Утвержден Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2007 г. N 422-ст Дата введения - 1 января 2010 года НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕНЕДЖМЕНТ РИСКОВ ПРОЕКТОВ ОБЩИЕ ПОЛОЖЕНИЯ PROJECT RISK MANAGEMENT. GENERAL ГОСТ Р 52806-2007 Предисловие Цели и принципы стандартизации в
Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N
184-ФЗ "О техническом регулировании", а правила применения
национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004
"Стандартизация в Российской Федерации. Основные положения". Сведения о
стандарте 1. Разработан Научно-техническим центром
"ИНТЕК". 2. Внесен Техническим комитетом по
стандартизации ТК 100 "Стратегический и инновационный менеджмент". 3. Утвержден и введен в действие Приказом
Федерального агентства по техническому регулированию и метрологии от 27 декабря
2007 г. N 422-ст. 4. Введен впервые. Информация об изменениях к настоящему
стандарту публикуется в ежегодно издаваемом информационном указателе
"Национальные стандарты", а текст изменений и поправок - в ежемесячно
издаваемых информационных указателях "Национальные стандарты". В
случае пересмотра (замены) или отмены настоящего стандарта соответствующее
уведомление будет опубликовано в ежемесячно издаваемом информационном указателе
"Национальные стандарты". Соответствующая информация, уведомление и
тексты размещаются также в информационной системе общего пользования - на
официальном сайте Федерального агентства по техническому регулированию и
метрологии в сети Интернет. Введение Менеджмент рисков проектов позволяет
обеспечить как идентификацию возможностей предприятий, так и снижение влияния
отрицательных факторов на их деятельность. Систематическое проведение оценки рисков
в области менеджмента проектов позволяет обеспечить: - более реалистичное планирование
производства и выполнения проекта; - своевременное и эффективное принятие
необходимых мер; - уверенность в достижении
производственных целей и задач проекта; - понимание и использование всех
благоприятных возможностей; - эффективное управление возможными
потерями; - эффективное управление проектными и
производственными издержками; - гибкость в результате понимания всех
вариантов и связанных с ними рисков; - эффективное управление развитием
инновационных работ и производства; - снижение влияния непредвиденных и
неблагоприятных ситуаций в результате эффективного планирования. Менеджмент рисков проекта позволяет
учесть риски предприятия, которые влияют на выполнение проектов и содействуют
возникновению вторичных рисков, влияющих на производственную деятельность. В
рамках любого проекта существуют также риски, присущие как самому проекту, так
и входящим в него подпроектам. Важное значение в уточнении целей и
проведении оценки рисков имеет идентификация участников проекта (далее -
участников). В настоящем стандарте особое внимание уделено анализу участников и
включению этого анализа в процесс менеджмента рисков. Если участники не
идентифицированы и нет четкого понимания в отношении их состава на раннем этапе
реализации проекта, фактический объем решаемых задач и источники значительного
риска могут остаться незамеченными. Идентификация участников также позволяет
определить взаимозависимость между производством, производственной средой и
условиями, в которых будут выполняться проекты. Учет мнений всех
заинтересованных участников при планировании может обеспечить более широкую
ориентацию на возможные точки зрения. Настоящий стандарт следует использовать
совместно с ГОСТ Р 51901.4-2005 "Менеджмент риска. Руководство по
применению при проектировании". Стандарт разработан с учетом требований
стандарта BS 6079:2000 Часть 3: "Менеджмент проектов. Руководство по
менеджменту риска проектов, связанных с бизнесом". 1. Область
применения Настоящий стандарт устанавливает
руководство по менеджменту рисков, возникающих при выполнении проектов.
Требования настоящего стандарта должны учитываться различными предприятиями,
разрабатывающими или реализующими проекты в промышленных, коммерческих,
государственных или частных секторах. Настоящий стандарт не заменяет требований
действующих стандартов по оценке рисков в конкретных областях применения. Настоящий стандарт рассматривает
менеджмент рисков как неотъемлемую часть устоявшейся практики менеджмента.
Менеджмент рисков является итеративным процессом, состоящим из этапов, которые
обеспечивают постоянное улучшение процесса принятия решений. Их эффективное применение
зависит от опыта и знаний специалистов, а также их способности принимать
решения, руководствуясь предложенными рекомендациями, а не просто ориентируясь
на соблюдение последовательности выполнения установленных этапов. Основные характеристики процесса
менеджмента рисков при реализации проектов показаны на рисунке 1. ┌───────────────────────────┐ ┌───────────────────┐ │ ┌───────┴────────┐ │
ОБМЕН │ │ │ МОНИТОРИНГ И
│ │
ИНФОРМАЦИЕЙ │ \/ │ ПЕРЕСМОТР
│ │ И
ПРОВЕДЕНИЕ │ ┌─────────────────────────────┐ │ │ │
КОНСУЛЬТАЦИЙ │ │
УСТАНОВЛЕНИЕ СИТУАЦИИ │ │ │ │
│<....>│ Цели
бизнеса и проектов. │<....>│ │ │
│ │ │ Проекты
в контексте бизнеса.│ │ │ │ │Что подвергается │ │ │ Границы бизнеса и проектов │
│ │ │ │риску и почему?
│ │ └──────────────┬──────────────┘ │ │ │ │
│ │ │ │ │ │ │
│ │ ┌────────────────┼────────────────┐ │ │ │ │
│ │ │ \/ │ │ │ │ │
│ │ │ ┌─────────────────────────────┐
│ │ │ │ │
│ │ │ │ ИДЕНТИФИКАЦИЯ РИСКА │ │ │ │ │ │
│ │ │ │ Каковы источники риска? │ │ │ │ │ │
│<....>│ Что
представляет риск? │<....>│
Поддержка │ │
│ │ │ │ Откуда он возникает? │ │ │ │ баз данных │ │В чем
│ │ │ │ Группировки и ассоциации │ │ │ │ │ │заключаются
│ │ │ └──────────────┬──────────────┘
│ │ │ Связи и │ │риски?
