Самое простое и вместе с тем необходимое, что должно быть отражено в стандарте, — формальная сторона управления рисками, а именно:
• процедуры, регламентирующие основные этапы работы с рисками: идентификация рисков, мониторинг и анализ рисков, разработка, планирование и реализация мероприятий по противодействию рискам;
• шаблоны документов, отражающих процесс работы с рисками: карточка риска, журнал рисков проекта и т. д.
Из всего многообразия методов управления рисками для стандарта должны быть отобраны те из них, которые адекватны проектам, в которых они будут применяться. Здесь мы имеем в виду, прежде всего, стоимость реализации управленческих процедур.
Так, при анализе рисков может допускаться сознательное огрубление оценок для каких-то конкретных категорий проектов, например для проектов малой стоимости или сложности. Пример такого подхода приведен в табл. 4.1, где в качестве обобщенной оценки риска используется степень угрозы риска, «вычисляемая» через вероятность наступления рискового события и его влияния на ход проекта.
«Цена деления» как на вспомогательных (вероятность и влияние), так и на основной шкале (степень угрозы) должна определяться из сугубо практических соображений — достижима ли та или иная точность и может ли она быть практически использована.
По каким сценариям будет развиваться управление отклонениями в проекте, во многом определяется принятыми стратегиями работы с рисками. Мы можем делать все для избежания риска, и тогда наиболее вероятным является второй сценарий (см. рис. 4.1). Мы можем, наоборот, принять риск и не противодействовать ему, допуская развитие событий по первому или по третьему сценарию. Можно также снижать риск, и тогда при благоприятном развитии событий реализуется самый желанный сценарий, когда рисковое событие не наступает.
В качестве типовых стратегий работы с рисками в компании могут быть приняты, например:
• избежание риска (перенос) — выбор такого проектного решения из возможных альтернатив, которое исключает возникновение рискового события. К этой стратегии относятся действия по изменению контрактной документации для возложения ответственности, связанной с риском, на заказчика или другую сторону, участвующую в проекте;
• принятие риска — признание существования риска и отказ от активных мероприятий по противодействию из-за их невозможности или нецелесообразности. Принятие этой стратегии предполагает в дальнейшем только отслеживание ситуации для своевременного выявления изменения уровня угрозы (что может потребовать изменения стратегии) или наступления рискового события (что, скорее всего, потребует работы с возникшими в проекте проблемами)
• снижение риска — две подстратегии:
• снижение вероятности — мероприятия, направленные на уменьшение вероятности наступления рисковых событий;
• уменьшение влияния — мероприятия, уменьшающие неприятные последствия от наступления рискового события.
К таким мероприятиям относятся создание резервов (финансовых, ресурсных, календарных), составление альтернативных планов проведения работ, рассчитанных на проведение работ в условиях действия предполагаемых последствий рискового события, и т. д.
Типовые риски, связанные с ними угрозы и возможные мероприятия по снижению этих рисков показаны в табл. 4.2 на примере ИТ-проектов.