Система управления проектными рисками

Факторы риска оказывают негативное или позитивное влияние, как минимум, на одну из составляющих целей проекта (сроки, стоимость, качество). Следовательно, управление рисками должно быть нацелено на минимизацию негативных последствий неблагоприятных событий и максимизацию выгод в случае наступления благоприятных событий.

В процессе разработки системы интегрированного управления рисками проекта необходимо решить следующие задачи:

– разработка и применение единообразных и последовательных подходов к выявлению, оценке и элиминированию рисков проекта;

– выявление рисков, которые в наибольшей степени влияют на результаты реализации проекта, и разработка эффективной системы мероприятий по их элиминированию;

– формирование возможности для акционеров (владельцев) задавать и отслеживать качество управления рисками проекта на основе четких и понятных критериев;

– организация целенаправленной деятельности по управлению рисками с целью снижения их до приемлемого уровня, либо передача третьей стороне;

– оперативное реагирование на возникающие рисковые события, отслеживание изменений внешней и внутренней бизнес-среды;

– обеспечение комплексной работы по управлению рисками на регулярной основе, четко разграничив ответственность за наступление рисковых событий между различными направлениями деятельности и уровнями управления;

– обеспечение функционирования внутреннего контроля и аудита, а также раскрытие информации по рискам;

– снижение возможных рисковых убытков (потерь) и оптимизация затрат на все мероприятия, направленные на элиминирование рисков;

– внедрение информационной системы интегрированного управления рисками инновационного проекта.

Стадии (этапы) основного процесса управления рисками проекта могут быть классифицированы по-разному. С учетом существующей практики процесс управления рисками проекта, как правило, включает в себя следующие стадии:

– разработка целей и стратегий по управлению рисками;

– идентификация рисков;

– оценка и анализ рисков;

– элиминирование рисков;

– мониторинг рисков.

1. Разработка целей и стратегий по управлению рисками проекта осуществляется для определения модели будущего результата реализации проекта, а также конкретной совокупности ресурсов и способов (методов) их использования для получения требуемых ключевых экономических показателей реализации проекта.

Цель предполагает выбор конкретной модели будущего результата предпринимательской деятельности и совокупности ресурсов и методов их использования при наличии рассматриваемых факторов риска. Причем признаки, свойства и мера этого результата должны быть точно определены.

Разработка стратегий по управлению рисками опирается на план риск-менеджмента.

План риск-менеджмента должен охватывать следующие основные аспекты:

методологию – подходы, инструменты и источники информации, которые могут быть использованы для осуществления управления рисками;

распределение полномочий и ответственности – решение вопроса о том, какая структура и кто в ней осуществляет управление рисками для каждого типа действий и несет ответственность за результаты управления;

график проведения мероприятий – определяет, как часто будут осуществляться процедуры риск-менеджмента на предприятии. Результаты должны быть получены достаточно рано для принятия правильных решений. Решения должны периодически пересматриваться в процессе текущей деятельности;

методы расчетов и их интерпретация для проведения качественного и количественного анализа;

границы допустимости риска – пороговые критерии для каждого заинтересованного лица;

формы отчетов – описание того, как результаты процесса риск-менеджмента будут отражены в документации, как они будут анализироваться и передаваться для менеджеров, внутренних и внешних акционеров, контрагентов, инвесторов и т.д.

Для разработки плана риск-менеджмента могут использоваться стандартные технологии планирования. При этом для отдельных проектов следует использовать планирование "снизу вверх", так как каждый проект имеет свои особенности, а соответственно и подходы к управлению риском при их реализации могут различаться. Поэтому общий план риск-менеджмента необходимо корректировать с учетом особенностей конкретных проектов.

В результате разработки плана риск-менеджмента должны быть получены:

руководящие документы (стандарты предприятия) по организации риск-менеджмента. К таким документам может относиться, например, положение по управлению риском, содержащее ключевые моменты стратегии риск-менеджмента. Положение отражает философию компании по отношению к управлению риском. В нем должно быть очерчено разграничение полномочий между различными структурными единицами, указано, кто отвечает за определенные аспекты риск-менеджмента и т.п.;

план риск-менеджмента, отражающий методологию, распределение полномочий и ответственности, график проведения мероприятий, методы расчетов и их интерпретацию, границы допустимости риска, формы отчетов по каждому процессу и т.п. План риск-менеджмента не содержит мероприятий по противодействию конкретным рискам – он дополняется планом противорисковых мероприятий, разрабатываемым отдельно.