│ │ │ \/ │ │ │ разъяснения │ │
│ │ │ ┌─────────────────────────────┐
│ │ │ │ │
│ │ │ │ АНАЛИЗ РИСКА │ │ │ │ │ │
│<....>│
Характеристика. │ │ │ │ Мониторинг │ │ │ │ │ Классификация. │<....>│
эффективности│ │ │<....>│Оценка
схожести (подобности).│ │ │
│ процесса │ │
│ │ │ │ Потенциальные последствия │ │ │ │ │ │Что об этом
│ │ │ └──────────────┬──────────────┘
│ │ │ Обзор целей, │ │известно?
│ │ │
ОЦЕНКА \/ РИСКА │ │ │ решений и │ │
│ │ │ ┌─────────────────────────────┐
│ │ │ допущений │ │
│ │ │ │ ОЦЕНИВАНИЕ РИСКА │ │ │ │ │ │
│<....>│
Установка критериев. │<....>│
Обновление │ │
│ │ │ │Решение
о ранжировании риска.│ │ │
│ плана │ │
│ │ │ │ Выбор приоритетов │ │ │ │ │ │
│ │ │ └──────────────┬──────────────┘
│ │ │ │ │
│ │ │ │ │ │ │ │ │Насколько
│ │ └────────────────┼────────────────┘ │ │ │ │это важно?
│ │
\/ │ │ │ │
│ │ ┌───────────────┐
Нет │ │ │ │
│ │ │ НУЖНО
│------------>│ │ │
│ │ │СНИЖЕНИЕ
РИСКА?│ │ │ │ │
│ │ └───────┬───────┘ │ │ │ │Что для этого
│ │ Да
\/ │ │ │ │должно быть
│ │ ┌──────────────────────────────────┐
│ │ │ │сделано?
│ │ │ СНИЖЕНИЕ РИСКА │ │ │ │ │
│ │ │ Идентификация опций. │ │ │ │ │
│ │ │ Оценка опций. │ │ │ │ │
│<...│ План
принятия мер. ├─┼>│ │ │ │ │
Оценка вторичных рисков. │
│ │ │ │ │
Распределение ответственности. │
│ │ │ │ │Применение мер по устранению риска│
│ │ └───────────────────┘ └────────────────┬─────────────────┘
└────────────────┘ │ /\ └───────────────────────────┘ Рисунок 1. Схема процесса менеджмента рисков
проектов 2. Нормативные
ссылки В настоящем стандарте использованы ссылки
на следующие стандарты: ГОСТ Р ИСО 10006-2005. Системы
менеджмента качества. Руководство по менеджменту качества при проектировании ГОСТ Р 51897-2002. Менеджмент риска.
Термины и определения ГОСТ Р 51901.4-2005. Менеджмент риска.
Руководство по применению при проектировании. Примечание - При пользовании настоящим
стандартом целесообразно проверить действие ссылочных стандартов в
информационной системе общего пользования - на официальном сайте Федерального
агентства по техническому регулированию и метрологии в сети Интернет или по
ежегодно издаваемому информационному указателю "Национальные
стандарты", который опубликован по состоянию на 1 января текущего года, и
по соответствующим ежемесячно издаваемым информационным указателям,
опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то
при пользовании настоящим стандартом следует руководствоваться заменяющим
(измененным) стандартом. Если ссылочный стандарт отменен без замены, то
положение, в котором дана ссылка на него, применяется в части, не затрагивающей
эту ссылку. 3. Термины и
определения В настоящем стандарте применены термины
по ГОСТ Р 51897-2002, ГОСТ Р 51901.4-2005, ГОСТ Р ИСО 10006-2005, а также
следующие термины с соответствующими определениями: 3.1. Воздействие риска: мера последствия
риска. 3.2. Распределение риска: распространение
риска посредством его распределения между другими участниками. Примечание - Приведенное определение
также относится к термину "передача риска". 3.3. Вторичный риск: риск, возникающий в
результате рассмотрения проблем, связанных с риском. 3.4. Анализ участников: процесс
идентификации участников, их интересов и влияния. 4. Модель
управления рисками при реализации проектов в рамках предприятия 4.1. Общие
положения Результаты принимаемых решений на всех
этапах производственной деятельности предприятия на всех его уровнях, а также в
процессе реализации проектов могут иметь далеко идущие последствия и не должны
рассматриваться отдельно друг от друга. Поэтому большое значение имеет
эффективный обмен информацией не только на всех уровнях предприятия и его
проектов, но также между предприятиями и проектами. В настоящем стандарте представлена модель
менеджмента рисков, включающая в себя два общих направления, которые могут быть
применены в рамках любого предприятия или проекта, а именно: а) определение взаимозависимости между
предприятиями и их проектами; б) моделирование процессов принятия
решений, связанных с деятельностью на различных уровнях предприятия или
проекта. 4.2. Уровни
принятия решений по менеджменту рисков Принятие решений целесообразно
рассматривать в перспективном (временном) и структурном (организационном)
плане. В перспективном плане принятие решений в
области менеджмента рисков происходит на трех уровнях - стратегическом,
тактическом и рабочем. В структурном плане принятие решений может
рассматриваться на уровнях коммерческой деятельности (бизнес-уровень), проекта
и подпроекта. Эти уровни, как правило, соответствуют принятию долгосрочных,
среднесрочных и краткосрочных решений. Примеры принятия решений на этих уровнях
и перечень лиц, ответственных за принятие решений, приведены в таблице 1.
Соответствие между принятием решений в перспективном и структурном планах
приведено в таблице 2. Таблица 1 ПРИМЕРЫ ПРИНЯТИЯ РЕШЕНИЙ НА УРОВНЯХ
ПЕРСПЕКТИВНОГО ПЛАНА
Таблица 2 СООТВЕТСТВИЕ ПРИНЯТИЯ РЕШЕНИЙ НА УРОВНЯХ ПЕРСПЕКТИВНОГО И СТРУКТУРНОГО ПЛАНА
4.3. Принятие
решений на стратегическом уровне На стратегическом уровне определяют цели,
после чего принятие решений на стратегическом уровне должно быть сосредоточено
на вопросах анализа среды и постановки широкомасштабных принципиальных задач,
которые необходимы для достижения цели. Процесс принятия решений на
стратегическом уровне должен также идентифицировать средства достижения цели и
любые ограничения, которые могут сдерживать успешное выполнение работы. Именно
на этом уровне могут быть приняты решения по изменению ранее поставленных
целей, утверждению новых целей или включению изменений в производственную
деятельность или проект для достижения поставленных целей. Принятие решений на стратегическом уровне
устанавливает основу для принятия решений на тактическом уровне, поэтому
стратегические решения должны быть рассчитаны на более долгосрочную
перспективу. Учитывая, что риски, связанные с принятием стратегических решений,
не всегда очевидны во время принятия решения и могут существенным образом
проявиться только в будущем, стратегические решения необходимо постоянно
пересматривать. 4.4. Принятие
решений на тактическом уровне Тактическое принятие решений является
связующим звеном между процессами принятия решений на стратегическом и рабочем
уровнях. На уровне тактического принятия решений осуществляется широкое
внедрение решений, принятых на стратегическом уровне. Поскольку решения,
принятые на стратегическом уровне, имеют определяющий характер, принятие
решений на тактическом уровне должно быть ориентировано на среднесрочную
перспективу и выбор подхода и метода, предложенных на стратегическом уровне.
