Ключевые элементы механизма управления системными рисками предприятия
Управление как целенаправленное воздействие управляющей системы на управляемую представлено в виде множества взаимосвязанных между собой процессов подготовки, принятия и организации выполнения управленческих воздействий, составляющих технологию процесса управления.
Системный подход к созданию механизма управления рисками предполагает определение ключевых элементов системы и их реализацию в системе предприятия.
Процесс управления рисками необходимо дополнить деятельностью по формированию фондов промышленного предприятия с целью реагирования капитала предприятия на системные риски.
На рис. 2.3 представлен циклический процесс управления рисками, который должен включать пять подпроцессов или функций, постоянно существующих в организации:
1. Стратегическое и оперативное планирование управления рисками включает определение стоимостных ориентиров капитала предприятия, определение элементов воздействия управляемой системы и планирование мероприятий по реагированию на риски. Отсутствие данного элемента чревато появлением хаотических, необоснованных действий и как результат снижение стоимости капитала ввиду неоправданных рисков.
2. Деятельность по идентификации рисков заключается в определении чувствительности активов предприятия к рискам. Отсутствие данного элемента чревато появлением хаотических, необоснованных действий и как результат снижение стоимости капитала ввиду неоправданных рисков.
3. Оценка рисков включает деятельность по определению влияния рисков на стоимость капитала и другие результаты деятельности предприятия. Отсутствие данного элемента чревато появлением хаотических, необоснованных действий и как результат снижение стоимости капитала ввиду неоправданных рисков.
Идентификация рисков |
Планирование управления рисками |
Мониторинг и контроль рисков |
Организация реагирования на риски |
Оценка рисков |
Рис.2.3. Циклический процесс управления рисками на предприятии
4. Организация реагирования на риски – это деятельность по разработке методов реагирования на риск, имеющая целью увеличение вероятности благоприятных и уменьшение вероятности неблагоприятных последствий рисков. Отсутствие данного элемента чревато появлением хаотических, необоснованных действий и как результат снижение стоимости капитала ввиду неоправданных рисков.
5. Мониторинг и контроль рисков предполагают наблюдение за существующими рисками и идентификацию новых рисков. Отсутствие данного элемента чревато появлением хаотических, необоснованных действий и как результат снижение стоимости капитала ввиду неоправданных рисков.
Описанные процессы реализуются и оказывают воздействие на внутреннюю и внешнюю среду предприятия, генерируют риски в деятельности предприятия. Более подробное описание подпроцессов управлениями рисками представлено на рис. 2.4.
Планирование управления рисками включает входной план управления рисками. К важным элементам плана управления рисками относятся: распределение ролей и ответственности, определение критериев анализа каждого риска, пороги рисков (низкий, средний и высокий), время и бюджет, необходимые для выполнения мероприятий по управлению рисками проекта.
Процесс управления рисками |
Идентификация рисков |
Планирование управления рисками |
Мониторинг и управление рисками |
I. Входы 1. Факторы внешней среды предприятия 2. Активы организационного процесса 3. План управления рисками II. Инструменты и методы 1. Совещания по планированию и анализ III. Выходы 1. План управления рисками |
Оценка рисков (количественный и качественный анализ рисков) |
Организация реагирования на риски |
I. Входы 1. Факторы внешней среды предприятия 2. Активы организационного процесса 3. План управления рисками II. Инструменты и методы 1. Анализ документации 2. Методы сбора информации 3. Анализ контрольных списков 4. Анализ допущений 5. Методы отображения с помощью диаграмм III. Выходы 1. Реестр рисков |
I. Входы 1. План управления рисками 2. Реестр рисков 3. Одобренные запросы на изменения 4. Информация об исполнении работ 5. Отчеты об исполнении II. Инструменты и методы 1. Пересмотр рисков 2. Аудит рисков 3. Анализ отклонений и трендов 4. Техническое измерение исполнения 5. Анализ резервов 6. Совещания по текущему состоянию III. Выходы 1. Реестр рисков (обновления) 2. Запрошенные изменения 3. Рекомендованные корректирующие действия 4. Рекомендованные предупреждающие действия 5. Активы организационного процесса (обновления) 6. План управления рисками (обновления) |
I. Входы 1. План управления рисками 2. Реестр рисков II. Инструменты и методы 1. Стратегии реагирования на негативные риски (угрозы) 2. Стратегии реагирования на позитивные риски (благоприятные возможности) 3. Общая стратегия реагирования на угрозы и благоприятные возможности 4. Стратегия реагирования на непредвиденные обстоятельства III. Выходы 1. Реестр рисков (обновления) 2. План управления рисками (обновления) 3. Контрактные соглашения, касающиеся рисков |