2. Идентификация (диагностика) рисков представляет процесс выявления подверженности организации неопределенности, что предполагает получение полной информации об организации, рынке, законодательстве, социальном, культурном и политическом окружении. Для идентификации риска необходим методологический подход с тем, чтобы выявить максимальное число рисков, которым подвержена организация во всех сферах деятельности.

Поскольку идентификация является обязательным и необходимым элементом процедуры управления рисками, ее определение дается практически во всех стандартах, регламентирующих процессы риск-менеджмента. К наиболее часто применяемым стандартам относится международный стандарт, разработанный Федерацией европейских ассоциаций риск-менеджеров (FERMA). В соответствии с ним, идентификация риска представляет собой процесс выявления подверженности организации неопределенности.

К основным ресурсам идентификации риска относятся:

план риск-менеджмента, разработанный на предыдущем этапе деятельности;

внутренние документы, регулирующие деятельность предприятия в различных областях – положение об организационной структуре, положение о финансовой структуре, документы, регламентирующие ресурсное обеспечение, закупки, систему сбыта, организацию бухгалтерского и управленческого учета и т.п. Это связано с тем, что идентификация рисков требует понимания миссии предприятия, особенностей его деятельности, интересов менеджеров и владельцев, что невозможно без получения данных по другим функциональным областям;

концепции и планы по отдельным проектам предприятия;

принципы классификации риска. Они могут быть отражены в положении по управлению рисками, разрабатываемом на первом этапе, либо в плане риск-менеджмента. Если этого там нет, то такие принципы необходимо разработать;

информация из внешних источников, связанная с деятельностью подобных предприятий. Источниками такой информации могут быть знания и опыт менеджеров, коммерческие базы данных, публикации в научных журналах и т.д.

Идентификация рисков осуществляется различными методами, среди которых наиболее распространены следующие.

Мозговой штурм является, пожалуй, наиболее часто используемой технологией идентификации риска. Его цель – получить обширный список рисков, который может быть использован впоследствии для проведения качественного и количественного анализа риска. Как известно, мозговой штурм базируется на следующих правилах:

– критика высказываемых идей нежелательна;

– количество высказанных идей превалирует над их качеством;

– развитие идей других участников, безусловно, желательно;

– не существует авторского права и иерархических различий.

В мозговом штурме может участвовать значительное количество участников, так как именно это обеспечивает необходимую широту списка рисков.

Метод Дельфи используется для достижения согласованного мнения экспертов по перечню и характеристикам рисков. Участники идентифицируют риски анонимно и не встречаются друг с другом. Полученные результаты передаются экспертам для дальнейшей работы. Метод Дельфи помогает снизить необъективность и удерживает любого участника от чрезмерного влияния на результаты процесса.

Анкетирование. Можно идентифицировать риски путем анкетирования экспертов с помощью специально разработанных опросных листов. Менеджер, отвечающий за идентификацию риска, подбирает подходящих экспертов и снабжает их необходимой информацией, например структурой декомпозиции работ и списком допущений. Эксперты выделяют риски, исходя из собственного опыта, информации о проекте и других источников информации, которые они сочтут полезными.

SWOT-анализ. Позволяет рассмотреть предприятие с точки зрения каждой из SWOT-сторон (сильные и слабые стороны предприятия, благоприятные возможности и угрозы со стороны внешней среды) и расширить перечень принимаемых во внимание рисков.

Структурные диаграммы позволяют анализировать особенности структуры предприятия и вытекающие из них риски. Данные, полученные таким путем, полезны прежде всего для оценки внутренних рисков, связанных с качеством менеджмента, организации сбыта и т.д., а также коммерческих рисков. Структурные диаграммы позволяют определить несколько форм возможного внутреннего риска: дублирование, зависимость и концентрацию. Конкретный вид структурных диаграмм зависит от сложившегося типа управления и принципов разделения функций для различных предприятий.

