют третий, четвёртый и даже пятый уровни.

Вот диаграмма Исикавы, составленная для анализа проблемы — у компании низкие продажи.

Так выглядит диаграмма Исикавы с тремя уровнями факторов. Пока она не заполнена до конца
Инфографика: Майя Мальгина для Skillbox Media

Например, есть риск, что поставщики вовремя не доставят товар. На диаграмму поместят следующие причины:

  • нет инструментов отслеживания;
  • государство может ввести ограничения;
  • нет человека, который отвечает за доставку товара.

Может оказаться, что список рисков слишком большой. Это нормальный результат для такого анализа. Нужно будет выбрать самые важные риски, на которых сосредоточится команда.

Для оценки рисков используйте матрицу вероятности и последствий. С помощью неё вы поймёте, о каких рисках нужно помнить в первую очередь.

Инфографика: Майя Мальгина для Skillbox Media

Сначала проанализируйте, какие последствия могут быть, если риск превратится в проблему. Используйте шкалу:

  • Сильный эффект — если проблема может сорвать проект или существенно его изменить.
  • Средний — если событие может повлиять на проект, но это можно поправить.
  • Слабый — если риск незначительно повлияет на проект, но точно его не сорвёт.

Потом оцените вероятность того, что риск возникнет:

  • Высокий — высокая вероятность риска.
  • Средний — риск есть.
  • Низкий — скорее всего, риска нет.

Затем нужно собрать оценки вероятности и силы последствий на одной шкале и разбить риски на несколько групп.

  • Если вероятность низкая, а последствия дадут слабый эффект, то об этом риске не стоит беспокоиться. Просто имейте в виду, что он есть.
  • Если вероятность высокая и последствия дадут сильный эффект, о защите от этого риска нужно позаботиться в первую очередь.

Несколько незначительных рисков обычно меньше влияют на проект, чем один риск высокого уровня. Последние чаще приводят к тому, что проект срывается. Поэтому работайте сначала с проблемами высокого и среднего уровня.

Используйте разные цвета, чтобы выделить приоритетные задачи. Так участник команды, увидев таблицу, сразу поймёт, с какими рисками нужно работать в первую очередь.

Есть четыре основные стратегии, как реагировать на риски. Можно попробовать избежать рисков, принять их, передать их другой команде; их также можно уменьшить и контролировать.

Рассмотрим каждый способ.

Избегать. Иногда вы можете избежать риска полностью. Например, если вы сомневаетесь в надёжности подрядчика, который часто не соблюдает сроки, вы можете перестать работать с ним.

Принять. Этот способ подойдёт для рисков с низкой или средней вероятностью и без тяжёлых последствий для проекта. Нужно принять, что такой риск существует, и отслеживать его всё время до окончания проекта.

Представим, что поставщик неожиданно заявил, что у него нет нужных вам компонентов, однако он пополнит запасы в ближайшее время. Возможно, это скажется на сроках проекта.

Можно начать работу с другим поставщиком, но такой риск лучше принять. Это имеет смысл, если задержки не критичны для проекта. Если не искать нового поставщика и смириться с риском, это избавит команду от лишней работы.

Уменьшить или контролировать. Для смягчения риска используйте дерево решений. Это блок-схема, которая показывает, какие решения существуют для каждой проблемы. Например, если компания работает с исполнителем, который срывает сроки, ему можно постоянно напоминать о задаче: отправлять имейлы каждый день или звонить.

Передать риски. Если команда понимает, что не может снизить риски для какой-то группы задач, она может передать их специализированным компаниям. Иногда это помогает сэкономить время и деньги.

План по управлению рисками — это документ, который описывает возможные риски и способы их снизить. Если у вас есть такой план, все члены команды и заказчики будут в курсе, какие проблемы могут возникнуть во время реализации проекта. Документ нужно постоянно дополнять, так как новые риски могут появиться на любом этапе проекта.

План можно создать в «Google Документах». Так все члены команды будут иметь к нему доступ. Укажите название компании, название проекта и кто создал этот документ — чтобы было понятно, к кому обращаться, если возникнут вопросы. Также можно написать, когда документ был создан и когда обновлялся в последний раз. Так команда будет понимать, насколько он актуален.