Область деятельности тактического принятия решений уже, а временные рамки,
финансовая ответственность, область установления целей и проведения политики
более ограничены по сравнению с указанными в 4.3. 4.5. Принятие
решений на рабочем уровне Принятие решений на рабочем уровне имеет
еще более узкий характер и осуществляется в рамках и пределах, установленных
лицами, ответственными за принятие решений на тактическом уровне. Принятие
решений на рабочем уровне должно быть более практичным и ориентированным на
краткосрочную перспективу. 4.6. Ключевые
элементы менеджмента рисков в рамках предприятия Четырьмя ключевыми элементами
эффективного менеджмента рисков при реализации проекта в рамках предприятия
являются: - разработка политики организации,
определяющей принципы и процедуры менеджмента рисков; - создание организационной
инфраструктуры; - разработка программы менеджмента рисков
на уровне предприятия (в том числе и между предприятиями), проекта и
подпроекта; - мониторинг и анализ эффективности
менеджмента рисков на уровне предприятия. 4.7. Коммерческие
аспекты деятельности предприятия на различных уровнях принятия решений Для повышения эффективности менеджмента
рисков при выполнении проектов для целей коммерческой деятельности в рамках предприятия
представляется целесообразным при принятии решений рассматривать коммерческие
аспекты деятельности предприятия на различных структурных уровнях. С этой целью
при принятии решений на любом уровне необходимо учитывать риски, возникающие в
результате принятия несоответствующих решений на более высоких и более низких
уровнях. Этапы менеджмента риска на уровне предприятия <1>
(бизнес-процесса) приведены на рисунке 2. -------------------------------- <1> Здесь и далее под предприятием
понимается не столько сама организационная структура, сколько ее коммерческая
деятельность. ┌────────────────────────────────────────────┐ │ Установка целей проекта │<──────────┐ └──────────────────────┬─────────────────────┘ ┌─────┴─────┐ Да \/ │ Пересмотр │ ┌────────────────────────────────────────────┐ Нет └─────┬─────┘ │Соответствуют ли цели проекта целям бизнеса?├──────────>│ └──────────────────────┬─────────────────────┘ │ Да \/ │ ┌────────────────────────────────────────────┐ │ │ Установить области и границы проекта │ │ └──────────────────────┬─────────────────────┘ │ \/ │ ┌────────────────────────────────────────────┐ Да │ │ Изменились ли цели? ├──────────>│ └──────────────────────┬─────────────────────┘ │ Нет \/ │ ┌────────────────────────────────────────────┐ │ │ Разработать стратегию менеджмента риска │ │ └──────────────────────┬─────────────────────┘ │ \/ │ ┌────────────────────────────────────────────┐ Да │ │ Существенно ли это отразилось на целях? ├──────────>│ └──────────────────────┬─────────────────────┘ Нет \/ ┌────────────────────────────────────────────┐ │ Применить стратегию менеджмента риска │ └────────────────────────────────────────────┘ Рисунок 2. Этапы менеджмента рисков на уровне предприятия (бизнеса) Этапы, которые должны рассматриваться на
уровнях проекта и подпроекта, являются в широком смысле аналогичными, но могут
отличаться в деталях. Однако этапы, которые должны рассматриваться на уровне
предприятия, отличаются от этапов на других уровнях. 5. Менеджмент
рисков 5.1. Стадии и
методы менеджмента рисков Процесс менеджмента рисков состоит из
двух следующих стадий. На первой стадии основное внимание концентрируют на
определении масштаба риска, подлежащего менеджменту, и идентификации риска. Эту
стадию рассматривают как стадию характеризации проблемы. На второй стадии
проводят окончательную оценку и осуществляют снижение риска. Эта стадия
аналогична стадии решения проблемы. Однако в процессе решения проблемы могут
возникнуть вопросы, требующие возврата к стадии характеризации проблемы. Жесткого различия между этими стадиями
проводить не следует, поскольку менеджмент рисков, как правило, является
итеративным процессом, включающим в себя чередование этих стадий. Эффективная характеризация проблемы имеет
большое значение для принятия всех производственных решений и решения проблемы
в целом. Это наиболее чувствительная часть менеджмента. Иногда основное
внимание уделяется процессу анализа и обработки рисков, не рассматривая должным
образом содержание самой проблемы, при отсутствии уверенности в том, что или
кто может быть подвержен риску. Если проблема идентифицирована неправильно, то
в дальнейшем процесс будет развиваться в неверном направлении. Вот почему
характеризация проблемы имеет большое значение для эффективного менеджмента
рисков. Обе стадии менеджмента рисков и этапы
каждой стадии должны быть соблюдены и выполнены на всех уровнях предприятия,
проекта и подпроекта. В таблице 3 приведены краткие описания
существующих методов, а в таблице А.1 Приложения А - действующие национальные
стандарты в области менеджмента рисков, а также содержащиеся в них описания
методов и инструментов менеджмента рисков. Эта информация не является
исчерпывающей, поэтому на практике можно использовать и другие существующие
стандарты и методы. Таблица 3 КРАТКИЕ ОПИСАНИЯ СУЩЕСТВУЮЩИХ МЕТОДОВ МЕНЕДЖМЕНТА
РИСКА
Приоритетной задачей при выполнении
первоочередных работ является обеспечение точного понимания и достижения
согласия между участниками по всем целям, которые должны быть достигнуты на
уровне предприятия, проекта или подпроекта. 5.2. Идентификация
и масштаб рисков на уровне проектов и подпроектов Процесс идентификации рисков
целесообразно рассматривать в первую очередь и только после этого переходить к
проведению анализа и оценки рисков и определению связанных с ними проблем, хотя
фактически эти процессы должны проводиться параллельно. Для проекта и подпроекта
идентифицированные цели, требующие принятия решений на более высоком уровне,
или риски, по которым затруднительно принять эффективные решения на этих
уровнях, следует рассматривать как имеющие большое значение. Иллюстрация
