Внедрение проектного менеджмента в практику предприятий различных сфер бизнеса позволяет значительно экономить бюджеты реализуемых проектов, время их исполнения, повышать качество выполненных работ. Другими словами — совершенствовать деятельность организации в целом через улучшение работ при реализации отдельных проектов. Примечательно, что внедрением проектного менеджмента занимаются компании с различным уровнем развития корпоративного управления, от предприятий малого и среднего бизнеса до крупных холдинговых компаний. Какова должна быть роль в этом процессе внутреннего аудитора компании?
Для этого обратимся к определению внутреннего аудита, которое дает международный Институт внутренних аудиторов (The Institute of Internal Auditors): «Внутренний аудит есть деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления».
Определение подчеркивает основные характеристики внутреннего аудита (независимость и объективность), указывает цель (совершенствование деятельности организации) и сущность деятельности внутреннего аудита (предоставление гарантий и консультаций) в следующих основных областях: управление рисками, внутренний контроль и корпоративное управление.
Если обратиться к теории применения методологии управления проектами в деятельности предприятий, то основными идеями этой технологии (Руководство PMBOK) являются четкое определение целей, состава работ проекта; распределение ответственности и ресурсов; планирование работ с учетом имеющихся рисков и возможностей; постоянный контроль и своевременная реакция на возникающие изменения и отклонения для достижения целей проектов в рамках установленных времени, бюджетов и качества.
Мы видим, что основные идеи технологии проектного менеджмента во многом схожи с идеями технологии внутреннего аудита. Это четкое определение составов работ, определение ответственных, учет рисков и возможностей, постоянный контроль (встроенный в процесс) и реакция на изменения. Внедрение управления проектами требует от менеджмента определенной формализации происходящих бизнес-процессов, полного их описания. Описание бизнес-процессов в сфере внутреннего аудита является основой для составления карты рисков предприятия, для определения «контрольных точек» системы внутреннего контроля, планирования мероприятий контроля и внутреннего аудита. Внедрение проектного менеджмента повышает качество корпоративного управления компании, что также является целью деятельности внутреннего аудита. Обучение сотрудников проектному менеджменту повышает уровень контрольной среды в компании. Совещания, проводимые в рамках проектного офиса, улучшают в компании элементы информации и коммуникации.
Другими словами, можно сделать выводы о прямой заинтересованности внутреннего аудитора во внедрении в компании элементов проектного управления.
Каким способом служба внутреннего аудита может практически реализовать свою заинтересованность в таком внедрении? Ответ дан в определении внутреннего аудита — через предоставление гарантий и консультаций. При внедрении элементов проектного менеджмента в нашей компании специалисты службы внутреннего контроля и аудита (СВК и А) сосредоточились на консультациях при разработке методологии управления рисками проектов и предоставлениях гарантий при проведении аудитов реализуемых и реализованных проектов. Участие в обучении сотрудников компании управлению рисками проектов стало хорошей возможностью для закладки фундамента к внедрению управления рисками и в других сферах деятельности компании. Остановимся подробнее на разработке методологии управления рисками проектов.
Создание рабочей группы
В компании пока нет специального подразделения, занимающегося риск-менеджментом. Соответствующими их профилю деятельности рисками занимаются специалисты профильных подразделений. Для разработки методологии управления рисками проектов приказом генерального директора была создана рабочая группа из специалистов департамента качества при участии специалистов СВК и А.
Департамент качества занимается, помимо качества продукции, качеством управления, поэтому проектный офис создан под его кураторством. Специалистам СВК и А была определена роль так называемых «обязательных консультантов». Такой «расплывчатой» формулировкой мы попытались включить специалистов службы в активную деятельность по разработке методологии, оставив руководство данным процессом за департаментом качества.
Составные части методологии управления рисками проектов
Методология управления рисками проектов была реализована и закреплена в виде универсальной «Методики построения карты рисков для проектного менеджмента» и двумя Приложениями к данной Методике:
- «Анкетой-интервью для идентификации рисков проекта»;
- «Картой рисков проекта».
При разработке Методики специалисты постарались составить ее с учетом двух документов:
- мировой практики в области организации риск-менеджмента и управления рисками (COSO ERM);
- методологии Руководства по управлению проектами (Руководством PMBOK).
Методика определяет порядок процедуры проведения членами команды проекта предварительного и последующих обследований системы управления рисками при осуществлении работ по проекту с целью повышения эффективности управления рисками и качественного выполнения проекта.
