1 РАЗРАБОТАНЫ Некоммерческим партнерством "Русское общество управления рисками" (РусРиск)

2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 октября 2014 г. N 1276-ст

4 ВВЕДЕНЫ ВПЕРВЫЕ

Правила применения настоящих рекомендаций установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Менеджмент риска является ключевым процессом деятельности организации. Процессы менеджмента риска организации применимы для процесса менеджмента риска проектов. Для получения максимальной выгоды действия в области менеджмента риска должны быть инициированы на ранних стадиях проектирования и продолжены на всех последующих стадиях. Эффективная разработка и внедрение процесса менеджмента риска проекта на прединвестиционной, инвестиционной и эксплуатационной стадиях является важным инструментом повышения эффективности планирования и реализации каждого проекта, что способствует постоянному улучшению деятельности организации. Процесс менеджмента риска проекта включает различные аспекты работы с риском - от идентификации и анализа риска до оценки его допустимости и определения необходимости и возможностей снижения риска посредством выбора и реализации соответствующих действий.

На практике значительное количество опасных событий реализуются на этапах создания и эксплуатации. Источники опасных событий могут быть обнаружены на стадии проектирования. В связи с этим важно проводить работу по идентификации и прогнозированию риска, оценке рисков, разработке мероприятий по снижению риска и проводить мониторинг на каждом этапе. Внедрение системы менеджмента риска, направленной не только на устранение негативных последствий события, но и на предупреждение возникновения опасных событий, можно говорить о возможности успешного выполнения инвестиционной программы.

Менеджмент риска проекта осуществляется посредством идентификации риска и последующей его оценки и разработки мероприятий по снижению рисков, не соответствующих установленным критериям. Процесс менеджмента риска включает обмен информацией и консультации с заинтересованными сторонами, а также исследование и анализ риска, действия по обработке риска для обеспечения реализации проекта и достижения целевых показателей.

Настоящие рекомендации содержат описание процесса менеджмента риска проектов, основных подходов к идентификации рисков, составлению классифицированного перечня рисков, методов качественной и количественной оценки рисков, а также способов обработки выявленных рисков на всех этапах жизненного цикла проекта.

1. Область применения

В настоящих рекомендациях установлены общие принципы идентификации, оценки и менеджмента риска проекта на всех этапах его жизненного цикла.

Настоящие рекомендации предназначены для применения:

- лицами, участвующими в менеджменте риска;

- менеджерами проектов;

- менеджерами и руководителями организаций, вовлеченными в процесс управления проектами;

- разработчиками межгосударственных стандартов и другой нормативной документации;

- разработчиками национальных стандартов, нормативных документов, процедур, правил и стандартов организации;

- любыми государственными, частными или общественными организациями, ассоциациями, группами лиц или отдельными лицами.

Настоящие рекомендации могут применяться в течение всего жизненного цикла проекта, включая прединвестиционный, инвестиционный и эксплуатационный этапы.

Настоящие рекомендации применимы к любому типу риска, независимо от его характера, а также того, имеет ли он негативные или позитивные последствия.

2. Нормативные ссылки

В настоящих рекомендациях использованы ссылки на следующие стандарты:

ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство

ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска

ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения

ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем

ГОСТ Р 51901.22-2012 Менеджмент риска. Реестр риска. Правила построения

ГОСТ Р 51901.23-2012 Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска

ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство

Примечание - При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если ссылочный стандарт заменен (изменен), то при пользовании настоящими рекомендациями следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

3. Термины и определения

В настоящих рекомендациях применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями.

3.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целей <1>.

--------------------------------

<1> В соответствии с ФЗ "О техническом регулировании" от 27.12.2002 N 184-ФЗ "риск - это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда".

Примечания

1 Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

2 Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т.п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).

3 Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.

4 Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.

5 Неопределенность - это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.2 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.3 реестр риска (risk register): Форма записи информации об идентифицированном риске.

Примечание - Термин "журнал риска" иногда используют вместо термина "реестр риска".

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.4 менеджер по риску (risk manager): Специалист по идентификации, оценке, анализу, обработке, мониторингу риска, а также другим видам деятельности в области менеджмента риска организации.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.5 идентификация риска (risk identification): Процесс определения, составления перечня и описания элементов риска.

Примечание 1 - Элементы риска могут включать в себя источники риска, события, их причины и возможные последствия.