вышесказанного приведена на рисунке 3. ┌───────────────────────────────────────┐ │ Получить, проверить и уяснить цели │<───────────────────┐ └───────────────────┬───────────────────┘ ┌─────────────┴────────────┐ │ │ Представить отчет на │ \/ │уровне бизнеса или проекта│ ┌───────────────────────────────────────┐ Нет └─────────────┬────────────┘ │ Цели ясны? ├───────────────────>│ └───────────────────┬───────────────────┘ │ Да \/ │ ┌───────────────────────────────────────┐ │ │ Установить области и границы проекта │ │ └───────────────────┬───────────────────┘ │ \/ │ ┌───────────────────────────────────────┐ Да │ │ Цели изменились? ├───────────────────>│ └───────────────────┬───────────────────┘ │ Нет \/ │ ┌───────────────────────────────────────┐ │ │Разработать стратегию менеджмента риска│ │ └───────────────────┬───────────────────┘ │ \/ │ ┌───────────────────────────────────────┐ Да │ │Существенно ли это отразилось на целях?├───────────────────>│ └───────────────────┬───────────────────┘ Нет \/ ┌───────────────────────────────────────┐ │ Применить стратегию менеджмента риска │ └───────────────────────────────────────┘ Рисунок 3. Этапы менеджмента рисков на уровнях проекта и подпроекта Значимость этих этапов определяется
следующим: - менеджмент рисков на каждом уровне
принятия решения осуществляется в соответствии с целями и другими
ограничениями, установленными на более высоком уровне (цели проекта
первоначально устанавливаются на уровне предприятия); - если четкие цели и задачи проекта не
удалось определить или довести до сведения всех заинтересованных лиц, это
является общим источником риска при выполнении проекта в рамках предприятия; - для процесса менеджмента рисков важными
являются различные проявления и характеристики среды, в которой осуществляет
свою деятельность и развивается предприятие и бизнес, реализуется проект или
подпроект; - идентификация рисков существенно
ограничивается и может в итоге привести к дезориентации процесса, если
отсутствует четкое представление о целях предприятия и задачах проекта. 5.2.1. Установление целей на уровне
предприятия На уровне предприятия первоочередные цели
должны включать в себя цели всего предприятия и/или цели проекта, который
предприятие финансирует или в котором принимает участие. Цели проекта должны соответствовать
коммерческим целям (целям бизнеса), чтобы исключить угрозу влияния бизнеса на
успех проекта или проекта на успех бизнеса. Цели бизнеса и проекта также должны
соответствовать целям бизнеса и политики, установленным на уровне бизнеса. Цели и область деятельности проекта, а
также его границы можно идентифицировать, ответив на следующие вопросы: - в чьих интересах инициирован проект и
какие стороны заинтересованы в проекте? - кто выигрывает в результате успешного
завершения проекта? - в чем заключается успех, а что считают
неудачей проекта? - в чем заключается привлекательность
проекта для ответственных за принятие инвестиционных решений и других
заинтересованных участников? - каковы цели проекта? На эти вопросы можно ответить путем
анализа участников по разделу 8. Данный анализ позволяет менеджерам определить
весь состав лиц и групп, которые могут влиять на производственную деятельность
и проекты. Такой анализ также позволяет идентифицировать наиболее важных
участников, чьи интересы должны быть приняты во внимание в первую очередь в
случае удачного завершения проекта. После определения целей необходимо
идентифицировать содержание и окружение проекта, при наличии которых эти цели
будут достигнуты. На этом этапе определяют источники высокого уровня или
крупного масштаба, которые могут стать причиной опасности или угроз для
предприятия (бизнеса) и выполняемых им проектов. На уровне предприятия под окружением
проекта подразумевают, например, финансовые, законодательные, политические,
социальные и культурные среды, в которых осуществляется его производственная
деятельность, а следовательно, и сам проект. Окружение также включает в себя и
другие предприятия, конкурирующие и сотрудничающие организации, общественные и
социальные группы, которые могут мешать или способствовать достижению целей,
установленных проектом, и являются источниками риска для предприятия. После завершения анализа участников может
возникнуть необходимость в изменении ранее установленных целей и достижении
дополнительных целей для успешного завершения проекта. В этом случае необходимо
пересмотреть соответствие проекта установленным целям предприятия. Полный набор целей для предприятия
применительно к проекту включает в себя: - первоначальные цели, идентифицированные
на уровне предприятия; - другие цели, идентифицированные путем
анализа заинтересованных сторон и с помощью других методов, а также - цели, идентифицированные в результате
оценки риска. Некоторые цели, идентифицированные в
рамках проведения анализа участников или в процессе менеджмента риска, могут
оказаться более значимыми, чем цели, первоначально установленные на уровне
предприятия, или представлять повышенный риск с точки зрения их достижения. На
уровне предприятия это потребует последующего принятия решений относительно
того, какие риски следует рассматривать на уровне предприятия, а какие отнести
на уровень проекта или рассматривать совместно с другими организациями. 5.2.2. Установление целей и задач проекта
и подпроекта На уровнях проекта и подпроекта полный
набор целей устанавливают и пересматривают аналогично целям, установленным на
уровне предприятия. На уровнях проекта и подпроекта
первоочередными целями должны быть цели, установленные на уровне предприятия
или проекта соответственно, а дополнительные цели должны быть определены путем
детального планирования на этих уровнях. Решения, принятые на уровне проекта
или подпроекта, могут распространяться и на других участников, рассмотренных
ранее на более высоких уровнях. Некоторые участники могут появиться
только на уровне проекта в результате решений, принятых менеджерами проекта.
