Управление рисками — почему процедуры так редко работают?

Кажущаяся простота

В любом учебнике, включая PMBOK, процедура управления рисками описывается в кристально простых и понятных терминах.

Риск нужно:

  • выявить
  • подвергнуть качественному и количественному анализу
  • поместить в соответствующий раздел матрицы рисков
  • принять решение по работе с ним
  • отслеживать до наступления или потери актуальности.


Однако в реальной жизни не так часто можно увидеть аккуратное следование этим процедурам и еще реже — пользу от этого.

За кажущейся простотой лежит ежедневная работа руководителя проекта, требующая дисциплины, творческого подхода и интеллектуальных усилий. А поскольку риск — это вероятное событие в будущем, которое может быть и не произойдет, заниматься этим сейчас некогда и не хочется — есть более насущные задачи.

Допустим, руководитель проекта понимает, что управлять рисками необходимо. Убеждать его в этом не нужно. Но как это сделать наиболее эффективным способом? Какие приемы и инструменты стоит использовать, чтобы с минимальными затратами времени действительно снизить потери от наступления рисков?
Инструменты работы с рисками

Есть набор обязательных инструментов, наличие которых, а также качество содержания уже говорит о том, что руководитель проекта старается управлять рисками. Это

  • Реестр рисков
  • Карточки критических рисков
  • Поручения и задачи, связанные с рисками


Однако их наличие само по себе не обеспечивает результат.

Первое — необходимо правильно определить риск. Как правило, к неблагоприятным последствиям приводит цепочка событий. Что называть риском? Последствия или одно из событий, которые к нему приводят?

Давайте рассмотрим простой пример.

На рисунке приведена одна и та же цепочка, но акцент сделан на разных звеньях.

mysyduolopw9gn3iid3cpau-nxw.png

Можно попытаться никогда не опаздывать на работу. Например, чтобы наверняка избежать опоздания, выходить на полчаса раньше. И это хороший вариант, если вы — жаворонок, и полчаса сна утром для вас не является большой ценностью.

А можно перенаправить стационарный телефон на мобильный, и наверняка избежать пропущенного звонка, несмотря на опоздание.

Стоимость борьбы с вероятностью наступления риска в двух случаях разная. Полчаса сна или ничего не стоящее перенаправление на мобильный. В зависимости от определения, с чем мы боремся, стоимость предотвращения может различаться кардинально.

Рисковое событие — это то, с чем мы будем бороться, что мы будем пытаться предотвратить.
В качестве практической подсказки для определения рискового события можно использовать следующие критерии:

  • Событие находится под непосредственным контролем — его можно распознать, на него можно воздействовать.
  • Событие гарантированно приводит к наступлению последствий.
  • Есть стандартный способ решения возникающей проблемы и этот способ, как правило, недорогой.


Выявление рисков — процесс постоянный. Они могут быть сформулированы на основе предыдущего опыта, анализа текущей ситуации, их может сообщить кто угодно, и в какой угодно форме. Если держать глаза открытыми, информация о рисках будет всегда.
Вопрос в том, что из этого достойно попасть в реестр?

Запись в реестре рисков должна отличать конкретность:

  • Если произойдет…
  • Наступят последствия…
  • Мы по этому поводу можем сделать следующее…


По каждому риску назначается ответственный и дата контроля.

Я рекомендую следующую структуру реестра рисков, которая, впрочем, может быть изменена или дополнена в соответствие с конкретными условиями и предпочтениями:

  1. № — Уникальный код риска
  2. Название — краткое обозначение риска
  3. Описание — описание рискового события и последствий
  4. Открыт — Дата регистрации риска
  5. Инициатор — ФИО инициатора
  6. Контроль риска — ФИО ответственного за регулярный контроль риска
  7. Приоритет — Высокий/ Средний/ Низкий
  8. Требуемая дата решения — Когда нужно решить о действиях по риску или проблеме
  9. Последствия наступления риска (сроки и стоимость) — К чему приведет наступление риска, в численном выражении.
  10. Действия по борьбе с риском — Что делать с риском
  11. Ответственный за действия — Кто должен эти действия выполнить
  12. Плановая дата действий — Когда нужно выполнить действия
  13. Действия при наступлении риска — Что делать, если риск наступит
  14. Дата статуса — Дата обновления статуса
  15. Статус — Открыт/ Анализ выполнен/ Решено/ Закрыт


Карта риска
Наиболее важные риски достойны того, чтобы по ним создать отдельный документ — карту риска.

В карте риска мы пишем:

  • подробное описание того, что может произойти
  • какие последствия возникнут, желательно выраженные в деньгах
  • вероятность возникновения
  • варианты действий (ничего не предпринимать, сделать что-то, сделать что-то другое)
  • Решение и план действий


kanpswhfed0ijndh96ix-zbozkg.png

Карта риска очень удобна для эскалации. Если действия зависят от кого-то другого, кто не во власти руководителя проекта, то эскалация необходима.

3. Исполнение плана работы с рисками

Можно выявлять риски, вести реестр, оформлять карточки. Но если нет действий по рискам, то все предыдущие шаги оказываются бесполезными.

Возможны следующие стратегии работы с риском и примеры ее применения:

  • Уклониться — не делать проект; отказаться от применения неизвестной технологии.
  • Сдерживать — предпринять любые действия по снижению вероятности или степени влияния последствий: привлечь субподрядчика с соответствующим опытом; переместить рискованные задачи в начало проекта; провести дополнительное тестирование.
  • Принять — сформировать резерв под наступление риска (временной буфер, запас в бюджете)
  • Передать — возложить кого-то (заказчика, подрядчика, страховую компанию) ответственность за реализацию задачи, по которой есть риск, или его последствия.


После того, как вы решили, какую стратегию выбрать, запланировали действия, важно обеспечить их выполнение.

На одном из проектов я применял следующую практику. Назначал совещание по рискам с заместителем генерального директора заказчика и приходил с несколькими карточками рисков. Просил прочитать, при необходимости что-то пояснял, просил выбрать один из вариантов или сформулировать другое решение. После этого — расписаться на бумаге. Это очень стимулировало к действиям людей в подчинении этого руководителя.

Однако не всегда такая схема применима, если не соответствует корпоративной культуре или у руководителя есть тактика ухода от решения. Манипуляция — дело творческое.

На другом проекте мы оформляли карты рисков на портале проекта (см. Использование JIRA и Confluence в ведении проекта), которые потом собирались в реестр автоматически. Такой вариант удобнее, чем пытаться вместить все обилие информации в таблице Excel. Более того, за счет связи с системой управления задачами было легко вести планирование и контроль действий по рискам.

Это изложение не претендует на строгость терминов и полноту раскрытия темы. Вместо этого я постарался поделиться тем, что реально работает.

Если осознавать важность управления рисками, систематически пользоваться инструментами и подходить к этому практично, то можно избежать множества осложнений и вызванной ими лишней работы.

© Habrahabr.ru