allgosts.ru01.120 Стандартизация. Общие правила01 ОБЩИЕ ПОЛОЖЕНИЯ. ТЕРМИНОЛОГИЯ. СТАНДАРТИЗАЦИЯ. ДОКУМЕНТАЦИЯ

ГОСТ Р 56275-2014 Менеджмент рисков. Руководство по надлежащей практике менеджмента рисков проектов

Обозначение:
ГОСТ Р 56275-2014
Наименование:
Менеджмент рисков. Руководство по надлежащей практике менеджмента рисков проектов
Статус:
Действует
Дата введения:
01.01.2016
Дата отмены:
-
Заменен на:
-
Код ОКС:
01.120, 03.100.01

Текст ГОСТ Р 56275-2014 Менеджмент рисков. Руководство по надлежащей практике менеджмента рисков проектов

ГОСТ Р 56275-2014

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ РИСКОВ

Руководство по надлежащей практике менеджмента рисков проектов

Risk management. Project risk management good practice guide

ОКС 01.120,

03.100.01

Дата введения 2016-01-01

Предисловие

1 РАЗРАБОТАН Обществом с ограниченной ответственностью "НИИ экономики связи и информатики "Интерэкомс" (ООО "НИИ "Интерэкомс")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 100 "Стратегический и инновационный менеджмент"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 26 ноября 2014 г. N 1861-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Сентябрь 2020 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Каждый проект содержит неопределенности и риски. Проектные риски могут быть связаны с проектом, а также с активами, продуктами или услугами, которые проект реализует. Настоящий стандарт представляет собой систематическое и последовательно изложенное руководство по управлению проектными рисками.

Менеджмент рисков включает скоординированные действия по управлению организацией, столкнувшейся с определенным риском. ГОСТ Р ИСО 31000 "Менеджмент рисков. Принципы и руководство" описывает принципы эффективного менеджмента рисков, то есть инфраструктуры*, обеспечивающей базу и организационные подготовительные мероприятия для проектирования, практической реализации, мониторинга, пересмотра и непрерывного совершенствования процессов управления рисками в организации, а также процессов, применимых ко всем типам рисков в любой организации. Настоящий стандарт устанавливает, как указанные общие принципы и инструкции могут использоваться для управления неопределенностями проектов.

________________

* Термин "инфраструктура" в настоящем стандарте используется в значении термина "фреймворк".

Настоящий стандарт может оказаться полезным для отдельных пользователей и организаций на любой фазе жизненного цикла проекта. Он также может использоваться в подпроектах и на множестве взаимосвязанных проектов и программ.

Положения настоящего стандарта не обладают приоритетом перед отраслевыми стандартами, хотя они могут быть полезными и в этой ситуации.

1 Область применения

Настоящий стандарт устанавливает принципы и руководство по управлению проектными рисками и неопределенностями проекта. В частности, настоящий стандарт формирует систематический подход по управлению проектными рисками на основе ГОСТ Р ИСО 31000 "Менеджмент рисков. Принципы и руководство".

Положения настоящего стандарта основаны на существующих принципах управления проектными рисками, на установленной системе и организационных требованиях к практической реализации менеджмента рисков, а также к процессу реализации эффективного менеджмента рисков.

Настоящий стандарт не используется в целях сертификации.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 52806 Менеджмент рисков проектов. Общие положения

ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте используются следующие термины с соответствующими определениями.

3.1 проект: Уникальный процесс, состоящий из множества скоординированных и управляемых действий, с определенными датами начала и окончания работ, предпринимаемых для достижения поставленной цели, и удовлетворяющий установленным требованиям, включая ограничения по времени, затратам и ресурсам.

Примечание 1 - Отдельный проект может быть частью большой проектной структуры.

Примечание 2 - В некоторых проектах имеет место изменение цели, а характеристики конечного продукта определяются по мере продвижения проекта.

Примечание 3 - Результат проекта обычно определяется областью его применения, он может быть материальным или нематериальным, состоять из одной/нескольких частей или отдельных структурных элементов.

Примечание 4 - Проектная организация, как правило, является временной структурой. Время ее существования совпадает с установленной продолжительностью проекта.

Примечание 5 - Степень сложности взаимодействий между проектными действиями не обязательно связана с масштабом проекта.

3.2 проектный менеджмент: Планирование, организация, мониторинг, управление и формирование отчетов по всем аспектам проекта, а также мотивация всех участвующих в достижении проектных целей.

3.3 план проектного менеджмента: Документ, описывающий, что нужно сделать для достижения целей проекта.

Примечание 1 - План проектного менеджмента должен включать (ссылаться на) проектный план обеспечения качества.

Примечание 2 - План проектного менеджмента также включает (ссылается на) планы, связанные с организационными структурами, ресурсами, календарным планом, бюджетом, менеджментом рисков, экологическим менеджментом, менеджментом охраны труда и безопасности.

3.4 риск: Влияние неопределенности на достижение целей.

Примечание 1 - Влияние - это отклонение от ожидаемого положительного (отрицательного) результата.

Примечание 2 - Цели могут иметь различные аспекты (финансы, здравоохранение, безопасность, окружающая среда). Они могут применяться на различных уровнях (стратегическом, организационном, проектном), на уровне продукта или технологического процесса.

Примечание 3 - Риск часто характеризуется возможными потенциальными событиями и их последствиями, а также их комбинациями.

Примечание 4 - Риск часто выражается в терминах последствий событий (включая изменения обстоятельств), а также в терминах ассоциированной вероятности наступления события.

Примечание 5 - Неопределенность - это дефицит информации, связанной с пониманием события, его последствий и т.п.

3.5 менеджмент риска: Скоординированные действия по управлению организацией с учетом риска.

[ГОСТ Р ИСО 31000-2010, статья 2.2]

3.6 инфраструктура менеджмента риска: Набор компонентов, обеспечивающих основы и организационные меры, структуру для разработки, внедрения, мониторинга, пересмотра и постоянного улучшения менеджмента риска в масштабе всей организации.

Примечание 1 - Указанные основы включают политику, цели, полномочия и обязательства по менеджменту рисков.

Примечание 2 - Указанные организационные условия включают планы, соотношения, формы отчетности, ресурсы, процессы и действия.

Примечание 3 - Инфраструктура менеджмента рисков встраивается внутрь целостной стратегической и тактической политики предприятия.

[ГОСТ Р ИСО 31000-2010, статья 2.3]

3.7 политика менеджмента риска: Заявление общих намерений и направлений деятельности организации в отношении менеджмента риска.

[ГОСТ Р ИСО 31000-2010, статья 2.4]

3.8 план менеджмента риска: Документ в инфраструктуре менеджмента риска, описывающий подходы, компоненты систем управления и ресурсов, задействованных для целей менеджмента рисков.

Примечание 1 - Компоненты системы управления обычно включают процедуры, технологические приемы, ответственность за назначения, последовательность действий и их тайминг.

Примечание 2 - План менеджмента рисков составляется для отдельных продуктов, процессов и проектов, а также для организации в целом или ее частей.

[ГОСТ Р ИСО 31000-2010, статья 2.6]

3.9 процесс менеджмента риска: Систематическое применение политик, процедур и практик менеджмента к деятельности по обмену информацией, консультированию, установлению контекста (ситуации) и идентификации, анализу, оцениванию, воздействию на риск, мониторингу и пересмотру риска.

[ГОСТ Р ИСО 31000-2010, статья 2.8]

3.10 обработка риска (воздействие на риск): Процесс модификации (изменения) риска.

Примечание 1 - Обработка риска может потребовать:

- избежание риска путем принятия решения не начинать (не продолжать) действия, порождающего риск;

- удаление источника риска;

- изменение оценки вероятности наступления события;

- изменение оценки последствий;

- разделение риска с другими заинтересованными сторонами (включая контракты и финансирование рисков);

- поддержка ранее принятого информированного решения о риске.

Примечание 2 - Обработка рисков, связанных с негативными последствиями, иногда рассматривается как "смягчение риска", "устранение риска", "предотвращение риска", "уменьшение риска".

Примечание 3 - Обработка риска может привести к новому риску или модифицировать существующий риск.

4 Управление проектными рисками

Каждый проект содержит неопределенности, ведущие к возможному риску. Данные риски могут относиться к самому проекту в целом (например, выполнение проекта в рамках бюджета и в указанные сроки), к активам, продуктам или услугам, создаваемым данным проектом (например, продукт должен быть безопасным, надежным и экологически рациональным).