Например, активисты по защите окружающей среды могут являться частью общей
производственной среды, однако получают статус участника проекта только в том
случае, если менеджер проекта примет решение сделать что-то, представляющее для
них интерес. В этом случае они также становятся источниками риска. Подобные
ситуации требуют пересмотра целей предприятия и проекта с целью включения
дополнительных целей, распространяющихся на управление новой группой
участников. Следовательно, полный перечень целей
проекта (или подпроекта) должен включать в себя цели, установленные ранее на
более высоком уровне, идентифицированные по результатам анализа участников,
определенные на основе других методов планирования проекта и пересмотра, а
также включения изменений в цели в результате проведения оценки рисков. Затем
менеджеры проекта и подпроекта должны определить цели и связанные с ними риски,
за которые они несут ответственность, а также риски (если они имеются),
менеджмент которых на данном уровне невозможен. Если менеджеры каждого уровня
ответственности не имеют средств, обеспечивающих менеджмент рисков, которые они
идентифицируют, необходимо обеспечить передачу информации о таких рисках на
соответствующий уровень управления (выше или ниже) в соответствии с иерархией
проекта. Ответственность за рассмотрение проблем, связанных с отдельными
рисками, должна возлагаться на тот уровень менеджмента и принятия решений,
который способен решать подобные проблемы. Значимость каждого этапа в процессе
менеджмента риска может изменяться в зависимости от уровня бизнеса или проекта,
на котором он осуществляется. На уровне предприятия и более высоких уровнях
основное внимание должно быть уделено более ранним этапам, обеспечивающим
уточнение целей и широкое понимание потенциальных возможностей и рисков для
предприятия и/или проекта. На более низком уровне принятия решений основное
внимание должно быть направлено на внедрение стратегии менеджмента рисков.
Однако в любом случае необходимо предусматривать передачу информации о
потенциально непрогнозируемых рисках или возможностях перехода на более высокий
уровень (от подпроекта на уровень проекта и от уровня проекта на уровень
предприятия). 5.3. Идентификация
рисков и стратегия 5.3.1. Модель уточнения рисков Идентификация рисков в первую очередь
должна обеспечивать определение отдельных рисков. Однако для проведения
эффективной оценки всех рисков при выполнении проектов в рамках предприятия необходимо
знать, как конкретные риски соотносятся между собой и установленными целями, а
также понимать вероятные общие или предполагаемые причины рисков в случае, если
они существуют. После идентификации рисков менеджеры
должны определить, как риски могут влиять на выполнение целей. Для этого
необходимо провести оценку всех значительных предположений, относящихся к
идентификации, анализу и всесторонней оценке рисков. Например, рассмотрение
различных рисков может быть проведено независимо друг от друга. Если риски
действительно не зависят друг от друга, настоящее предположение не повлияет на
последующую оценку рисков и правомерность связанных с этим решений. Если риски
являются взаимосвязанными и есть основные или общие причины, объясняющие их
возникновение, то степень и масштаб одного риска могут влиять на степень и
масштаб другого риска. Решения, принятые на основе неверных предположений или
оценок, могут сами быть причиной возникновения рисков. По результатам проведения этого этапа
должны быть созданы реестры рисков или базы данных, содержащие описание всех
идентифицированных рисков и документированные решения, принятые по результатам
их оценки и рассмотрения. Риски должны быть перечислены в реестре вместе с
характеристиками, включая оценку их значимости, любые количественные
показатели, а также планы по рассмотрению проблем, связанных с рисками. Стратегия менеджмента рисков должна
распространяться на общий подход и принципы менеджмента рисков, принятые на
предприятии, и включать в себя решения по рискам, которые выполняются
менеджерами проектов. Сама стратегия менеджмента рисков может влиять на общие
цели или заставить обратить более пристальное внимание на другие цели в
результате оценки последующих рисков, возникающих при обработке первичных
рисков. Некоторые цели могут оказаться слишком рискованными в отношении их
выполнения, в этом случае от них следует отказаться. Менеджеры должны
обеспечить приемлемое соответствие между такими целями и общими целями проекта
и предприятия. 5.3.2. Анализ рисков Анализ рисков проводят с целью
определения вероятности возникновения опасности и потенциальных последствий
отдельных рисков или группы рисков, идентифицированных на более ранних стадиях.
Оценивание рисков проводят после анализа рисков для определения того, какие
риски являются более опасными, для каких необходимо провести дополнительные и,
возможно, более всесторонние исследования, а каким можно уделить меньше
внимания. Все риски следует оценивать с учетом: - вероятности их возникновения и - потенциальных последствий для
предприятия (бизнеса) и выполняемых проектов. К возможным источникам информации, на
основании которой определяют вероятность возникновения опасности и последствия
рисков, можно отнести следующие: - записи и другие источники информации; - соответствующий опыт специалистов и/или
опыт других организаций; - обзоры исследований в отношении успехов
и неудач проектов; - эксперименты с прототипами на основе
исследования рынков; - применение поведенческих, финансовых,
экономических, технических и/или других соответствующих моделей. Методы сбора информации могут включать в
себя интервьюирование, самостоятельное заполнение вопросников, групповые
семинары, поиски соответствующей информации в библиотеках и хронологическую
обработку данных применительно к настоящим целям. Анализ рисков может проводиться с
использованием качественных и количественных методов, что зависит от характера
и качества имеющихся данных. Пример классификационной матрицы для проведения
качественного анализа приведен в таблице 4. Классификация рисков зависит от
оценки существующих мер и процедур менеджмента. Такая форма классификации может
применяться как в отношении последствий (угроз), так и в отношении возможности
их предотвращения или снижения. Таблица 4 КЛАССИФИКАЦИОННАЯ МАТРИЦА КАЧЕСТВЕННОГО АНАЛИЗА ┌─────────────────┬──────────────────────────────────────────────┐ │ Степень │ Степень воздействия риска (ущерб) │ │вероятности риска├───────────────┬───────────────┬──────────────┤ │ │ минимальная │ средняя │ значительная │ ├─────────────────┼───────────────┼───────────────┼──────────────┤ │Вероятно │Средняя │Высокая │Высокая │ │Возможно │Низкая │Средняя │Высокая │ │Маловероятно │Низкая │Низкая │Средняя │ └─────────────────┴───────────────┴───────────────┴──────────────┘ Даже при наличии надежных данных сначала
