Реестр рисков строительство пример

Содержание

Мэри работает проджект-менеджером. Она управляет разработкой мобильного приложения с элементом блокчейна. Все шло хорошо, но за месяц до релиза главный разработчик заболел, а кроме него в технологии блокчейна никто не разбирается.

Мэри не знает, что делать. Нужно искать другого разработчика, сдвигать дедлайны, увеличивать бюджет. Заказчики недовольны, конкуренты вот-вот выпустят похожий продукт.

На месте Мэри может оказаться любой проджект. Чтобы этого не произошло, нужно не забывать работать с рисками проекта.

Время на чтение: 9 минут

Что будет в статье:

Какие бывают источники рисков

Шаблон реестра рисков

Как выбрать стратегию управления рисками

Изучите профессию проджект-менеджера

За 3 месяца интенсивного обучения в симуляторе skillsetter вы получите ключевые навыки для карьерного роста

Что такое риски

Прежде чем понять, как работать с рисками, давайте проговорим, что это такое и какие они бывают.

Риски — это негативные события, которые могут произойти и повлиять на проект. Например, государство выпустит новый закон или разработчик временно не сможет работать над проектом.

Где искать риски? | Курс «Как работать с рисками проекта»

Если негативное событие произойдет в любом случае — это не риск, а задача . Например, проджект знает, что новому QA-инженеру нужно в два раза больше времени на тестирование продукта. Его задача — учесть факт и заложить достаточно времени на этот этап.

Риски можно делить на внешние и внутренние.

виды рисков по источникам

Внешние риски находятся в окружении проекта — поставщиках, подрядчиках и клиентах, государстве, окружающей среде. К ним относятся срыв сроков подрядчиками, стихийное бедствие или новый закон.

Внутренние риски — это все потенциальные проблемы организации и проектной команды. Например, кто-то неожиданно уволится или команда начала использовать новую технологию и заложила недостаточно времени на ее изучение и эксперименты с ней.

Также можно категоризировать риски по этапам проекта.

виды рисков по этапам проекта

Например, типовой риск на стадии дизайна — заказчики не утвердили макет. После разработки может оказаться, что они по-другому их представляли. Тогда придется потратить время на внесение изменений, а для этого нужны дополнительные ресурсы.

Чем раньше проджект выявит и проработает риск, тем дешевле и проще будет его компенсация или предотвращение. Если детально изучить требования и обсудить непонятные моменты, то на этапе тестирования будет меньше проблем.

В статье вы встретитесь с терминами, которые могут быть вам незнакомы. Их использует в своей работе Анастасия Борисюк в Актион Технологии. Давайте введем определения, чтобы говорить на одном языке.

ДОДинг , от Defenition of Done — это встреча между заказчиком, проджектом и тимлидом. Цель встречи — договориться, что будет сделано в фиче, для кого она, какую проблему решает. Это нужно, чтобы можно было грубо оценить, приоритизировать и запланировать работу.

PM_06: Планирование проекта. Управление рисками

Предоценка — это грубая оценка работы тимлидом. Она проводится после ДОДинга и используется для планирования и выставления сроков работы проектной команды. Для этого тимлид берет время на то, чтобы еще раз все прочитать и продумать технические аспекты реализации.

В следующем блоке вы погрузитесь в будни джуниор проджект-менеджера. Представьте, что вы работаете в компании по разработке мобильных приложений.

Как работать с рисками

Рабочая неделя начинается с проверки Google-календаря. На сегодня у вас стоит созвон с Оливией — опытным проджектом, которая давно работает в компании и будет вашим ментором.

Вы заходите в Google Meet

Первое время я буду отдавать тебе часть своих задач — объяснять, как это делается, и проверять, все ли правильно. Так ты поймешь, как все устроено, и сможешь брать на себя больше ответственности за проект.

Я сейчас работаю над приложением SportLife — это сервис для внедрения привычки заниматься спортом каждый день. Нужно проработать все возможные риски, поможешь мне в этом?

Конечно. Риски нельзя описать и забыть, ведь проект живет. С течением времени могут появиться новые риски, а старые — измениться.

В начале работы он выявляет риски на ДОДинге, когда обсуждается фича, объем работ и сроки, а также на предоценке и встрече с заказчиком. Периодически он возвращается к рискам, чтобы проверить, ничего ли не изменилось.

Да. На планировании можно рассказать команде о выявленных рисках и провести брейншторм. Он поможет найти новые риски или придумать способы минимизировать старые.

На дейли стендапах нужно спрашивать разработчиков, что может помешать достичь целей спринта, а на ретро — анализировать причины неудач, потому что они могут возникнуть снова.

когда работать с рисками проекта

Отлично, тогда перейдем к делу. Я отправлю тебе на почту документ, в котором описан весь процесс работы с рисками проекта.

Разберись подробнее в теме и распиши риски для одного этапа. Я проверю, все ли ок, и ты пойдешь работать дальше.

Вы открываете почту, переходите по ссылке и погружаетесь в чтение.