I. Входы 1. Активы организационного процесса 2. План управления рисками 3. Реестр рисков 4. План управления рисками II. Инструменты и методы 1. Методы сбора и представления данных 2. Количественный анализ рисков и прогноз доходности III. Выходы 1. Реестр рисков (обновления) |
Рис. 2.4. Общая схема подпроцессов управления рисками предприятия
Также на входе процесса планирования реагирования на риски находится реестр рисков. Первоначально реестр рисков формируется и в процессе идентификации рисков, затем обновляется во время проведения качественного и количественного анализов рисков. При разработке плана операции по реагированию на риски, в ходе процесса планирования, может возникнуть необходимость обращения к информации об идентифици-рованных рисках, основных причинах возникновения рисков, списку потенциальных мероприятий по управлению рисками, списку ответственных за риски. Реестр рисков на входе процесса планирования в общем виде включает: 1) относительный рейтинг или список рисков проекта, упорядоченных по приоритетности, 2) список рисков, требующих немедленного реагирования, 3) список рисков, нуждающихся в проведении дополнительных анализов и реагирования, 4) тренды результатов качественного анализа рисков, 5) основные причины рисков, 6) риски, сгруппированные по категориям, 7) список рисков, обладающих низким приоритетом, за которыми следует вести наблюдение.
Тщательное и подробное планирование повышает вероятность успешного достижения результатов других процессов управления рисками. Планирование управления рисками – это процесс определения подходов и планирования операций по управлению рисками проекта. Планирование процессов управления рисками позволяет обеспечить соразмерность уровня, типа и прозрачности управления рисками как самому риску, так и значению для организации, а также выделить достаточное количество времени и ресурсов для выполнения операций по управлению рисками и определить общее основание для оценки рисков. Процесс планирования управления рисками должен быть завершен на ранней стадии планирования проекта, поскольку он крайне важен для успешного выполнения других процессов, описанных в данной главе.
Планирование управления рисками включает совещания по плани-рованию и анализ. В совещаниях могут принимать участие представители организации, отвечающие за операции по планированию рисков и реаги-рованию на них, и при необходимости другие лица.
На таких совещаниях составляются базовые планы по проведению операций по управлению рисками. Также разрабатываются элементы стоимости рисков и плановые операции по управлению рисками, распределяется ответственность в случае наступления рисков. А также разрабатываются имеющиеся в организации общие шаблоны, касающиеся категорий рисков и определения терминов (например, уровни рисков, вероятность возникновения рисков по типам, последствия рисков для стоимости капитала других результатов деятельности предприятия, а также матрица вероятности и последствий). Выходы этих операций сводятся в план управления рисками.
Идентификация рисков предусматривает определение рисков, способных повлиять на деятельность предприятия, и документальное оформление их характеристик. При необходимости в операциях по идентификации рисков могут принимать участие эксперты в определенных областях, заказчики, конечные пользователи, менеджеры проектов, участники проекта и эксперты по вопросам управления рисками. Главная роль в идентификации рисков принадлежит этим специалистам, но следует поощрять участие в этом процессе всего персонала.
Идентификация рисков – это итеративный процесс, поскольку по мере развития предприятия в рамках его жизненного цикла могут обнаруживаться новые риски. Частота итерации и состав участников выполнения каждого цикла в каждом случае могут быть разными. В этом процессе должны принимать участие члены команды проекта для того, чтобы у них вырабатывалось чувство «собственности» и ответственности за риски и за действия по реагированию на них. Обычно за процессом идентификации рисков следует процесс качественного анализа рисков. В случае, если идентификация рисков происходит под управлением опытного менеджера по рискам, непосредственно за идентификацией может следовать количественный анализ рисков. В некоторых случаях уже сама идентификация риска может определять меры реагирования; эти меры должны фиксироваться для дальнейшего анализа и осуществления в ходе процесса реагирования на риски.
Идентификация рисков включает следующие инструменты и методы:
1. Анализ документации. Можно осуществлять структурированный анализ документации, включая планы, допущения, архив и другие источники. Качество планов, а также согласованность планов и их соответствие требованиям и допущениям проекта могут служить показателями возможности риска.