целесообразно провести качественный анализ с целью лучшего прояснения ситуации
в отношении вероятности и степени воздействия рисков. После этого целесообразно
провести соответствующие количественные анализы рисков. Необходимость
проведения данных анализов зависит от характера и качества данных, характеризующих
конкретный риск, характера выполняемого проекта, потенциальных последствий и
возможности получения дополнительной полезной информации. При этом необходимо
учитывать, что данные, полученные по результатам предыдущей практики, не всегда
могут быть использованы для определения возможных будущих рисков, и числовые
оценки, полученные в результате проведения количественного анализа рисков,
должны использоваться с целью получения информации, а не для принятия решений. Проведение количественного анализа более
целесообразно для получения данных о значительных рисках, особенно когда
возникают сомнения в результатах первоначальной оценки. Однако если конкретные
риски представляют собой комбинации других рисков или на их возникновение могут
повлиять другие риски, количественные методы могут оказаться труднореализуемыми
для определения вероятного результата. Если анализ проводится на раннем этапе,
велика вероятность без особых затрат минимизировать степень риска. В этом
случае оценивание риска будет больше зависеть от серьезности последствий риска,
нежели от вероятности такого события. Оценка риска вряд ли может быть
бескомпромиссной, но, несмотря на это, любая попытка оценки риска в качестве
основы для принятия решений увеличивает шансы получения успешного результата. Независимо от того, проводится ли
количественный или качественный анализ, получаемая в результате информация
должна обеспечивать основу для оценивания рисков, которая может потребовать
разделения первоочередных рисков на категории высокой, средней или низкой
степени воздействия. Риски более низкой степени воздействия по решению
менеджеров и других заинтересованных участников могут быть на время отложены
для их рассмотрения в дальнейшем как не требующие особого внимания. В этом
случае нельзя допустить игнорирования рисков, которые могут проявиться в
комбинации с другими рисками или на которые могут влиять другие риски. Риски,
отложенные на одном этапе общего процесса менеджмента рисков, должны
рассматриваться вновь, если появляется новая информация или изменяются
обстоятельства. Вся информация о рисках, а также
сопутствующая информация, полученная в результате анализа рисков, должна
включаться в реестр. Реестры рисков должны выполнять функции документирования
информации и постоянно актуализироваться. 5.3.3. Оценивание рисков Целью процесса оценивания рисков
является, во-первых, определение того, могут ли риски нанести серьезный ущерб
предприятию или проекту и какие из них можно не устранять в свете ранее
установленных критериев. В этом случае необходимо провести пересмотр целей и
критериев проекта. Во-вторых, процесс оценивания рисков должен в итоге привести
к составлению перечня приоритетности рисков для их дальнейшего рассмотрения. Первым этапом оценивания риска является
классифицирование угроз и возможностей возникновения рисков на три категории. Угрозы (последствия) классифицируют как
неприемлемые в любых обстоятельствах, если могут произойти катастрофические
последствия для предприятия или проекта или если они неприемлемы по другим
причинам, например в случае чрезмерных затрат на их рассмотрение, которые
значительно превышают достигаемый эффект. Такие риски должны быть
идентифицированы на раннем этапе исследований на уровне предприятия. Угрозы возникновения рисков
классифицируют как приемлемые, если в результате рассмотрения они
зарегистрированы как подлежащие менеджменту в приемлемых границах. Незначительными считаются угрозы,
которые, предположительно, не представляют в данной ситуации серьезной
опасности. Такие риски необходимо регистрировать, и они могут быть отложены для
их рассмотрения в дальнейшем, но при этом остается необходимость их постоянной
переоценки через определенные периоды времени. Возможности следует классифицировать как
критические, желательные или пренебрежимо малые. Критическими возможностями, которые
необходимо идентифицировать на раннем этапе исследований на уровне предприятия,
являются возможности, которые могут оказать существенное влияние на значимость
проекта для предприятия. Желательными возможностями являются такие
возможности, которые при их реализации способствуют достижению целей проекта на
более высоком уровне по сравнению с установленным минимумом. Пренебрежимо малые возможности включают в
себя возможности, которые оказывают несущественное влияние на проект. Они также
должны быть зарегистрированы и могут быть отложены для рассмотрения в
дальнейшем. На более позднем этапе может возникнуть необходимость их
переоценки. Соответствие между угрозами и требуемыми
возможностями приведено на рисунке 4. Возможности Угрозы /\ __ │ /\ │ / │ / │ / │ Критические / │ / ├──────────────────────/ │ / │ │ Желательные / │ Неприемлемые │ / │ ├──────────────/ │ │ Несущест- / │ │ │ венные / │ Прием-│ │ / │ лемые │ │ / │ │ │ / Незначи-│ │ │ / тельные │ │ │/ │ │ └──────────────┴───────┴──────────────────────> Угрозы Рисунок 4. Соответствие между угрозами и
возможностями Все риски, кроме незначительных, подлежат
дальнейшему анализу и оцениванию с целью их подтверждения или включения
изменений в первоначальную категоризацию. Не исключается, что некоторые
неприемлемые или критические риски могут оказаться приемлемыми или
целесообразными для рассмотрения, и наоборот дальнейший анализ может выявить
обратную картину, то есть перевод отдельных приемлемых или целесообразных для
рассмотрения рисков в категорию неприемлемых или критических рисков. Риски, классифицированные как
неприемлемые, должны быть рассмотрены с точки зрения возможности их устранения,
и в случае, если такая возможность существует, должно быть принято решение,
необходимо ли это делать. Если риски не могут быть обработаны, может возникнуть
необходимость пересмотра критериев обработки рисков или целей, с которыми они
ассоциируются. В исключительных случаях при идентификации неприемлемого риска
проект следует закрыть или отказаться от его выполнения. Рассматриваемые риски,