Как анализировать риски

Работа с рисками начинается с их анализа. Он включает три этапа: выявление проблем, определение причин возникновения этих проблем и систематизация причин.

как анализировать риски проекта

Рассмотрим подробнее каждый этап.

Гайд по лучшим статьям skillsetter

В нашем блоге уже больше 150 статей про рост продуктов и карьеру в IT. Для удобной навигации мы объединили их в тематические подборки.

Как выявлять проблемы

Анализ рисков начинается с выявления проблем. Для этого можно использовать три способа: вспомнить старые проблемы, обсудить проект с командой, опросить экспертов, продактов и представителей бизнеса.

Вспомнить старые проблемы. Выпишите все проблемы, с которыми вы уже встречались в предыдущих проектах. Например, команда регулярно не вписывается в сроки или сдает не то, что нужно заказчику.

Обсудить проект с командой. Опытные разработчики подскажут, что может произойти в зависимости от целей проекта, используемых технологий, объема ресурсов. Например, если проект подразумевает внедрение незнакомой технологии, нужно учесть время на изучение и заложить риски в оценку на внедрение.

Опросить экспертов, продактов и представителей бизнеса. Они могут обнаружить проблемы, связанные с рынком, конкурентами, целевой аудиторией, законодательством. Например, при разработке банковского сервиса будет полезно проконсультироваться с юристом в сфере финансовых вопросов, чтобы не нарушить действующие или будущие законы.

Вы решаете начать работу над заданием от Оливии в процессе изучения документа. Так как проект на начальной стадии и команда еще с ним не знакома, вы отталкиваетесь от старых проблем.

Вы вспоминаете, с чем уже сталкивались: иногда тимлид дает предоценку без декомпозиции или с высокоуровневой декомпозицией. Это приводит к тому, что команда не укладывается в сроки.

Как определять причины проблем

Чтобы предотвратить проблемы, нужно определить их триггеры — причины возникновения. Для этого можно воспользоваться методом “5 почему”.

Метод “5 почему” заключается в том, чтобы постепенно отвечать на вопрос “Почему это произошло?” Вопросов не обязательно должно быть пять — их может быть как больше, так и меньше. Главная задача — добраться до корневой причины.

Например, проблема в том, что команда не попала в оценку:

метод 5 почему

Так за три вопроса мы добрались до истинной причины. Если лучше изучать технологии, которые используются в проекте, оценка сроков может стать более реалистичной и команда будет чаще укладываться в дедлайны.

Этот пример натолкнул вас на еще один возможный триггер неправильной оценки в SportLife — команда плохо разбирается в технологии и может неправильно оценить, сколько ресурсов потребуется. Вы обратились к продакту и узнали, что приложение должно синхронизироваться с фитнес-браслетами и пульсометрами. Команда никогда не разрабатывала аналогичный проект, и этот риск может стать проблемой.

В статье об ошибках в управлении разработкой вы найдете десять примеров, как стоит управлять разработкой, а как — нет. Также мы даем шаблон для распределения времени команды в спринте.

Как систематизировать причины

Причины, полученные с помощью метода “5 почему”, следует включить в реестр рисков — документ, в котором собраны все риски. Чем масштабнее, длительнее и сложнее становятся проекты, тем труднее контролировать ситуацию. Без централизованного мониторинга рисков вы можете что-то забыть или упустить.

Для удобства можно группировать риски по этапам работы над проектом — например, дизайн, снятие требований, оценка, планирование, разработка, тестирование и приемка. На каждом этапе могут возникать разные риски. Находясь на этапе дизайна и зная типовые риски этого этапа, проджекту легче их обнаружить и начать работать с ними.

типовые риски проекта

Задание

Как вы думаете, какие риски относятся к этапу “Разработка”?

Реестр рисков можно вести в Google-таблицах. Нужно зафиксировать риск, его триггер и оценку. Затем прописать действия, которые можно предпринять, чтобы снизить вероятность появления риска. Также нужно продумать план на случай, если риск станет проблемой.

шаблон реестра рисков проекта

Вы вносите в реестр риски и их триггеры.

риски проекта и их триггеры

Как заполнять документ дальше пока непонятно, поэтому вы переходите к следующему блоку документации. Там говорится о том, как оценивать риски и управлять ими.

Как оценивать риски

Невозможно отрабатывать все риски подряд. Нужно сосредоточить свои силы только на наиболее важных. Для этого нужно провести оценку рисков, ответив на два вопроса:

как оценивать риски проекта

Риски принято делить на три группы: высокий, средний и низкий:

  • К низкой группе относятся риски с низкой вероятностью и степенью влияния.
  • К высокой — с высокой вероятностью и степенью влияния.
  • Если у риска высокая вероятность, но низкое влияние, или наоборот, то он относится к средней группе.

матрица рисков

Высокие риски нужно прорабатывать в первую очередь, так как они представляют наибольшую опасность для проекта.