Последствия имеющейся неопределенности проекта могут быть как благоприятными, так и неблагоприятными. Поэтому управление проектными рисками связано не только с предотвращением последствий, но также и с идентификацией и сопровождением открывающихся возможностей. Учет проектных рисков улучшает качество принимаемых решений, улучшает перспективы проекта, увеличивает доходы заинтересованных лиц.

Настоящий стандарт предназначен для частных лиц и организаций, связанных со всеми или отдельными фазами жизненного цикла проекта. Для получения максимальной выгоды, мероприятия по менеджменту рисков должны инициироваться на самых ранних фазах проекта и продолжаться до его окончания. Вместе с тем, управление проектными рисками может быть успешно инициировано в любой точке жизненного цикла проекта при условии проведения надлежащей подготовительной работы. Данный процесс является масштабируемым. Он может осуществляться на больших и малых проектах или отдельных их фазах. Он также может применяться для подпроектов и для множества взаимосвязанных проектов и программ.

Типовое множество фаз проекта и их характеристики представлены в таблице 1.

Таблица 1 - Типовые фазы проекта

Фаза

Фаза 1

Фаза 2

Фаза 3

Фаза 4

Фаза 5

Фаза 6

Опреде-

ление фазы

Иденти-

фикация понятий

Предварительная оценка целесообразности (реализуемости) проведения работ

Разработка техни-

ческого предло-

жения

Выпуск Внедрение Ввод в эксплуатацию

Управление и техническое обслуживание

Вывод из эксплуатации Утилизация

Цель

Оценка возмож-

ностей: опреде-

ление перспектив проекта и его соответ-

ствия выбранной стратегии бизнеса

Выбор вариантов: идентифика-

ция, оценка различных вариантов разработки проекта, выбор предпочтительного варианта

Эскизное проекти-

рование проекта: уточнение области примене-

ния и особен-

ностей предпочти-

тельного варианта

Реализация проекта: формирование текущих оборотных активов или услуг, соответст-

вующих согласованной области применения

Получение прибыли: оценка результата проекта и его эффективности

Завершение проекта: обеспечение безопасной и приемлемой процедуры завершения работ

Направ-

ленность действий в части менедж-

мента риска

Стратеги-

ческие угрозы и возмож-

ности

Выбор вариантов, связанных с риском

Стратегия проекти-

рования и выпуска

Представление проекта, испытания и передача заказчику

Управление и техническое обслуживание

Утилизация и переосна-

щение

Каждая фаза достигает кульминации в точке принятия решения, в которой утверждается план дальнейшего движения и перехода к следующей фазе проекта.

Информация о рисках и об управлении рисками является важной частью информации, поставляемой должностным лицам для их поддержки в каждой точке принятия решения. Информация о рисках и рычагах управления в каждой фазе передается команде исполнителей, управляющих следующей фазой проекта.

Все должностные лица и менеджеры организации, ассоциированные с проектом, имеют свои роли в процессе управления рисками, ассоциированными с проектными решениями (см. рисунок 1). Настоящий стандарт предназначен для:

а) руководителей и менеджеров проектов из организаций, являющихся владельцами проектов, отвечающих за ввод проекта в эксплуатацию и являющихся будущими владельцами (управляющими) проектных активов, продуктов или услуг;

б) членов проектных групп, отвечающих за важные подпроекты, мероприятия, за выполнение конкретных объемов работ;

в) владельцев и спонсоров проекта, гарантирующих, что интересы бизнеса в проекте поддерживаются, и ожидаемые результаты и доходы реализуются;

г) должностных лиц, поддерживающих продвижение проекта с момента его старта и на каждой последующей фазе проекта;

д) независимых экспертов, гарантирующих должностным лицам, принимающим решения, что базовая информация является полной, точной и надежной;

е) руководителей проекта и менеджеров проекта, представляющих контрактную организацию, подрядчика или поставщика, обеспечивающих или доставляющих некоторые или все комплектующие проекта, а также ассоциированные активы, продукты или услуги;

ж) финансистов и страховщиков, обеспечивающих работу финансами и необходимой поддержкой;

з) регуляторов проектных действий или создаваемых проектных активов, продуктов и услуг;

и) других заинтересованных лиц, включая подрядчиков, поставщиков и заинтересованные стороны, имеющие свой интерес в проекте и в его результатах, пользователей и бенефициаров проектных активов, продуктов и услуг.


Рисунок 1 - Заинтересованные стороны проекта

5 Основные принципы

Для повышения эффективности менеджмента рисков проектов, на всех уровнях выполнения работ организация должна удовлетворять следующим принципам:

а) менеджмент рисков повышает ценность и значимость проекта.

Менеджмент рисков обеспечивает доказательное достижение поставленных целей, совершенствование технологического процесса и качества проектных работ, активов, продуктов и услуг. Цели проекта должны быть очевидны для всех заинтересованных сторон;

б) менеджмент рисков является составной частью всех организационных процессов, ассоциированных с проектом.

Менеджмент рисков не является обособленным мероприятием вне основных действий и процессов проекта (организации). Менеджмент рисков - это часть ответственности менеджеров проекта и сотрудников на всех уровнях. Это составная часть всех организационных процессов, ассоциированных с проектом, включая разработку стратегии проекта, планирование инвестиций, управление проектом и его изменениями.

в) менеджмент рисков является частью работы по принятию решений.

Менеджмент рисков помогает руководителям принимать обоснованные проектные решения на каждой стадии его жизненного цикла и выполнять приоритетные действия, а также выбирать альтернативу. Это подразумевает, что все решения учитывают имеющиеся риски;

г) менеджмент рисков непосредственно сталкивается с неопределенностями.

Все менеджеры должны принимать во внимание неопределенности, понимать их природу, владеть методами их преодоления, особенно в критических ситуациях;

д) подход к менеджменту рисков должен быть систематическим, структурным и своевременным.

Подобный подход обеспечивает принятие актуальных, обоснованных и надежных проектных решений, обеспечивает повышение эффективности процессов управления проектом, получение проектной выгоды. Эффективная инфраструктура менеджмента рисков должна быть задействована с самого начала проектных работ;

е) менеджмент рисков основывается на самой надежной и доступной информации.

Исходные данные для процесса управления проектными рисками основываются на таких источниках информации, как результаты технического и инженерного анализа, инспекций физических сайтов и оборудования, на результатах испытаний, отчетах о выполненных работах, дополнительных исторических данных, имеющемся опыте, рекомендациях заинтересованных лиц, прогнозах и экспертных оценках. При этом все участники процесса управления проектными рисками должны принимать во внимание ограниченность имеющихся данных, несовершенство используемых моделей, неопределенности имеющейся информации и возможное несовпадение экспертных оценок;

ж) менеджмент рисков должен учитывать особенности проекта.

Менеджмент рисков приводится в соответствие с типом проекта, его внешним и внутренним контекстом, с особенностями участвующих организаций, с уровнем неопределенности и степенью сложности работ, ассоциированных с проектом. Величина управляющего воздействия должна быть пропорциональной ситуации;

з) менеджмент рисков учитывает человеческие и культурные факторы.

При управлении рисками принимаются во внимание возможности, восприятия и намерения людей и организаций, способствующих продвижению или торможению достижения проектных целей;

и) менеджмент рисков должен быть прозрачным и всесторонним.

Надлежащее и своевременное вовлечение заинтересованных сторон и лиц, принимающих решения, в работу на всех уровнях организации гарантирует, что менеджмент рисков останется эффективным и актуальным. Указанное вовлечение также предоставляет возможность заинтересованным сторонам высказать свое мнение, гарантирует учет мнений при определении критериев риска;

к) менеджмент рисков должен быть динамичным, итерационным и чувствительным к изменениям.

По мере продвижения проектных работ и наступления сопутствующих внешних и внутренних событий, изменения контекста и знаний, проведения мониторинга и выполнения пересмотра возникают новые риски, изменяются старые риски, некоторые риски пропадают. Следовательно, мероприятия менеджмента рисков проектов помогают руководителям проекта непрерывно идентифицировать риски, понимать их и оперативно реагировать на изменения;

л) менеджмент рисков способствует непрерывному совершенствованию организации.

Организации должны развиваться и внедрять разрабатываемые стратегии, чтобы совершенствовать процедуру менеджмента рисков проектов вместе со всеми другими аспектами организационного процесса.

6 Инфраструктура менеджмента рисков проектов

6.1 Общие положения

Процессы менеджмента рисков проектов должны интегрироваться с процессами проектного менеджмента. Инфраструктура проектного менеджмента должна обеспечивать основу и условия для встраивания менеджмента рисков проектов в проект (во все его фазы, на всех уровнях, во всех организациях). Успех менеджмента рисков проектов зависит частично от эффективности интеграции.