Примечание 2 - Идентификация риска может также включать в себя теоретический анализ, использование хронологических данных, экспертных оценок и анализ потребностей причастных сторон.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.6 оценка риска (risk assessment): Общий процесс идентификации риска, анализа риска и сравнительной оценки риска.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.7 процесс менеджмента риска (risk management process): Взаимосвязанные действия по обмену информацией, консультациям, установлению целей, области применения, идентификации, исследованию, оценке, обработке, мониторингу и анализу риска, выполняемые в соответствии с политикой, процедурами и методами менеджмента организации.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.8 источник риска (risk sourse): Объект или деятельность, которые самостоятельно или в комбинации с другими обладают возможностью вызывать повышение риска.

Примечание - Источник риска может быть материальным или нематериальным.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.9 анализ риска (risk analyses): Процесс изучения природы и характера риска и определения уровня риска.

Примечания

1 Анализ риска обеспечивает базу для проведения сравнительной оценки риска и принятия решения об обработке риска.

2 Анализ риска включает в себя количественную оценку риска.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.10 последствие (consequence): Результат воздействия события на объект.

Примечания

1 Результатом воздействия события может быть одно или несколько последствий.

2 Последствия могут быть определенными или неопределенными, могут быть ранжированы от позитивных до негативных.

3 Последствия могут быть выражены качественно или количественно.

4 Первоначальные последствия могут вызвать эскалацию дальнейших последствий по принципу "домино".

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.11 вероятность (probability): Мера возможности появления события, выражаемая действительным числом из интервала от 0 до 1, где 0 соответствует невозможному, а 1 - достоверному событию.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

4. Описание процесса менеджмента риска проекта

Все элементы процесса менеджмента риска организации применимы к процессу менеджмента риска проектов, поэтому рассмотрим каждый этап процесса менеджмента риска проекта согласно схеме, приведенной на рисунке 1 (см. ГОСТ Р ИСО 31000, ГОСТ Р 51901.1).

Основными элементами процесса менеджмента риска проектов являются следующие:

а) Обмен информацией и консультирование

Должен быть установлен обмен информацией и консультации с внутренними и внешними причастными сторонами на каждом этапе процесса менеджмента риска проекта.

б) Установление целей и области применения

Данный этап включает установление внешних и внутренних целей, а также цели в области менеджмента риска проектов для осуществления остальных элементов процесса менеджмента риска. Следует установить критерии риска и определить структуру анализа риска.

Основные цели менеджмента риска проекта - повышение вероятности возникновения и степени воздействия благоприятных событий и снижение вероятности возникновения и степени воздействия неблагоприятных событий на целевые показатели проекта.

в) Идентификация риска

Идентификация риска предусматривает определение рисков, способных повлиять на цели проекта, и их документальное оформление. На данном этапе идентифицируют источники риска, области воздействия, события (включая изменения в обстоятельствах) и их причины, а также их возможные последствия. Цель данного этапа заключается в составлении перечня рисков, на основе событий, которые могут влиять на достижение целей проекта. Идентификация является критически важной, потому что риск, который не был идентифицирован на данном этапе, не будет включен в последующий анализ риска. При этом, идентификацию рисков и актуализацию перечня рисков необходимо проводить на каждом этапе инвестиционного проекта, и процесс идентификации должен быть сквозным: начинаться на прединвестиционной стадии, развиваться на инвестиционной и эксплуатационной стадиях. Перечень рисков должен регулярно пересматриваться и актуализироваться.

г) Анализ риска

Анализ риска включает рассмотрение причин и источников риска, их позитивных и негативных последствий и возможности реализации этих последствий. Факторы, влияющие на последствия и возможности, должны быть идентифицированы. Риск анализируют посредством определения последствий и благоприятных возможностей, а также других характеристик риска. Событие может иметь множественные последствия и может воздействовать на достижение целей проекта. Необходимо также принимать во внимание существующие средства управления, их результативность и эффективность.

д) Сравнительная оценка риска

Необходимо сравнить полученные оценки риска с установленными критериями допустимого риска, а также рассмотреть баланс между возможными преимуществами и неблагоприятными последствиями. Это позволяет принять решение о степени и характере обработки риска и расстановки соответствующих приоритетов в управлении проектом.

Решение о необходимости обработки риска должно основываться на таком сравнении. По результатам сравнительной оценки риска, принимают решение о необходимости, методах, ресурсах и способах обработки риска.

е) Обработка риска

Обработка риска включает выбор одного или более вариантов воздействия на риск и применение этих вариантов.

Любая мера обработки рисков должна быть подвергнута анализу с учетом:

- объемов затрат по сравнению с предполагаемым эффектом от обработки риска;

- доступности предпринимаемых действий;

- эффективности предотвращения риска или повышения благоприятных возможностей;

- возникновения вторичного риска, связанного с предпринимаемым действием.

Такой анализ необходим для проверки того, что ответная мера, сама по себе, не повлечет за собой непредвиденных последствий в результате принятия данной меры. Это особенно касается мер, принятие которых может привести к возникновению более серьезного риска по сравнению с риском, для минимизации которого предусматривается обработка.