2. Мозговой штурм. Целью мозгового штурма является создание подробного списка рисков. Обычно мозговой штурм проводят совместно с участием экспертов из разных областей. Риски подлежат идентификации и категоризации по типам, а их определения – уточнению.
3. Метод Дельфи. Метод Дельфи – это способ достижения консенсуса между экспертами. Данный метод предполагает, что эксперты по вопросам рисков принимают в нем участие анонимно. С помощью опросного листа ведущий собирает идеи о важных рисках. Составляются резюме ответов, которые потом возвращаются экспертам для дальнейших комментариев. Консенсуса можно достичь за несколько циклов этого процесса. Метод Дельфи помогает преодолеть необъективность в оценке данных и устраняет избыточное влияние отдельных лиц на результат работы.
4. Опросы.Проведение опросов среди опытных сотрудников, принимающих участие в проекте, среди участников проекта и экспертов в этой области может способствовать идентификации рисков. Результаты опросов являются одним из основных источников информации в процессе сбора данных об идентификации рисков.
5. Идентификация основной причины. Это выявление наиболее существенных причин возникновения рисков предприятия. Это позволяет дать более точные определения рискам и сгруппировать риски по причинам, их вызывающих. При выявлении основной причины повышается эффективность реагирования на риски.
6. Анализ сильных и слабых сторон, возможностей и угроз (анализ SWOT). Этот метод позволяет провести анализ рисков с позиции каждой из указанных выше сторон, что дает более полное представление о рисках предприятия.
7. Анализ контрольных списков. Контрольные списки для идентификации рисков могут разрабатываться на основе исторической информации и накопленных знаний. В качестве контрольного списка рисков можно также использовать самый нижний уровень иерархической структуры ресурсов. Хотя контрольный список может быть простым и легким для заполнения, но составить исчерпывающий контрольный список невозможно. Особое внимание следует уделять вопросам, которые не нашли своего отражения в контрольном листе.
8. Анализ допущений. Данный анализ представляет собой инструмент оценки обоснованности допущений по мере их применения; идентифицирует риски, происходящие от неточности, несовместимости или неполноте допущений.
Результаты идентификации рисков можно представить в виде диаграмм:
1) Диаграммы причинно-следственных связей. Это графики, известные также как диаграмма Ишикавы или диаграммы типа «рыбий скелет», используются для идентификации причин возникновения рисков.
2) Системная диаграмма или диаграмма зависимостей процесса. Этот вид графического отображения демонстрирует порядок взаимодействия различных элементов системы между собой и их причинно-следственные связи.
3) Диаграммы влияния. Графическое представление ситуаций, отображающее взаимные влияния, временные связи событий и другие отношения между переменными и результатами.
Оценка рисков включает качественный и количественный анализ рисков. Качественный анализ рисков включает в себя расстановку приоритетов для идентифицированных рисков, результаты которой используются впоследствии, например, в ходе количественного анализа рисков или планирования реагирования на риски. Организации могут существенно повысить эффективность деятельности, сосредоточив усилия на рисках, обладающих наивысшим приоритетом. При качественном анализе рисков определяются приоритеты идентифицированных рисков на основании вероятности их возникновения, их влияния на достижение целей в случае возникновения этих рисков, а также с учетом ряда других факторов (например, расписание, содержание и качество).
При помощи определения степени вероятности и воздействия, а также данных, полученных при опросах экспертов, можно скорректировать часто возникающую при выполнении данного процесса систематическую погрешность данных. При наличии плановых операций, выполнение которых очень плотно привязано к определенным временным промежуткам и подверженных воздействию риска, степень важности риска увеличивается многократно. Оценка качества доступной информации, относящейся к рискам, также может способствовать пониманию степени значимости.
Качественный анализ рисков – это обычно быстрый и недорогой способ установки приоритетов в процессе планирования действий по реагированию на риски и при необходимости служит основой для проведе-ния количественного анализа рисков. Качественный анализ рисков подлежит уточнению на протяжении всего жизненного цикла проекта и должен отражать все изменения, относящиеся к рискам. Для проведения качественного анализа рисков необходимы выходы процессов планирования управления рисками и идентификации рисков. По окончании качественного анализа рисков можно переходить к количественному анализу рисков или непосредственно к планированию реагирования на риски.
