Все знают, что управлять рисками важно и полезно. В теории. На практике же люди очень часто не хотят им заниматься. Наиболее распространенные возражения, которые я слышал:
- Да ну это гадание на кофейной гуще, все равно все по другому будет
- Сколько резервов не заложи - все потратят
- Выявление рисков - это способ снять с себя ответственность, чтобы когда они сработают сказать: «а я предупреждал, теперь крутитесь как хотите»
- Давайте не будем указывать эти риски, чтобы не выставлять на всеобщее обозрение свое грязное белье
- Надо мыслить позитивно. Если позволить людям говорить о рисках, они напридумывают миллион отмазок. А вот если ориентировать людей на результат и хорошо мотивировать, то если что-то пойдет не так, они проявят чудеса изобретательности
В результате управление рисками воспринимается как некое формальное требование, нужное для всяких сертификаций и прочей бюрократии. Отписался и забыл.
Самое интересное, что все эти возражения обоснованы (и обычно омыты потом, кровью и слезами), только вот идут они не от управления рисками, как такового, а от кривого управления рисками. Ниже я расскажу о том как я понимаю управление рисками, какие ошибки люди чаще всего совершают при управлении рисками и как этого избежать. Грамотное управление рисками встраивается в систему планирования. Это - ключевой инструмент для того, чтобы избежать ситуаций, когда «хотели как лучше, а получилось как всегда».
Риски возникают в самых разных сферах жизни. Я постараюсь писать в достаточно общем виде, но примеры буду приводить в основном из областей, которыми занимаюсь профессионально. Это - проектное управление и управление надежностью оборудования.
И так, начнем с определений. Я люблю такое:
Риск - это неопределенное событие, которое в случае возникновения влияет на достижение поставленных целей.
Часто говорят о том, что риски бывают негативные, либо позитивные. Вторые иногда называют возможностями. Но я считаю это буквоедством, во всяком случае, любую возможность можно рассматривать как риск того, что она не реализуется.
Управлять рисками - значит делать так, чтобы они доставили тебе как можно меньше неприятностей.
Но есть нюанс: количество рисков бесконечно, ведь случиться может что угодно. А вот ресурсы наши всегда ограничены. Причем, ресурсы тратятся не только непосредственно на мероприятия по борьбе с рисками, но и на административные задачи. Собственно, в этом и заключается управленческое искусство - конечными ресурсами закрыть бесконечное количество рисков.
Важно учитывать, что когда риски срабатывают, начинается аврал. Я уже писал про то, как справляться с перегрузкой команды, но руководитель в такие моменты оказывается перегружен еще сильнее. А значит, на административные задачи по управлению рисками сил может и не остаться. Это ведет к ошибочным решениям и прожиганию ресурсов, которых и так не хватает.
Именно поэтому нужно стремиться выполнить как можно больше административных задач по управлению рисками в спокойное время. А еще иметь четкие планы реагирования, чтобы когда случится запара, меньше думать и больше делать.
В рамках управления рисками выделяют следующие процессы (я взял список из PMBoK, но по большому счету, оно везде одинаково):
- Планирование управления рисками - здесь мы планируем как мы организуем сам процесс: Кто, как, когда, что делает и за что отвечает;
- Идентификация (выявление) рисков - врага надо знать в лицо, при этом, здесь важно не навыявлять лишних рисков, которые на достижение целей не особо влияют;
- Качественный анализ рисков - быстрая прикидка масштабов бедствия, чтобы выбрать одну из 4 стратегий управления для каждого риска;
- Количественный анализ рисков - считаем вероятность наступления и стоимость ущерба только для тех рисков, для которых это необходимо;
- Планирование реакций на риски - в соответствии с выбранной стратегией разрабатываем мероприятия и ставим их в план;
- Реализация реакций на риски - собственно, реализуем запланированные мероприятия;
- Мониторинг рисков - очень важный процесс, так как мир меняется, да и оценки, которые мы дали могут уточняться.
Теперь подробнее.
Планирование управления рисками
Во-первых, надо собрать команду. Большинство решений, принимаемых при управлении рисками основаны на экспертной оценке. Какие эксперты - так и оценят. Люди, участвующие в управлении рисками должны:
- обладать опытом и квалификацией, достаточной для идентификации рисков и выработки мероприятий по реагированию
- обладать влиянием, чтобы обеспечить выполнение мероприятий, которые они напридумывают
- быть заинтересованными в качественном управлении рисками. Тут важно, чтобы для каждого риска в команде был как человек, который пострадает от реализации риска, так и человек, который заинтересован в том, чтобы не потратить все ресурсы на призрачные угрозы
Важно понимать, что для всех этих людей управление рисками не основная деятельность. Поэтому, важно организовать работу так, чтобы с одной стороны, уважительно относиться к их времени, а с другой - не затянуть процесс до бесконечности потому, что кому-то вечно некогда.