Следует провести идентификацию вариантов обработки риска, оценку этих вариантов, а также подготовку и выполнение планов обработки риска проекта.

ж) Мониторинг и анализ

Необходимо проводить мониторинг результативности всех стадий процесса менеджмента риска проекта. Это важно для постоянного улучшения данного процесса.

Для выявления влияния изменяющихся обстоятельств на установленные приоритеты в области менеджмента риска проекта должен проводиться мониторинг риска и результативности обработки риска.

Менеджмент риска может быть применен к конкретным проектам при принятии решений о выборе проекта из нескольких вариантов или для управления установленными областями риска.

На каждой стадии процесса менеджмента риска записи следует поддерживать в рабочем состоянии и сохранять их, что позволит сделать принятые решения по менеджменту риска частью процесса постоянного улучшения процесса управления проектом.

5. Выявление/идентификация рисков

5.1 Общие положения

Идентификация рисков представляет собой процесс определения рисков, способных повлиять на целевые показатели проекта, и документирования их характеристик. Идентификацию риска выполняют менеджеры по риску, разработчики проекта и эксперты в области менеджмента риска. Также в ней могут принимать участие заказчики, разработчики проекта и технические эксперты. Идентификация рисков - повторяющийся процесс, так как в процессе разработки проекта выявленные риски могут изменяться или появляться новые. Поэтому необходимо регулярно проводить актуализацию перечня рисков. Частота проведения идентификации риска и состав участников выполнения идентификации может изменяться.

5.2 Методы выявления рисков

Для идентификации рисков проекта могут использоваться следующие методы (см. ГОСТ Р ИСО/МЭК 31010):

- Мозговой штурм. Целью мозгового штурма является создание подробного списка рисков проекта. Обычно мозговой штурм проводит команда по разработке проекта с привлечением менеджера по риску, часто совместно с участием экспертов из разных областей, не являющихся членами команды. Генерация идей, относящихся к рискам проекта, происходит под руководством ведущего. Ведущим чаще всего является риск-менеджер. За основу может приниматься система категорий рисков, например иерархическая структура рисков. Далее риски подлежат категоризации по типам, а их определения - уточнению.

- Интервью. Проводимая по заранее разработанному плану беседа, предполагающая прямой контакт интервьюера с респондентом, в ходе которой интервьюер фиксирует ответы респондента.

- Анкетирование. Опосредованный (через анкету) способ общения исследователя и опрашиваемого. Респондент знакомится с содержанием анкеты, самостоятельно интерпретирует смысл вопросов и фиксирует свои ответы.

- Метод Дельфи. Метод Дельфи - это способ достижения консенсуса между экспертами. Данный метод предполагает, что эксперты в области менеджмента риска принимают в нем участие анонимно. С помощью опросного листа ведущий собирает предложенные идеи о значимых рисках проекта. Составляет резюме. В случае, если эксперты имеют различные суждения по одному вопросу, тогда ведущий просит обосновать свою позицию. После этого опросные листы вместе с комментариями возвращаются экспертам для дальнейшего сближения позиций. Консенсуса можно достичь за несколько повторяющихся циклов этого процесса. Метод Дельфи помогает преодолеть необъективность в оценке данных и устраняет избыточное влияние отдельных лиц на результат работы.

- Анализ сильных и слабых сторон, возможностей и угроз (анализ SWOT). Этот метод позволяет провести анализ проекта с позиции каждой из указанных выше сторон, что дает более полное представление о рисках проекта.

- Метод аналогий. Для идентификации рисков этот метод использует накопленные знания и планы по управлению рисками аналогичных проектов.

5.3 Классификация рисков

Важным моментом в анализе рисков проекта является их классификация. Она позволяет упорядочить совокупность выявленных рисков, распределить риски по этапам реализации проекта, по бизнес-процессам, по целевым показателям влияния, определить факторы (главные и второстепенные), оказывающие влияние и обуславливающие вероятность того или иного опасного события, определить значимость, роль и место каждого риска в процессе управления проектом.

Классификация рисков - процесс группировки опасных событий по характеристикам (факторам риска, объектам воздействия, методам управления, источнику возникновения и др.). Классификационные характеристики определяются в зависимости от целей процесса менеджмента риска проекта.

Цель классификации: создание упорядоченного перечня рисков, обеспечивающего максимальную информированность и удобство для оценки и менеджмента риска.

Существует множество подходов к классификации и систематизации риска. Ниже приведены виды классификации, которые наиболее часто используют в процессе менеджмента риска проекта.