Так может выглядеть шапка плана по управлению рисками
Скриншот: Google Career Certificates / YouTube

Далее напишите цель документа: смягчить последствия рисков в проекте. В план нужно добавить краткое описание проекта — и написать, какие проблемы проект переживёт, а какие риски могут его изменить.

Следующая часть — самая важная. Создайте таблицу, в которой вы распишете все возможные риски, оцените их и добавьте возможные решения для каждого. Как это сделать, мы разобрали в предыдущих разделах.

Например, один из рисков — поставщик не успевает уложиться в сроки. У этого риска средний уровень. Для снижения риска есть решение: ежедневно созваниваться с поставщиком.

Инфографика: Майя Мальгина для Skillbox Media

Важно, чтобы не только команда знала о планах. Обязательно встретьтесь с заказчиком или напишите ему письмо, чтобы рассказать, какие риски есть у проекта.

Так вы уже в начале проекта будете понимать, поможет ли заказчик решить проблемы, если они возникнут. Например, если заказчик предупредил, что он не сможет увеличить бюджет, вы учтёте, что работаете с ограниченными ресурсами и дополнительных средств не будет.

Если вы не расскажете о рисках заказчику заранее, в середине проекта они могут стать неприятным сюрпризом. Так вы можете подорвать доверие к себе и всей компании. Если же заинтересованные стороны знают о рисках, все понимают, чего потенциально можно ожидать при работе над проектом.

Особенно важно поговорить с заказчиком, если есть риски высокого уровня. В таком случае лучше встретиться с ним и пообщаться лично. Возможно, вы найдёте совместные решения. Риски среднего и низкого уровня можно обсудить по электронной почте.

Все риски обнаружить невозможно, и это нормально. Но если вы предусмотрите значительную часть из них и придумаете решения, вы будете лучше подготовлены к проблемам.

  • Риски — это возможные негативные ситуации, которые могут помешать выполнению проекта. Проблемы — это воплотившиеся риски.
  • Самые распространённые виды рисков: временные, бюджетные, нарушения в зависимостях, внешние, а также единые точки отказа — события, которые останавливают всю работу команды.
  • Ищите риски с помощью мозговых штурмов, анализируйте их с помощью диаграммы Исикавы, а потом оценивайте их эффект и вероятность.
  • На риски можно реагировать с помощью одной из четырёх стратегий: избегать, принять, контролировать или передать другой команде.
  • Список самых опасных рисков и список мер, с помощью которых команда будет на них реагировать, вносят в план по управлению рисками.

Другие материалы Skillbox Media по управлению проектами

  • Что такое проект: разбираем главное понятие проектного управления
  • Kanban: рассказываем, как работает эта методика
  • Как планировать проекты и следовать графику работ с диаграммами Ганта
  • Что такое Agile: методология, команда, оценка эффективности
  • Как работает Scrum и как управлять проектом с помощью этой методики

Научитесь: Профессия Менеджер проектов
Узнать больше

Источник

Digital-агентство «Атвинта» пишет про основы управления рисками на примере веб-разработки. Статья будет полезна тем, кто делает первые шаги в риск-менеджменте.

Как подарить конкуренту 70 миллионов пользователей из-за неучтенного риска

4 октября почти на шесть часов отказали WhatsApp, Instagram и Facebook. В Facebook объяснили, что многочасовой сбой произошел из-за изменений конфигураций магистральных маршрутизаторов, которые координируют сетевой трафик между центрами обработки данных.

Если судить по новостям, компания не была готова к проблеме — кроме самого сбоя на сотрудников свалилось еще множество трудностей. Они не могли попасть в дата-центр, так как у них не срабатывали электронные пропуска, а также в штаб-квартире не работали внутренние службы, что затянуло исправление сбоя.

Последствия известны: акции Facebook упали на 4,89%, состояние Цукерберга снизилось на $5,9 млрд, а к конкурентному мессенджеру Telegram на фоне сбоя присоединились 70 миллионов новых пользователей.