то есть риски, приемлемые или целесообразные для обработки, можно дополнительно
проанализировать с целью выбора соответствующей формы и уровня их обработки. 5.3.4. Обработка рисков Процесс обработки рисков должен включать
в себя идентификацию и оценивание различных вариантов рассмотрения рисков, а
также разработку и выполнение планов менеджмента рисков. Для потенциальных
угроз и возможностей сначала определяют необходимость проведения специальной
обработки и возможность их обработки в процессе выполнения обычных процедур
менеджмента и непосредственной деятельности предприятия. Обработка рисков
включает в себя анализ необходимых ответных мер, способствующих минимизации
рисков. Некоторые ответные меры, которые могут приниматься для минимизации
рисков, приведены в таблице 5. Таблица 5 ОТВЕТНЫЕ МЕРЫ ПО МИНИМИЗАЦИИ РИСКОВ
Возможность обработки рисков включает в
себя меры, обеспечивающие наличие возможностей обработки рисков. Меры, которые
могут быть приняты для повышения вероятности возникновения такой возможности,
приведены в таблице 6. Таблица 6 ВОЗМОЖНОСТИ ОБРАБОТКИ РИСКОВ
Любая мера обработки рисков должна быть
подвергнута анализу с учетом: a) объемов затрат по сравнению с
предполагаемым эффектом обработки риска; b) принимаемых действий; c) эффективности предотвращения риска или
улучшения возможности; d) возникновения любого вторичного риска,
связанного с принимаемым действием. Такой анализ необходим для проверки того,
что ответная мера сама по себе не повлечет за собой непредвиденных последствий
в результате принятия этой меры. Это особенно касается мер, принятие которых
может привести к возникновению более серьезного риска по сравнению с риском,
для минимизации которого предусматривается обработка. Такое решение вопроса
особенно важно, если преследуемая цель связана с расширением возможностей. После этого меры должны быть сопоставлены
с оценкой риска для принятия решения о целесообразности предпринимаемых
действий для данного уровня риска. Если в результате принятых решений по
обработке рисков для участия привлекаются новые заинтересованные стороны, их
интересы должны учитываться в результатах предыдущих анализов. По каждому подвергаемому обработке риску,
за исключением рисков, которые однозначно необходимо избежать, должны быть
идентифицированы показатели вероятности его возникновения. После этого каждый
такой риск должен быть подвергнут мониторингу, предусмотренному в плане
обработки рисков. После идентификации мер и показателей
риска необходимо разработать план менеджмента рисков. Он должен быть согласован
с соответствующими заинтересованными менеджерами и доведен до сведения других
заинтересованных сторон. Как правило, планы работы с рисками включают в общий
план предприятия или план менеджмента проекта и выделяют достаточные ресурсы
для осуществления согласованных действий. План менеджмента риска должен учитывать
характеристики рисков и возможности их адресной обработки. Необходимо различать: - предупредительные ответные меры,
принимаемые в процессе текущей деятельности предприятия и проекта, и - смягчающие меры, которые
предусматриваются, но не предпринимаются до тех пор, пока риск не возникнет. Предупредительные ответные меры могут,
например, включать в себя применение уже проверенного метода, а не
инновационного, внушающего меньше уверенности в результате. Смягчающие меры
могут предусматривать страхование от потерь или сбоя в работе. При выборе меры
страхования следует обеспечить выделение достаточных ресурсов, необходимых для
восстановления прежнего состояния и завершения проекта в соответствии с планом. Весь менеджмент рисков, особенно меры по
обработке рисков, должны контролироваться на предмет их результативности, чтобы
могли быть предприняты соответствующие ответные меры или действия. В противном
случае стратегия менеджмента рисками должна быть признана неадекватной.
Возможные методы анализа включают в себя оценку результативности, проведение
аудитов и контроля. Это позволяет постоянно получать в режиме обратной связи
постоянную информацию для наибольшей эффективности оценки и обработки рисков. Параллельно с постоянным обменом
информацией необходимо проводить: - регулярный мониторинг использования
ресурсов в соответствии с планом менеджмента рисков; - мониторинг согласованных показателей
риска; - мониторинг рисков с целью определения
того, что они входят в запланированные пределы. Переоценка рисков и определение новых
рисков должны осуществляться на регулярной основе. 6. Обмен
информацией по менеджменту рисков Эффективный обмен информацией по рискам
является критическим фактором в области менеджмента рисков.
Неудовлетворительный обмен информацией может представлять собой значительный
риск для эффективности управления предприятием или проектом. До принятия решения в отношении
технических аспектов обмена информацией менеджеры должны определить цели или
комбинации целей, которые предполагается достигнуть в результате обмена
информацией между отдельными участниками. Только после этого могут быть
выработаны соответствующие стратегия и механизм обмена информацией,
обеспечивающие повышение эффективности и снижение рисков, которые необходимо
интегрировать в общий процесс менеджмента рисков с учетом прогнозирования проблем,
связанных с рисками. Стратегию и механизм обмена информацией необходимо
разрабатывать параллельно со стратегией управления отношениями между
участниками (см. раздел 8). Необходимо также принять все необходимые
меры предосторожности, исключающие такой обмен информацией, который может
угрожать предприятию или проекту, а также исключающие несанкционированный
доступ к конфиденциальной информации. Подготовка любой информации
предусматривает использование терминов и образов, известных участникам, а также
удобных для пользователей информации программных сред и интерфейсов. Обмен информацией часто происходит по
каналам, которые являются неофициальными и не контролируются менеджерами.
Эффективное управление обменом информацией требует оценки таких каналов, а также
знания, как они функционируют. В каждой ситуации каналы связи могут быть
различными. Неофициальные каналы могут также помочь или помешать общему
процессу обмена информацией или оказать значительную помощь в обеспечении
идентификации рисков. Помимо идентифицированных рисков
необходимо обеспечить обмен информацией по прогнозируемым рискам, который
осуществляется для информирования руководящего состава предприятия и не
рассматривается на более низких уровнях производственной деятельности. В
противном случае риски могут остаться неучтенными или проявиться позже.