Потоковые диаграммы изображают отдельные технологические процессы и их взаимосвязь. Их можно разделить на три большие группы, описывающие:

– отдельный технологический процесс внутри предприятия;

– совокупность производственных процессов и элементов управления;

– технологическую цепочку, в которой предприятие составляет одну из частей.

Анализ потоковой диаграммы позволяет выявить "узкие места" производственного процесса.

В результате идентификации можно осуществить описание риска, которое представляет собой подробное описание выявленных рисков в определенном формате, что позволяет провести дальнейший, качественный анализ риска.

Описание риска может быть представлено в виде таблицы (табл. 6.3).

Таблица 6.3

Формат описания риска

Наименование риска

Название

Сфера риска

Описание событий, тин, количество и сферы воздействия

Тип риска

Тип риска в соответствии с бизнес-процессами

Заинтересованные лица

Заинтересованные лица и их ожидания

Количественное выражение риска

Важность, вероятность, последствия

Приемлемость риска

Возможные убытки и их финансовое значение. Цена риска.

Вероятность и размер возможных убытков (прибыли).

Цели контроля риска и желаемый уровень исполнения поставленных задач

Управление риском и механизмы контроля

Действующие методы и практика управления риском.

Уровень надежности существующей программы контроля рисков.

Существующие отчеты (протоколы учета и анализа контроля риска)

Возможности для улучшения

Рекомендации по управлению риском

Стратегические изменения

Определение степени ответственности за разработку и внедрение стратегии управления риском

Описание риска служит основой для формирования "карты риска" организации, которая обобщает данные об описании риска, действующие механизмы контроля, планируемые мероприятия по снижению уровня риска, ответственных за мероприятия. Формирование "карты риска" позволяет четко сформулировать приоритетные направления в части управления рисками, определить наиболее эффективные методы контроля. В этих документах находят отражение не только категории рисков отдельных подразделений компании, описание их причин, вероятность возникновения, но и контрольные процедуры в отношении конкретных рисков, план действий по их минимизации, а также ответственность сотрудников различных структурных подразделений за управление рисками.

3. В процессе оценки и анализа рисков проекта в зависимости от уровня неопределенности используются качественные, количественные оценки или стресс-анализ.

Различные организации применяют разные методы измерения последствий и вероятностей событий. Для многих организаций достаточно использовать трехмерный метод оценки последствий – высокий уровень, средний, низкий.

Шкала вероятности риска обычно принимает значения от 0 (вероятность отсутствует) до 1 (полная определенность). Шкала тяжести риска отражает степень его влияния на цели проекта. Она может быть порядковой или количественной (числовой). Пример шкалы тяжести риска приведен в табл. 6.4.

Таблица 6.4

Пример описания влияния риска на цели проекта

Влияние на цели (ранговый коэффициент)

Цели проекта

Очень незначительное (0,05)

Небольшое (0,1)

Умеренное (0,2)

Существенное (0,4)

Очень значительное (0,8)

Затраты

Незначительный рост затрат

Рост затрат до 5%

Рост затрат в пределах

5-10%

Рост затрат в пределах 10-20%

Рост затрат свыше 20%

График выхода на рынок с новым продуктом

Незначительное отставание от графика

Отставание от графика

в пределах 5%

Задержка на 5-10%

Задержка на 10-20%

Задержка более чем на 20%

Объем продаж

Уменьшение объема продаж едва заметно

Сокращение за счет менее конкурентоспособной продукции

Сокращение за счет основной продукции

Сокращение объема продаж ставит под угрозу благосостояние

Продолжение деятельности становится бессмысленно

Качество

Снижение качества едва заметно

Снижение происходит только на незначительных участках

Снижение качества требует одобрения покупателей

Снижение качества становится неприемлемым

для покупателей

Продолжение деятельности становится бессмысленно

Используя эти либо другие оценочные шкалы, можно определить ранг риска по отношению к целям проекта.

В проекте (или в организации, выполняющей проект) задается ранжированная матрица вероятностей и последствий риска. Эта матрица показывает уровень приемлемости риска для конкретной организации или проекта. Пример такой матрицы показан в табл. 6.5.