Кейс в масштабах одной из самых крупных IT-компаний мира показывает, насколько важно бизнесу работать с рисками и заранее прорабатывать план работы на случай, если что-то пойдет не так.

Риски в digital-агентстве

Управлять рисками важно не только гигантам вроде нынешней Meta — игнорирование рисков в любой компании приводит к негативным последствиям. Для digital-агентства самые частые:

  • срыв сроков
  • снижение качества разработки
  • разлад в команде
  • снижение доверия клиента
  • ухудшение репутации

Если в компании управление рисками не закреплено как процесс, и у нее нет соответствующих методик и регламентов, то риски в какой-то степени все равно учитываются, но интуитивно. Например, при планировании контуров проекта проджект-менеджер держит в голове, что согласование или разработка могут затянуться, и закладывает дополнительное время на такой случай.

Управлять рисками — это значит при планировании проекта зафиксировать, что может пойти не так, и что с этим делать, если это произойдет.

Чем плох подход, когда мы просто «держим в голове» возможные риски? Во-первых, нет глубокой проработки всех рисков, учитываются только наиболее очевидные. Во-вторых, когда риск случится, команда не всегда сможет оперативно разработать оптимальное решение и найти на него ресурсы.

Зачем работать с рисками:

  • Команда будет готова к ситуациям, которые могут снизить качество проекта или задержать его реализацию
  • Команда сможет контролировать риск, устранить, уменьшить или использовать его последствия
  • На этапе продаж агентство может делать более точную оценку проекта, заложив в нее наиболее вероятные риски
  • При составлении календарного плана проджект-менеджер будет знать, где необходимо подстраховаться и заложить дополнительное время

Как выявить риски

Первым делом нужно составить список рисков проекта. Они могут быть общими и специфическими. Например, к общим относится отпуск сотрудника — это актуально для любого проекта. К специфическим можно отнести риски, связанные с работой с госзаказчиком, где есть свои стандарты разработки сайтов.

Способы выявления рисков

  • Спросить коллег, у которых были аналогичные проекты. Самый простой способ — проанализировать опыт других проджект-менеджеров, которые уже работали с похожим проектом.
  • Поговорить с заказчиком. Проект — это совместная работа команды и заказчика, поэтому он должен понимать, что риски зависят и от него. Заказчик лучше знает свои бизнес-процессы и заранее может сообщить, что в них может пойти не так. Например, один из наших клиентов предупредил, что из-за большой цепочки лиц, принимающих решения, согласование будет долгим, поэтому в договоре мы заложили 12 дней на согласование этапов, хотя обычно фиксируем меньшее количество времени.
  • Обсудить с командой. Разработчики и дизайнеры заранее могут выявить риск, связанный с их частью работы.
  • Подумать об интеграциях. Интеграция — узкое место любого проекта, которое всегда связано с риском, потому что зависит не только от исполнителя, но и от заказчика. Например, при подключении платежных систем может понадобиться заключить договор. Также заранее нужно получать доступы и требования к серверам.
  • Учесть специфику заказчика (особенно, если это государственные проекты). Например, если команда делает сайт для государственной структуры, то на нем обязательно должна быть версия для слабовидящих.
  • Учесть человеческий фактор. Внутренние моменты в команде несут большие риски: выгорание, конфликты и другие проблемы сотрудников могут навредить проекту.

Удобный инструмент — общий реестр рисков. Когда у компании набирается достаточное количество кейсов и практики успешного управления рисками, формируется документ со всеми рисками, которые встречались в проектах компании. Ценность такого инструмента в ретроспективе — так как риски собраны на основе закрытых проектов, команда может более достоверно оценить их вероятность и отметить, как сработали те или иные решения.

Например, во время проекта уволился сотрудник, и компания передала его часть работы проверенному аутсорсеру. Проект закрыт успешно, подход сработал удачно, значит, и в будущем этот риск можно решать привлечением стороннего специалиста.

