Митигация рисков синонимы

Словарь бизнес-терминов

Немного теории об управлении рисками

Вводная информация по управлению рисками

К теме управления рисками я решил обратиться по нескольким причинам:

• недавно я разрабатывал методику и процедуру по управлению рисками в компании, где я работаю (разработка ПО под заказ, аутсорсинг) – соответственно, было перерыто и изучено очень много материалов, информация из которых потом была структурирована и оформлена в отдельный документ, который сейчас используется
• само по себе управление рисками является одной из ключевых активностей на проекте: на мой взгляд одной из самых сложных, но в то же время интересных (из каждого риска и события можно извлечь выгоду)
• как показывает опыт работы в компаниях-разработчиках ПО, управлению рисками выделяется либо очень мало времени, либо ими начинают управлять только тогда, когда они становятся проблемами (что, согласитесь, довольно поздно). Надеюсь, что информация, собранная здесь, подтолкнет интересующихся к дальнейшему изучению темы и внедрению соответствующих практик в работе

Однако стоит помнить следующее – управление рисками в любой сфере человеческой деятельности, на мой взгляд, это все-таки только прикладная дисциплина, которая предоставляет общие и практические рекомендации.

Ответы же на все вопросы в каждой конкретной ситуации придется искать самостоятельно – так что не стоит видеть в процессе управления рисками какой-то панацеи от всех бед, либо немедленного и радикального улучшения процесса разработки. Впрочем, несмотря на это, я считаю управление рисками обязательной частью хорошего процесса управления проектами.

Определение риска

Определений рисков огромное множество и все они, в принципе, общеизвестны и интуитивно понятны. Приведу тут лишь несколько запомнившихся мне цитат.

Risks are schedule delays and cost overruns waiting to happen (by Peter Kulik)
Risk is the possibility of suffering loss (SEI, Dorofee 96)

Также следует понимать основное отличие понятия риска от понятия проблемы:

• риск это некоторое событие, которое может случиться в будущем и может привести к определенным потерям (снижение качества продукта, перерасходование бюджета, задержка сроков либо полной неудачи проекта)
• проблема же – это событие, которое уже случилось. Риски превращаются в проблемы, если с ними не работать

Некоторые термины и определения

• Риск – некоторое событие или условие, которое может позитивно либо негативно повлиять на результат проекта (план, качество, стоимость, объем реализованной функциональности)
• Вероятность риска (Likelihood) – вероятность того, что риск сработает. Является одним из атрибутов риска и может измеряться целыми числами от 1 до 4 (где 1 – очень низкая вероятность, 4 – высокая вероятность)
• Влияние риска (Impact) – обозначает величину позитивных или негативных последствий для проекта, если риск срабатывает. Является одним из атрибутов риска и может измеряться целыми числами от 1 до 4 (где 1 –малое влияние, 4 – блокирующее влияние). Может также носить название «потери»
• Величина риска (Risk Exposure) – произведение вероятности на влияние риска (Risk Exposure = Likelihood x Impact)
• Mitigate (к сожалению, не смог адекватно перевести) – разрабатывать стратегии и план действия для снижения вероятности и/или влияния риска до какого-либо приемлемого уровня (к примеру, можно использовать матрицу величины риска, речь о которой пойдет позже)
• Mitigation strategy – план действий, направленный на снижение вероятности и/или влияния риска до какого-либо приемлемого уровня (план митигации рисков)
• Contingency – подход, направленный на минимизацию влияния риска после того, как он сработал
• Contingency plan – план, направленный на снижения влияния риска (последствий риска) после того, как риск сработал

Следует различать понятия Mitigation и Contingency – первый относится к рискам, второй – к проблемам. Реализовывать mitigation plan – снижать или вероятность или влияние риска когда/если он наступит; реализовывать contingency plan – снижать последствия уже наступившего риска.

Для одного и того же риска могут разрабатываться оба плана, но в большинстве случаев – только один (тут уже надо решить что важнее – не допустить срабатывания риска, или же минимизировать потери при его срабатывании). Также при разработке mitigation plan часто руководствуются либо только стратегией снижения влияния или только стратегией снижения вероятности риска (что позволяет экономить – зачем направлять усилия на снижение влияния риска, если одновременно снижается и его вероятность).

Процесс управления рисками

Ниже перечислены шаги, которые я обычно выделяю в процессе управления рисками.

• идентификация рисков
• анализ рисков
• планирование рисков
• разрешение рисков
• отслеживание и модификация данных по рискам (параметров и/или планов и стратегий)

С чего начать?