Качественному анализу рисков присущи следующие инструменты и методы:
1. Определение вероятности и воздействия рисков. Это проведение исследований на предмет определения степени вероятности возникновения того или иного риска.
При оценке воздействия риска определяется потенциальный эффект, включая негативные воздействия для угроз и позитивные воздействия для благоприятных возможностей.
Вероятность и воздействие оцениваются для каждого идентифицированного риска. Оценка рисков может производиться на осно-вании результатов опросов или совместных совещаний со специалистами, выбранными по критерию осведомленности в области категоризации рисков. Проведение экспертных оценок является необходимостью, поскольку может оказаться, что информации о рисках, находящейся в базах данных организаций, недостаточно. Для проведения дискуссий, возможно, потребуется помощь опытного ведущего, так как участники могут обладать недостаточным опытом в оценке рисков.
На основании результатов опросов или встреч производится определение степени вероятности возникновения и воздействия каждого риска. Фиксируется также пояснительная информация, включая допущения, использованные для определения уровней рисков. Вероятности возникновения и воздействия рисков ранжируются в соответствии с определениями, представленными в плане управления рисками. В некоторых случаях риски с явно низкой степенью вероятности возникновения и воздействия в рейтинг рисков не включаются, но вклю-чаются в список рисков, за которыми в дальнейшем ведется наблюдение.
2. Матрица вероятности и последствий. Расстановка приоритетов рисков для последующего количественного анализа и реагирования осуществляется на основании рейтинга рисков. Присвоение риску определенного места происходит на основе оценок их вероятностей возникновения и последствий. Оценка важности рисков и, следовательно, приоритетности для обработки обычно осуществляется при помощи таблицы соответствия или матрицы вероятности и последствий. Такая матрица содержит комбинации вероятности и воздействия, при помощи которых рискам присваивается определенный ранг: низкий, средний или высший приоритет. В зависимости от предпочтений организации матрица может содержать описательные термины или цифровые обозначения.
Организация должна определить, какие комбинации вероятности и воздействия соответствуют высокому риску. В матрице, изображенной на рис. 2.5, наивысшие цифровые значения обозначают высокий уровень риска, наименьшие цифровые значения обозначают низкий уровень риска, а средние по значению цифровые обозначения – средний уровень риска. Обычно эти правила по определению рейтинга рисков устанавливаются в организации и включаются в активы организационного процесса. Правила определения ранга рисков могут дорабатываться в процессе планирования управления рисками.
Вероят-ность | Угрозы | Благоприятные возможности | ||||||||
0,90 | 0,05 | 0,09 | 0,18 | 0,36 | 0,72 | 0,72 | 0,36 | 0,18 | 0,09 | 0,05 |
0,70 | 0,04 | 0,07 | 0,14 | 0,28 | 0,56 | 0,28 | 0,28 | 0,14 | 0,07 | 0,04 |
0,50 | 0,03 | 0,05 | 0,10 | 0,20 | 0,40 | 0,40 | 0,20 | 0,10 | 0,05 | 0,03 |
0,30 | 0,02 | 0,03 | 0,06 | 0,12 | 0,24 | 0,24 | 0,12 | 0,06 | 0,03 | 0,02 |
0,10 | 0,01 | 0,01 | 0,02 | 0,04 | 0,08 | 0,08 | 0,04 | 0,02 | 0,01 | 0,01 |
0,05 | 0,10 | 0,20 | 0,40 | 0,80 | 0,80 | 0,40 | 0,20 | 0,10 | 0,05 |
Рис. 2.5. Матрица вероятности и последствий
Каждому риску присваивается показатель (ранг) на основании вероятности его появления и воздействия на стоимость капитала в случае его возникновения. В матрицу далее можно внести принятые в организации пороги для низких, умеренных и высоких рисков, которые определяют, будет ли риск считаться высоким, умеренным или низким.
Как показано на рис. 2.6, организация может определять ранг каждого риска отдельно. Кроме того, организация может устанавливать способы определения общего рейтинга для каждого риска. И, наконец, управление угрозами и благоприятными возможностями может осуществляться при помощи той же матрицы и определений различных уровней последствий. Ранг риска помогает управлять реагированием на риски.
3. Оценка качества данных риска.Для того чтобы результаты качественного анализа рисков были надежны, необходимы точные и непредвзятые данные. Анализ качества данных риска представляет собой технологию оценки полезности данных о риске для целей управления. Анализ включает в себя изучение глубины понимания риска, а также точности, качества, надежности и целостности данных о риске.
