Независимо от того, проводится ли количественный или качественный анализ, получаемая в результате информация должна обеспечивать основу для оценивания рисков, которая может потребовать разделения первоочередных рисков на категории высокой, средней или низкой степени воздействия. Риски более низкой степени воздействия по решению менеджеров и других заинтересованных участников могут быть на время отложены для их рассмотрения в дальнейшем, как не требующие особого внимания. В этом случае нельзя допустить игнорирования рисков, которые могут проявиться в комбинации с другими рисками или на которые могут влиять другие риски. Риски, отложенные на одном этапе общего процесса менеджмента рисков, должны рассматриваться вновь, если появляется новая информация или изменяются обстоятельства.
Вся информация о рисках, а также сопутствующая информация, полученная в результате анализа рисков, должна включаться в реестр. Реестры рисков должны выполнять функции документирования информации и постоянно актуализироваться.
5.3.3 Оценивание рисков
Целью процесса оценивания рисков является, во-первых, определение того, могут ли риски нанести серьезный ущерб предприятию или проекту и какие из них можно не устранять в свете ранее установленных критериев. В этом случае необходимо провести пересмотр целей и критериев проекта. Во-вторых, процесс оценивания рисков должен в итоге привести к составлению перечня приоритетности рисков для их дальнейшего рассмотрения.
Первым этапом оценивания риска является классифицирование угроз и возможностей возникновения рисков на три категории.
Угрозы (последствия) классифицируют как неприемлемые в любых обстоятельствах, если могут произойти катастрофические последствия для предприятия или проекта или если они неприемлемы по другим причинам, например в случае чрезмерных затрат на их рассмотрение, которые значительно превышают достигаемый эффект. Такие риски должны быть идентифицированы на раннем этапе исследований на уровне предприятия.
Угрозы возникновения рисков классифицируют как приемлемые, если в результате рассмотрения они зарегистрированы как подлежащие менеджменту в приемлемых границах.
Незначительными считаются угрозы, которые, предположительно, не представляют в данной ситуации серьезной опасности. Такие риски необходимо регистрировать и они могут быть отложены для их рассмотрения в дальнейшем, но при этом остается необходимость их постоянной переоценки через определенные периоды времени.
Возможности следует классифицировать как критические, желательные или пренебрежимо малые.
Критическими возможностями, которые необходимо идентифицировать на раннем этапе исследований на уровне предприятия, являются возможности, которые могут оказать существенное влияние на значимость проекта для предприятия.
Желательными возможностями являются такие возможности, которые при их реализации способствуют достижению целей проекта на более высоком уровне по сравнению с установленным минимумом.
Пренебрежимо малые возможности включает в себя возможности, которые оказывают несущественное влияние на проект. Они также должны быть зарегистрированы и могут быть отложены для рассмотрения в дальнейшем. На более позднем этапе может возникнуть необходимость их переоценки.
Соответствие между угрозами и требуемыми возможностями приведено на рисунке 4.
Рисунок 4 - Соответствие между угрозами и возможностями
Все риски, кроме незначительных, подлежат дальнейшему анализу и оцениванию с целью их подтверждения или включения изменений в первоначальную категоризацию. Не исключается, что некоторые неприемлемые или критические риски могут оказаться приемлемыми или целесообразными для рассмотрения и наоборот дальнейший анализ может выявить обратную картину, то есть перевод отдельных приемлемых или целесообразных для рассмотрения рисков в категорию неприемлемых или критических рисков.
Риски, классифицированные как неприемлемые, должны быть рассмотрены с точки зрения возможности их устранения, и в случае, если такая возможность существует, должно быть принято решение, необходимо ли это делать. Если риски не могут быть обработаны, может возникнуть необходимость пересмотра критериев обработки рисков или целей, с которыми они ассоциируются. В исключительных случаях при идентификации неприемлемого риска проект следует закрыть или отказаться от его выполнения. Рассматриваемые риски, то есть риски, приемлемые или целесообразные для обработки, можно дополнительно проанализировать с целью выбора соответствующей формы и уровня их обработки.
5.3.4 Обработка рисков
Процесс обработки рисков должен включать в себя идентификацию и оценивание различных вариантов рассмотрения рисков, а также разработку и выполнение планов менеджмента рисков. Для потенциальных угроз и возможностей сначала определяют необходимость проведения специальной обработки и возможность их обработки в процессе выполнения обычных процедур менеджмента и непосредственной деятельности предприятия. Обработка рисков включает в себя анализ необходимых ответных мер, способствующих минимизации рисков. Некоторые ответные меры, которые могут приниматься для минимизации рисков, приведены в таблице 5.
Таблица 5 - Ответные меры по минимизации рисков
|
|
|
|
Мера |
Ответная мера |
|
Устранение или предупреждение риска |
Изменение или отказ от целей, однозначно ассоциируемых с рассматриваемым риском, или выбор альтернативных подходов или процессов, обеспечивающих определение ранее установленного риска, как не требующего дополнительного внимания |
|
Распределение риска |
Распределение и передача риска частично или полностью другому участнику процесса, который может участвовать в нем исключительно с целью обеспечения рассмотрения рисков (например, страховщику) |
|
Снижение степени вероятности |
Изменение подхода к проекту, идентификация причинно-следственных связей между риском и воздействием или причины риска и вмешательства с целью снижения степени проявления |
|
Снижение степени последствий |
Разработка чрезвычайных планов реагирования на риск в случае его возникновения, даже если были приняты другие меры по минимизации риска |
Возможность обработки рисков включает в себя меры, обеспечивающие наличие возможностей обработки рисков. Меры, которые могут быть приняты для повышения вероятности возникновения такой возможности, приведены в таблице 6.