С рисками из средней группы можно работать двумя способами:

1. Снизить их влияние и переместить в низкие

2. Переместить в высокие и составить план их отработки

Рисками из низкой группы можно пренебречь и мониторить их состояние. Их вероятность и влияние на проект не такие существенные.

Читайте также:  Бизнес малоэтажное строительство с чего начать

Оценка рисков обычно субъективна, на нее влияет контекст проекта. Одни и те же риски в двух проектах с разной вероятностью становятся реальной проблемой и по-разному влияют на результат.

Например, для одной команды увеличение бюджета на $10 000 повлечет полную перестройку плана, а для другой эта сумма — стоимость всего одного дня работы команды.

У вас пока нет опыта в оценке рисков, но вы понимаете, что неизвестная технология с большей вероятностью может стать проблемой и сильно повлияет на результаты работы. Предоценка без декомпозиции или с высокоуровневой декомпозицией скорее всего не так критичны. Вы расставляете в реестре рисков вероятности и степень влияния.

риски проекта и их оценка

Осталось разобраться с тем, как работать с этими рисками.

Читайте лучшие статьи о запуске и росте продуктов

Раз в неделю будем отправлять свежий дайджест вам на почту. Наc читает 25000 человек

Как управлять рисками

Когда мы выявляем риск, то понимаем, какую он несет угрозу проекту: срокам, качеству, бюджету, целям. Но этого недостаточно. После анализа и оценки рисков нужно придумать план, как превратить их из неопределенности в управляемые элементы. Для этого нужно:

Составить план действий, чтобы риск не произошел.

Определить, что делать, если риск станет проблемой.

Чтобы понять, что делать с риском, надо выбрать одну из четырех стратегий:

стратегии управления рисками проекта

Далее рассмотрим каждую стратегию подробнее — что она значит, как ее применять и в каких случаях рекомендуется использовать.

Стратегия «Принять риск»

Суть стратегии. При использовании данной стратегии проджект-менеджер принимает то, что риск станет проблемой, и сразу планирует ее решение.

Когда используется. Эта стратегия подходит для рисков, когда вероятность негативного события низкая или последствия на проект незначительные. Например, переход на удаленную работу, небольшие доработки в проект, новые баги.

Пример. Когда в команде разработчиков появляется джун, скорость работы над проектом уменьшается. То, что обычно команда делала за один спринт, может растянуться на полтора. В таком случае проджект закладывает дополнительный запас времени в проект.

Задание

Как вы думаете, какой риск можно принять?

Стратегия «Уклониться от риска»

Суть стратегии. При использовании стратегии уклонения проджект предпринимает действия, чтобы событие не произошло. Для этого он старается ограничить влияние внешних факторов и взять под контроль внутренние.

Когда используется. Эта стратегия подходит для рисков, причина которых предсказуема и ее можно устранить. Например, болезни сотрудников, долгие согласования с другими отделами, изменение требований к продукту.

Пример. Есть риск, что приемка фичи у заказчика затянется. Значит, следует поставить четкий срок по приемке. В этом случае цель фича будет выполнена вовремя, так как проджект ограничил влияние внешних факторов.

Стратегия «Снизить влияние»

Суть стратегии. При использовании данной стратегии проджект-менеджер планирует такие мероприятия, чтобы степень влияния и вероятность снизились.

Когда используется. Эта стратегия подходит для рисков, у которых высокая вероятность того, что события произойдут, и высокое влияние на проект. Например, недостаток экспертизы или изменения в рабочих процессах.

Пример. Нужно перенести систему для бухгалтерского учета на другую платформу. При этом есть риск, что у команды недостаточно экспертизы в технологии, по которой работает эта система — только один разработчик имеет релевантный опыт. С высокой вероятностью этот риск станет проблемой и повлияет на сроки проекта.

Проджект не может полностью избавиться от этого риска, но может снизить его влияние. Для этого можно привлечь команду к разработке плана реализации. Так разработчики заочно погрузятся в проект. Также можно заложить время на погружение в технологию и мониторить риск еженедельно. С увеличением знаний у команды можно корректировать оценки.

О том, как ставить цели, чтобы их достигать , вы узнаете в нашем гайде по OKR. В нем мы разобрали каждый этап планирования.

Стратегия «Передать другому»

Суть стратегии. Эта стратегия подразумевает передачу задачи и связанные с ней риски заказчику или другим исполнителям.

Когда используется. Стратегия используется в тех случаях, когда нет ресурсов и знаний для решения проблемы, которая может возникнуть. Например, команда может не разбираться в искусственном интеллекте или технологии распределенных вычислений.

Пример. Команде нужно подключить к продукту электронную цифровую подпись. У компании нет экспертизы и возможности заниматься этой задачей и бюрократическими вопросами. Проджект исключает этот пункт из контракта и договаривается, что заказчик отдает эту фичу другим подрядчикам и сам несет за нее ответственность.

Вы дочитали документ Оливии, теперь нужно определить стратегию действий для каждого риска. Но сначала вы делаете небольшой перерыв, чтобы переварить информацию.