Инфраструктура менеджмента рисков проектов должна обеспечивать управление проектными рисками путем использования последовательного и эффективного процесса менеджмента рисков проектов (см. раздел 7) на различных уровнях с учетом контекста проекта. Данная система гарантирует, что информация о проектных рисках, полученная в рамках данных процессов, соответствующим образом отражается в отчетах и используется как база для принятия решений и подготовки соответствующих материалов на всех рассматриваемых организационных и проектных уровнях.

В данном разделе приведено описание необходимых компонентов инфраструктуры управления проектными рисками, а также способ их итерационного взаимодействия. На рисунке 2 показана инфраструктура менеджмента рисков, определенная в ГОСТ Р ИСО 31000 и примененная к управлению проектными рисками.

Данная инфраструктура не распространяется на систему менеджмента, но помогает организациям, вовлеченным в проект, интегрировать менеджмент рисков проектов в целостную инфраструктуру управления проектом. Таким образом, организации должны адаптировать компоненты данной структуры к своим потребностям и установленным проектным требованиям.

Если существующие процессы и методики управления проектом в организациях включают компоненты менеджмента рисков, если организация уже приняла свой формальный процесс менеджмента рисков проектов для отдельных типов проектов, рисков и ситуаций, то их нужно критически пересмотреть и оценить на соответствие настоящему стандарту, определить их адекватность и эффективность.


Рисунок 2 - Соотношение между компонентами инфраструктуры управления рисками (на основе ГОСТ Р ИСО 31000-2010)

6.2 Полномочия и обязательства

Практическая реализация менеджмента рисков и обеспечение постоянного высокого уровня его эффективности требует принятия серьезных и последовательных обязательств органами управления всех организаций, вовлеченных в проект, включая владельцев и ключевых исполнителей, а также требует составления стратегического плана выполнения принятых обязательств на всех уровнях. Органы управления владельца, исполнителя, а также организаций главного подрядчика (поставщика) должны:

а) определить и согласовать общую политику менеджмента рисков проектов;

б) гарантировать, что культуры организаций-участников и политика менеджмента рисков проектов максимально согласованы;

в) согласовать цели менеджмента рисков проектов с целями и стратегиями организаций-участников, особенно организаций-владельцев;

г) определить индикаторы процесса менеджмента рисков проектов, согласованные с индикаторами технологического процесса как самого проекта, так и организаций-участников;

д) гарантировать соответствие требованиям закона и техническим нормативам;

е) назначить формы отчетности и ответственности на надлежащих уровнях подразделений предприятия и проектной организации;

ж) гарантировать, что необходимые ресурсы находятся в распоряжении органов менеджмента рисков проектов;

з) гарантировать надлежащее расположение систем для своевременного задействования необходимых ресурсов;

и) обеспечить выгоду от менеджмента рисков для всех лиц, заинтересованных в проекте;

к) гарантировать, что инфраструктура управления рисками сохраняет свои рабочие качества на всех фазах жизненного цикла проекта.

В некоторых случаях требования к менеджменту рисков прописываются в контракте.

6.3 Проектирование инфраструктуры управления проектными рисками

6.3.1 Понимание проекта и его контекста

Перед началом проектирования и практической реализации инфраструктуры управления рисками важно оценить и понять как внешний, так и внутренний контексты проекта, так как они могут оказать значительное влияние на проект.

Оценка внешнего контекста проекта может включать:

а) социальную, культурную, законодательную, нормативную, финансовую, технологическую, экономическую, природную и конкурентную рабочую среду, как на международном, национальном, региональном, так и на местном уровне;

б) ключевые элементы и тренды, оказывающие воздействие на выбор цели или реализацию проекта;

в) соотношение, представление и оценку внешних заинтересованных лиц, включая все организации, ассоциированные с проектом (см. рисунок 1).

Оценка внутреннего контекста проекта может включать:

г) цели и установки проекта, а также методы их согласования с целями и установками владельца проекта и пользователей проектных активов, продуктов и услуг;

д) руководство, организационные структуры, роли и формы отчетности проекта и его технологические процессы;

е) методики, цели, стратегии, имеющиеся в распоряжении;

ж) возможности организаций, ассоциированных с проектом, включая доступность и возможности их ресурсов и знаний (т.е. капитал, время, люди, процессы, системы и технологии);

з) информационные системы, информационные потоки, процессы принятия решения (как формальные, так и неформальные), и, особенно, информационные системы, используемые для поддержки управления проектом, рычаги управления и процедуры формирования отчетности;

и) взаимоотношения, представления и оценки внутренних заинтересованных лиц;

к) стандарты, инструкции и проектные модели, принятые организациями-участниками;

л) форма и масштаб контрактных отношений между заинтересованными сторонами.

6.3.2 Установление политики менеджмента рисков проектов

Политика менеджмента рисков проектов должна четко формулировать цели, обязательства, процедуру менеджмента внутренних рисков для организаций, ассоциированных с проектом. Политика обычно обеспечивает:

а) обоснование для управления проектными рисками;

б) связи между целями и методами работы организации, а также политику менеджмента рисков проектов;

в) формы отчетности и обеспечения ответственности за управление проектными рисками во всех организациях - участниках проекта;

г) методы преодоления конфликтов интересов;

д) обязательства по предоставлению необходимых ресурсов менеджмента рисков для поддержки подотчетных и ответственных официальных лиц;

е) измерители процесса менеджмента рисков проектов, методику формирования отчетности, порядок связи органов управления и проектного технологического процесса;

ж) обязательства по периодическому пересмотру и совершенствованию политики и инфраструктуры менеджмента рисков проектов, а также по надлежащему реагированию на события и изменения обстоятельств по мере продвижения проекта.

Политика менеджмента рисков надлежащим образом доводится до сведения заинтересованных лиц.

Политика менеджмента рисков отдельного проекта может быть составной частью стратегической политики организации.

6.3.3 Подотчетность

Подотчетность отражает необходимость выполнения принятых обязательств и получения запланированного результата. Организация - участник проекта гарантирует подотчетность, полномочность и надлежащую компетентность управления рисками в течение всего проекта и на всех его фазах. Подотчетность включает практическую реализацию и техническую поддержку процесса менеджмента рисков проектов, гарантирует адекватность, эффективность и производительность рычагов управления. Этому способствует:

а) идентификация организаций и отдельных владельцев риска среди имеющих подотчетность и полномочия по управлению проектными рисками;

б) назначение ответственных за разработку, практическую реализацию и техническую поддержку инфраструктуры управления проектными рисками;

в) назначение ответственных на всех уровнях каждой организации за процесс менеджмента рисков проектов;

г) определение измерителей технологических процессов, порядка формирования внешних и внутренних отчетов, а также процессов эскалации рисков проектов.

В большинстве случаев менеджеру проекта выдается мандат и делегируются полномочия, включающие ответственность за управление проектными рисками. В зависимости от размера и степени сложности проекта, задачи менеджмента рисков могут решаться либо самим менеджером проекта, либо могут быть делегированы. Данные задачи включают:

1) определение ответственности за управление рисками, ассоциированными с различными проектными действиями;

2) установление коммуникационных механизмов внутри проекта и координация информации и действий по менеджменту рисков;

3) установление контекста процесса менеджмента рисков проектов;

4) управление и формирование отчета о мероприятиях по оценке риска;

5) рекомендации, инициирование, наделение ответственностью и мониторинг эффективной практической реализации операций обработки риска;

6) поиск эффективных решений по конфликтным вопросам, связанным с риском;

7) предоставление информации о рисках в надлежащей и своевременной форме в течение всего проекта;

8) наличие планов разрешения непредвиденных ситуаций;

9) идентификацию и регистрацию всех вопросов, связанных с менеджментом рисков;

10) мониторинг процесса менеджмента рисков и необходимая корректировка;

11) составление документации по отслеживанию происходящего.

Необходимо определить и задокументировать полномочия по управлению проектными рисками и порядок взаимодействия с другими функциями. Формы отчетности, выходящие за организационные границы, указываются в контрактных документах.

6.3.4 Интеграция с процессами проектного менеджмента

Менеджмент рисков встраивается во все методики и процессы управления проектом. Это должно быть обоснованно, своевременно, эффективно и производительно. Процесс менеджмента рисков проектов становится неотъемлемой частью указанных процессов управления проектом.

Менеджмент рисков также встраивается в более широкий организационный процесс, включая разработку проектной политики, бизнес, стратегическое планирование, пересмотр и изменение процесса управления.