Сущность «Методики построения карты рисков для проектного менеджмента»
Управление рисками проекта включает в себя процессы, относящиеся к планированию управления рисками, их идентификации и анализу, реагированию на риски и мониторингу управления рисками проекта. Большинство из этих процессов подлежат постоянному обновлению в ходе проекта.
Цели управления рисками проекта — повышение вероятности возникновения и воздействия благоприятных событий и снижение вероятности возникновения и воздействия неблагоприятных для проекта событий.
Риск проекта — это неопределенное событие или условие, которое в случае возникновения имеет позитивное или негативное воздействие по меньшей мере на одну из целей проекта, например сроки, стоимость, содержание или качество (в зависимости от вида проекта).
Причиной возникновения риска является неопределенность, которая присутствует во всех проектах. Риски можно разделить на известные и неизвестные.
Известные риски — это те риски, которые идентифицированы и подвергнуты анализу. По большинству из них планируются ответные действия.
Неизвестные риски — это те риски, которые трудно или невозможно идентифицировать и, соответственно, подвергнуть предварительному анализу. Для таких рисков целесообразно выделить резерв на непредвиденные обстоятельства, включив туда и известные риски, для которых разработка конкретных мер реагирования не представляется экономически эффективной или возможной.
Процессы управления рисками проекта включают в себя следующее:
- планирование управления рисками;
- идентификация рисков;
- качественный анализ рисков;
- количественный анализ рисков;
- планирование реагирования на риски;
- мониторинг и управление рисками.
Рассмотрим подробнее каждый из вышеуказанных процессов.
Планирование управления рисками
Тщательное и подробное планирование повышает вероятность успешного достижения результатов пяти других процессов управления рисками.
После инициации проекта команда проекта проводит рабочее совещание для разработки плана управления рисками. В совещании могут принимать участие не только члены команды проекта, но и другие лица, заинтересованные в успешном завершении проекта, а также представители компании (если таковые имеются), отвечающие за операции по планированию рисков и реагированию на них. После анализа описания содержания проекта и плана управления проектом составляется базовый план проведения операций по управлению рисками с распределением ролей между членами команды. Из членов команды назначается ответственное лицо для организации работы с рисками. Участникам совещания раздаются анкеты-интервью для выявления рисков проекта.
В этой анкете лицам, заполняющим ее, предлагается сформулировать влияние исполнения каждой из работ проекта на выполнение проекта в целом. А также назвать риски, которые могут препятствовать выполнению проекта (достижению его целей), оценить вероятность их наступления, существенность последствий, предполагаемые методы управления. Для этого анкетируемым лицам предлагается классификация рисков (рис. 1) и разработанные рабочей группой на основе практик риск-менеджмента шкалы (табл. 1, 2).
Идентификация рисков
Идентификация рисков предусматривает определение рисков (в соответствии с приведенной классификацией рисков), способных повлиять на проект, и документальное оформление их характеристик.
Участники заполняют анкету-интервью для выявления рисков проекта, где каждый заполняющий выражает свое субъективное мнение по предполагаемым лично им рискам проекта, характеристики рисков, причины появления рисков и их возможные последствия. Также в анкете указывается владелец процесса управления рисками, применяемые методы управления риском и регламентирующие документы. При заполнении данных столбцов анкеты-интервью каждый должен исходить из известной ему информации. В случае если заполняющий анкету не владел информацией, в соответствующем месте анкеты ставился прочерк.
Необходимо поощрять участие в данном процессе как можно большего количества участников. После заполнения анкеты сдаются ответственному лицу по работе с рисками.
После анализа (лучше всего коллегиального) сданных анкет лицо, ответственное за работу с рисками, заполняет первую версию карты рисков проекта. На данном этапе можно ограничиться заполнением первых восьми столбцов карты рисков (табл. 3).
Столбцы (2-5). Здесь необходимо указать наименование риска, конкретное событие и вид риска в соответствии с приведенной классификацией рисков. Каждое событие (риск) должно однозначно соответствовать одной из групп риска. Например:
- Наименование риска (2) — Конкуренты;
- Событие (4) — Появление новых конкурентов на рынке;
- Вид риска (5) — Стратегические риски.
Описание риска (6) должно включать определение риска с указанием факторов, причин и/или событий, обусловливающих вероятность проявления данного риска, а также обоснование возможных последствий.
Причины (7). Более подробный перечень причин, обусловливающих наступление данного события. Отсутствие контроля или методов воздействия на риск причинами не является.
Последствия (8). Более подробный перечень возможных последствий от наступления рискового события, выраженных в конкретных денежных потерях, потерях времени, качества, потерях репутации, доли рынка и т. д.