Таблица 6.5

Пример ранжированной матрицы вероятности и тяжести (последствий) риска

Оценки вероятности и тяжести для специфического риска

Вероятность

(Р)

Значение риска = Р • I

0,9

0,05

0,09

0,18

0,36

0,72

0,7

0,04

0,07

0,14

0,28

0,56

0,5

0,03

0,05

0,10

0,20

0,40

0,3

0,02

0,03

0,06

0,12

0,24

0,1

0,01

0,01

0,02

0,04

0,08

0,05

0,10

0,20

0,40

0,80

Влияние на цели (стоимость, время, масштаб) (I)

Качественный анализ рисков требует точных и объективных данных, которые могут оказаться полезными для управления. Проверка качества, полноты и надежности данных позволяет оцепить степень, в которой результаты качественного анализа окажутся полезными для риск-менеджмента.

Основные результаты качественного анализа риска проявляются в следующем:

перечень проранжированных рисков, который может быть впоследствии использован для распределения ресурсов между различными участками деятельности предприятия или различными проектами;

список приоритетных рисков, требующих дальнейшего анализа и управления.

Количественный анализ рисков нацелен на получение численной оценки вероятности каждого риска и его влияния на цели предприятия. Количественный анализ риска обычно проводится после качественного. Можно использовать следующие ресурсы для проведения количественного анализа риска:

– план риск-менеджмента;

– перечень выявленных рисков;

– перечень приоритетных рисков;

– информацию из внешних источников;

– внутренние документы предприятия.

Результаты количественного анализа риска:

ранжированный перечень количественно измеренных рисков. Включает те риски, которые представляют собой наибольшие угрозы или дают наиболее благоприятные возможности, а также количественные оценки их влияния;

прогнозы затрат, прибылей, графиков реализации проектов предприятия с учетом их вероятности;

оценки вероятности достижения целей при текущем уровне знания рисков.

Важным результатом количественного анализа должно стать примерное определение бюджета противорисковых мероприятий, т.е. того, сколько может потратить предприятие на снижение рисков, исходя из их общей вероятности и тяжести финансовых потерь, вызванных этими рисками.

4. Элиминирование рисков обеспечивает доведение выявленных и оцененных рисков до приемлемого уровня. Поиск приемлемого риска позволяет оценить воздействие рисков, концентрировать и распределять ресурсы, а также разрабатывать соответствующую программу (комплекс мероприятий), направленную на превентивное и последующее воздействие на риск.

Планирование противорисковых мероприятий должно быть адекватным тяжести воздействия рисков, эффективным с точки зрения затрат и результатов, соответствующим по времени, реалистичным, согласованным со всеми заинтересованными сторонами и адресным по распределению полномочий и ответственности. Часто требуется выбирать наилучшие меры из нескольких возможных альтернатив.

К основным ресурсам для разработки плана противорисковых мероприятий относятся:

– план риск-менеджмента;

– перечень ранжированных рисков, полученный в результате качественного анализа;

– перечень приоритетных рисков с их количественной оценкой, полученный в результате количественного анализа;

– прогнозы затрат, прибылей, графиков реализации проектов предприятия с учетом их вероятности;

– оценки вероятности достижения целей при текущем уровне знания рисков;

– перечень потенциальных мер реагирования на риск, доступных предприятию. В процессе идентификации риска могут быть определены действия, позволяющие реагировать на отдельные риски или категории риска;

– границы допустимости риска. На разработку плана мероприятий оказывает влияние уровень риска, который организация считает приемлемым;

– потенциальный объем финансирования риска (бюджет противорисковых мероприятий), составленный с учетом результатов качественного и количественного анализа рисков.

В результате планирования противорисковых мероприятий разрабатываются следующие документы.

• План противорисковых мероприятий. Должен быть составлен для такого уровня детализации, на котором будут осуществляться действия. Должен включать некоторое или все из ниже перечисленного:

– выявленные риски, их описания, область деятельности, на которую влияют риски, их причины и то, как они могут повлиять на цели предприятия;

– носители риска и связанная с ними ответственность;

– результаты качественного и количественного анализа риска;

– согласованные меры по управлению каждым из приоритетных видов риска;

– уровень остаточного риска, ожидаемый после осуществления стратегии риск-менеджмента;

– специфические меры по осуществлению выбранной стратегии;

– бюджет и время для осуществления мер управления риском;

– планы непредвиденных случайностей и борьбы с последствиями.