Проработка рисков для SportLife

После чашки кофе вы приступаете к выбору стратегии управления выявленными рисками.

❌ Стратегия «Принять риск». Все ваши риски на этапе оценки достаточно значимы. Вы не можете просто принять их.

❌ Стратегия «Передать другому». Передать задачу другому тоже не получится — по договору все задачи по проекту лежат на вашей проектной команде.

✅ Стратегия «Уклониться от риска». От рисков, связанных с декомпозицией задач, можно уклониться. Они предсказуемые, и вы можете сделать так, чтобы риск не стал проблемой.

Риск предоценки без декомпозиции можно предотвратить, заранее попросив тимлида декомпозировать задачу на более мелкие шаги и проверив, как у него это получилось. Если же риск все-таки станет проблемой, нужно посмотреть, можно ли убрать что-то из скоупа и вынести в следующий спринт.

Чтобы предотвратить риск слишком крупной декомпозиции, нужно прописать, из каких этапов будут состоять решение и работы. На груминге фичи нужно сравнить предоценку и оценку. Если же риск станет проблемой, нужно занести в реестр рисков, какие работы не были учтены. Это поможет не допустить такого с другой фичей.

✅ Стратегия «Снизить влияние». Для управления риском неправильной оценки из-за неизвестной технологии можно использовать стратегию снижения влияния. Для этого нужно заранее провести рисерч, чтобы лучше разобраться, какие работы потребуется провести в проекте. На ретро нужно обсудить, вписывается ли команда в оценку. Если окажется, что команда выбивается из сроков, нужно заложить дополнительное время на разработку и правки.

Вы вносите план действий в реестр рисков и спешите показать Оливии результат.

Источник: skillsetter.io

Как разработать эффективный план управления рисками в строительстве

Оценка рисков строительства представляет собой комплексный и систематический способ выявления и анализа потенциальных угроз реализации проекта, определение их масштаба, а также влияния на такие ключевые параметры, как сроки и стоимость.

Управление рисками опирается на актуальную информацию, оперативное реагирование на изменения и быстрое принятие управленческих решений, поэтому важно, чтобы в арсенале строительной компании были такие инструменты, как план-фактный анализ выполнения работ, возможность формирования и получения руководством отчетности по объектам строительства, контроль затрат и расхода ресурсов.

Понятие «оценка рисков» в применении к строительству

Процесс строительства невозможно представить без специальных методик анализа и оценки рисков. Традиционно специалисты-практики связывают успех строительного проекта с тремя ключевыми аспектами – временем, стоимостью и качеством, и именно в их контексте оценивают потенциальные риски.

Реализация проектов осуществляется в условиях большой неопределенности. Среди основных внешних факторов:

  • Общая экономическая нестабильность;
  • Продолжение пандемийных ограничений;
  • Наличие ресурсов (рабочей силы, материалов, оборудования);
  • Сокращение объемов выдачи льготной ипотеки;
  • Изменения в законодательстве;
  • Недостаток или недостаточная подготовка кадров.

Также можно выделить те риски, которые могут возникнуть вне зависимости от текущего контекста. Сюда относятся ошибки на стадиях планирования и проектирования, неправильный расчет оценки стоимости работ, сроков, количества материалов, и, как следствие, превышение первоначального бюджета, несвоевременное подписание закрывающих документов, задержки оплат, проблемы с качеством работ и т.д.

Управление рисками проекта включает не только прогноз потенциальных рисков. Это итеративный процесс, что означает непрерывный анализ полученных результатов и корректировку плана, если того требует текущая ситуация, систематически на протяжении всего жизненного цикла строительного проекта, от стадии планирования до завершения.

Эффективная стратегия реагирования на риски

Для эффективного управления рисками должен быть разработан план, который включает:

  1. Определение рисков для конкретного проекта. Анализ должен проводиться на этапе подготовки. Один из самых действенных способов – мозговой штурм с заинтересованными сторонами и ответственными лицами. Опыт прошлых проектов позволит определить список дополнительных рисков, которые могут возникнуть на любой стадии реализации.
  2. Оценка рисков строительного проекта по приоритетности. Учитываются два фактора – потенциальное воздействие на бизнес и вероятность наступления. Желательно использовать количественные выражения – в процентных значениях, деньгах и т.д. В первую очередь должны обрабатываться риски с «высокой вероятностью» и «высокой степенью воздействия». Можно создать сетку приоритетов, наиболее важных для управления.
  3. Назначение стратегии реагирования для каждой опасности. Способы можно разделить на несколько категорий, включая избегание рисков, снижение риска, принятие риска для завершения проекта. Выбранная тактика зависит от потенциальных выгод.
  4. Выполнение плана управления, которое поможет детализировать информацию для всех членов проектной команды. Для каждого из определенных рисков указывается подробное описание ресурсов.
  5. Привлечение всех членов проектной команды. Они должны быть уведомлены обо всех предполагаемых рисках.
  6. Создание плана действий на случай, когда в ходе план-фактного анализа выявляются неудовлетворительные показатели (отставание от графика, превышение бюджета и т.д.)