С чего начинается процесс управления рисками на проекте? Согласно теории – с идентификации риска(ов). Необходимо составить список рисков, которые бы наиболее полно отражали картину рисков и потенциальных проблем на проекте. Следует помнить, однако, что даже самый большой список никогда не будет полным – что-то всегда будет упущено.

Анализ

Результатом этого этапа является качественная и количественная оценка риска, которая может проводиться по следующим направлениям:

• оценка риска – определение значений атрибутов Вероятность риска (Likelihood) и Влияние риска (Impact)
• классификация риска – группировка рисков, основанная на каких-либо характеристиках (например, по типу рисков их можно разделить на «Quality», «Management», «Hardware», «Software» и тд)
• приоритизация риска – расставление приоритетов. Практически приоритизация делается на основе матрицы величины риска, о которой я говорил выше

При таком определении величина риска является простейшим способом определить количественную характеристику риска. Практически имеет смысл отслеживать и управлять рисками, которые находятся на главной диагонали данной матрицы или выше ее (то есть со значениями величины риска большими или равными 4 или 6).

После анализа риска мы можем составить топ10 рисков (Top 10 Risk List), выстроив риски по убыванию значения величины риска и выбрав первые десять. Следует помнить, что выбор большего числа рисков может превратить управление рисками в очень тяжелый процесс, который будет слишком дорог и неэффективен.

Планирование

Основной задачей планирования является ответ на вопрос, как мы будем обрабатывать каждый из рисков. Тут возможны следующие варианты:

• исследование риска (research) – проведение дальнейшего исследования риска для его детализации и более аккуратного планирования
• принятие риска (accept) – мы принимаем риск и готовы жить с его последствиями
• избежание риска (avoid) – мы предполагаем, что риск никогда не станет реальностью
• передача риска (transfer) – передача риска и ответственности за него в другую команду, другому менеджеру (возможно и руководству компании), другому лицу

Непосредственно для управления рисками должны быть разработаны mitigation strategy (действия, которые мы предпринимаем для снижения вероятности и/или влияния риска до какого-либо приемлемого уровня, если мы выбрали эту стратегию) и contigency plan (план действий на случай, если риск сработал).

Разрешение рисков

На данном этапе фактически происходит разрешение риска после того, как он сработал. То есть выполняется соотвуетствующий contingency plan. Задача этапа – выполнить его наиболее эффективным образом, а также собрать и проанализировать информацию о данном риске для следующего этапа.

Отслеживание и модификация данных по рискам

В данном этапе преследуются следующие цели:

• мониторинг статуса рисков
• мониторинг статуса mitigation strategy и contingency plan
• мониторинг проектных метрик, которые связаны с планами действий
• определять и извещать все заинтересованные стороны о том, что сработал триггер того или иного плана действий

Так как ситуация на проекте постоянно меняется, то необходимо постоянно отслеживать изменения параметров рисков, корректируя «Top 10 Risk List»:

• идентификация новых рисков, которые не учитывались до этого
• изменение количественных оценок на риски (возврат к этапу анализа, Top 10 Risk List может значительно измениться)
• определение, явилось ли изменение количественных оценок (если таковые есть) результатом выполнения тех или иных планов действий (mitigation strategy или contingency plan). Если величина риска снижается, то, скорее всего, mitigation strategy реализуется успешно, однако не стоит сильно обольщаться на этот счет
• определение методов и способов коррекции планов действий с учетом определенных изменений, переход к планированию

Заключение

Ключевым моментом процесса управления рисками должно быть периодическое повторение данных процессов, желательно согласованное с длительностью циклов разработки и рабочих процессов. Можно порекомендовать проводить оценку рисков один раз в 1-2 недели в зависимости от размера проекта (в некоторых особо крупных проектах периодичность может быть увеличена до месяца, однако больше я бы делать не стал).
Также хочу порекомендовать сохранять историю изменений списка рисков и их параметров (хотя бы Top 10 Risk List) – в будущем это даст нам необходимые статистические данные.

Постскриптум

Хочется отметить, что информация, приведенная выше, является выжимкой из большой, официальной и предельно формализованной процедуры по менеджменту рисков, которую я создал для компании, в которой работаю. Опущены некоторые формальные этапы (например, планирование управления рисками, контроль), для приведенных этапов дано описание их сути, что помогает понять их, но оставляет определенную свободу выбора и гибкость при применении на различных проектах.