• Остаточные риски. Это те риски, которые остаются после принятия мер по управлению риском. Это также менее значимые риски, принятые предприятием и оставленные путем создания резервов ресурсов и времени.

• Вторичные риски. Эти риски возникают как прямой результат осуществления противорисковых мероприятий. Они должны быть выявлены и рассмотрены на предмет управления ими.

• Проекты возможных контрактов, которые позволяют определить ответственность каждой стороны по специфическим рискам, если они наступят, а также по страхованию, услугам и другим возможным действиям для избежания или уменьшения угроз.

• Необходимые резервы на непредвиденные события.

• Предложения по пересмотру плана риск-менеджмента и стратегий управления в других функциональных областях.

5. Мониторинг рисков проекта обеспечивает текущий анализ уровня диагностированных рисков и его соответствия уровню приемлемого риска, а также разработку контрольных процедур, направленных на повышение эффективности интегрированного управления рисками проекта.

Схема основного процесса управления рисками проекта представлена на рис. 6.3.

Рис. 6.3. Схема основного процесса управления рисками проекта

Результатом идентификации, анализа и оценки риска является отчет, содержащий информацию, позволяющую менеджеру принять рискованное решение.

Полученные оценки и принятое решение являются исходными данными для разработки мероприятий по снижению риска.

На первой фазе данного этапа происходит выбор стратегии и тактики управления рисками. Стратегия определяет направление и методы использования ресурсов для достижения поставленных целей. Тактика представляет набор практических методов и приемов риск-менеджмента для ограничения степени риска в конкретных условиях.

На следующей фазе осуществляется выбор средств и приемов управления риском, что предполагает выработку управленческого решения, содержащего экономически обоснованные рекомендации и мероприятия, направленные на уменьшение начального уровня риска до приемлемого уровня.

Завершающей фазой выступает разработка программы действий по снижению степени и величины риска. Программа представляет набор управляющих воздействий в виде антирисковых мероприятий и необходимых для этого объемов и источников финансирования, конкретных исполнителей и сроков выполнения.

Заключительными стадиями процесса выступают организация выполнения намеченной программы, контроль выполнения программы, анализ и оценка результатов антирисковых мероприятий (на основании составляемого отчета).

Важное значение имеет также мониторинг процесса риск-менеджмента. По мере осуществления деятельности риски меняются, прогнозируемые риски исчезают и возникают новые риски. Хорошо поставленные процессы мониторинга и контроля дают информацию, помогающую принимать эффективные решения еще до того, как возникают новые риски. Цель мониторинга риска – определить, что:

– противорисковые меры были приняты так, как это планировалось;

– противорисковые действия настолько эффективны, насколько ожидалось;

– угроза риска изменилась с момента ее первоначального выявления;

– имеются сигналы, свидетельствующие о возможности наступления риска;

– возникли риски, не выявленные раньше.

Целесообразно осуществлять мониторинг на трех уровнях, соответствующих уровням управленческой иерархии (рис. 6.4).

Рис. 6.4. Уровни управления и мониторинг риск-менеджмента

Контроль риска включает периодическую отчетность, а также постаудит по противорисковым мероприятиям, что позволяет судить об эффективности плана риск-менеджмента и коррективах, которые нужно внести в план для уменьшения риска.

К основным ресурсам для мониторинга и контроля риска относятся:

– план риск-менеджмента;

– план противорисковых мероприятий;

– результаты проведения дополнительной идентификации и анализа не выявленных ранее, либо вновь возникших рисков.

Можно выделить следующие основные методы мониторинга и контроля риска.

• Контрольные листы, например те анкеты, которые использовались для идентификации риска, могут также использоваться для мониторинга и контроля риска. Следует обратить внимание на внесение в них дополнительных пунктов, если они кажутся важными для конкретного проекта.