Важным фактором в управлении рисками является снижение уровня неопределенности. Действуя в условиях полной информированности о ситуации по объектам строительства, компания получает возможность скорректировать свои действия и предотвратить наступление негативных последствий. Своевременное выявление и реагирование на риски помогает избежать снижения рентабельности и несоблюдение сроков, обеспечивает эффективное управление строительными проектами.

Что дает автоматизация в управлении строительными проектами

Эффективное комплексное решение для строительных компаний – БИТ.СТРОИТЕЛЬСТВО. С его помощью можно получать оперативную отчетность по объектам, выполнять план-фактный анализ затрат, выполнения работ, ресурсов, вести учет и принимать управленческие решения, своевременно реагируя на риски.

Комплексная система автоматизации позволяет реализовать следующие ключевые задачи:

  • учет подрядчиков и заказчиков;
  • управление строительными механизмами;
  • ведение управленческого учета и бюджетирование;
  • контроль финансового состояния и денежных потоков;
  • формирование отчетности в разрезе объектов;
  • полный цикл планирования – учет, контроль, анализ движения материалов;
  • электронный документооборот и быстрое формирование отраслевых документов.

Если вы хотите узнать больше о возможностях и преимуществах системы, оставьте заявку на бесплатный демо-доступ к системе БИТ.СТРОИТЕЛЬСТВО.

Хотите получать подобные статьи по четвергам?
Быть в курсе изменений в законодательстве?
Подпишитесь на рассылку

Читайте также:  Проектная документация на строительство дороги

Источник: habarovsk.1cbit.ru

Управление рисками: модель процесса и компетенций

Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.

Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.

Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).

Рис. 1. Структура основных понятий риск-менеджмента

Представленная модель построена на основе следующей логики.

  1. Организация осуществляет деятельность в конкретной ситуации под влиянием факторов внешней и внутренней среды [2, 3], при этом:
    • внешняя ситуация (среда) обусловлена влиянием культурных, социальных, правовых, финансовых, технологических, экономических факторов;
    • внутренняя ситуация (среда) отражает ценности, культуру и стиль руководства, организационную и ролевую структуру, политику, цели и стратегию организации.
    • Негативное развитие ситуации обусловливает возникновение опасных событий (опасностей), которые характеризуются вероятностью и последствиями их наступления.
    • Появление опасного события приводит к возникновению риска — влияния неопределенности на цели организации, при этом неопределенность обусловлена недостаточностью информации, понимания или знания относительно события, его последствий или возможности.
    • Из множества вероятных рисков отбираются наиболее значимые для организации с помощью критериев риска, которые представлены признаками и правилами оценки его значимости [4].
      Критерии соответствуют виду риска [5] для одного из следующих классов опасностей по характеру происхождения:
      • природный;
      • биосоциальный;
      • техногенный;
      • экологический;
      • профессиональный;
      • информационный;
      • экономический;
      • террористический;
      • кибернетический;
      • иной [6].
      • Значимые для организации риски, выбранные с помощью критериев, подлежат идентификации, включая обнаружение, распознавание и описание. При идентификации опасных событий также определяются объекты воздействия (реестра риска) и методы идентификации риска [7]. Характеристика опасного события включает:
        • идентификатор;
        • наименование и описание, в том числе:
          ○ источник опасного события;
          ○ объект воздействий опасного события (люди, экология, экономика, система управления, социальная среда и инфраструктура организации);
          ○ последствия опасного события [3];
        • этап жизненного цикла продукции (услуги) при возникновении опасного события;
        • возможные последствия;
        • необходимые предупреждающие средства контроля для реагирования на опасные события и способы восстановления деятельности [6].

        В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:

        • идентифицированные опасные события (инциденты — центральные узлы диаграммы);
        • источники опасных событий (на диаграмме слева) и последствия (на диаграмме справа);
        • установленные барьеры, предотвращающие эскалацию опасного события (предупреждающие меры на диаграмме слева) и нежелательные последствия (средства управления для восстановления и снижения последствий на диаграмме справа).

        Рис. 2. Диаграмма «галстук-бабочка»

        Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.

        • источники данных;
        • средства контроля;
        • методы анализа;
        • последствия реализации опасного события;
        • вероятность наступления опасного события;
        • оценка уровня риска [6].

        Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:

        • шкала последствий (табл. 2);
        • шкала вероятности (табл. 3).

        Примечание: объекты воздействия опасного события приведены для примера.

        Таблица 3. Шкала оценивания вероятности наступления опасного события Оценка вероятности,
        % Качественная оценка вероятности, баллы
        Очень высокая — 81–100 Очень высокая — 5
        Высокая — 61–80 Высокая — 4
        Средняя — 21–60 Средняя — 3
        Низкая — 1–20 Низкая — 2
        Очень низкая — менее 1 Очень низкая — 1

        Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).

        Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:

        • определение критериев приемлемости риска;
        • сопоставление оценки риска с критериями приемлемости;
        • заключение о приемлемости риска и необходимости его обработки [6].

        По результатам анализа определяется уровень риска в следующих интервалах:

        • ранг 0 — риск отсутствует, никакие действия не предпринимаются;
        • 0–4 — риск низкий, предпринимаются низкозатратные действия;
        • 5–8 — риск средний, предпринимаются действия с учетом временных и экономических затрат;
        • 9–16 — риск высокий, необходимо срочное выполнение мероприятий по снижению риска;
        • 16–25 — риск высокий, необходимо предпринять незамедлительные действия по его снижению [7].

        После оценки риска наступает этап его обработки / модификации посредством:

        • избежания, т. е. отказа от деятельности;
        • принятия;
        • устранения источника риска;
        • изменения его вероятности;
        • изменения его последствий;
        • разделения риска с другой стороной [2].

        Обработка риска включает следующие этапы:

        • определение целей обработки риска;
        • определение и выбор способов обработки риска (с учетом затрат, эффективности обработки, уровня остаточного риска);
        • разработка и осуществление плана обработки риска [3].

        Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:

        • измеряться в процентах, представлять собой число (номер) или соотношение;
        • определяться сопоставимыми значениями за определенный промежуток времени;
        • иметь базовые значения;
        • иметь недорогие и простые (в интерпретации и контроле) данные [9, 10].

        Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.

        Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:

        • соблюдать принципы менеджмента риска;
        • нести ответственность, выполнять обязанности и иметь полномочия в области менеджмента риска;
        • формировать реестр риска и вести отчетность в соответствии с установленными в организации формами, с применением стандартизованных терминов и принятых критериев [5].

        Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:

        • знание политики, стратегии и целей организации в области менеджмента риска;
        • понимание связи политики в области риска с общей политикой и стратегическими целями организации, а также с требованиями и ожиданиями причастных к этому сторон;
        • знание процессов и специфики работы организации;
        • знание необходимых правовых требований, в том числе требований нормативной и технической документации: технических регламентов, стандартов и рекомендаций в области риска;
        • знание и правильное использование терминов менеджмента риска;
        • знание карты этого процесса;
        • знания в области применения реестра риска.

        Основные требования к навыкам менеджеров по риску включают способности:

        1. Идентифицировать, описать и зарегистрировать опасные события и оценить соответствующие им риски.
        2. Применять критерии допустимого риска организации.
        3. Задействовать методы оценки риска.
        4. Использовать методы разработки и ведения реестра риска.
        5. Применять методы обработки и мониторинга риска организации, в том числе методы оценки результативности и эффективности мероприятий по снижению риска.
        6. Использовать методы анализа менеджмента риска и управления документацией в этой области.
        7. Обеспечивать от имени высшего руководства внедрение процесса менеджмента риска, а также разработку, внедрение, функционирование и поддержку в рабочем состоянии соответствующей системы.
        8. Доводить до сведения высшего руководства информацию о работе системы менеджмента риска и всех необходимых улучшениях, при этом в отчете по реестру риска необходимо указывать:
          • перечень опасных событий, связанный с ними риск и способы обработки;
          • оценку эффективности мер по обработке ключевых видов рисков;
          • произошедшие изменения за отчетный период;
          • необходимые изменения в стратегиях, целях и задачах в области риск-менеджмента для предотвращения или снижения возможных потерь;
          • предполагаемую причину неэффективности мероприятий по обработке риска;
          • необходимые действия для выполнения мероприятий по обработке риска;
          • меры повышения эффективности риск-менеджмента [6].
          • Обеспечивать понимание риска персоналом организации.
          • Согласовывать процесс риск-менеджмента с общей системой процессов организации.
          • Внедрять решения, принятые по результатам оценки риска.
          • Поддерживать и постоянно улучшать систему риск-менеджмента.

          Оценка риска осуществляется группой, включающей следующие роли:

          • владелец / спонсор — инициирует и контролирует осуществление оценки риска, обеспечивает необходимыми ресурсами (финансовыми, материальными, нематериальными) выполнение плана-графика по времени;
          • руководитель группы — управляет выполнением оценки риска;
          • эксперт по исследуемому направлению — предоставляет соответствующие информацию, данные и экспертные оценки, относящиеся к исследуемому риску;
          • помощник — оказывает помощь при оценке риска, организует совещания по ней;
          • участник — активно участвует в процессе оценки риска [3].

          Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:

          • цель: постоянное определение, анализ, обработка и мониторинг рисков;
          • выходы: область применения менеджмента рисков, определение и выполнение стратегий менеджмента рисков, определение рисков, анализ рисков, оценивание степени риска, применение обработки риска;
          • виды деятельности: планирование менеджмента рисков, менеджмент профиля рисков, анализ рисков, обработка рисков, мониторинг рисков, оценка процесса менеджмента рисков.

          В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).

          Рис. 3. IDEF0-модель процесса менеджмента риска

          Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.

          Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.