Правильному и своевременному информированию руководства могут помешать такие
факторы, как боязнь подчиненных допустить ошибку или опасение, что более
старшие менеджеры не захотят их выслушать. Для эффективного управления рисками
необходимо обеспечить хорошо разработанный механизм обмена информацией,
предусматривающий правильное и точное информирование руководства. 7. Прогнозирование
рисков Поскольку метод прогнозирования влияет на
точность предположений и на получение точной и объективной оценки ситуации, что
в конечном итоге влияет на процесс принятия решений, он является критическим
фактором менеджмента рисков. Рассмотрение вопросов прогнозирования
рисков можно разделить на три части: индивидуальное прогнозирование, групповое
прогнозирование и влияние прогнозирования на отношения с участниками. Прогнозирование рисков отдельными
специалистами является весьма субъективным, а сам процесс зависит от многих
факторов, присущих отдельному лицу, и обязательств, при которых осуществляется
прогнозирование рисков. Наиболее важными факторами, влияющими на
прогнозирование, являются следующие: - осведомленность, понимание и личный
контроль: люди склонны недооценивать риски, связанные с предметами или
событиями, которые им знакомы или о которых они думают, что хорошо их понимают.
Поэтому эксперты часто недооценивают риски, а общественность те же риски часто
переоценивает. Кроме того, если люди чувствуют, что они контролируют события,
их ощущение восприятия рисков ослабевает; - относительное место в пространстве и во
времени: люди склонны рассматривать в первую очередь те объекты, которые
находятся вблизи, и те события, которые происходят более быстро и требуют
незамедлительного принятия решений, оставляя без внимания такие, которые
расположены на далеком расстоянии или являются долгосрочными; - представление предметов и событий: если
предметы и события представлены в положительном свете, наблюдается тенденция
переоценки возможностей и недооценки рисков. И наоборот, если предметы или
события представлены в отрицательном свете, наблюдается тенденция переоценки
рисков; - ощущаемая значимость: если люди считают
что-то важным, например решение, результат или и то и другое, они склонны
переоценивать связанные с этим риски независимо от вероятности или возможности
их возникновения. К преувеличению проблемы склонны и группы специалистов,
попадающие под влияние более авторитетных членов группы. 8. Анализ
участников процесса менеджмента риска Анализ участников является весьма
полезным и обеспечивает общую поддержку в процессе принятия решений
руководством. Традиционные инструменты и методы менеджмента рисков не
акцентируют внимание на рассмотрение человеческих и организационных факторов,
которые влияют на развитие бизнеса и проектов, хотя общеизвестно, что эти
факторы являются основными источниками рисков. Участниками считаются все физические
лица, группы и организации, включая производственные и проектные группы, которые
заинтересованы в осуществлении бизнеса или проекта с точки зрения процессов,
результатов или их комбинации. Учитывая такую заинтересованность, они попадают
под влияние предприятия и его проектов или могут сами оказывать влияние.
Независимо от характера их заинтересованности наличие интереса говорит о том,
что участники могут быть потенциальными источниками риска для проекта и,
возможно, для предприятия. Менеджеры предприятия или проекта не
обязаны определять интересы каждого участника или характер данных интересов.
Интересы определяются самими лицами и группами, и если выясняется, что у других
участников также имеются свои интересы, то этих участников следует
рассматривать как представляющих риск для проекта. Анализ участников позволяет обеспечить
процесс менеджмента рисков с помощью следующих методов: - идентификации рисков и их источников; - идентификации более широких целей и
границ бизнеса и проекта; - идентификации отношений между
различными видами рисков. Чем больше менеджеры знают о предприятии
и его проектах, тем более они способны идентифицировать потенциальные факторы
риска. Многие факторы риска возникают в результате ожидания или прогнозов
различных участников проекта. Понимание участников, их прогнозов и интересов
позволяет менеджерам предприятия или проекта идентифицировать потенциальные
области противоречий, подходы к выполнению своих функций и обязанностей, а
также отношение к рискам и их проявлениям. Недостаточно идентифицировать
участников как часть предприятия или организации проекта. Важные участники
могут не входить в эти границы. Поэтому могут возникнуть проблемы, связанные с
важными участниками. Однако если они могут явиться причиной возникновения
рисков для предприятия или проекта, необходимо попытаться включить их в процесс
анализа рисков. Факты подобного рода могут увеличить вероятность того, что
важные причины, объясняющие возникновение рисков, будут упущены, а пределы,
определяющие границы проведения анализа участников и рисков, установлены
неправильно. Идентификация участников проекта также
устанавливает границы проекта и задач, которые должны быть выполнены для
достижения целей проекта. Границы проекта простираются за пределы предприятия
или соответствующих предприятий и включают в себя всех заинтересованных
участников. Таким образом, предоставляется возможность получить полную картину
о потенциальном масштабе рисков, связанных с проектом, рассмотрение которых
будет обеспечено путем ограниченного внимания к более узким видам деятельности.
Идентификация участников позволяет сконцентрировать более пристальное внимание
на выполнении задач, которые должны быть достигнуты в рамках проекта с целью
достижения запланированных целей. Анализ участников является инструментом,
обеспечивающим всестороннюю идентификацию рисков. Многие различные типы рисков,
например финансовые, технические, стратегические и т.д., объясняются поведением
и принятием решений участниками. Идентификация и анализ участников позволяет
менеджерам разработать стратегию, обеспечивающую рассмотрение определенных
проблем, принимая во внимание отношения между участниками или группами
участников. Разработка стратегии с учетом интересов участников предусматривает
минимизацию рисков, которые могут возникнуть для проекта, и повышение
результативности проекта. Этот процесс должен быть также связан со стратегией
обмена информацией по рискам. Разработка такой стратегии может потребовать
понимания всех возможных противоречий между интересами участников, включая и
тех из них, которые принимают непосредственное участие в проекте или находятся
далеко за пределами предприятия, в котором выполняется проект. Анализ участников необходимо проводить в
начале выполнения проекта и пересматривать его каждый раз при включении новых
изменений, новых участников или их идентификации. При этом следует иметь в
виду, что не всегда следует представлять результаты анализа участников на
рассмотрение широкой общественности, а степень их участия каждый раз должна
определяться в зависимости от обстоятельств. Приложение А (справочное) СТАНДАРТЫ В ОБЛАСТИ МЕНЕДЖМЕНТА РИСКОВ Стандарты в области менеджмента рисков
приведены в таблице А.1. Таблица А.1
|
|
© Информационно-справочная онлайн система "Технорма.RU" , 2010. Бесплатный круглосуточный доступ к любым документам системы. При полном или частичном использовании любой информации активная гиперссылка Внимание! Все документы, размещенные на этом сайте, не являются их официальным изданием. |