Классификация риска по факторам. По опасным событиям риски подразделяются на:

- производственно-технологические - опасные события, вызванные отказами оборудования, поломками, сбоями технологических систем, производственным браком, дефектами оборудования и т.п.;

- риски персонала - опасные события, вызванные ошибками персонала, низкой квалификацией персонала, мошенничеством, недостаточным уровнем внимания и самодисциплины, неадекватностью поведения сотрудников и т.п.;

- риски процессов - опасные события, вызванные неотлаженными бизнес-процессами, сбоями, низкой точностью оборудования, нарушением IT-процессов, наложением процессов в период проведения операций;

- природно-климатические - опасные события, вызванные землетрясениями, наводнениями, сверхнизкими и сверхвысокими температурами, цунами и т.п.;

- ценовые - опасные события, вызванные изменением цен на сырье, материалы, оборудование, готовую продукцию;

- рыночные - опасные события, вызванные изменением конъюнктуры рынка, изменением спроса и предложения и т.п.;

- политические/государственные - опасные события, вызванные изменением внутренней или внешней политики государства, политического режима страны;

- регулятивные - опасные события, вызванные изменением законодательства, принятием новых законов, нормативных требований и ограничений, стандартов, регламентов и т.п.;

- риски контрагента - опасные события, вызванные мошенничеством, халатностью, ошибками подрядчиков.

Классификация рисков по последствиям. По последствиям риски подразделяются на риски:

- влияющие на сроки реализации проекта;

- влияющие на стоимость реализации проекта;

- влияющие на качество продукции;

- влияющие на объемы выпущенной продукции;

- влияющие на жизнь и здоровье людей;

- оказывающие экологическое воздействие.

По результатам выявления рисков формируется классифицированный перечень рисков (таблица 1), включающий в себя все идентифицированные опасные события, основные причины возникновения риска (факторы), последствия реализации данных опасных событий и категорию риска в соответствии с выбранным классификационным признаком.

6. Анализ рисков

6.1 Общие положения

Анализ риска включает исследование информации о риске, обеспечивает входные данные для принятия решений о необходимости обработки риска, а также выбора стратегий и методов наиболее подходящей обработки риска. Анализ риска включает в себя определение источников опасных событий, их позитивных и негативных последствий и вероятности появления этих событий. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности. В большинстве случаев также должны быть учтены результаты применения существующих средств управления.

На предварительном этапе опасные события, вызывающие аналогичные последствия, могут быть объединены, а риски, имеющие незначительное влияние на достижение целей проекта, исключены из детального исследования. Для демонстрации полноты и завершенности анализа риска должен быть составлен перечень (при их наличии) исключенных рисков.

Анализ риска может быть проведен с различной степенью детализации в зависимости от особенностей риска, цели анализа, доступных данных и ресурсов. В зависимости от конкретных обстоятельств анализ может быть качественным, количественным или их комбинацией. На практике качественный анализ часто используют на начальном этапе для получения общей характеристики риска и определения основных проблем, связанных с риском. Далее применительно к приоритетным рискам необходимо провести количественную оценку.

Каждый метод анализа рисков обладает определенными преимуществами и недостатками. Поэтому для оценки риска целесообразно использовать синтез наиболее эффективных методов для каждой конкретной ситуации. Выбор метода анализа риска необходимо осуществлять на основании сопоставления затрат на оценку риска со значимостью и степенью влияния рисков.

6.2 Целевые показатели влияния рисков проекта

Прежде чем переходить к оценке рисков, необходимо определить объекты потенциального воздействия рисков и сопоставить их влияние на выполнение целей проекта. На каждом этапе жизненного цикла проекта необходимо определить целевые показатели влияния рисков, воздействующие на цели проекта (таблица 2).

6.3 Методы качественного анализа

Качественный анализ рисков - это процесс установления приоритетов рисков для дальнейшего анализа или действий путем оценки и совмещения их вероятности и воздействия. Качественный анализ производится с применением описательных характеристик рисков или условных оценок (например, в баллах).

Качественный анализ риска позволяет получить описание и оценку характеристик всех рисков в короткие сроки, осуществить их ранжирование и выявить ключевые зоны. Также качественный анализ позволяет получить структуру риска проекта, определить причины и факторы, влияющие на уровень риска, а также выделить приоритетные риски для дальнейшего анализа. В связи с этим качественный анализ рисков обязательно должен предшествовать количественной оценке.