          Код регистрации (в реестре) и название риска (опасного события)

          Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях. В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении [5].

          Читайте также:  Акт освидетельствования на строительство дома по материнскому капиталу

          Тип риска (внешний или внутренний)

          При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска [3].

          Вид риска (экономический, технический, социальный, экологический)

          Высшее руководство должно установить критерии риска, используемые в реестре. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Последние должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных к процессу сторон [5].

          Владелец риска (ответственный за менеджмент риска)

          • Владелец риска — лицо или организационная единица, которые имеют полномочия и несут ответственность за управление рисками [2].
          • Ответственность за менеджмент риска, в том числе за его контроль и мониторинг, должна быть возложена на ответственного менеджера по риску или группу менеджмента риска [7].

          Риск-менеджеры (эксперты по оценке риска)

          • Для идентификации рисков необходимо привлекать людей, обладающих соответствующими знаниями [2].
          • Высшее руководство должно назначить во всех подразделениях организации квалифицированный персонал, ответственный за внедрение результатов анализа и оценки риска [5].

          Область или объект воздействия риска (организация, среда, персонал, продукт, процесс)

          При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами могут быть:

          • организация в целом, ее структурное подразделение или его часть;
          • продукция, услуга, процесс или вид деятельности;
          • персонал или отдельные работники [7].

          Заинтересованные (причастные) стороны, подверженные риску

          • При выборе вариантов воздействия на риск организация должна рассматривать значения и восприятие заинтересованных сторон и наиболее подходящие способы обмена информации с ними [2].
          • Основные заинтересованные стороны должны быть привлечены к работе по установлению целей и области применения оценки риска, а в дальнейшем — в группу оценки риска для обеспечения объективности выводов [3].

          Источник и условия возникновения риска (опасного события)

          Анализ риска включает исследование источников опасных событий, их последствий и вероятности появления. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности [7].

          Уровень (балл) последствий воздействия риска (опасного события)

          • При анализе последствий определяют характер и тип воздействия, которое может произойти при возникновении конкретного события, ситуации или обстоятельств [2].
          • Группа оценки риска должна внимательно проанализировать весь диапазон последствий для каждого опасного события, при этом необходимо использовать таблицу последствий. Каждый вид последствий должен быть зарегистрирован в реестре риска [3].

          Уровень (балл) вероятности возникновения опасного события

          После определения последствий для каждого опасного события следует выявить соответствующую вероятность. Используя таблицу оценки вероятности опасного события, для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска [3].

          Оценка уровня (ранга) риска

          Ранжирование опасных событий проводят в соответствии с ущербом. Результатом анализа и сравнительной оценки риска является ранжирование, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска [6].

          Решение о необходимости обработки риска

          • Оценивание риска включает сравнение уровня риска, выявленного в процессе анализа, с установленными критериями риска во время рассмотрения ситуации (контекста) [2].
          • Целью сравнительной оценки риска малой организации является принятие на основе результатов анализа риска и критериев приемлемости риска решений о необходимости обработки риска и о расстановке приоритетов при ее выполнении [7].

          Мероприятия по обработке риска (снижению вероятности и/или последствий)

          Целью плана обработки риска является регистрация выбранных способов обработки риска. План обработки риска должен включать в себя:

          • детальное обоснование причин для выбора метода обработки риска;
          • ожидаемые преимущества выбранного метода обработки риска;
          • предлагаемые действия;
          • необходимые ресурсы;
          • распределение ответственности и полномочий;
          • календарный план выполнения работ;
          • критерии качества работы;
          • требования к обмену информацией и мониторингу [3].

          Ответственный за обработку риска

          Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за них. Ответственными, как правило, назначают:

          • менеджеров по риску, если в качестве стратегии снижения риска выбраны его устранение, снижение или оптимизация;
          • ответственную сторону, если в качестве стратегии снижения риска выбрана его передача;
          • ответственного, наделенного полномочиями принятия риска, если оно выбрано в качестве стратегии снижения риска [6].

          Срок выполнения мероприятий по обработке риска

          Этапы обработки риска включают в себя:

          • выбор стратегии обработки риска;
          • оценку последствий, вероятности опасного события и риска после применения выбранной стратегии обработки;
          • идентификацию мероприятий по обработке риска;
          • определение сроков выполнения мероприятий по обработке риска;
          • определение ответственных за выполнение мероприятий;
          • оценку результатов обработки риска [6].

