Риск неотделим и от проектов. Том де Марко пишет: «Проект без риска - удел неудачников. Риски и выгода всегда ходят рука об руку».
Проекты «напичканы» рисками не только в силу изменчивости среды и принципиальной неповторимости содержания проекта, но еще и потому, что наши организации большей частью не предназначены для выполнения проектов. Исключение составляют проектно-ориентированные компании (разработчики ПО, кинокомпании, рекламные агентства), имеющие проектную структуру (под каждый проект формируется «ударная группа»). Напротив, банки, торговые сети, производственные предприятия чаще имеют функциональную структуру, неспособную обеспечить адекватное управление проектами.
Управлению проектными рисками посвящен большой раздел проектной методологии, достойный отдельного изучения руководителями ваших проектов и программ.
Таким образом, меры, призванные снизить риски предприятия, должны быть направлены на:
всестороннюю проработку важных решений;
управление начинаниями компании (управление проектами и программами);
контроль окружения бизнеса (под общей формулировкой понимается закрепление ответственности за контроль многочисленных факторов внешней среды за конкретными людьми).
Механизмы и инструменты
В распоряжении риск-менеджмента - широкий набор управленческих и аналитических инструментов. О методах идентификации, анализа и оценки рисков, а также стратегиях реагирования на риски речь пойдет в последующих статьях, посвященных риск-менеджменту. В любом случае следует отдавать отчет, что эффективность управления рисками обеспечивают не специфические инструменты (такие, как карта рисков бизнеса или корпоративный реестр рисков), а «вживление» философии риск-менеджмента в процессы и политики компании.
Кроме того, к инструментарию риск-менеджмента относятся проектный подход и традиционные инструменты управления: отчетность и контроль, планирование, накопление и использование опыта.
Как именно накапливается и используется опыт в организациях?
Пример 3
Методология управления консалтинговыми проектами компании «Ключевые решения» предусматривает обязательное написание по завершении проекта так называемого посмертного отчета, в котором команда проекта анализирует и объясняет причины отклонений, выносит рекомендации командам, которые будут выполнять другие сходные проекты.
На специальных совещаниях руководителей проектов (мы называем их «проектными комитетами»), на которых может присутствовать любой сотрудник компании, анализируется опыт, приобретенный в недавно законченных и текущих проектах. На этих совещаниях руководители проектов также получают рекомендации и по своим актуальным проблемам в проектах.
Пример 4
Подход, схожий с тем, что описан в примере 3, реализует одна из крупных белорусских компаний с иностранными инвестициями, работающая в сегменте B2C (этот подход пришел в компанию от инвестора). В компании в общедоступном месте на внутреннем сайте находится раздел, метко названный «базой Lessons learned». Это реестр конкретных выводов и рекомендаций, вынесенных из опыта решения проблемных ситуаций, возникших в проектах компании. База постоянно пополняется, «уроки» сгруппированы по ситуациям.
Большие возможности в управлении рисками предоставляет и система материального поощрения.
Пример 5
Для того чтобы обеспечить передачу и применение накопленного опыта в консалтинговых проектах, в компании «Ключевые решения» применяется ролевая модель, в которой над консультантомруководителем проекта находится куратор проекта (как правило, управляющий партнер компании). Куратор обеспечивает применение в проекте методологии компании и помогает руководителю проекта справляться с проблемными ситуациями. Но как добиться того, чтобы руководитель проекта на скрывал проблемы, пытаясь справиться с ситуацией самостоятельно?
Решение заложено в систему исчисления гонорара консультанта. Если проблемная ситуация приведет к тому, что клиент предъявит рекламацию, размер вознаграждения консультанта будет зависеть от того, доводил ли консультант до сведения куратора проекта информацию о состоянии дел в проекте. Если отчеты консультанта были регулярными и он нашел способ привлечь внимание куратора к решению проблем в проекте, то сумма, на которую уменьшится его вознаграждение, будет пропорциональна претензии клиента. В случае же непоступления или искажения информации от консультанта куратору, гонорар консультанта идет на удовлетворение претензии клиента один к одному, вплоть до направления всей суммы вознаграждения консультанта в данном проекте на выплату рекламации.
Справедливости ради следует сказать, что компания ни разу не применяла второй механизм: консультанты просто не доводят ситуацию в проекте до неуправляемого состояния.