Риски в проектах digital-агентства

Приведем примеры рисков, с которыми сталкивались наши проджект-менеджеры:

  • Заказчик не готов менять свои бизнес-процессы
  • Незаинтересованность контактного лица в проекте
  • Смена менеджера со стороны заказчика или с нашей стороны в процессе проекта
  • Недостаточная квалификация исполнителей проекта или контактного лица
  • Увольнение или болезнь сотрудников
  • Ошибки календарного плана
  • Изменение требований заказчика в процессе проекта
  • Низкая производительность команды
  • Творческий кризис у дизайнера
  • Несвоевременное предоставление доступов со стороны заказчика (например, к платежной системе)
  • Разлад в команде

Некоторые из них мы разберем в разделе «Пример анализа рисков».

Анализируем риски по таблице

Один из самых наглядных и удобных инструментов — реестр рисков, который составляется отдельно для каждого проекта digital-агентства. Для этого мы создаем таблицу со следующими колонками:

  • Риск — обозначаем название риска
  • Источник — может быть внешним или внутренним (внутренний исходит от агентства, внешний — от других участников проекта, например, заказчика)
  • Ответственный — проджект-менеджер, специалист команды, контактное лицо со стороны заказчика и т.д.
  • Вероятность — может быть низкой, средней или высокой, определяется на основе опыта агентства (например, сотрудник уходит на больничный в одном из десяти проектов, значит, вероятность низкая) или оценки от проджект-менеджера, который учитывает специфику проекта
  • Последствия — критичные, умеренные или незначительные
  • Степень влияния на проект — определяем по матрице рисков на основе соотношения вероятности и последствий. По ней риск может быть незначительным, допустимым, умеренным, существенным, недопустимым.

За основу взяли следующую матрицу определения рисков:

Особое внимание нужно уделять рискам с красным и оранжевым маркером (существенная, недопустимая степень). Даже если все риски проекта с зеленым маркером, среди них нужно выделить приоритетные.

  • Степень управляемости — управляемый или неуправляемый, зависит от того, может ли команда своими действиями повлиять на риск
  • Что делать с риском — определяем действия на случай, если риск произошел

Лучше заполнять таблицу исходя из приоритетности: риски из оранжевой и красной зоны идут в первую очередь, а менее опасные риски — после.

Таблицу можно составлять только для внутреннего пользования или добавлять ее в документацию по проектам.

Актуализировать риски рекомендуется раз в две недели. Если проект будет длиться полгода, то к третьему месяцу перечень рисков может измениться: какие-то риски станут более вероятны, а какие-то, наоборот, совсем минуют проект.

Еще одна рекомендация — сформировать топ-10 рисков проекта, которые всегда будут в поле зрения проджект-менеджера.

Если риск случился

Самая важная графа в таблице — с действиями, которые мы будем выполнять, когда риск станет реальной ситуацией. План помогает действовать оперативно и заранее запланировать ресурсы не только на проект, но и на случай форс-мажора.

Варианты действий:

  • Уклониться. Например, риск — слабый разработчик на проекте. В этом случае можно запросить более сильного разработчика и устранить риск.
  • Передать третьей стороне. Если заказчик не предоставляет необходимую для проекта информацию, то можно объяснить ему, что без нее дальнейшая разработка невозможна. Так мы передаем риск заказчику.
  • Снизить вероятность или силу риска. В одном из наших проектов на макете был разработан слишком сложный дизайн, который бы затянул сроки разработки. Чтобы снизить вероятность этого риска, мы упростили макет.
  • Принять риск, но подготовить план. Например, если проджект-менеджер уходит на больничный, он может погрузить другого человека в проект и передать дела ему. Так мы принимаем риск, но имеем план на случай угрозы.
  • Эскалация. Подключаем руководство, чтобы противостоять угрозе.

Когда риск выступает как возможность, а не угроза, можно придерживаться следующих стратегий:

  • Использовать. Принять меры, чтобы возможность реализовалась.
  • Увеличить. Повысить вероятность наступления события или силу его воздействия.
  • Принять. Подготовить план использования возможности, но при этом не предпринимать действий для повышения вероятности события.