Необходимо иметь план менеджмента рисков проектов, гарантирующий, что политика менеджмента рисков будет реализована, что инфраструктура менеджмента рисков встроена во все методики и процессы управления проектом. План менеджмента рисков проектов может быть интегрирован в другие проектные планы, как план реализации проекта в рассматриваемой фазе.

6.3.5 Ресурсы

Организации - участники проекта предоставляют надлежащие ресурсы для менеджмента рисков проектов.

Необходимо, чтобы были доступными:

а) люди, умения, опыт, компетентность;

б) ресурсы, необходимые для каждой фазы процесса менеджмента рисков проектов;

в) процессы обработки риска, методы, инструменты и поддерживающие инфраструктуры управления проектными рисками;

г) задокументированные процедуры и процессы управления проектом;

д) системы управления информацией и знаниями;

е) программы обучения;

ж) контрактное распределение риска между организациями-участниками.

Бюджет проекта должен учитывать затраты на функции менеджмента рисков, а также затраты на мероприятия по обработке риска.

6.3.6 Установление внутренних коммуникаций проекта и механизмов формирования отчетности

Организации - участники проекта должны определить коммуникации проекта и механизмы формирования отчетности, поддерживающие и стимулирующие владение риском на каждой фазе проекта. Данные механизмы должны гарантировать, что:

а) ключевые компоненты инфраструктуры управления проектными рисками, а также любые их последующие модификации объединены надлежащим образом;

б) формирование отчета о инфраструктуре менеджмента рисков проектов, ее эффективности и результатах работы производится надлежащим образом;

в) требуемая информация, полученная из приложений менеджмента рисков проектов, является доступной на конкретных уровнях, в соответствующие моменты времени по всем организациям-участникам, включая фазы выполнения проекта;

г) в полной мере осуществляются консультации всех заинтересованных лиц.

Указанные механизмы должны включать процессы консолидации информации о проектных рисках, получаемой из различных источников, принимая во внимание ее чувствительность к изменениям. В большинстве случаев процедура формирования отчета об управлении проектными рисками интегрируется с процедурой составления отчета о работе регулярной системы управления проектом.

6.3.7 Установление внешних коммуникаций проекта и механизмов формирования отчетности

Организации - участники проекта должны разработать и реализовать скоординированный план контактов с внешними заинтересованными сторонами. План должен включать:

а) вовлечение заинтересованных лиц, гарантию эффективного обмена проектной информации;

б) формирование внешнего отчета, удовлетворяющего законодательным, нормативным и руководящим требованиям;

в) обеспечение обратной связи и отчетности по контактам и консультациям;

г) укрепление с помощью коммуникаций уверенности в организациях-участниках;

д) установление контактов с заинтересованными сторонами в случае кризиса или нештатной ситуации.

Данные механизмы должны включать, по возможности, процессы консолидации информации о проектных рисках, своевременно используя различные источники и принимая во внимание их чувствительность к изменениям. В большинстве случаев внешние контакты координируются и управляются владельцами проекта, если обратное не указано нормативными требованиями к исполнителям и поставщикам.

6.4 Практическая реализация менеджмента рисков проектов

6.4.1 Практическая реализация инфраструктуры управления проектными рисками

В процессе практической реализации инфраструктуры управления проектными рисками организации - участники проекта должны:

а) установить надлежащий тайминг и стратегию реализации инфраструктуры проекта, используя преимущества взаимодействия методик и процессов менеджмента рисков в различных организациях;

б) интегрировать политику и процессы менеджмента рисков проектов в процессы управления проектом;

в) обеспечить соответствие законодательным и нормативным требованиям;

г) гарантировать, что принятие проектных решений, включая разработку и согласование целевых установок, интегрируется с результатами задействованных процессов менеджмента рисков проектов;

д) поддерживать информационные и учебные сессии;

е) контактировать и консультироваться с заинтересованными сторонами, чтобы гарантировать, что инфраструктура менеджмента рисков проектов удовлетворяет установленным требованиям.

6.4.2 Практическая реализация процесса менеджмента рисков проектов

Менеджмент рисков проектов должен гарантировать, что процесс менеджмента рисков проектов (см. раздел 7) реализуется на основе плана менеджмента рисков проектов (см. раздел 7.7.2) на всех рассматриваемых уровнях для всех функций организаций-участников, представляющих их методики и процессы проектного менеджмента.

План менеджмента рисков проектов разрабатывается в самом начале проекта. Он интегрируется в общий план проектного менеджмента и определяет область применения процесса менеджмента рисков и необходимый объем работы на различных стадиях проекта.

6.5 Мониторинг и пересмотр инфраструктуры менеджмента рисков проектов

Чтобы гарантировать, что инфраструктура менеджмента рисков проектов эффективна и продолжает поддерживать процессы проекта, организации - участники проекта должны:

а) количественно оценивать процесс менеджмента рисков проектов по показаниям индикаторов, периодически проверяемым на достоверность. Полученные показания согласуются с показаниями индикаторов проектного процесса;

б) периодически проводить измерения степени выполнения плана (а также отклонений от плана) менеджмента рисков проектов;

в) периодически проверять инфраструктуру менеджмента рисков проектов, политику и план на предмет соответствия требованиям для заданного внешнего и внутреннего контекстов, а также для текущей фазы проекта;

г) формировать отчеты о проектных рисках, выполнении плана менеджмента рисков проектов, степени соответствия установленной политики менеджмента рисков проектов, как части регулярного отчета о ходе выполнения проекта;

д) пересматривать эффективность инфраструктуры менеджмента рисков рисками.

Индикаторы процесса менеджмента рисков относятся:

- к индикаторам успеха проекта, отображающим оценку степени выполнения поставленных задач;

- индикаторам процесса, отображающим оценку степени соответствия менеджмента рисков установленным требованиям;

- индикаторам риска, отображающим оценку степени эффективности обработки рисков.

6.6 Непрерывное совершенствование инфраструктуры менеджмента рисков проектов

Решения, основанные на результатах мониторинга и регулярных пересмотрах хода работ, направлены на совершенствование инфраструктуры управления проектными рисками, политики и плана работ. Данные решения направлены также на совершенствование культуры менеджмента рисков проектов. Этому способствует анализ формального процесса накопления опыта и анализа ошибок.

7 Процесс менеджмента рисков проектов

7.1 Общие положения

Процесс менеджмента рисков проектов должен быть:

- составной частью проектного менеджмента;

- встроен в культуру и методологию организаций - участников проекта;

- откорректирован и согласован с бизнес-планом и процессом проектного менеджмента организаций-участников.

Он включает действия, описанные в разделах 7.2-7.7. Процесс менеджмента рисков проектов представлен на рисунке 3.


Рисунок 3 - Процесс менеджмента рисков проектов

7.2 Обмен информацией и консультирование

Обмен информацией и консультирование с внешними и внутренними заинтересованными сторонами имеют место на всех стадиях процесса менеджмента рисков проектов. Эффективные внешние и внутренние контакты, а также консультирование гарантируют, что заинтересованные стороны и лица, ответственные за реализацию процессов менеджмента рисков проектов, понимают цели и задачи (на базе которых информация о проектных рисках инкорпорируется в проектные решения), а также причины, по которым предпринимаются те или иные действия.

Обмен информацией и консультирование с заинтересованными сторонами очень важны, так как они предоставляют всестороннюю информацию о существующих рисках. Мнения сторон могут оказать значительное воздействие на принимаемые решения. Поэтому мнения заинтересованных сторон должны быть идентифицированы, зарегистрированы и приниматься во внимание в процессе принятия решений.

Обмен информацией и консультирование должны способствовать достоверному, уместному, точному и понятному обмену информацией, с учетом аспектов конфиденциальности и персональной безопасности.

Результаты обмена информацией и консультирования между основными организациями - участниками проекта (см. рисунок 1) отражаются в различных документах, включая контракты, меморандумы о взаимопонимании и соглашения, а также в распределении ответственности за указанные риски и мероприятия между отдельными сторонами и организациями-участниками.

Планы обмена информацией и консультирования разрабатываются на ранних фазах проекта.

Подход, связанный с использованием консультативных бригад:

а) способствует установлению надлежащего контекста;

б) гарантирует, что устремления заинтересованных сторон поняты и приняты во внимание;

в) гарантирует правильную идентификацию рисков;

г) способствует совместному рассмотрению различных экспертных областей для анализа риска;

д) гарантирует, что различные мнения учтены надлежащим образом при определении критериев риска и его оценке;

е) обеспечивает согласование и поддержку плана обработки рисков;

ж) повышает эффективность управления изменениями в течение процесса менеджмента рисков проектов;

з) разрабатывает надлежащий план установления внешних и внутренних контактов и проведения консультаций.