Ну и разумеется, для разных рисков это будут разные люди. Откуда их брать я расскажу в разделе про идентификацию.
Всю эту разношерстную братию надо организовать, поэтому, надо при планировании озаботиться правилами игры, шаблонами и классификаторами. При разработке классификаторов, кстати, важно не погрузиться в теоретизирование и классификацию ради классификации.
Так же важно понять при планировании что будет дальше с мероприятиями по реагированию на риски, которые мы придумаем. Сплошь и рядом на производстве я наблюдал ситуации, когда по результатам анализа надежности оборудования реализуются только мероприятия по изменению программ обслуживания и ремонтов. А рекомендации по изменению техполитики, обучению персонала, инвестиционным мероприятиям и т.д. даже не высказываются потому, что ни кто не понимает что с ними делать.
Ну и когда мы ответили на все эти вопросы, нужно, собственно, спланировать нашу работу. При этом важно учитывать не только загрузку команды, но и процессы, происходящие в организации. Очень обидно, когда по результатам анализа рисков нагенерировали кучу изменений в план, который уже согласован и подписан кровью, так что остается только омыть его слезами.
Идентификация рисков
И сразу типичная ошибка: Очень часто под идентификацией рисков понимают некий мозговой штурм: Собираются уважаемые люди и начинают рассуждать: «а что же может пойти не так». Иногда к этому подтягивают предыдущий опыт, который находится либо в голове этих самых людей, либо даже имеется в виде оцифрованной статистики. Проблемы две:
Либо выявленные таким образом риски окажутся настолько абстрактными, что их вероятность наступления и ущерб можно оценить только по методу пол-палец-потолок, а из способов митигации - «ну давайте заложим какие-нибудь резервы».
Именно отсюда возникают возражения про гадание на кофейной гуще и снятие с себя ответственности по методу «я же говорила».
Либо наоборот, это очень конкретные риски из предыдущего опыта. Только вот нельзя войти в одну реку дважды. Предыдущий опыт обычно бывает получен на других задачах, в других условиях, другими людьми, с другими технологиями. Крайне редко имеется статистика, полученная в контролируемых условиях и отвечающая критериям качественной научной работы. Да еще и эти условия совпадают с твоими. Именно поэтому я не люблю, когда говорят, что статистика отказов - это обязательный вход для процессов управления надежностью. Иметь статистику, без сомнения, хорошо, но это далеко не панацея и не священный Грааль. Выявленные таким образом риски вполне вероятно окажутся просто не релевантны и средства на их митигацию будут потрачены впустую.
Как же выявлять риски правильно? А очень просто: берем наши цели и декомпозируем их. Если это проект, берем результаты и строим иерархическую структуру работ с этапами и задачами. Если мы говорим о промышленной установке, разбиваем ее на системы и подсистемы и определяем для них основные и вспомогательные функции.
Только очень важно не напридумывать лишнего. Все задачи или функции (даже вспомогательные) должны понятным образом влиять на достижение целей.
Теперь становится понятно как собирать команду для выявления рисков: Берем ответственного за выполнение задачи или функции, а так же тех, кто является потребителями ее результатов. Ответственный за выполнение, если он не дурак, сам притащит ответственных за поддерживающие процессы.
И вот уже этой командой мы определяем во-первых требуемые параметры результата задачи, либо функции. А во-вторых - то, как и почему результаты выполнения могут не соответствовать нашим параметрам. Это и будут наши риски. Важно здесь избегать оценок «лучше-хуже». Либо результат укладывается в заданные параметры, либо нет. Если не получается так определить, значит надо декомпозировать дальше.
Критерии декомпозиции, на основании которых можно понять, что дальше углубляться не надо, следующие:
- Для каждой функции или задачи можно определить диапазон параметров результата, который будет приемлем
- Мы можем оценить ущерб, если задача будет не реализована, а функция не выполнена
- Для каждого риска мы можем не только определить стратегию управления им, но и сформулировать ее в виде конкретных отсмартованных задач со сроками и ответственными
Качественный и количественный анализ рисков
Наивный подход к управлению рисками звучит так: «Давайте посчитаем вероятность и ущерб, умножим одно на другое и заложим резервы». Не взлетит!
Во-первых потому, что как ты не декомпозируй задачи и функции и какой мощный математический аппарат не применяй, посчитать с приемлемой точностью ущерб, а главное, вероятность в большинстве случаев не получится.