Использование низкого качества данных о риске может привести к тому, что результаты качественного анализа рисков окажутся малопригодными для использования. При отсутствии качественных данных, возможно, потребуется сбор новых, более высоких по качеству данных. Часто сбор информации о рисках вызывает немало трудностей и требует большего количества времени и ресурсов, нежели предусмотрено первоначальным планом.
Количественный анализ производится в отношении тех рисков, которые в процессе качественного анализа рисков были квалифицированы как потенциально или существенным образом влияющие на конку-рентоспособные свойства предприятия. В процессе количественного анализа рисков оценивается эффект от таких рисковых событий и таким рискам присваивается цифровой рейтинг. Данный анализ также представляет количественный подход к принятию решений в условиях неопределенности. В ходе этого процесса используются такие методы, как моделирование Монте Карло и анализ дерева решений. Они используются:
– для определения количества возможных выходов проекта и степени их вероятности;
– оценки вероятности достижения цели;
– идентификации рисков, требующих наибольшего внимания, путем количественной оценки их относительного вклада в общий риск;
– определения лучшего решения по управлению рисками в ситуации, когда некоторые условия или выходы остались неопределенными.
Количественный анализ рисков обычно выполняется после качественного анализа рисков, хотя опытные менеджеры иногда проводят количественный анализ сразу после идентификации рисков. В некоторых случаях для разработки эффективных ответных мер реагирования на риски не требуется проведения количественного анализа рисков. Выбор метода (методов) анализа в каждом конкретном случае определяется наличием времени и бюджетом, а также потребностью в качественной или количественной констатации рисков и их последствий. Чтобы определить, насколько успешно (и успешно ли) снизился общий риск, после планирования действий по реагированию на риски необходимо провести повторный количественный анализ рисков, а также частично мониторинг и управление рисками. Анализ трендов может указать на необходимость проведения большей или меньшей по масштабу операции по управлению рисками. Это является входом процесса планирования реагирования на риски.
Количественный анализ рисков включает следующие инструменты и методы сбора и представления данных:
– опросы. Опросы используются для количественной оценки вероятности наступления и воздействия рисков. Требуемая информация зависит от используемого типа вероятностного распределения. Документирование обоснований ранжирования рисков является важным компонентом опросов по рискам, поскольку эти документы могут содержать информацию о надежности и достоверности анализов;
– распределениевероятностей (рис. 2.6).Непрерывное распреде-ление вероятностей представляет собой неопределенность значений. Для представления неопределенных событий может использоваться дискретное распределение.
планируемые показатели |
Рис. 2.6. Нормальное распределение
Для количественного анализа рисков используются распределения, детерминированные двумя «параметрами формы»: равномерное, нормаль-ное, логарифмически нормальное, бета-распределение. На приведенной схеме (см. рис. 2.6) горизонтальная ось соответствует возможным значениям времени или стоимости, а вертикальная ось – относительной вероятности;
– экспертная оценка. Эксперты в этой области, как являющиеся сотрудниками организации, так и привлекаемые со стороны (например, эксперты в области инженерии или статистики), подтверждают правиль-ность данных и методов.
Наиболее распространенными методами количественного анализа являются:
– Анализ чувствительности. Анализ чувствительности помогает определить, какие риски обладают наибольшим потенциальным влиянием на результат. Один из типичных способов отображения результатов анализа чувствительности – это диаграмма торнадо, которая полезна при сравнении относительной важности переменных, обладающих высокой степенью неопределенности, с другими, более стабильными переменными.
– Анализ ожидаемой денежной стоимости. Ожидаемая денежная стоимость (ОДС) – это статистическое понятие, при помощи которого рассчитывается средний результат для случаев, когда будущее включает в себя сценарии, которые нельзя с уверенностью предсказать (т.е. анализ в условиях неопределенности). Обычно ОДС благоприятных возможностей выражается в положительных величинах, а риски – в отрицательных величинах. Расчет ОДС производится путем умножения значения каждого возможного результата на вероятность его появления, а затем полученные значения суммируются. Чаще всего такой тип анализа используется в анализе дерева решений.