Эффективный менеджмент рисков требует своевременного получения информации из различных частей проекта. Интерфейсы и связи формально устанавливаются и поддерживаются между следующими областями менеджмента рисков проектов:

1) проектирование и разработка;

2) коммерческие функции и функции управления проектом;

3) управление конфигурацией;

4) качество и взаимозависимость;

5) поддержка после завершения проекта, включая поддержку пользователей и обслуживающего персонала.

Указанные интерфейсы определяются на достаточно высоком уровне полномочий и детализации с тем, чтобы обеспечить максимально быструю реакцию на происходящее.

7.3 Установление контекста

7.3.1 Общие положения

Путем установления контекста (ситуации) организации - участники проекта выражают свои цели, определяют внешние и внутренние параметры, принимаемые во внимание при управлении проектными рисками. Понимание контекста необходимо для определения области применения, критериев риска и структуры риска для предпринимаемых шагов в процессе менеджмента рисков проектов.

В данном случае многие факторы аналогичны рассмотренным ранее при анализе разработки инфраструктуры менеджмента рисков проектов (см. раздел 6.3). Но при установлении контекста процесса менеджмента рисков проектов их следует рассматривать более подробно. Их предполагаемое содержание и связи с областью применения проекта и процессом проектного менеджмента являются особенно важными.

7.3.2 Установление внешнего контекста

Внешний контекст - это внешняя рабочая среда, в которой реализуется проект.

Понимание внешнего контекста гарантирует, что цели и озабоченности внешних заинтересованных сторон принимаются во внимание при разработке критериев проектных рисков. Оно основывается на контексте всей организации. При этом необходимо учитывать детали законодательных и нормативных требований, представления заинтересованных сторон и другие аспекты рисков, отражающие особенности области применения проекта.

Внешний контекст может включать:

- социальную, культурную, политическую, законодательную, нормативную, финансовую, технологическую, экономическую, природную и конкурентную рабочую среду проекта, как на международном, национальном, региональном, так на местном уровне;

- ключевые элементы и тренды, оказывающие воздействие на цели проекта;

- представления и оценки внешних заинтересованных лиц, а также связи с ними.

7.3.3 Установление внутреннего контекста

Внутренний контекст - это внутренняя рабочая среда, в которой организации - участники проекта пытаются достичь цели проекта и которая может оказывать влияние на способ обработки менеджмента рисков проекта. Внутренний контекст необходим, так как:

- менеджмент рисков проектов имеет место в контексте решения проектных задач организации;

- процесс менеджмента рисков проектов согласуется с культурными особенностями, процессами, структурами и стратегиями организаций;

- некоторые организации не могут определить подходы к достижению своих стратегических, проектных и деловых целей. Это определяет принятые обязательства, степень доверия и ценностные оценки.

Внутренний контекст может включать:

а) руководство, организационную структуру, формы отчетности и ее значение;

б) методики, цели и стратегии их достижения;

в) возможности и ресурсы, такие как капитал, время, люди, процессы, системы, технологии, экспертные оценки и знания;

г) представления и оценки внутренних заинтересованных лиц, а также связи с ними;

д) информационные системы, информационные потоки и процессы принятия решений (как формальные, так и неформальные);

е) стандарты, инструкции и модели, принятые организацией;

ж) форму и объем контрактных и других отношений между организациями-участниками.

7.3.4 Установление контекста процесса менеджмента рисков проектов

Необходимо установить задачи, область применения и конечный продукт всего проекта, а также тех частей проекта, где применяется процесс менеджмента рисков. Управление проектными рисками предпринимается с полным пониманием необходимости обоснования ресурсов, используемых при менеджменте рисков. Необходимо установление надлежащих ресурсов, ответственности, полномочий и объема хранимой информации.

Контекст процесса менеджмента рисков изменяется в соответствии с потребностями проекта. Он может включать:

а) определение проекта в терминах планируемых мероприятий и процессов, активов, создаваемых продуктов и услуг, используемых ресурсов, затрат, времени и места;

б) идентификацию и описание принимаемых решений;

в) определение области применения, также как и масштабности проводимых мероприятий менеджмента рисков проектов, с учетом указанных надлежащих включений, исключений и типов рассматриваемых рисков;

г) определение соотношения между рассматриваемым проектом и другими проектами, процессами и мероприятиями организаций-участников;

д) определение целей и задач мероприятий менеджмента рисков проектов;

е) определение ответственности (внешней и внутренней) процесса менеджмента рисков проектов;

ж) определение объема работ и структуры, их целей и задач, а также ресурсов для соответствующего анализа;

з) определение методологий проектных оценок риска;

и) определение метода оценки технологического процесса и эффективности процесса менеджмента рисков.

Внимание к данному и другим рассматриваемым факторам гарантирует, что рассматриваемый подход к менеджменту рисков соответствует сложившимся обстоятельствам, самому проекту и рискам, оказывающим влияние на достижение целей проекта.

7.3.5 Определение критериев риска

Организации - участники проекта должны согласовать используемые критерии оценки значимости риска. Критерии отражают оценки и цели данных организаций в отношении проекта. Некоторые критерии могут быть согласованы с законодательными, нормативными, а также политическими и другими требованиями, которыми руководствуется организация. Критерии риска должны соответствовать политике менеджмента рисков проектов (см. раздел 6.3.2). Они определяются в начале процесса менеджмента рисков проектов, регулярно пересматриваются.

При определении критериев риска рассматриваемые факторы должны учитывать:

а) природу и тип причин (источников) риска, наличие методики распознавания риска;

б) природу и тип последствий, наличие методики оценки их влияния;

в) возможные сроки возникновения последствий;

г) методику определения уровня риска;

д) уровень, на котором риск является приемлемым и допустимым;

е) целесообразность (реализуемость) и процедуру рассмотрения комбинаций множественных рисков.

При определении критериев принимаются во внимание мнения заинтересованных лиц.

Измерители влияния риска принимают во внимание все цели проекта, относящиеся:

1) к коммерческим целям (бизнес-целям) организаций - участников проекта;

2) обеспечению экономических и организационных целей проекта;

3) качеству, зависимости и реализации проектных активов, продукции и услуг;

4) здоровью и безопасности лиц, заинтересованных в проекте;

5) защите и восстановлению окружающей среды;

6) обеспечению статусного и нормативного соответствия.

Разрабатываются также критерии приемлемости и допустимости риска. Они используются для оценки риска на поздних стадиях процесса.

7.3.6 Ключевые элементы

Для обеспечения большей уверенности в том, что идентификация риска является исчерпывающей, и все учтено, проект делится на ключевые элементы, используемые при проведении мероприятий идентификации риска.

Существует несколько способов генерации структур ключевых элементов в зависимости от природы проекта, его целей, области применения и принятых оценок. Например, ключевые элементы могут основываться на:

а) структуре распределения проектных работ (WBS), общей иерархической структуре рисков, функциональной структуре, системе классификации конечных продуктов, системе классификации проектных затрат;

б) оставшихся фазах проекта;

в) основных заголовках проектной информации, используемых сторонами, принимающими решения, в начале следующего этапа проекта;

г) компонентах проектных активов, продукции и услуг;

д) областях проектной территории;

е) контрактах, субконтрактах, статьях контрактов;

ж) компонентах организационных структур.

Имеющаяся структура ключевых элементов позволяет сторонам, занимающимся идентификацией риска, сфокусироваться последовательно на каждом ключевом элементе. Рассмотреть каждый элемент в отдельности можно более тщательно, чем весь проект в целом. Наличие хорошо продуманного множества ключевых элементов способствует принятию правильных решений.

Разработка ключевых элементов позволяет также оценить целесообразность специальной экспертизы, необходимой для понимания данных элементов. Указанные экспертизы в отношении рассматриваемых элементов проводятся бригадами идентификации риска.

7.4 Оценка риска

7.4.1 Общие положения

Оценка риска - это целостный процесс идентификации риска, анализа риска и оценки величины риска. Ее целью является идентификация рисков, оказывающих положительное или отрицательное влияние на достижение целей проекта, понимание природы рисков, разработка приоритетов их обработки.

7.4.2 Идентификация риска

Цель идентификации риска - обнаружить, зарегистрировать и охарактеризовать риски, которые могут оказать положительное или отрицательное влияние на достижение согласованных целей проекта.

