Владимир Павлов

Руководитель направления корпоративного сопровождения фирмы «1С». С 2007 по 2015 годы работал в компаниях партнёрской сети фирмы «1С». Активный участник деятельности itSMF России с момента его основания. Заместитель председателя itSMF России, член управляющего комитета itSMF России, руководитель комитета по работе с вузами. Сертифицированный специалист по управлению проектами (IPMA), ITIL Expert.

Мы живем во время «турбулентности», которая диктует свои правила и формирует в каждом из нас «риск-ориентированное мышление». Поэтому управление рисками в любой организации, не зависимо от ее размера, становится настоятельной необходимостью и залогом успеха любой деятельности. Однако многих отталкивает сложность методов управления рисками. В статье предлагается очень простая и практичная модель управления рисками, которую вы можете освоить буквально за 10 минут.

Что значит «без изысков»?

Пока гром не грянет, мужик не перекрестится

В 2019 году, по многочисленным просьбам партнеров 1С и «настоятельным требованиям» стандарта, я разработал рекомендации по управлению рисками в составе технологии 1С:ТСКФ. Мы взяли семейство стандартов, касающихся риск-ориентированного управления организацией ISO 31000 и на основе этих стандартов создали модель управления рисками. Получилась большая таблица, однако работа с ней требовала значительных усилий для освоения и постоянных трудозатрат в дальнейшем. Когда партнеры компании 1С начинали с ней знакомится они вздыхали и говорили: «Ну вот, опять нас нагружают, это все сложно!» Я пытался помочь им, рассказывал: «Вот в это место «таблички» вставляете вот это, вот здесь это, оно «автоматом» переносится, получается вот это, и вы управляете рисками. Коллеги поддерживали меня, говорили: «Ну ребятки, ну чуть-чуть, разберитесь, там всего лишь надо заполнить таблицу».

Однако, партнеры говорили со вздохом: «нет, это трудоемко и сложно. Наши усилия на использование этой модели не эффективны». Тогда я решил изменить подход.

Сделать всё очень просто, максимально просто, насколько это вообще возможно. Пусть это не обязательно точно в соответствии со стандартом, но зато «доступно и всерьез».

Надеюсь, те кто, достаточно долго занимается решениями и продуктами 1С, помнит этот лозунг. Я назвал эту модель «управление рисками без изысков». Что значит «без изысков»? Это значит:

  • легко и быстро, несколько простых шагов – и риски у нас «в кармане»;
  • наглядно, без сложных схем.
  • просто, оставим в модели только нужное и важное, еще раз вспомним уже упомянутый слоган «доступно и всерьез».

Чтобы модель стала более «наглядной» я решил включить в описание каждого этапа пословицы и поговорки. И первая поговорка, которая поможет вспомнить о рисках: «Пока гром не грянет, мужик не перекрестится».

Прежде чем описывать простую модель управления рисками, необходимо дать определение риску. Традиционно риск – это событие, которое повлияет на результаты проекта. Но, для простой модели стоит использовать другое определение из ГОСТ Р51897-2011. «Менеджмент риска. Термины и определения»:

«Риск – это влияние неопределенности на достижение поставленных целей. Неопределенность – это просто недостаток информации.
Примечание 1. Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).
Примечание 2. Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т.п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).
Примечание 3. Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.
Примечание 4. Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.
Примечание 5. Неопределенность – состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей».

Традиционно риск – это то, про что мы не знаем и не можем построить реального прогноза. Например, в проекте мы строим более-менее реальные прогнозы, потому что чем более конкретны требования проекта, тем меньше рисков. Вот такая простая логика. Однако в операционной деятельности и в части сложных инновационных проектах такая логика не работает. И поэтому, на мой взгляд, надо придерживаться приведенного выше определения.

Риск – это влияние неопределенности, считайте «неизвестности», то есть недостатка информации, влияющее на достижение результатов.

Теперь мы поняли, чем управляем, и можем перейти к этапам/шагам управления рисками. В соответствии с установкой «легко и быстро», я выделил четыре простых шага модели:

  1. Идентификация и оценка влияния рисков.
  2. Планирование работы с рисками.
  3. Работа с рисками и мониторинг.
  4. Оценка результативности и эффективности управления рисками.

Далее я последовательно пройдусь по всем шагам.

Шаг 1. Идентификация, оценка влияния рисков

Где тонко, там и рвется.
Где толсто, там и наслаивается

Где нам искать риски? Определим самые ключевые области, то, без чего у нас ничего не получится: персонал, инфраструктура и взаимодействие. И в каждой из них определим по три (не усложняя!) подобласти, которые надо посмотреть. Про персонал мы смотрим компетенции, мотивации и коммуникации. В инфраструктуре мы смотрим функциональность, производительность и надежность. Во взаимодействии смотрим информативность, результативность и непрерывность (рис. 1).