– Анализ дерева решений. Обычно структура анализа дерева решений строится на основе диаграммы дерева решений, которая описывает рассматриваемую ситуацию с учетом каждой из имеющихся возможностей выбора и возможного сценария. Она объединяет стоимость каждой возможности выбора, вероятность возникновения каждого возможного сценария, а также вознаграждения за каждый альтернативный логический путь. Построение дерева решений дает возможность провести анализ ОДС (или иные мероприятия, представляющие интерес для организации) по каждой альтернативе при условии, что все вознаграждения и соответствующие решения уже имеют количественное выражение.
К выходам процесса оценки рисков относятся:
– Список приоритетных оцененных рисков. В этот список включены риски, которые представляют наибольшую угрозу или наилучшие благоприятные возможности. Среди них имеются риски, которые требуют максимальных средств на непредвиденные обстоятельства, и те, которые обладают наибольшей степенью вероятности оказать влияние на крити-ческий путь.
– Тренды результатов количественного анализа рисков. По мере проведения повторных анализов тренды могут становиться все более очевидными, а это может способствовать принятию решений, влияющих на реагирование на риски.
Организация реагирования на риски – это процесс разработки и организации путей и определения действий по увеличению возможностей и снижению угроз для результатов деятельности предприятия, в частности, в стоимости капитала. Данный процесс начинается после проведения качественного и количественного анализа рисков. Он включает в себя определение и назначение одного или нескольких ответственных лиц («ответственных за реагирование на риски»), обязанность которых – реагировать на каждый идентифицированный риск.
Запланированные операции по реагированию на риски должны соответствовать серьезности риска, быть экономически эффективными в решении проблемы, своевременными, реалистичными и согласованными, а выполнение мероприятий должно быть возложено на ответственное лицо. Часто требуется выбрать наилучший способ реагирования на риски из нескольких возможных вариантов.
Существует несколько стратегий реагирования на риски. Для каждого риска необходимо выбрать стратегию или комбинацию из различных стратегий, которая представляется наиболее эффективной для работы с ним. Для выбора наиболее адекватного способа реагирования на риски можно воспользоваться инструментами анализа рисков (например, анализом дерева решений). Затем необходимо разработать конкретные мероприятия по внедрению выбранной стратегии. Возможно определить основную и резервную стратегии. На случай, если выбранная стратегия не сработает или окажется малоэффективной, а также если возникнет принятый риск, можно разработать и задействовать резервный план. Часто выделяется резерв на непредвиденные обстоятельства. И, наконец, можно разработать план действий на непредвиденные обстоятельства вместе с определением условий, при которых этот план вводится в действие.
Существуют три типичных стратегии реагирования на появление угроз или рисков, которые могут оказать негативное влияние на достижение результатов проекта. Такими стратегиями являются: уклонение, передача или снижение.
– Уклонение. Уклонение от риска предполагает изменение плана управления проектом таким образом, чтобы исключить угрозу, вызванную негативным риском от последствий риска, или ослабить цели, находящиеся под угрозой. Некоторые риски можно избежать при помощи уточнения требований, получения информации, улучшения коммуникации или прове-дения экспертизы.
– Передача. Передача риска подразумевает переложение негативных последствий угрозы с ответственностью за реагирование на риск на третью сторону. Передача риска – просто перенос ответственности за его управление на другую сторону; риск при этом не устраняется. Передача ответственности за риск является наиболее эффективной в отношении финансовых рисков. Передача риска практически всегда предполагает выплату премии за риск стороне, принимающей на себя риск. Инструменты передачи рисков многочисленны и разнообразны; они включают в себя, в частности, использование страховки, гарантии выполнения контракта, гарантийные обязательства и т.д. Условия передачи ответственности за определенные риски третьей стороне могут определяться в контракте. Во многих случаях в контракте с оплатой фактических издержек затраты на риски могут перекладываться на покупателя, а в контракте с фиксиро-ванной ценой риск может перекладываться на продавца.
– Снижение. Снижение рисков предполагает понижение вероятности и/или последствий негативного рискованного события до приемлемых пределов. Принятие предупредительных мер по снижению вероятности наступления риска или его последствий часто оказывается более эффективным, нежели усилия по устранению негативных последствий, предпринимаемые после наступления события риска. В качестве примеров мероприятий по снижению рисков можно привести: внедрение менее сложных процессов, проведение большего количества испытаний или выбор поставщика, поставки которого носят более стабильный характер. Для снижения рисков может потребоваться разработка прототипа, на основе которого производится пропорциональное увеличение вероятности риска от стендовой модели до процесса или продукта. Если невозможно снизить вероятность, ослабление риска должно быть направлено на последствия риска, а именно на те связи, которые определяют их серьезность. Например, разработка дублирующей подсистемы может сократить последствия отказа основной системы.