Идентификация риска включает источники риска, области воздействий, события (включая изменения обстоятельств), а также причины и потенциальные последствия. Идентификация риска позволяет составить исчерпывающий перечень рисков на основе рассматриваемых событий, обстоятельств и их изменений, которые могут усилить, предотвратить, ухудшить, ускорить или отложить достижение целей проекта. Необходимо идентифицировать риски, ассоциированные с ненадлежащим использованием представившихся возможностей. Исчерпывающая идентификация очень важна, так как риск, не идентифицированный на данной стадии, не может быть предметом анализа до момента следующего пересмотра.

Идентификация риска должна учитывать влияние риска на все цели проекта.

Эффективный менеджмент рисков проектов зависит от исчерпывающей идентификации рисков. Перечень рисков следует обновлять систематически.

Существует много методов идентификации риска. Выбирают те инструменты и методики, которые лучше всего подходят для обеспечения целей проекта, организационных возможностей и рассматриваемых типов рисков. Сюда относятся:

а) мозговой штурм внутри структуры ключевых элементов;

б) экспертное мнение;

в) интервью и опросы;

г) составление контрольных ведомостей;

д) исторические данные;

е) накопленный опыт участников данного проекта и других проектов;

ж) испытание и моделирование;

з) формальные приемы, такие как анализ видов и последствий отказов (FMEA), исследование факторов опасности и работоспособности.

Идентификация включает риск в любом случае: контролируется или нет его источник какой-либо организацией - участником проекта, очевиден или нет источник (причина) риска в настоящий момент. Идентификация риска включает проверку каскадных или кумулятивных эффектов отдельных последствий. Рассматриваются все значительные причины и последствия событий.

При идентификации рисков важно рассмотрение любой актуальной или дежурной информации. Сюда включается вся доступная информация. Идентификацией рисков должны заниматься специально подготовленные сотрудники.

Идентификация риска может изменяться в соответствии с текущей фазой проекта. На ранних фазах проекта идентификация часто направлена на риски высокого уровня, общие и стратегические риски, так как их идентификация может помешать осуществлению проекта. На поздних фазах проекта идентификация риска фокусируется на частных рисках во всех их деталях.

Идентификация риска учитывает последующие фазы жизненного цикла проекта, жизненного цикла проектных активов, продукции или услуг. В процесс идентификации риска вовлекаются заинтересованные стороны и технические эксперты, имеющие соответствующую подготовку.

В ходе работы над проектом некоторые риски разрешаются, а новые могут возникать. Таким образом, идентификация риска - это процесс, продолжающийся во времени. Некоторые риски, идентифицированные на ранних фазах проекта, сохраняются и на поздних фазах. Важно учитывать актуальность работы с такими рисками.

Риски должны быть зарегистрированы в журнале рисков проектов (см. раздел 7.7.4).

7.4.3 Анализ риска

Анализ риска способствует пониманию каждого риска, его причин, последствий, особенностей происходящих событий. Анализ риска предоставляет исходные данные для оценки риска, принятия решения о необходимости его обработки, а также для большинства используемых стратегий и методов обработки риска. Анализ риска предоставляет исходные данные для принятия решений о выборе вариантов обработки рисков различного типа и уровня.

Анализ риска требует рассмотрения причин и источников рисков, их положительных и негативных последствий для целей проекта, а также возможности наступления последствий. Необходима идентификация факторов, оказывающих влияние на возможные последствия и вероятность их наступления. Во внимание принимаются существующие рычаги управления проектом, их эффективность и производительность.

Риск может иметь множество последствий в отношении ряда целей проекта.

Способ представления самих последствий и вероятности их наступления, а также способ их объединения для определения уровня риска должен отражать тип риска, доступную информацию и цель использования результатов оценки риска. Все это должно соответствовать установленным критериям риска. Также важно учитывать взаимозависимость различных рисков и их источников.

Достоверность определения уровня риска и чувствительность результатов к предварительным условиям и допущениям расчета должны быть проанализированы. Данные результаты предоставляются ответственным сторонам, принимающим решения и, по возможности, другим заинтересованным сторонам. Такие факторы, как расхождение мнений экспертов, неопределенности, доступность, качество, количество, актуальность текущей информации, а также ограничения моделирования, должны быть выделены и сформулированы.

Риски могут анализироваться с различной степенью детальности, в зависимости от самого риска, цели анализа, доступности информации, данных и ресурсов. В ходе анализа риска для прояснения ситуации может оказаться необходимым вернуться назад к процессу идентификации риска.

Анализ риска может быть качественным и количественным. Кроме того, он может быть комбинированным в зависимости от обстоятельств. Качественные и количественные методы анализа могут быть использованы на всех фазах проекта, однако их вклад различен. Например, качественный анализ риска проводится в начале жизненного цикла проекта для обоснования стратегических решений. Количественный анализ риска проводится позднее для детального обоснования бюджетных сроков и затрат. Дальнейший анализ неопределенностей в таких областях, как зависимость и стоимость жизненного цикла, проводится путем выбора проектных вариантов и деталей разработки на рассматриваемых фазах проекта.

7.4.4 Оценка величины риска

Количественная оценка риска необходима для обоснования принятия решений по результатам анализа риска. Это решения о необходимости обработки риска и о приоритете практической реализации обработки.

Количественная оценка риска предполагает сравнение результатов анализа с критериями риска, установленными при рассмотрении контекста. На основании данного сравнения принимается решение о необходимости обработки.

Количественная оценка может включать сопоставление различных типов рисков, как с положительным, так и с негативным результатом. Далее принимается решение о целесообразности продолжения работ, а также о выборе дальнейшего плана работ.

При некоторых обстоятельствах оценка риска указывает на необходимость дальнейшего анализа. Например, на ранних фазах проекта анализ риска позволяет составить рабочий план необходимых исследований в будущем.

7.5 Обработка риска

7.5.1 Общие положения

Обработка риска (воздействие на риск) предполагает выбор одного или нескольких вариантов модифицирования риска и применение этих вариантов. В процессе применения выбранных вариантов происходит создание новых рычагов управления или модификация существующих.

Некоторые риски могут быть приняты без их дополнительной обработки каким-либо способом, отличающимся от существующих. Такие риски регистрируются в журнале рисков проектов, для них проводится постоянный мониторинг. Если риск не принимается, то на него следует продолжать воздействие.

Решения должны учитывать более широкий контекст (условия) риска, а также степень допустимости риска, принимаемую заинтересованными сторонами, отличными от организаций, получающих основную выгоду. Принимаемые решения должны соответствовать законодательным, нормативным и другим требованиям.

Процесс обработки риска является циклическим:

1) после начальной обработки риска производится его переоценка;

2) определяется степень приемлемости обработанного риска;

3) если риск неприемлем, то производится его дальнейшая обработка.

7.5.2 Выбор вариантов обработки риска

Варианты обработки риска могут включать:

а) устранение риска с негативными последствиями путем удаления источника риска или путем принятия решения о приостановке или полной остановке рискованных операций (в том числе остановки проекта);

б) участие в мероприятии, приводящем к риску с положительными последствиями, чтобы учесть все возможности (включая изменение области применения или цели проекта);

в) выполнение действия, изменяющего вероятность наступления риска, увеличивающего вероятность наступления положительных последствий и уменьшающего вероятность наступления негативных последствий;

г) выполнение действия, изменяющего последствия риска, увеличивающего масштаб положительных последствий и уменьшающего размер негативных последствий;

д) разделение риска с другими заинтересованными сторонами (посредством заключения контракта, принятия гарантийных обязательств или финансирования риска);

е) удержание риска путем принятия информированного решения.

Последовательность принятия решения по обработке риска:

1) если последствия риска нарушают законодательные или нормативные требования, то действие необходимо;

2) если последствия риска нарушают организационное мероприятие или превышают критерии риска, разработанные при установлении контекста, то, как правило, действие необходимо;

3) если последствия риска неблагоприятны для здоровья и безопасности людей, то обработка риска обязательна, и критерием постановки задачи обработки риска является критерий "минимальности практически приемлемого уровня риска" (ALARP);

4) во всех других обстоятельствах действия предпринимаются только тогда, когда суммарные выгоды и преимущества проекта превышают суммарные затраты и недостатки, принимая во внимание все преимущества и недостатки всего проекта.

Варианты обработки риска не обязательно являются взаимоисключающими. Они могут распространяться на несколько рисков. Количество вариантов обработки рассматривается и используется либо раздельно, либо в комбинации. Часто выгодно использовать комбинацию из различных вариантов обработки.

При выборе вариантов обработки риска могут оказаться важными оценки и представления заинтересованных лиц, а также способы установления контактов с ними. Некоторые варианты могут иметь одинаковую эффективность для проекта, но они могут быть более приемлемыми для одних заинтересованных сторон и менее приемлемыми для других.