Качественный анализ рисков включает в себя расстановку приоритетов для идентифицированных рисков, результаты которой используются впоследствии, например, в ходе количественного анализа рисков или планирования реагирования на риски. При качественном анализе риска приоритеты идентифицированных рисков определяют на основе вероятности или возможности их наступления, назначаемых в соответствии с классификационной матрицей качественного анализа, пример которой представлен в таблице 3. Кроме того, для каждого риска определяют его воздействие на достижение целей проекта, а также рассматривают другие факторы (например, время реагирования и готовности организации принять риск с учетом ограничений по стоимости, срокам, содержанию и качеству проекта). Такие оценки отражают отношение группы разработчиков проекта и других заинтересованных сторон проекта к риску.

Задачи качественного анализа рисков заключаются в том, чтобы на этом уровне оценить вероятность воздействия каждого риска, создать более короткий перечень рисков, определить приоритетные риски, которые будут подвергнуты количественной оценке, и для которых будут планироваться ответные действия.

Качественный анализ риска обычно является быстрым и эффективным по стоимости способом расстановки приоритетов для планирования реагирования на соответствующие события и, при необходимости, является основой для количественного анализа рисков. Процесс качественного анализа риска должен проводиться регулярно в течение всего жизненного цикла проекта в соответствии с изменениями рисков проекта.

При выполнении качественного анализа для описания масштабов возможных последствий опасных событий и вероятности проявления этих последствий обычно используют словесное описание. Качественное описание масштаба последствий может быть адаптировано к конкретным условиям и может использовать различные описания для различных рисков.

Основные методы, используемые для качественного анализа рисков проекта:

- Исследование опасности и работоспособности (HAZOP). Общий процесс идентификации опасностей, направленный на выявление возможных слабых мест или несоответствий при выполнении работ (предполагаемых или предназначенных). Метод основан на использовании системы управляющих слов. При этом также оценивают критичность выявленных отклонений. HAZOP является качественным методом, основанным на использовании управляющих слов, которые помогают понять, почему цели проекта или условия функционирования не могут быть выполнены на каждом этапе проекта, процесса, процедуры или системы. Исследование HAZOP обычно выполняет междисциплинарная группа с привлечением риск-менеджера в течение нескольких заседаний. Подробное описание метода приведено в [4].

- Анализ видов и последствий отказов (FMEA). Анализ видов и последствий отказов (FMEA) является методом систематического анализа системы для идентификации видов потенциальных отказов, их причин и последствий, а также влияния отказов на функционирование системы (системы в целом или ее компонентов и процессов). FMEA представляет собой метод, позволяющий идентифицировать тяжесть последствий видов потенциальных отказов, и обеспечить меры по снижению риска. В некоторых случаях FMEA также включает в себя оценку вероятности возникновения видов отказов. Это расширяет анализ. В целом FMEA является результатом работы команды, состоящей из квалифицированных специалистов, способных признать и оценить значимость и последствия различных типов потенциальных несоответствий конструкции и процессов, которые могут привести к отказам. Работа в команде стимулирует процесс мышления и гарантирует необходимое качество экспертизы. Подробное описание метода дано в [5].

- Оценка вероятности возникновения и последствий рисков. Метод предполагает проведение исследования возможности наступления того или иного риска. При оценке последствий риска определяют влияние, которое он может оказать на достижение целей проекта (например, сроки, стоимость, качество выполнения), включая негативное и позитивное воздействия. Вероятность и воздействия оценивают для каждого риска. Риски могут быть оценены в ходе опросов или совещаний с участниками, которых отбирают в зависимости от их осведомленности по обсуждаемым категориям рисков. В число опрашиваемых могут входить разработчики проекта и, в ряде случаев, лица, не принимающие участия в проекте, но имеющие компетентность глубоких познаний в этой области. Во время опроса или совещания оценивается степень вероятности возникновения каждого риска и его воздействия на каждую из целей проекта. Также фиксируется пояснительная информация, в том числе допущения, объясняющие установленные уровни рисков. Вероятность возникновения и последствий рисков ранжируются в соответствии с определениями, представленными в плане управления рисками. Риски с низкой вероятностью реализации и слабым воздействием включают в перечень рисков, за которыми в дальнейшем ведут наблюдение. Для оценки вероятности и степени воздействия можно использовать матрицу, представленную в таблице 3.