Пропишите действия по каждому риску, а также подготовьте ресурсы для них.

Вернемся к примеру с заболевшим сотрудником — если вы рассматриваете возможность замены заболевшего сотрудника аутсорсером, то необходимо найти контакты профессионала с портфолио, которое соответствует задачам проекта. Когда решение нужно принимать срочно, вам вряд ли удастся быстро найти хорошую замену члену команды.

Пример анализа рисков

Проанализируем два риска по таблице выше.

Риск № 1: незаинтересованность контактного лица в проекте

Разберем ситуацию, в которой заказчик перевел коммуникацию на сотрудника с низкой заинтересованностью и вовлеченностью в проект.

Источник: внешний, на стороне заказчика

Ответственный: проджект-менеджер, так как он взаимодействует с заказчиком и контактным лицом

Вероятность: низкая. По опыту нашего агентства, риск случается редко.

Последствия: критичные. Если контактное лицо не будет предоставлять необходимую информацию, присутствовать на созвонах и проводить согласование, проект окажется на грани срыва.

Степень влияния на проект: по матрице рисков умеренная, желтый маркер.

Степень управляемости: управляемый, так как проджект-менеджер может принять меры для улучшения ситуации

Действия:

  • объяснить ответственность и последствия низкой вовлеченности в проект (контактному лицу важно отчитаться перед руководством о проделанной работе)
  • эскалировать — сообщить о проблеме руководителю контактного лица, попросить заменить контактное лицо

Риск № 2: творческий кризис у дизайнера

Разберем ситуацию, в которой у дизайнера наступил творческий кризис. Такое случается, например, если заказчик не принимает дизайн-концепцию и дизайнеру не удается попасть в его видение. Он потерян, и не понимает, что делать дальше.

Источник: внутренний, на стороне агентства

Вероятность: низкая. По опыту нашего агентства, риск случается редко.

Ответственный: проджект-менеджер, так как он управляет проектом, является связующим звеном между дизайнером и заказчиком, а также обладает ресурсами для разрешения ситуации.

Последствия: умеренные. Творческий кризис может привести к тому, что заказчик не согласует дизайн-концепцию, или дизайнеру потребуется больше времени на работу. Последствия достаточно весомые, но не критичные.

Степень влияния на проект: по матрице рисков терпимая, зеленый маркер.

Степень управляемости: управляемый, так как проджект-менеджер может принять меры для улучшения ситуации

Действия:

  • привлечь руководителя, чтобы расширить круг ответственных и осведомленных о риске сотрудников
  • провести брейншторм с дизайнерами
  • составить мудборд, чтобы синхронизироваться по стилистике и видению дизайна, цветов, иллюстраций с заказчиком
  • принять помощь другого дизайнера
  • заменить дизайнера

Так будет выглядеть заполненная таблица с рисками:

Ссылка на таблицу для использования.

Как предотвратить риски: 5 советов из нашей практики

Чтобы снизить вероятность того, что риск произойдет, можно проводить «профилактику». Для этого нужно добавить особые действия в ежедневную работу команды и коммуникацию с заказчиком. Расскажем, что из таких действий работает у нас.

Держите заказчика в курсе рисков и объясняйте его ответственность

Некоторые задачи проекта ложатся на клиента, и во время коммуникации мы объясняем его ответственность в этой части. Например, если команда не получит контент, то мы не сможем приступить к дизайну и разработке.

Заказчик может не понимать, как устроена проектная деятельность и создание сайта, поэтому объяснять, к чему приведет игнорирование запросов агентства — задача исполнителя.

Другая частая ситуация — когда на этапе разработки заказчик хочет добавить еще одну функцию. Например,сейчас мы делаем образовательную игру, где заказчик уже в процессе разработки попросил добавить одно условие. Оно предполагало создание новых сценариев и огромный пул дополнительных работ с коррекцией того, что уже сделано.

Правки не приняли — объяснили, что это слишком масштабные изменения, которые приведут к срыву сроков. Заказчик понял, что работа более сложная, чем ему виделось, и затягивать разработку не в его интересах. Узнав о последствиях риска, клиент осознал его и согласился с решением уклониться от угрозы.