Практическая реализация операций обработки риска может породить новые риски. Вторичные риски также нужно оценивать, обрабатывать, подвергать мониторингу и пересмотру.

7.5.3 План обработки риска

Цель плана обработки риска - задокументировать выбранные варианты обработки и способ их реализации. План обработки риска должен включать:

а) обоснование выбора вариантов обработки, включая ожидаемые выгоды;

б) ответственных за утверждение плана и за его практическую реализацию;

в) предполагаемые действия и их приоритетность;

г) требования к ресурсам, включая дополнительные непредвиденные обстоятельства;

д) средства измерения и ограничения технологического процесса;

е) формирование отчета и требований к мониторингу;

ж) тайминг и сроки.

Требования к специалистам, ответственным за обработку риска заключаются в:

1) возможности нести ответственность за мероприятия, связанные с риском;

2) возможности эффективного управления вероятностью наступления риска;

3) быстром реагировании на риск и возможности изменения его последствий;

4) надлежащем уровне полномочий для принятия решений.

Планы обработки рисков интегрируются с планами проектного менеджмента.

7.6 Мониторинг и пересмотр

Мониторинг и пересмотр планируются как часть процесса менеджмента рисков проектов. Они интегрируются с другими аспектами регулярного мониторинга и управления проектом.

Ответственность за мониторинг и пересмотр должна быть четко определена.

Мониторинг и пересмотр должны содержать все аспекты процессов менеджмента рисков проектов с целью:

а) выявления изменения внешнего и внутреннего контекстов, включая изменения области применения проекта, целей и критериев риска, что может потребовать пересмотра самого риска, процедуры обработки рисков и приоритета риска;

б) получения дальнейшей информации для улучшения оценки риска;

в) повышения эффективности и производительности рычагов управления, как при разработке процесса, так и при его реализации;

г) анализа успехов и неудач (включая инциденты и потенциально опасные ситуации), изменений и трендов;

д) идентификации зарождающихся рисков.

Операции обработки риска включаются в план проекта. Их мониторинг является частью регулярных мероприятий управления проектом. Состояние решения задач практической реализации обработки рисков учитывается в ходе управления технологическими процессами, при выполнении измерений и при формировании отчета о внешних и внутренних мероприятиях.

По завершении проекта желательно провести постпроектный пересмотр эффективности управления, извлечь уроки и организовать информационную обратную связь для будущих проектов. Важно начать указанные действия, пока проект еще не закончился, не дожидаясь окончания работ, пока все задействованные стороны не перешли в новый проект.

Результаты мониторинга и пересмотра должны быть зарегистрированы и включены в отчет в соответствии с установленными требованиями. Данные результаты должны быть использованы как исходные данные в рамках пересмотра инфраструктуры менеджмента рисков (см. раздел 6.5).

7.7 Формирование отчета о процессе менеджмента рисков проектов

7.7.1 Формирование отчета

Формирование отчета о мероприятиях менеджмента рисков необходимо для получения исходных данных по управлению процессом принятия решений и для повышения уверенности в достижимости целей проекта. Проектные совещания предоставляют возможность для дискуссии и обоснованного принятия решений по рискам. Проектные совещания могут быть формальными и неформальными. При этом все дискуссии и решения по рискам должны быть зарегистрированы и отражены в отчете.

Дискуссии по вопросам рисков могут включать следующие вопросы:

а) идентификацию и экономические оценки новых и возникающих рисков;

б) пересмотр журнала рисков проектов;

в) пересмотр статуса риска, эффективности ассоциированных рычагов управления и практическая реализация операций обработки риска;

г) идентификацию и согласование любых изменений информации о рисках, повторный анализ изменений и обновление журнала регистрации рисков;

д) экономическую оценку эффективности процесса менеджмента рисков;

е) обсуждение соотношений между сторонами контракта, включая распределение рисков.

Для большинства указанных факторов разрабатываются особые индикаторы процессов.

Требования к оформлению отчета указываются в плане менеджмента рисков проектов. По возможности, формирование отчета по менеджменту рисков проектов интегрируется с другими формами отчетов по проектному менеджменту.

7.7.2 План менеджмента рисков проектов

План менеджмента рисков проектов описывает порядок применения структурированного процесса менеджмента рисков в проекте.

План менеджмента рисков проектов может быть частью плана проектного менеджмента или отдельным документом. Он может включать (ссылаться на):

а) контекст и границы менеджмента рисков проектов, включая цели менеджмента рисков проектов;

б) архитектуру менеджмента рисков проектов, процессы и интерфейсы;

в) ответственность за действия по менеджменту рисков, полномочия и требования к формированию отчета;

г) внутренние и внешние интерфейсы;

д) расписание совещаний по вопросам менеджмента рисков проектов;

е) процессы пересмотра рисков проектов;

ж) соотношения с другими проектными документами и планами;

з) актуальные организационные процедуры;

и) интерфейсы с планами менеджмента рисков из других источников (например, поставщиков и подрядчиков);

к) формат журнала рисков проектов.

План менеджмента рисков проектов регулярно проверяется и обновляется в соответствии с установленными требованиями.

7.7.3 Документация

Ведение документации способствует практической реализации и управлению процессом менеджмента рисков, особенно при смене различных фаз проекта.

Ведение документации помогает планированию, оценке хода работ и его отслеживанию. Документация составляется на процесс менеджмента рисков, риски и порядок их обработки. В процессе менеджмента рисков проектов, ведение документации закладывает основу совершенствования методов, инструментов и всего процесса.

При принятии решения по процедуре ведения документации принимают во внимание:

а) потребности организаций в части непрерывного обучения;

б) выгоды от повторного использования информации для целей проектного менеджмента;

в) затраты и усилия, необходимые для организации и обслуживания системы записей;

г) законодательные, нормативные и текущие требования к записям;

д) метод доступа, простоту получения и среду хранения;

е) срок хранения;

ж) чувствительность информации к изменениям.

7.7.4 Журнал рисков проектов

Журнал рисков проектов - особенно важная форма документации. Это среда для регистрации изменений статуса риска. Его содержание является основой для регулярных отчетов об уровне проектного менеджмента и дискуссий по вопросам рисков и их обработки (на проектных совещаниях).

Журнал рисков проектов заводится на ранних фазах проекта (см. таблицу 1). Он пересматривается и обновляется в течение всего жизненного цикла проекта. Журнал может включать базы данных с информацией по идентификации рисков. Он содержит перечень рисков и их владельцев, отвечающих за каждый риск, перечень причин, а также последствий каждого риска в отношении целей, актуальных рычагов управления и их владельцев, отвечающих за каждый рычаг управления, а также результаты анализа риска и оценки риска. Он также может содержать необходимую дополнительную информацию, включая имена людей, отвечающих за дальнейший анализ (обычно это владельцы риска или их подчиненные) или обработку риска (владельцы задачи). Уникальные идентификационные номера сохраняются и регистрируются. Также отслеживается источник рассматриваемых данных.

Журнал рисков может вестись на бумажном носителе. Он также может быть представлен в форме электронной таблицы или компьютерной базы данных. Уровень сложности журнала рисков соответствует масштабу проекта, а также степени важности, природе и уровню риска. Однако доступ к управлению журналом рисков может быть ограничен.

Необходимо задокументировать план обработки каждого риска, включая надлежащие действия, ответственные стороны и сроки выполнения работ. Задачи обработки риска включаются в план проекта.

Если проект сложный, то риски могут быть следствием сложных взаимодействий, когда симптомы различимы, но отсутствуют четкие определения событий, их причин и потенциальных последствий. Такие риски бывает трудно зарегистрировать в простом журнале рисков. И, тем не менее, такие риски нужно распознавать, анализировать и обрабатывать. Необходимо также поддерживать процедуру их регистрации.

Если проект масштабный, то журналов рисков может быть несколько. Они могут быть подготовлены для различных заинтересованных сторон на различных фазах проекта. Информация из данных журналов сортируется и передается с фазы на фазу по ходу развития проекта. При этом журналы рисков отражают потребности организаций на различных фазах проекта, представления отдельных заинтересованных сторон, создающие риски. Журналы могут использовать различные критерии. Критерии должны быть компромиссными и согласованными, если журналы рисков используются на проектном уровне, или если риски переносятся из одного журнала в другой, например, если принимается решение о передаче ответственности за риск другой заинтересованной стороне, имеющей лучшие возможности.