- Матрица вероятности и последствий. Расстановку приоритетов между рисками для последующего количественного анализа и реагирования осуществляют на основе рейтинга рисков. Обычно правила ранжирования системы рисков организация определяет заранее до начала разработки проекта и включает в активы процессов организации. Правила системы ранжирования рисков могут быть адаптированы к конкретному проекту в процессе планирования менеджмента риска. Оценка важности каждого риска и, следовательно, его приоритета, как правило, осуществляется с помощью таблицы соответствия или матрицы вероятности и последствий. Такая матрица определяет комбинации вероятности и последствий, которые позволяют присваивать рискам низкий, средний или высокий приоритет. Область темно-серого цвета (наивысшие числовые значения) обозначает высокий уровень риска, более светлая область (наименьшие числовые значения) обозначает низкий уровень риска, а самая светлая (средние числовые значения) обозначает средний уровень риска (рисунок 2) [6]. Для оценки вероятности последствий для каждого риска с целью определения положения риска в матрице требуется экспертная оценка. Экспертами, как правило, являются лица, имеющие опыт участия в подобных проектах. Кроме того, экспертами являются лица, занимающиеся планированием и управлением с учетом специфики конкретного проекта. Надежность экспертных оценок часто получают в ходе семинаров или опросов.

- Категоризация рисков. Для определения областей проекта с наиболее высоким порогом риска можно категоризировать по источнику риска (например, с помощью иерархической структуры рисков), по части проекта, которую затрагивает риск или по какому-либо иному критерию (например, по этапу проекта). Данный метод позволяет выделить наиболее опасные этапы проекта. Эффективную систему реагирования на риски можно разработать на основе группировки рисков по их основным причинам.

6.4 Методы количественной оценки

Количественная оценка риска - это процесс количественного анализа воздействия риска на цели всего проекта.

Качественный анализ рисков не предоставляет точной стоимостной оценки рисков, которая особенно важна для инвестиционных проектов. Поэтому целесообразно применять комплекс количественных методов, позволяющих определить величину отклонений капитальных и текущих затрат, а также сроков реализации проекта в случае реализации опасных событий.

Количественная оценка риска представляет собой процесс количественного анализа воздействия выявленных рисков на достижение цели проекта, она производится в отношении тех рисков, которые в результате процесса качественного анализа были классифицированы как существенным образом влияющие на выполнение требований проекта. В процессе количественной оценки риска, оценивают воздействие выявленных рисков на целевые показатели проекта с учетом вероятности их наступления.

Целью количественной оценки риска, является определение степени влияния рисков (выраженной в количественных показателях) на цели проекта.

Количественная оценка риска позволяет определить влияние соответствующего события на сроки и стоимость реализации проекта, рассчитать бизнес-план с учетом последствий риска, сопоставить возможное отклонение показателей эффективности проекта с планируемыми затратами на обработку риска и др.

Как правило, количественный анализ риска выполняется после качественного анализа рисков. В некоторых случаях для разработки эффективных мер реагирования на риск, количественный анализ рисков не требуется. Выбор метода (методов) анализа в каждом конкретном проекте определяется наличием времени и бюджета, а также потребностью в качественной и количественной констатации рисков и их воздействия.

К наиболее широко используемым методам количественной оценки риска проектов относят:

- Анализ чувствительности. Анализ чувствительности помогает определить, какие события имеют наибольшее потенциальное воздействие на проект. В процессе анализа устанавливают, в какой степени неопределенность каждого элемента проекта отражается на рассматриваемой цели проекта, при условии, что все прочие элементы принимают базовые значения. Одним из типичных способов отображения результатов анализа чувствительности является диаграмма "торнадо", которая полезна при сравнении относительной значимости и последствий переменных, обладающих высокой степенью неопределенности, с другими, более стабильными переменными.

- Метод построения дерева решений проекта. В случае небольшого числа переменных и возможных сценариев разработки проекта для анализа риска можно также использовать метод построения дерева решений. Преимущество данного метода - его наглядность. При построении дерева решений определяются состав и продолжительность этапов жизненного цикла проекта, ключевые события, которые могут повлиять на дальнейшую разработку проекта, формулируют все возможные решения, которые могут быть приняты в результате реализации каждого ключевого события. Узлы дерева решений представляют собой ключевые события, а стрелки, соединяющие узлы - работы по реализации проекта. Кроме того, на дереве решений приводят информацию относительно времени, стоимости работ и вероятности принятия того или иного решения. В результате построения дерева решений определяют вероятность каждого сценария разработки проекта, эффективность каждого сценария, а также общую эффективность проекта. Положительная величина показателя эффективности проекта с учетом влияния риска указывает на приемлемый уровень риска.

- Имитационное моделирование. При имитационном моделировании используют модель для определения возможных воздействий подробно описанных неопределенностей на результаты проекта в целом. Как правило, итеративную имитацию проводят с помощью метода Монте-Карло. При этом модель проекта рассчитывается многократно и на каждой итерации входные значения (например, оценки стоимости и длительности операций) выбирают произвольно с учетом распределений вероятностей этих переменных. В ходе итераций рассчитывают распределение вероятностей комплексного показателя (например, общей стоимости или даты завершения). При анализе риска стоимости методом моделирования, используется оценка стоимости. При анализе риска сроков выполнения работ используется сетевая диаграмма графика работы и оценка длительности.