Фиксируйте все договоренности текстом

На крупных проектах есть риск потерять какую-либо информацию, поэтому все нужно фиксировать текстом. Для этого можно создать пространство, где команда будет закреплять все важные аспекты проекта. Например, это можно делать в Notion.

Чтобы вся важная информация была под рукой, создайте вики проекта. На скрине выше пример возможного наполнения, которое может варьироваться в зависимости от потребностей проекта и команды.

Оценивайте задачи и закладывайте коэффициент неопределенности

При расчете объема работ полезно закладывать коэффициент неопределенности на случай, если что-то пойдет не так, и реализовавшиеся риски продлят выполнение задач. На скрине ниже — один из примеров, где коэффициент неопределенности помог правильно скорректировать объем работ и попасть в точку с итоговым количеством часов.

Назначайте ответственных и составляйте регламенты

Отсутствие регламентов и ответственных на крупных проектах ведет к хаосу. Чтобы управлять рисками эффективнее, назначайте ответственного за риск. Им не обязательно будет проджект-менеджер, ответственными могут быть и разработчики, и дизайнеры, и тестировщики.

Сотрудник должен понимать и принимать ответственность, нести ее. Для этого закрепляйте ответственных в таблице и во время митингов ставьте сотрудника в курс дела, чтобы он был внимателен к рискам, которые находятся под его контролем.

В долгих и крупных проектах может затеряться важная информация, и на этот случай лучше иметь памятку. Здесь пригодятся регламенты. Их можно фиксировать в чате или пространстве проекта, как мы показывали выше, чтобы они всегда находились под рукой.

При работе нескольких дизайнеров на проекте важно договориться о различных правилах при помощи UI-кита. Например, закрепить стандарты отступов на макетах и выделить ведущего дизайнера. Это поможет уменьшить влияние риска, связанного с работой нескольких дизайнеров и получить единообразные макеты.

Также можно фиксировать и мелкие организационные инструкции. Например, план бронирования переговорок, чтобы члены команды знали заранее, когда и куда идти.

Не забывайте про баланс: слишком много регламентов — это тоже плохо. Если чересчур контролировать разработчиков или дизайнеров, можно задушить инициативу, и тогда сотрудники перестанут разбираться в вопросах самостоятельно.

Если пытаться предотвратить все риски, можно стать параноиком

Сформируйте адекватное отношение к рискам, это поможет спокойно заниматься проектом и относиться к угрозам как к рутине. Все риски предотвратить нельзя — какие-то из них можно игнорировать, но держать в поле зрения до того момента, пока они не станут критичными.

Введите управление рисками как один из рутинных процессов работы с проектом, тогда вероятность негативного события не потревожит команду, ведь у нее будет понятный план действий на случай, если что-то пойдет не так.

Подведем итоги

  • Введите управление рисками, чтобы повысить эффективность ведения проекта, не срывать сроки и сохранить репутацию агентства
  • Составляйте реестр рисков по каждому проекту
  • Анализируйте риски по таблице
  • Уделите особое внимание проработке плана действий на случай возникновения угроз и возможностей
  • Ведите общий реестр рисков для будущих проектов
  • Группируйте риски по степени влияния на проект, риски с оранжевым и красным маркером должны находиться под особым контролем
  • Актуализируйте риски проекта каждые две недели и формируйте топ-10 рисков, которые должны быть в поле зрения команды
  • Регулярно проводите работу по предотвращению рисков, например, закрепляйте регламенты и разъясняйте заказчику последствия угроз
  • Не становитесь параноиком — все риски все равно предотвратить нельзя

В комментариях предлагаем поделиться рисками, которые встречались в вашей практике, и рассказать, какие действия вы предприняли для их разрешения.

Источник

Понравилась статья? Поделить с друзьями:
  • Как найти модератора на авито
  • Как найти котангенс альфа если известен тангенс
  • Численность персонала предприятия как составить таблицу
  • Как быстро найти все делители числа python
  • Как найти родственника по фио