Качественный анализ рисков
Данный этап предполагает построение второй версии карты рисков на основании:
- анкет-интервью;
- описания содержания проекта;
- плана управления проектом;
- первой версии карты рисков.
Вторая версия карты рисков дополняет первую общей оценкой выявленных рисков.
Общая оценка риска (9-11). Риск оценивается по двум параметрам: вероятность и последствия. На первом этапе риск оценивается до применения методов воздействия на риск. Оценка риска до воздействия является общей оценкой.
Вероятность (9) наступления рискового события оценивается в виде коэффициента, значение которого определяется экспертным методом в соответствии с табл. 1.
Последствия (10). В данном столбце необходимо указать коэффициент существенности последствий наступления рисковых событий в течение выполнения работ по данному Проекту с предположением того, что данный риск не управляется и не контролируется. Значение коэффициента определяется экспертным методом в соответствии с табл. 2.
Существенность последствия рисковых событий можно также оценить и в денежном выражении. Для каждого Проекта коэффициентам последствий могут соответствовать различные денежные выражения. В качестве базы для оценки последствий в денежном или другом выражении можно использовать: годовой оборот, годовую выручку, позицию на рынке, репутацию и т. п.
Оценка (11) риска рассчитывается как произведение коэффициента вероятности на коэффициент последствий и показывает общую оценку риска с предположением того, что данный риск не управляется и не контролируется.
Для наглядности и последующего анализа строится матрица вероятности и последствий (рис. 2).
После заполнения столбцов (1-11) карты рисков при необходимости для дальнейшего анализа и выявления наиболее важных рисков можно разбить получившуюся карту рисков на несколько карт. Отдельно для рисков, влияющих на стоимость, отдельно — для рисков, влияющих на время или на содержание.
Можно составить новую версию карты рисков с расположением рисков по приоритетности влияния на проект, по срочности реагирования на риски, сгруппировать для выявления трендов.
Количественный анализ рисков
Количественный анализ рисков производится в отношении тех рисков, которые в процессе качественного анализа были квалифицированы как потенциально или существенным образом влияющие на достижение цели проекта. Или, другими словами, для наиболее важных с точки зрения команды (всех участников) проекта рисков.
В процессе количественного анализа рисков оценивается эффект от таких рисковых событий, и таким рискам может присваиваться цифровой рейтинг. В некоторых случаях для разработки эффективных ответных мер реагирования на риски проведение количественного анализа рисков не требуется.
Наиболее распространенными методами количественного анализа являются следующие
- анализ чувствительности, в процессе анализа устанавливается, в какой степени неопределенность каждого элемента проекта отражается на исследуемой цели проекта, если остальные неопределенные элементы принимают базовое значение;
- анализ ожидаемой денежной стоимости (ОДС) производится путем умножения значения каждого возможного результата на вероятность его появления, а затем полученные значения суммируются;
- анализ дерева решений, который описывает рассматриваемую ситуацию с учетом каждой из имеющихся возможностей выбора и возможного сценария;
- моделирование и имитация. При моделировании проекта используется модель для определения последствий от воздействия подробно описанных неопределенностей на результаты проекта в целом.
По результатам количественного анализа рисков происходит дальнейшее обновление карты рисков и может быть построена новая версия карты рисков.
Планирование реагирования на риски
Планирование реагирования на риски — это процесс разработки путей и определения действий по увеличению возможностей и снижению угроз для целей проекта. Данный процесс начинается после проведения качественного и количественного анализов рисков. Он включает в себя определение и назначение одного или нескольких ответственных лиц, в обязанности которых входит реагировать на каждый согласованный и подкрепленный бюджетом риск. В планировании реагирования на риски рассматриваются риски согласно их приоритетам; при необходимости новые ресурсы и операции добавляются в планы управления стоимостью, расписанием и проектом.
В ходе планирования необходимо заполнить следующую часть карты рисков.
Владелец процесса управления данным риском (12) — лицо, отвечающее за оценку, контроль и управление данным риском, т. е. мотивированное на его снижение и располагающее достаточными полномочиями для воздействия на него.
Воздействие на риск (13). Здесь дается описание конкретных методов воздействия на риск, применяемых владельцем риска или другими подразделениями. Любое мероприятие или функция, способствующая снижению вероятности или последствий наступления рискового события, может быть рассмотрена как метод воздействия.
Стратегиями реагирования на негативные риски (угрозы) являются уклонение, передача или снижение.
Стратегиями реагирования на позитивные риски (благоприятные возможности) являются использование, совместное использование и усиление.
Стоимость воздействия (14). Экспертная оценка стоимости применяемых методов воздействия на риск. Рекомендуется использовать следующую шкалу: высокая, средняя и низкая стоимость воздействия, выраженную в денежном эквиваленте.