7. Сравнительная оценка рисков проекта

Сравнительная оценка риска - это процесс, который используют для определения приоритетов менеджмента риска путем сравнения риска с установленными нормами, целевыми уровнями риска или другими критериями. Сравнительная оценка риска связана с принятием решения о приемлемости риска.

Критерии допустимости риска выражают требования общества или лица, принимающего решение, и не соответствуют международным нормам. Однако должны быть разработаны форма и структура для выбора критериев.

Одним из основных принципов определения критериев допустимости риска является использование некоторой четко определенной и измеримой точки как основы для оценки приемлемости риска проекта.

8. Методы и подходы к управлению рисками проекта

8.1 Общие положения

В случае, если уровень существующего риска превышает допустимую величину, необходимо применить методы обработки риска.

Способы обработки риска можно разделить на следующие категории:

- Исключение риска. Предполагает изменение плана управления проектом так, чтобы исключить угрозу, вызванную риском, оградить цели проекта от последствий риска или ослабить цели, находящиеся под угрозой. Предусматривает отказ от процесса или деятельности, связанной с риском.

- Сокращение риска. Предполагает снижение вероятности и/или последствий негативного события до приемлемого уровня. Предупредительные меры по снижению вероятности опасного события или его последствий, как правило, более эффективны, чем устранение негативных последствий после наступления опасного события.

- Разделение риска. Передача негативных последствий с ответственностью за реагирование третьим сторонам. Разделение риска переносит часть или всю ответственность на другую сторону, риск при этом не устраняется.

- Принятие риска. Не предпринимается никаких действий для того, чтобы снизить вероятность или последствия события.

Процесс разработки мер по реагированию на риск предполагает идентификацию вариантов обработки риска, оценку этих мероприятий, а также подготовку и выполнение планов обработки риска.

Существующие риски анализируют, способы обработки оценивают с целью достижения остаточного риска, соответствующего допустимому уровню. Часто все возможные способы обработки позволяют снизить остаточный риск до допустимого уровня. В некоторых случаях для достижения оптимального результата необходимо применять комбинацию нескольких способов обработки риска. Иногда действия по обработке одного риска оказывают влияние сразу на несколько рисков.

Выбор наиболее приемлемого варианта обработки риска включает в себя установление баланса между затратами на осуществление обработки и полученными при этом преимуществами.

После проведения обработки риска, сохраняется остаточный риск. Если после проведения обработки риска сохраняется остаточный риск, то должно быть принято решение о принятии этого риска или продолжении обработки риска.

В некоторых случаях после выполнения мероприятий по снижению как вероятности, так и последствий реализации опасных событий, уровень существующего риска может быть снижен на 50% - 75% (рисунок 3).

8.2 Страховые методы

Методы обработки риска можно разделить на две основные группы - методы с использованием инструментов страхования и нестраховые методы. Необходимо применять обе группы методов, поскольку они дополняют друг друга и позволяют обеспечить допустимый уровень риска. Страхование представляет собой один из наиболее эффективных инструментов управления риском, предполагающий передачу ответственности за убытки страховой компании и защиту от финансовых последствий рисков. Данная мера является достаточно эффективной при возникновении серьезных аварий и инцидентов. Однако страхование не может предотвратить наступление опасных событий, оно направлено лишь на минимизацию убытков компании от уже реализовавшихся событий.

Для рисков, покрываемых с применением инструментов страхования, необходимо проводить предстраховую экспертизу, готовить предварительную программу страхования еще на этапе проектирования.

Проведение предстраховой экспертизы позволяет определить:

- перечень рисков, подлежащих страхованию, виды страхования;

- диапазоны страховых тарифов;

- размеры страховых сумм, страховых премий, лимитов ответственности, уровней франшиз;

- периоды страхования;

- предварительный бюджет на страхование;

- необходимые технические условия обслуживания объектов, позволяющие снизить страховой тариф.

На основании предстраховой экспертизы формируют программу эффективной страховой защиты, которая обеспечивает гарантии размещения рисков на этапах строительства и эксплуатации на оптимальных условиях в надежных страховых компаниях.

Планировать бюджет на страхование и другие мероприятия по обработке рисков на этапе проектирования, а затем проводить его регулярную актуализацию и детализацию по мере получения дополнительной информации.