Таблица 6 - Возможности обработки рисков
|
|
|
|
Мера |
Краткое описание |
|
Предоставление возможностей |
Выбор соответствующего подхода к выполнению проекта, повышение степени участия других участников, заинтересованных в проекте |
|
Привлечение участников, влияющих на развитие событий |
Привлечение участников, которые могут обеспечить возможность обработки рисков |
|
Снижение степени вероятности |
Изменение подхода к выполнению проекта, рассмотрение причинно-следственных связей между возможностью и проектом |
|
Снижение степени последствий |
Разработка планов, предусматривающих полное использование возможности в случае ее возникновения |
Любая мера обработки рисков должна быть подвергнута анализу с учетом:
a) объемов затрат по сравнению с предполагаемым эффектом обработки риска;
b) принимаемых действий;
c) эффективности предотвращения риска или улучшения возможности;
d) возникновения любого вторичного риска, связанного с принимаемым действием.
Такой анализ необходим для проверки того, что ответная мера, сама по себе, не повлечет за собой непредвиденных последствий в результате принятия этой меры. Это особенно касается мер, принятие которых может привести к возникновению более серьезного риска по сравнению с риском, для минимизации которого предусматривается обработка. Такое решение вопроса особенно важно, если преследуемая цель связана с расширением возможностей.
После этого меры должны быть сопоставлены с оценкой риска для принятия решения о целесообразности предпринимаемых действий для данного уровня риска. Если в результате принятых решений по обработке рисков для участия привлекаются новые заинтересованные стороны, их интересы должны учитываться в результатах предыдущих анализов.
По каждому подвергаемому обработке риску, за исключением рисков, которые однозначно необходимо избежать, должны быть идентифицированы показатели вероятности его возникновения. После этого каждый такой риск должен быть подвергнут мониторингу, предусмотренному в плане обработки рисков.
После идентификации мер и показателей риска необходимо разработать план менеджмента рисков. Он должен быть согласован с соответствующими заинтересованными менеджерами и доведен до сведения других заинтересованных сторон. Как правило, планы работы с рисками включают в общий план предприятия или план менеджмента проекта и выделяют достаточные ресурсы для осуществления согласованных действий.
План менеджмента риска должен учитывать характеристики рисков и возможности их адресной обработки.
Необходимо различать:
- предупредительные ответные меры, принимаемые в процессе текущей деятельности предприятия и проекта, и
- смягчающие меры, которые предусматриваются, но не предпринимаются до тех пор, пока риск не возникнет.
Предупредительные ответные меры могут, например, включать в себя применение уже проверенного метода, а не инновационного, внушающего меньше уверенности в результате. Смягчающие меры могут предусматривать страхование от потерь или сбоя в работе. При выборе меры страхования следует обеспечить выделение достаточных ресурсов, необходимых для восстановления прежнего состояния и завершения проекта в соответствии с планом.
Весь менеджмент рисков, особенно меры по обработке рисков, должны контролироваться на предмет их результативности, чтобы могли быть предприняты соответствующие ответные меры или действия. В противном случае стратегия менеджмента рисками должна быть признана неадекватной. Возможные методы анализа включают в себя оценку результативности, проведение аудитов и контроля. Это позволяет постоянно получать в режиме обратной связи постоянную информацию для наибольшей эффективности оценки и обработки рисков.
Параллельно с постоянным обменом информацией необходимо проводить:
- регулярный мониторинг использования ресурсов в соответствии с планом менеджмента рисков;
- мониторинг согласованных показателей риска;
- мониторинг рисков с целью определения того, что они входят в запланированные пределы.
Переоценка рисков и определение новых рисков должны осуществляться на регулярной основе.
6 Обмен информацией по менеджменту рисков
Эффективный обмен информацией по рискам является критическим фактором в области менеджмента рисков. Неудовлетворительный обмен информацией может представлять собой значительный риск для эффективности управления предприятием или проектом.
До принятия решения в отношении технических аспектов обмена информацией менеджеры должны определить цели или комбинации целей, которые предполагается достигнуть в результате обмена информацией между отдельными участниками. Только после этого могут быть выработаны соответствующие стратегия и механизм обмена информацией, обеспечивающие повышение эффективности и снижение рисков, которые необходимо интегрировать в общий процесс менеджмента рисков с учетом прогнозирования проблем, связанных с рисками. Стратегию и механизм обмена информацией необходимо разрабатывать параллельно со стратегией управления отношениями между участниками (см. раздел 8).
Необходимо также принять все необходимые меры предосторожности, исключающие такой обмен информацией, который может угрожать предприятию или проекту, а также исключающие несанкционированный доступ к конфиденциальной информации.
Подготовка любой информации предусматривает использование терминов и образов, известных участникам, а также удобных для пользователей информации программных сред и интерфейсов.
Обмен информацией часто происходит по каналам, которые являются неофициальными и не контролируются менеджерами. Эффективное управление обменом информацией требует оценки таких каналов, а также знания, как они функционируют. В каждой ситуации каналы связи могут быть различными. Неофициальные каналы могут также помочь или помешать общему процессу обмена информацией или оказать значительную помощь в обеспечении идентификации рисков.