Стратегии реагирования на позитивные риски (благоприятные возможности). Предлагаются три способа реагирования на риски, имеющие потенциально положительные последствия: использование, совместное использование, усиление.
– Использование. Эта стратегия может быть выбрана для реагирования на риски с позитивным воздействием, если необходимо, чтобы данная благоприятная возможность гарантированно была бы реализована. Данная стратегия предназначена для устранения всех неопределенностей, связанных с риском верхнего уровня, при помощи мер, обеспечивающих появление данной благоприятной возможности в различных формах. К числу мер прямого реагирования на данную возможность относятся: привлечение к участию в проекте более талантливого персонала для того, чтобы сократить время, необходимое для его завершения, либо обеспечение более высокого качества, нежели было предусмотрено первоначальным планом.
– Совместное использование. Совместное использование позитивных рисков предусматривает передачу ответственности третьей стороне, способной наилучшим образом воспользоваться представившейся благоприятной возможностью. К числу мероприятий с совместным использованием благоприятных возможностей относятся: образование партнерств с совместной ответственностью за риски, команд, специа-лизированных компаний или совместных предприятий, созданных специально для управления благоприятными возможностями.
– Усиление. При применении этой стратегии изменяется «размер» благоприятной возможности путем повышения вероятности возникновения и/или положительного воздействия, а также путем выявления и максими-зации основных источников этих позитивных рисков. Для повышения этой вероятности можно попытаться облегчить или укрепить причину, вызывающую благоприятную возможность, и целенаправленно усилить условия ее появления.
Можно также повлиять на источники воздействия, стараясь повысить чувствительность активов предприятия к этой благоприятной возможности.
Общая стратегия реагирования на угрозы и благоприятные возможности используется в тех случаях, когда исключить все риски маловероятно. Эта стратегия применима либо к угрозам, либо к благо-приятным возможностям. Она может быть либо активной, либо пассивной. Пассивное принятие данной стратегии не предполагает проведения каких-либо предупредительных мероприятий, оставляя право действовать по собственному усмотрению в случае наступления события риска. Наиболее распространенной формой активного принятия данной стратегии является создание резерва на непредвиденные обстоятельства, который включает в себя время, деньги или ресурсы для управления известными или, в некоторых случаях, потенциальными и даже неизвестными угрозами и благоприятными возможностями.
Некоторые способы реагирования предназначены для использования только в случае возникновения определенных событий. Применительно к некоторым рискам можно задействовать план реагирования на риски, который может быть введен в действие только при заранее определенных условиях: если есть уверенность и достаточное количество признаков того, что данный план будет успешно выполнен. Необходимо определить и отслеживать события, которые приводят в действие механизм реагирования на непредвиденные обстоятельства, например, отсутствие промежуточных контрольных событий или присвоение определенному поставщику высокого уровня приоритетности.
Плановые операции по реагированию на риски, включенные в план управления рисками, выполняются постоянно, однако должны проводиться постоянный мониторинг и контроль на предмет обнаружения новых и измененных рисков.
Мониторинг и контроль рисков – это процесс идентификации, анализа и планирования вновь возникших рисков, отслеживания идентифицированных рисков и тех, которые отнесены в список для постоянного наблюдения, а также проверки и исполнения операций реагирования на риски и оценки их эффективности. В процессе мониторинга рисков используются различные методики, такие как анализ трендов и отклонений. Мониторинг рисков так же, как и другие процессы управления рисками, является непрерывным процессом, происходящим на протяжении всего жизненного цикла организации. Другие цели процесса мониторинга рисков подлежат определению, если:
– анализ трендов показал, что с момента первоначальной оценки состояние рисков изменилось;
– надлежащим образом выполняются правила и процедуры управления рисками.
Резервы стоимости и расписания должны обновляться одновременно с изменениями рисков.
Мониторинг и управление рисками могут включать в себя выбор альтернативных стратегий, выполнение плана на случай возникновения непредвиденных обстоятельств и запасного плана, выполнение корректирующих действий и обновление плана управления. Мониторинг и контроль рисков также включают в себя обновление активов организационного процесса, включая базы