Что делать?
Таким образом, для того чтобы поднять риск-менеджмент на предприятии на новый уровень, необходимы системный подход и действия в различных областях. Но в какой последовательности действовать, чтобы не «зависнуть» на полпути, так и не получив желаемых эффектов?
Конкретные шаги внедрения будут различными для разных предприятий. В любом случае начать следует с исследования организационной зрелости компании. В качестве ориентира можно взять ту же пятиступенчатую модель Керцнера. Определив, на какой ступеньке зрелости в процессах управления находится предприятие, можно говорить о методах, применимых в каждом конкретном случае. Там, где процессы еще только кристаллизуются, необходима некоторая степень формализма. Там же, где методология управления рисками живет на уровне культуры, стандарты - не более чем макулатура.
Итак, основные необходимые действия можно обобщить в следующий список (порядок перечисления не определяет последовательность выполнения; некоторые действия можно выполнять параллельно, к другим необходимо возвращаться несколько раз):
Определение целей и задач системы риск-менеджмента.
Обследование уровня организационной зрелости.
Выделение существенных рисков:
идентификация рисков;
анализ и оценка рисков;
ранжирование и классификация рисков;
определение стратегий реагирования на риски.
Визуализация рисков бизнеса:
составление карты рисков;
составление реестра рисков бизнеса;
составление матриц «выигрышриск» по портфелю проектов и бизнес-портфелю;
определение склонности компании к риску.
Введение контроля и ответственности за риски:
выделение ключевых показателей рисков;
определение граничных значений;
обеспечение мониторинга и контроля показателей;
разработка регламентов и шаблонов документов;
закрепление ответственности;
корректировка системы материального поощрения;
формирование резервов.
Обеспечение накопления, передачи и использования опыта.
Обучение.
Обновление информации.
Бенчмаркинг и постоянное улучшение.
Где подсмотреть?
Наиболее «продвинутыми» до недавнего времени были методологии риск-менеджмента прикладного характера: для страхового бизнеса, инвестиций в ценные бумаги и банковского дела. В 80х годах XX века получила свое развитие методология управления проектными рисками. Начальную информацию об этом можно почерпнуть в PMBoK®, но есть и обособленные стандарты по управлению проектными рисками. Это, например, Practice Standard for Project Risk Management (Практический стандарт управления проектными рисками) от PMI. Управлению проектными рисками посвящены соответствующие разделы в проектных методологиях (например, в Microsoft Solutions Framework®, в британской PRINCE2® и японской Р2М®).
Однако в последние годы дисциплина рискменеджмента развивается на основе понимания взаимосвязи процессов управления стратегическими, проектными и операционными рисками. Речь идет о построении комплексных систем управления рисками компании (ERM). Примером такого подхода является английская методология M_o_R®. Материалы по данной методологии, к сожалению, пока доступны только на английском языке. Тем не менее данный подход рассматривает управление рисками как комплекс мер в рамках всей организации и дает рекомендации по построению системы риск-менеджмента.
Главное - сообща и системно
Изменения в оргструктуре, регламентах, культуре и образе мышления должны затронуть всех в компании: владельцев, руководителей и сотрудников. В зависимости от масштаба деятельности предприятия внедрение системы риск-менеджмента может занять примерно от полугода до года. IT-решения занимают в системе риск-менеджмента не последнюю роль, но они не заменят собой архитектуру системы и логику распределения ответственности за риски. Так что не стоит хвататься за «автоматизацию» до того, как будет заложена основа системы ERM в структуре, процессах и распределении ответственности.
При постановке системы риск-менеджмента важно обеспечить ее быструю «окупаемость». Результаты осознанного управления рисками должны быть «разрекламированы» в компании. Можно «опереться» на пример неудачного проекта из прежней практики предприятия и показать, как управление рисками могло помочь сохранить деньги (только не нужно искать виновных!).
Конечно, начинать внедрение не имеет смысла, если все лица, принимающие в компании ответственные решения, не разделяют стремление управлять рисками бизнеса на новом уровне. При поддержке владельцев и руководства бизнеса и при обеспечении системного подхода к управлению рисками можно не сомневаться, что ваши усилия не только оправдаются, но и дадут результаты, которые превзойдут ожидания.