Кто должен искать и идентифицировать риски? Прежде всего, это руководители, менеджеры и ключевые специалисты, которые отвечают за эти направления деятельности и ресурсы в организации.

Управление рисками_рис.1.png

Рис. 1. Области, где нам искать риски

Как нам искать риски? Важно помнить, что определение риска – это отсутствие информации, необходимой для понимания события и его последствий. Поэтому, ищем и «находим» риски там, где нет или недостаточно информации для принятия решений и достижения наших целей. Ну, и пословица, которую я привел в заголовке шага, нам поможет. Не забываем, что когда «наслаивается», то есть много излишней и «непонятной» информации, то это тоже добавляет неопределенности.

Риски существуют во времени, все меняется. На что смотреть с этой точки зрения? Ответ – на жизненные циклы: жизненный цикл проекта, жизненный цикл услуги, жизненный цикл обработки, обращения и так далее. То есть, ищите риски внутри жизненного цикла. Например, обработка обращения пользователя начинается с регистрации обращения. Поищите риски там. Затем, следующий этап жизненного цикла – классификация обращения, оценка обращения. Поищите риски здесь. Дальше анализируем как мы пользуемся базой знаний. Есть ли у нас база знаний? Есть ли в этом риск? Ну, и так далее, по каждому этапу жизненного цикла.

Если вы идентифицировали риск, то возникает вопрос, как его «сформулировать»? Ответ найдем в определении риска. Наиболее привычно описать риск как вероятностное событие, или его последствие, конечно, если это возможно. А, если недостаточно информации, то можно описать риск как полное или частичное отсутствие информации.

Теперь перейдем к оценке риска. На практике почти всегда используется экспертная оценка, которая основана на практическом опыте конкретного специалиста и менеджера. Я предлагаю использовать как можно более простой подход: трехбалльную шкалу. Пятибалльная шкала уже сложна. Больше вообще не рекомендую, все должно быть просто, помним – «без изысков»!

Что мы оцениваем для каждого риска? Набор признаков, по которым производится оценка степени (уровня) риска, называется критериями оценки риска. Сначала мы оцениваем, на что риск влияет. И тут я выделил три уровня (не усложняя): влияние на организацию в целом – это самый высокий уровень. Дальше влияние на направление бизнеса, например, ИТС. И последнее – влияние на конкретный проект, договор или конкретного клиента (рис. 2).

Затем мы оцениваем критичность возможных последствий – высокая, когда цель не будет достигнута или результат не будет получен заказчиком; средняя, когда цель будет достигнута частично; низкая – когда цель будет достигнута со значительным, но допустимым снижением качества результата (рис. 2).

И, последнее – мы оцениваем вероятность того, что эти последствия наступят. Снова не усложняя, я предлагаю оценить ее все в той же логике: скорее всего, сбудется, это неизбежно; 50 на 50, будет, не будет – неизвестно; возможно сбудется, но мы про это вообще ничего не знаем и тогда в условиях неопределенности применяем правило Парето.

Управление рисками_рис.2.png

Рис. 2. Простая и практичная модель идентификации и оценки рисков

Таким образом, мы получили простую и практичную модель идентификации и оценки рисков (рис. 2). Теперь, мы легко «рассчитаем» для каждого риска приоритет обработки по формуле:

Приоритет = (влияние + критичность) х вероятность.

Шаг 2. Планирование работы с рисками

Что посеешь, то и пожнешь

План – это наш «посев». Брошенное в срок семя даст «богатый урожай», именно это та цель, которую мы хотим достичь, именно такой результат мы ожидаем. Прежде чем начать планировать, вспомним основные четыре традиционные стратегии работы с рисками: принятие, уклонение, передача, снижение. Чтобы их легче запомнить для каждой стратегии вспомним пословицу или поговорку (рис 3):

  • Принятие: «Что Бог не делает, все к лучшему»;
  • Уклонение: «Баба с возу, кобыле легче»;
  • Передача: «На тебе Боже, что нам негоже»;
  • Снижение: «Берегися бед, пока их нет».

Дальше, что мы планируем? Применяем к списку рисков основные стратегии с учетом приоритетов, которые мы определи для каждого риска на шаге 1. Все очень просто (рис .3):

  • Принятие – это не значит, что мы ничего не делаем, нет, мы формируем минимально необходимый резерв ресурсов, подушку безопасности и определяем план «Б» на случай, если все-таки «неприятности» случились или обязательно случатся.
  • Уклонение – исключаем деятельность, связанную с рисками, давайте «никогда» не будем этого делать и риска нет.
  • Передача – ясное дело, заранее найдем и назначим «крайнего».
  • Снижение – чтобы «не было беды», стараемся «соломки подстелить».