Во-вторых, резервы тебе обязательно порежут. Ну а в-третих, то что не порежут, ты сам быстренько прожрешь. (Как закладывать резервы, чтобы их не прожирать я расскажу в одной из будущих статей).
Да, действительно, резервы нужны. Но это лишь один из способов реализации лишь одной из стратегий управления рисками. Причем, самый слабый, на мой взгляд.
Оценить вероятность реализации и ущерб от рисков нужно. Но в первую очередь это нужно сделать для того, чтобы:
А) выбрать на основании этой оценки стратегию управления каждым из рисков;
Б) в соответствии с выбранной стратегией разработать мероприятия;
В) поставить эти мероприятия в план.
Если для этого достаточно лишь качественной оценки риска (вероятность: по шкале «очень высокая/высокая/средня/низкая/незначительная»; ущерб - по такой же шкале), то и не надо заморачиваться. Количественную оценку стоит применять только если без нее не получается принять решение о выборе стратегии, или о целесообразности того или иного мероприятия.
Еще одна важная задача - вместо того, чтобы пытаться оценить вероятность и ущерб с хирургической точностью, прикинуть критерии, на основании которых оценка может быть пересмотрена в будущем и события, при наступлении которых оценку риска стоит пересмотреть.
Планирование реакций на риски
После того, как мы выявили и оценили наши риски, надо определить для каждого из них стратегию управления. Таких стратегий обычно выделяют четыре:
- Избегание - мы предпринимаем действия для того, чтобы риск точно не возник;
- Передача - мы передаем риск третьей стороне (обычно не бесплатно), для того, чтобы она с ним дальше разбиралась;
- Снижение - мы принимаем меры для того, чтобы уменьшить вероятность реализации риска, и/или ущерб от нее;
- Принятие - мы считаем риск незначительным и готовы вынести последствия его реализации.
Каждая из этих стратегий таит в себе множество нюансов. А еще люди часто путают эти стратегии между собой. Детально про стратегии с примерами и разбором типичных ошибок я расскажу в следующей публикации.
После того, как мы выбрали стратегию, разрабатываем в соответствии с ней мероприятия, формулируем для их реализации задачи, выявляем риски для этих задач (ага, опять по кругу) и засовываем получившийся пучок задач в наш план.
И вот тут внимание! Мы не делаем какой-то отдельный план по реагированию на риски, мы засовываем наши мероприятия в тот план, по которому живем: Для проектного управления - в план проекта, а для управления надежностью - в план ТОиР, инвестпрограмму и т.д. Да, планы от такого надругательства могут затрещать по швам. Но в этом и фишка! Это позволяет нам во-первых, пересмотреть планы, делая их более реалистичными, а во-вторых, более ответственно подойти к выбору стратегии управления риском. Иначе появляется огромный соблазн напридумывать перфекционистских мероприятий по предотвращению всего что только можно, радостно отчитаться как мы все предусмотрели, сделать из них отдельный план и забить на него. Ну или назначить козла отпущения, который будет бегать с этими рисками и мешать всем работать. Так что чешем репу, впихиваем невпихуемое, немножко страдаем и пересматриваем планы до тех пор, пока они не начнут сходиться. Больно? Да. Но поверьте, если планы пойдут прахом от того, что реализовались риски, которыми мы не управляли, будет больнее.
Реализация реакций на риски
А тут мне, по большому счету, нечего сказать. Берем и делаем то, что запланировали. Важно, как я уже говорил выше не выделять какой-то отдельный план по реагированию на риски, а засунуть задачи по реагированию на риски в наши обычные планы, по которым мы живем.
Мониторинг рисков
Когда мы говорили об оценке рисков я предложил вполне пристойный способ для определение ущерба: так как риски мы выявляем из задач или функций, то и посчитать ущерб от того, что задача не будет реализована, а функция откажет вполне реально. А вот для определения вероятности я подобного способа не предложил. Это потому, что я его не знаю. Да, есть статистика. Но кроме того, что это точная наука, она же и великая ложь. Просто потому, что качественных данных в нужном объеме для нормальной статистики вечно не хватает. А значит вероятность приходится определять экспертно. А значит будет погрешность. Кроме того, жизнь не стоит на месте и даже абсолютно точная оценка может потерять актуальность.
Зато, раз мы при оценке риска определили на основании каких критериев и событий эту оценку нужно пересматривать, значит мы можем запланировать задачи мониторинга. Эти задачи мы заталкиваем в тот самый многострадальный план с периодичностью, зависящий от серьезности и характера риска. Кроме того, переоценку рисков стоит приурочивать к важным событиям, таким как начало новой фазы проекта, или остановка производства на капремонт.