• Аудит риска. Аудиторы анализируют и фиксируют эффективность планирования противорисковых мер по избежанию, передаче и снижению риска, а также эффективность действий лиц, ответственных за риск.

• Периодический анализ результатов осуществления проектов. Должен осуществляться регулярно. Ранжирование рисков может изменяться в течение жизненного цикла проекта. Любые изменения могут потребовать дополнительного качественного и количественного анализа риска.

• Анализ полученных доходов. Используется для сравнения с базовыми планами.

• Анализ бюджета.

В результате мониторинга и контроля риска разрабатываются:

дополнительные рабочие планы. Это незапланированные ранее меры реагирования на растущие риски. Должны быть правильно зафиксированы и внесены в план управления риском;

перечень возможных корректирующих воздействий;

перечень вносимых изменений в план противорисковых мероприятий;

база данных предприятия по рискам;

обновленные контрольные листы для идентификации риска.

Общая схема этапов риск-менеджмента представлена в табл. 6.6. Отметим, что жирным шрифтом в ней выделены те ресурсы, которые стали результатом предыдущих этапов деятельности, курсивом – другая информация, уже использовавшаяся на предыдущих этапах.

Таким образом, правильно организованное управление рисками представляет собой совокупность итеративных процессов, причем, чем более отдаленным является этан, тем меньше потребность менеджеров во внешней информации и больше внимания уделяется результатам предыдущих этапов. Это накладывает жесткие требования на качество осуществляемой деятельности.

Таблица 6.6

Схема этапов организации процесса риск-менеджмента (информационное обеспечение)

Этап риск-менеджмента

На входе (ресурсы)

На выходе (результаты)

Разработка плана риск-менеджмента

Стратегия риск-менеджмента на предприятии; нормативно-правовые акты, регулирующие деятельность предприятия;

документы, регламентирующие деятельность предприятия; информация о внешнем экономическом окружении предприятия;

организационная структура предприятия; информация о склонности к риску менеджеров и собственников;

другие необходимые данные

Руководящие документы (стандарты предприятия) по организации риск-менеджмента; план риск-менеджмента

Идентификация риска

План риск-менеджмента;

принципы классификации риска;

внутренние документы, регулирующие деятельность предприятия в различных областях;

концепции и планы по отдельным проектам предприятия;

информация из внешних источников

Перечень выявленных рисков; перечень факторов риска

Качественный анализ

План риск-менеджмента;

перечень выявленных рисков и влияющих на предприятие факторов риска;

внутренние документы, регулирующие деятельность предприятия в различных областях;

концепции и таны по отдельным проектам предприятия;

требования к качеству информации

Ранжированный перечень рисков; список приоритетных рисков

Количественная оценка

План риск-менеджмента;

ранжированный перечень рисков;

перечень приоритетных рисков;

информация из внешних источников;

внутренние документы предприятия

Перечень приоритетных рисков с их количественной оценкой; прогнозы затрат, прибылей, графиков реализации проектов предприятия с учетом их вероятности;

оценки вероятности достижения целей; потенциальный объем финансирования риска (бюджет противорисковых мероприятий)

Разработка и осуществление плана противорисковых мероприятий

План риск-менеджмента; ранжированный перечень рисков;

перечень приоритетных рисков с их количественной оценкой;

прогнозы затрат, прибылей, графиков реализации проектов предприятия с учетом их вероятности;

оценки вероятности достижения целей; потенциальный объем финансирования риска (бюджет противорисковых мероприятий);

перечень потенциальных мер реагирования на риск, доступных предприятию;

границы допустимости риска

План противорисковых мероприятий;

перечень остаточных рисков;

перечень вторичных рисков;

проекты возможных контрактов;

необходимые резервы на непредвиденные события;

предложения по пересмотру плана риск-менеджмента и стратегий управления в других функциональных областях

Мониторинг и контроль

План риск-менеджмента;

план противорисковых мероприятий;

результаты проведения дополнительной идентификации и анализа остаточных и вторичных рисков

Дополнительные рабочие планы; перечень возможных корректирующих воздействий;

перечень вносимых изменений в план противорисковых мероприятий;

база данных предприятия по рискам; обновленные контрольные листы для идентификации риска