Документы, регламентирующие процессы управления риском (15). Утвержденные внутренние документы, регламентирующие тем или иным образом процессы управления риском: выявление, оценку, анализ, контроль или воздействие. К таким документам может относиться любой документ, в котором прямо или косвенно регламентирован процесс, позволяющий тем или иным образом снизить оценку данного риска.
Остаточная оценка риска (16-18). Оценивается по аналогии с общим риском по двум параметрам: вероятность и последствия.
Вероятность (16) наступления рискового события с учетом того, что данный риск управляется и контролируется, т. е. после воздействия указанных выше методов управления. Оценивается экспертным методом в соответствии со шкалой идентичной оценки вероятности на предыдущем этапе.
Последствие (17) наступления рискового события с учетом того, что данный риск управляется и контролируется, т. е. после воздействия методов управления. Оценивается экспертным методом в соответствии со шкалой идентичной оценки последствий на предыдущем этапе.
Оценка (18) — остаточная оценка риска с предположением того, что данный риск управляется и контролируется, т. е. после воздействия методов управления. Рассчитывается как произведение вероятности на последствия.
После этого для наглядности и последующего анализа ответственным за управление рисками проекта строится матрица вероятности и последствий с учетом реагирования на риски аналогично представленной матрицы без учета процедур реагирования.
Когда исключить все риски проекта маловероятно либо невозможно найти подходящей стратегии реагирования на риски, команда проекта должна принять риск. Это называется стратегией принятия. Такая стратегия применима и к угрозам, и к благоприятным возможностям и может быть как пассивной, так и активной. В случае активной стратегии необходимо создать резерв на непредвиденные обстоятельства, включающий в себя время, деньги или ресурсы для управления принятыми (и неизвестными) рисками. В этом случае необходимо установить жесткий контроль (мониторинг) над событиями, запускающими в действие данные риски, т. е. составить список событий для постоянного наблюдения.
Результатами планирования реагирования на риски проекта должны стать новая версия карты рисков, обновленный план управления проектом, включающий в себя операции по реагированию на риски, и контрактные соглашения для определения ответственности каждой из сторон на случай возникновения каждого отдельного риска.
Мониторинг и управление рисками
Мониторинг и управление рисками — это процесс идентификации, анализа и планирования (неоднократное повторение п.п. 1-5) вновь возникающих рисков, отслеживание идентифицированных рисков и тех, которые отнесены в список для постоянного наблюдения, а также проверки и исполнения операций реагирования на риски и оценки их эффективности. Инструментами и методами мониторинга и управления рисками являются пересмотр и аудит рисков, анализ отклонений и трендов, технические измерения исполнения, анализ резервов, совещания по текущему состоянию.
По результатам мониторинга и управления рисками составляются новые версии карты рисков, предпринимаются корректирующие и предупреждающие действия для приведения проекта в соответствие с планом управления проектом и т. д. и т. п. до окончания всех работ проекта.
Заключение
Представленная Методика была разработана как универсальное справочное пособие в помощь тем, кто интересуется управлением рисками проектов. Для каждого проекта должен быть разработан последовательный подход к рискам, удовлетворяющий требованиям организации, а информация о рисках и управлении ими должна быть открытой и достоверной.
Реагирование на риски отражает то, как организация понимает баланс между принятием риска и уклонением от него. Для успешного достижения целей проекта команда проекта должна предпринимать заранее и последовательно, в течение всего проекта, предупредительные меры по управлению рисками.
Специалисты СВК и А на протяжение всего времени реализации проектов постоянно принимали участие в совещаниях команд проектов при рассмотрении вопросов управления рисками, проводили аудиты выполнения мероприятий по управлению рисками, консультировали менеджеров проектов и сотрудников компании по вопросам управления рисками. Для себя мы сделали вывод, что конкретная методика управления рисками проектов менее важна, нежели то, что команда проекта следует этой методике, постоянно анализируя предполагаемые риски и методы реагирования на них. То есть цель каждой методики — запустить «мыслительный процесс команды» в направлении управления рисками.
Результатом такой деятельности СВК и А компании, помимо повышения эффективности управления проектами, стало возросшее понимание со стороны менеджмента и руководства компании роли управления рисками в ее ежедневной деятельности.
Об авторе:
Михаил ПАВЛОВ, заместитель генерального директора по внутреннему контролю и аудиту ОАО «ПОЛАИР», член Института внутренних аудиторов (ИВА), член некоммерческого партнерства «Профессиональных корпоративных директоров» Российского института директоров.
|