          Индикаторы мониторинга риска

          • Должна быть четко определена ответственность за проведение мониторинга и пересмотра рисков. Процессы мониторинга и пересмотра, осуществляемые организацией, должны затрагивать все аспекты процесса риск-менеджмента. Результаты мониторинга и пересмотра должны быть документированы [2].
          • Организация должна обеспечивать непрерывность процесса менеджмента риска, по этому необходимо проводить регулярный мониторинг всех его видов и пересмотр записей в реестре [7].
          • Для повышения эффективности контрольных процедур с помощью ключевых индикаторов риска необходимо:
            ○ выбрать индикаторы для каждого значимого риска;
            ○ определить интервалы значений индикаторов, соответствующие приемлемому риску, высокому риску и т. п.;
            ○ документировать проведение мониторинга индикаторов и предоставления соответствующей отчетности руководству [9].
          • Все организации должны иметь перечень индикаторов риска, которые видоизменяются с течением времени. Перечень индикаторов должен подвергаться периодическому анализу и пересмотру [9].
          • Службы внутреннего контроля и аудита должны с определенной периодичностью производить проверки ключевых индикаторов риска на своевременность предоставления, достоверность данных, актуальность [9].
          • Отчет должен содержать и структурировать следующую информацию:
            ○ источник информации для каждого индикатора;
            ○ лицо, ответственное за предоставление данных;
            ○ частоту обновления данных;
            ○ планирование, сроки и время исполнения [9].

          Сведения о результативности и эффективности обработки риска (оценка и опыт)

          • В реестр риска включают также оценку выполнения мероприятий по обработке риска [6].
          • В качестве объектов внутреннего аудита рекомендуется использовать следующие документы:
            ○ реестр риска, включающий описание, категорию, причину, вероятность, воздействие на цели, предполагаемые ответные действия и текущее состояние выявленного риска;
            ○ карту риска, которая отражает динамику изменения состояния защищенности организации во времени;
            ○ панель риска, содержащую информацию о ключевых индикаторах риска и динамике их изменения во времени;
            ○ отчеты о выполнении планов обработки риска;
            ○ аналитическое заключение о защищенности организации — детальное описание риска с присвоением веса, оценкой вероятности и возможного ущерба [9].

          Направления улучшения инфраструктуры риск-менеджмента

          • Организациям рекомендуется разрабатывать, внедрять и постоянно улучшать инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру [2].
          • В рамках системы менеджмента риска необходимо установить систему отчетности об оценке риска, эффективности средств контроля и методов управления и мероприятий по обработке риска [5].

          Периодичность актуализации оценки риска (реестра риска)

          • Процесс менеджмента риска должен быть непрерывным, поэтому менеджерам по риску следует проводить регулярный мониторинг всех видов риска и пересмотр записей в реестре, направленный на обеспечение достижения целей организации и выполнения установленных требований к риску. Для этого необходимы:
            ○ проведение регулярного анализа каждого риска, направленного на оценку полноты и правильности соответствующих описаний и расчетов, их соответствия существующим угрозам, последствиям, оценкам вероятности их появления, выбранной стратегии менеджмента риска и достаточности мер, направленных на снижение риска;
            ○ идентификация ключевых видов риска ответственным за менеджмент риска организации и обмен информацией о них с причастными сторонами;
            ○ актуализация мероприятий, направленных на снижение риска [6].
          • Анализ и пересмотр реестра риска следует проводить не реже одного раза в год. Периодичность анализа и пересмотра реестра риска устанавливает высшее руководство организации. Анализ и пересмотр реестра должны включать в себя обсуждение проблем, связанных с новыми видами идентифицированного риска и исключением из реестра риска устаревшей информации [6].

          Дата актуализации сведений о риске (в реестре)

          Для практического использования паспорт риска может быть реализован как нормативно-справочный документ в системе бизнес-моделирования Business Studio (рис. 4), при этом:

          Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio

          Рис. 5. Карточка раздела документа

          Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.

          Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).

          Рис. 6. Шаблон пользовательского отчета «Паспорт риска»

          В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).

          Рис. 7. Отчет «Паспорт риска»

          Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.

          1. Лист «Матрица рисков» (рис. 8):
            • средневзвешенный уровень рисков организации (например, 10,25);
            • матрицу позиционирования рисков в координатах «Вероятность» и «Последствия» (например, риск «Высокая зависимость от ключевых сотрудников» имеет значения параметров: вероятность — 4 балла, последствия — 3 балла);
            • список (реестр) рисков, включающий дополнительные сведения: дату (обновления в карточке риска), код (регистрационный номер), владельца.

            Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу

            Рис. 9. Лист «Риски» Excel-отчета по мониторингу

            • наименование раздела (нормативно-справочного) документа;
            • требования и рекомендации стандартов для параметра риска.

            Рис. 10. Лист «Требования» Excel-отчета по мониторингу

            Для удобства навигации отчет содержит необходимые автоматические ссылки.

            Предложенная автором структура паспорта риска, содержащая требования и рекомендации соответствующих стандартов, позволит определять и поддерживать необходимые компетенции участников инфраструктуры по управлению рисками. Применение системы Business Studio позволит осуществлять регулярную деятельность по актуализации реестра риска, поддержанию и развитию требуемых компетенций в области управления рисками, а также регулярный мониторинг выполнения мероприятий по их обработке.

            Источники информации:

            Опубликовано по материалам:
            «Менеджмент качества», 03/2019.

            Источник: www.businessstudio.ru

            Рейтинг
            Комментарии0
            Загрузка ...
            Похожие материалы