Если информация о риске передается, то должно быть соглашение между заинтересованными сторонами о том, кто несет ответственность за риск (о владельце риска) и на кого перекладываются положительные (негативные) последствия, ассоциированные с риском.

В конце каждой фазы проекта всегда есть остаточный риск, связанный с последующими фазами. Информация о данных рисках передается соответствующим заинтересованным сторонам и включается в ассоциированные журналы рисков для следующих фаз проекта.

Приложение А
(справочное)

Признаки улучшенного менеджмента риска

А.1 Общие положения

Все организации должны стремиться достичь соответствующего уровня функционирования инфраструктуры менеджмента риска одновременно с критичностью решений, которые должны приниматься. Приведенный ниже перечень признаков обеспечивает высокий показательный уровень менеджмента риска. Чтобы помочь организациям измерить собственное качество менеджмента рисков в соответствии с этими критериями, для каждого признака приводится несколько показателей.

А.2 Ключевые результаты

А.2.1 Организация имеет современное, правильное и всестороннее понимание рисков.

А.2.2 Риски организации находятся в пределах ее критериев риска.

А.3 Признаки

А.3.1 Постоянное улучшение

Акцент на постоянное улучшение менеджмента рисков через установление целей деятельности организации, измерение, пересмотр и последующую модификацию процессов, систем, ресурсов, возможностей и навыков.

Это может подтверждаться наличием определенных целей деятельности, согласно которым измеряют деятельность организации и каждого отдельного менеджера. Данные о деятельности организации могут публиковаться и доводиться до сведения всех заинтересованных сторон. Обычно проводят, как минимум, годовой пересмотр деятельности, ревизию процессов и осуществляют установление целей деятельности на следующий период.

Оценка качества менеджмента рисков является неотъемлемой частью оценки всей деятельности организации и системы измерения качества работы подразделений и отдельных работников.

А.3.2 Полная ответственность за риски

Улучшенный менеджмент риска включает всестороннюю, полностью определенную и принятую отчетность и ответственность за риски, средства управления и задачи, воздействующие на риск. Назначенные лица, которые принимают ответственность за риск, обладают необходимыми навыками и ресурсами для того, чтобы проверять эти мероприятия, осуществлять мониторинг рисков, совершенствовать процесс менеджмента рисков и эффективно доносить информацию о рисках и управлению ими до внешних и внутренних заинтересованных лиц.

Это может подтверждаться всеми членами организации, которые осведомлены в полном объеме о рисках и средствах управления, за которые они несут ответственность. Обычно это должно быть отражено в должностных инструкциях, содержаться в информационных базах данных или системах. Распределение ролей по менеджменту рисков, ответственности и обязательств должно быть частью всех ознакомительных программ организации.

Организация должна гарантировать, что ответственные лица оснащены всем необходимым для выполнения своей роли и им предоставлены полномочия, время, обучение, ресурсы и навыки, достаточные для того, чтобы взять на себя данную ответственность.

А.3.3 Применение менеджмента риска при принятии всех решений

Все принимаемые в организации решения, независимо от степени важности и значимости, включают подробное рассмотрение рисков и применение менеджмента рисков.

Это может быть указано в записях собраний и обсуждений, подтверждающих, что подробный анализ рисков имел место. Необходимо обеспечить возможность получения доказательств, что все элементы менеджмента рисков представлены в ключевых процессах принятия решений, осуществляемых в организации, например при обсуждении размещения капитала по крупным проектам, реструктуризации, и организационных изменениях. По этим причинам четко обоснованный менеджмент риска должен просматриваться в масштабах организации как обеспечивающий основу для результативного руководства.

А.3.4 Постоянный обмен информацией

Улучшенный менеджмент риска включает постоянный обмен информацией с внешними и внутренними заинтересованными сторонами, включая всестороннее и периодическое предоставление информации о деятельности по менеджменту рисков, как части надлежащего управления.

Это может быть подтверждено обменом информации с заинтересованными сторонами в качестве неотъемлемого и важного элемента менеджмента рисков. Обмен информацией следует рассматривать как двусторонний процесс: правильно обоснованные решения могут приниматься в отношении уровня рисков и потребности в воздействии на риск в соответствии с установленными должным образом всесторонними критериями риска.

Всестороннее и периодическое внешнее и внутреннее предоставление информации о значительных рисках и о результатах деятельности по менеджменту рисков способствует в значительной мере результативному руководству в масштабах организации.

А.3.5 Полная интеграция в структуру руководства организации

К менеджменту рисков относятся как к центральному процессу менеджмента организации, а риски рассматривают с точки зрения воздействия неопределенности на цели. Структура руководства и процесс менеджмента организации основываются на менеджменте риска. Менеджеры считают результативный менеджмент риска существенным для достижения целей организации.

Это может подтверждаться использованием в важных письменных материалах организации термина "неопределенность" в отношении рисков. Этот признак также обычно отражается в заявлениях организации, касающихся политики, в частности, той, которая относится к менеджменту рисков. Как правило, этот признак может проверяться посредством интервью с менеджерами и на основе их действий и заявлений.

Библиография

[1]

Do bilateral and regional approaches for reducing technical barriers to trade converge towards the multilateral trading system? (Содействуют ли двусторонние и региональные подходы к сокращению технических барьеров в торговле многосторонней системе торговли?) OECD Trade Policy Working Paper No.58 by Caroline Lesser (TAD/TC/WP(2007)/12/FINAL)

[2]

The use of international standards in technical regulation (Использование международных стандартов в технических регламентах). OECD Trade Policy Working Paper No. 102 by Barbara Fliess, Frederic Gonzales, Jeonghoi Kim, Raymond Schonfeld, 2010

[3]

Supporting the TBT Agreement with Good Regulatory Practices Implementation Options for APEC Members (Применение надлежащей практики регулирования в экономиках АТЭС в поддержку выполнения Соглашения по техническим барьерам в торговле (ТБТ)) by Scott Jacobs, March 2012 (The report was prepared for the Asia-Pacific Economic Cooperation (APEC) organization as part of the APEC Technical Assistance and Training Facility (TATF) program. APEC TATF is managed by USAID, with funding and strategic direction provided by the U.S. State Department Bureau of East Asian and Pacific Affairs, Office of Economic Policy)

[4]

Risk management in Regulatory Framework. Towards a better management of risks (Менеджмент риска в системах регулирования. Стремление к лучшему менеджменту рисков) by Lorenza Jachia and Valentin Nikonov. UNECE, ECE/TRADE/390, 2012

[5]

Руководство ИСО/МЭК 7:1994 Руководящие указания по разработке стандартов, пригодных для использования при оценке соответствия

[6]

ГОСТ Р ИСО 9004:2010 Менеджмент для достижения устойчивого успеха организации. Подход на основе менеджмента качества

[7]

ГОСТ Р ИСО 14001:2007 Системы экологического менеджмента. Требования и руководство по применению

[8]

ГОСТ Р ИСО 14004:2007 Системы экологического менеджмента. Общее руководство по принципам, системам и методам обеспечения функционирования

[9]

ISO/TAG 12 report to ISO TMB on ISO 9000/ISO 14000 compatibility

[10]

ГОСТ P 54985-2012/Рекомендации ИСО/ТК 176 Руководящие указания для малых организаций по внедрению системы менеджмента качества на основе ИСО 9001:2008

[11]

Директивы ИСО/МЭК, часть 1, 2011 Процедуры технической работы

[12]

Директивы ИСО/МЭК, часть 2, 2011 Правила по структуре и написанию проектов международных стандартов

[13]

Руководство 2 ИСО/МЭК, 2004 Стандартизация и связанная с ней деятельность. Общий словарь

[14]

ИСО 21500:2012 Руководство по проектному менеджменту

[15]

The study provided by APEC Technical assistance and training facility (TATF) (which is managed by US Agency for International Development (USAID)

[16]

ИСО 10006:2003 Системы менеджмента качества. Руководящие указания по менеджменту качества проектов

[17]

Руководство ИСО 73:2009 Менеджмент рисков. Словарь

[18]

МЭК 60812 (2006) Методика анализа надежности системы. Методика анализа режима отказа и его влияния на функционирование системы (FMEA)

[19]

МЭК 61882 (2001) Анализ нештатных ситуаций (HAZOP). Приложение МЭК/ИСО 31010. Менеджмент рисков. Методики оценки риска

УДК 658:562.012:006.354

ОКС

01.120
03.100.01

Ключевые слова: риск, менеджмент риска, принципы менеджмента риска, процесс менеджмента риска, структура менеджмента риска, анализ риска, идентификация риска, критерии риска, оценка риска, обработка риска

Электронный текст документа

и сверен по:

, 2020