Управление рисками_рис.3.png

Рис. 3. Планирование работы с рисками

Кто ответственен за работу с рисками, кто их владелец? Возможна только персональная ответственность за владение риском. Если в вашем плане управления рисками нет ответственных, это означает, что вы не управляете рисками. Сказать: «Ну, ребята, вот тут такой есть план, ну давайте подумаем, как мы его сделаем», – не получится.

План работы с рисками не будет планом, если мы не назначим владельцев рисков и исполнителей работ.

Вот несколько простых правил, которые помогут назначить «крайних» (рис. 3):

  • отвечаешь за результат – ответь и за риск;
  • управляешь проектом – все риски твои;
  • менеджер процесса = владелец рисков.

При планировании работ необходимо указывать их планируемые трудоемкости, чтобы затем отразить в отчетности трудозатраты исполнителей и провести анализ эффективности. Важным элементом контроля выполнения плана являются сроки. Это очень важно, когда мы выбрали стратегию снижения риска. Без этого по плану, который мы составили, не сможем работать. Назначать сроки завершения мероприятий и работ необходимо с учетом текущих планов подразделений и проектов.

План работы с рисками – это часть плана подразделения или проекта.

Шаг 3. Работа с рисками и мониторинг

Гладко было на бумаге, да забыли про овраги.
А по ним ходить

План есть – работаем, немного упрощая, это три (снова) пункта:

  • выполняем работы по плану мероприятий;
  • мотивируем, контролируем и оцениваем результаты работ;
  • формируем и представляем отчетность по плану мероприятий.

При выполнении работ и реализации мероприятий помним о мотивации. Работа с рисками очень важна, поэтому необходима поддержка руководства. Если ты не выполнил план, даже из-за «оврагов» – ты все равно «плохой парень». А таким премии не положено.

Без формирования отчетности невозможно оценить результаты деятельности этого шага. Поэтому отчетность должна содержать трудозатраты исполнителей, достижение целей по снижению рисков и оценку качества результатов выполненных работ, план-фактный анализ трудоемкость/трудозатраты выполнения работ для оценки их эффективности.

Дальше мы смотрим, что происходит, это называется красивым словом «мониторинг». На какие вопросы отвечаем? Что мониторим?

  • Изменились ли области рисков, состав и оценки рисков?
  • «Окупились» затраты на снижение рисков?
  • Взаимодействие участников в ходе обработки рисков было успешным?

Необходимо помнить, деятельность этого шага, прежде всего, направлена на снижение рисков и увеличение возможностей, вне зависимости от выбранной стратегии работы с риском.

Шаг 4. Оценка результативности и эффективности управления рисками

Вот и последний шаг простой модели управления рисками, который включает оценку результативности и эффективности. Оценим результативность управления рисками, ответив на следующие вопросы:

  • «Сбылось – Не сбылось»? Реализовался риск или нет?
  • Верна ли сделанная оценка риска (Влияния, Последствий, Вероятности)?
  • Как изменились области поиска рисков и верно ли составлен реестр рисков?

По сути, нам необходимо понять, получен ли комплексный результат от управления рисками, который мы ожидали получить.

Дальше, оценим эффективность управления рисками, отвечая на вопросы:

  • Выполнен ли план, «совпали» трудозатраты с планируемой трудоемкостью работ? Как эффективно работали владельцы рисков?
  • «Окупились» затраты на снижение рисков с учетом приоритетов? (мы потратили много ресурсов и денег на снижение, а «не сбылось»).
  • Взаимодействие было успешным и эффективным?

Рис 4.jpg

Рис. 4. Пример

Итог. Простая и практичная модель

На этом все, рассказ о простой модели управления рисками закончен. Вся модель умещается в маленькой табличке, в ней всего 15 столбцов. На рисунке 4 вы видите пример оценки рисков по этой простой модели. Просто и «без изысков»! Согласитесь, на чтение и понимание этой статьи вы потратили не более 10 минут.

***

Надо помнить, что в каждом риске есть или скрыта возможность. Поэтому, мы можем планировать мероприятия не только по снижению рисков, а и по увеличению, связанных с этими рисками возможностей. Об этом мы и поговорим во 2 статье цикла.

 

Комментарии 0

Чтобы оставить комментарий пожалуйста Авторизуйтесь

© «УПРАВЛЯЕМ ПРЕДПРИЯТИЕМ»
Все права защищены. Все торговые марки являются собственностью их правообладателей.