8.3 Нестраховые методы

При реализации инвестиционных проектов крайне важно разрабатывать и внедрять мероприятия, которые будут оказывать влияние не только на минимизацию последствий того или иного опасного события, но и на предотвращение реализации таких событий. Для данных целей служат нестраховые методы реагирования на риск. Такие меры, как своевременное проведение ремонта, обучение персонала, организация дополнительных изысканий, внедрение процедур контроля и другие нестраховые методы позволяют предотвратить реализацию многих опасных событий. На этапах строительства и эксплуатации рекомендуется внедрять комплексную систему менеджмента риска, которая позволяет минимизировать влияние рисков на целевые показатели проекта и обеспечивает достижение запланированных финансовых показателей.

8.4 Построение реестра риска

Реестр риска является формой ведения записей об идентифицированных опасных событиях, оценке соответствующего им риска, способах и сроках его обработки (см. ГОСТ Р 51901.22, ГОСТ Р 51901.23).

В реестр риска включают все идентифицированные опасные события, результат оценки их риска, а также оценку возможных последствий опасного события для целей проекта в стоимостном и материальном выражении. Эта информация вместе с данными о выполнении установленных планов и оценкой планируемой деятельности в стоимостном выражении формируют представление о воздействии опасного события на цели проекта.

Назначение реестра риска:

а) реестр риска является планом действий, так как в реестре риска кроме идентификации опасностей и оценки риска определены необходимые мероприятия по снижению риска, сроки их внедрения и ответственные за их выполнение;

б) реестр риска является основой для обмена информацией руководства с персоналом и другими заинтересованными лицами, поскольку содержит перечень проблем, связанных с риском, и сведения о том, как, кто и когда этими проблемами управляет.

Основные этапы разработки реестра риска должны соответствовать этапам процесса менеджмента риска проекта.

Правила построения реестра риска приведены в [7]. Структура и состав реестра риска зависят от особенностей проекта. Типовая форма реестра риска приведена в таблице 1 [7]. Можно использовать сокращенную (упрощенную) форму реестра риска, пример которой приведен в таблице 4.

При заполнении реестра риска могут быть использованы следующие шкалы:

а) шкала последствий (I): 5 - последствия катастрофические; 4 - последствия значительные; 3 - последствия умеренные; 2 - последствия небольшие; 1 - последствия малозначительные;

б) шкала вероятности опасного события (L): 5 - вероятность очень высокая; 4 - вероятность высокая; 3 - вероятность средняя; 2 - вероятность низкая; 1 - вероятность очень низкая;

в) оценка риска: (0 - 4) - риск приемлемый, (5 - 8) - риск контролируемый, (9 - 25) - риск значимый;

г) мероприятия по обработке риска: (0) - риск отсутствует, действия не предпринимаются;

(0 - 4) - низкий риск, предпринимаются только низкозатратные действия; (5 - 8) - средний риск, предпринимаются действия с учетом времени их выполнения и экономической целесообразности; (9 - 25) - высокий риск, необходимо срочное выполнение мероприятий по снижению риска; (16 - 25) - высокий риск, применение незамедлительных (аварийных) действий по снижению риска.

9. Цели и задачи менеджмента риска на этапах разработки проекта

Риск присущ каждому проекту, каждому процессу и каждому решению на всех этапах жизненного цикла проекта. Поэтому риск должен быть управляем на каждом этапе жизненного цикла проекта, а процесс менеджмента риска должен быть интегрирован в процесс менеджмента проекта.

Основные риски на этапах жизненного цикла проекта представлены на рисунке 4.

Для получения максимальной выгоды, действия в области менеджмента риска проекта должны быть начаты на наиболее раннем этапе жизненного цикла проекта и продолжены на всех последующих этапах. Процессы менеджмента риска проекта должны носить сквозной характер.

Основные рекомендуемые процедуры менеджмента риска на каждом этапе жизненного цикла проекта представлены на рисунке 5.

Мониторинг риска должен быть непрерывным на всех этапах реализации проекта (см. ГОСТ Р 53647.1).

Процесс менеджмента риска проекта должен включать прединвестиционную стадию. Сначала необходимо выявить все риски, угрожающие достижению целей проекта, и произвести оценку имеющегося риска. Для риска, превышающего приемлемый уровень, разрабатывают мероприятия по обработке риска с использованием страховых и нестраховых методов. После проведения мероприятий по обработке риска, оценивают остаточный риск. Также на прединвестиционной стадии необходимо заложить в бюджет резервы на непредвиденные расходы, страхование и мероприятия по обработке рисков.

На последующих этапах жизненного цикла проекта все процессы менеджмента риска подлежат актуализации, детализации и переоценке, так как возможно появление новых видов риска, доработка и внесение изменений в проект. Также производится проверка и исполнение действий по обработке риска с оценкой их эффективности. Пересмотр рисков должен проводиться регулярно в соответствии с утвержденным графиком. Объем и степень детализации пересмотра риска зависят от этапа выполнения проекта и степени достижения поставленных целей.