Однако, можно обозначить пути для дальнейшего развития статьи

• детализация этапов (входные и выходные документы, ключевые активности и ответственности исполнителей)
• предложения по формату документов, которые могут использоваться в процессе
• обсуждение наиболее общих рисков и стратегий по их разрешению (так называемый Risk Assessment document)

Приглашаю все заинтересованные стороны к общению на данную интересную тему

Полезные ссылки

MSF Risk Management Discipline v.1.1 — www.microsoft.com/downloads/details.aspx?FamilyID=6c2f2c7e-ddbd-448c-a218-074d88240942&displaylang=en (http://www.microsoft.com/Rus/Download.aspx?file=/Msdn/Msf/MSF_risks_mngt_rus.doc)

‘Continuous Risk Management at NASA’ — satc.gsfc.nasa.gov/support/ASM_FEB99/crm_at_nasa.html
PMBok — www.pmi.org/Marketplace/Pages/ProductDetail.aspx?GMProduct=00100035801

Risk Management @ SEI — www.sei.cmu.edu/risk

SWEBOK (Guide to the SoftWare Engineering Body Of Knowledge) 2004 (Iron Man) — www.swebok.org

Просто интересные скетчи по управлению проектами — jchyip.blogspot.com/2008/12/lean-it-in-sketches.html

В фокусе данного материала – проекты перехода с SAP на 1С:ERP, которые выполняются в сжатые сроки. Недостаток времени, в том числе на начальном этапе проекта, когда выполняется предпроектное обследование бизнес-процессов и моделирование, обусловливает появление целого ряда рисков, ставящих под угрозу своевременную реализацию проекта в необходимом объеме.

Рассмотрим примеры наиболее значимых рисков на проектах перехода с SAP на 1С и способы их митигации.

1. Недостаточное качество фиксации необходимых доработок в проекте перехода с SAP на 1С

Когда перечень функциональных разрывов составляется в ходе встреч, где команда исполнителя демонстрирует функциональные возможности системы, а ключевые пользователи со стороны заказчика описывают бизнес-процессы, всегда есть вероятность что-то упустить из виду. А это в свою очередь может привести к тому, что результаты разработки не будут соответствовать ожиданиям заказчика.

Способом предотвращения данного риска может быть фиксация перечня функциональных разрывов на выходе из встреч.

2. Несоответствие реализации доработок функционала соотношению атрибутов справочников

В случае если НСИ выделен на проекте в отдельный стрим, возможна ситуация, когда этот стрим живет сам по себе, вне контекста кастомизации функционала подсистем. На других стримах могут заводить новые справочники, создавать к ним дополнительные атрибуты, а команда стрима НСИ — об этом не знать.

Для того чтобы предупредить появление этого риска, необходимы еженедельные коммуникации по составу справочников между командами стрима НСИ и функциональных стримов.

3. Несвоевременная разработка интеграций между операционными системами

Особенность интеграции в том, что она может быть разработана лишь после того, как будут детально описаны потоки данных между системами, то есть когда будет сформирован полный перечень бизнес-процессов, которые участвуют в интеграциях, и декомпозирован на процессы, задействованные между системами.

Соответственно, для предотвращения указанного риска не стоит выделять интеграцию в отдельный стрим, а распределить ее задачи по другим стримам (подсистемам), а также усилить команду, отвечающую за разработку интеграций.

4. Некорректная/неполная миграция остатков/данных SAP — в 1С

Для митигации указанного риска действенными являются: усиление ресурса команды заказчика, контроль работ по НСИ в трекере проекта, а также выполнение репетиции продуктивного запуска (FDR).

5. Нарушение коммуникации проектной команды исполнителя и заказчика, потеря информации в ходе ведения проекта

Это часто встречающийся риск. Например, бывает, что менеджеры несвоевременно создают встречи в трекере, в которых должны участвовать несколько представителей команд заказчика и исполнителя, ошибаются при переносе. Бывает, что ключевые сотрудники, руководители со стороны заказчика не отвечают вовремя на сообщения с предложением выбрать время для встреч.

Предотвратить этот риск можно путем создания правил: за сколько часов необходимо предупреждать о встрече, как правильно фиксировать мероприятия в трекере, чтобы исключить возможность ошибок в случае переноса, в течение какого времени должны отвечать участники встречи на запросы менеджера, планирующего мероприятие, и в каком случае при отсутствии ответа предложение считается принятым.

Если нарушение коммуникации приводит к потере информации в ходе кастомизации программных продуктов, то к мероприятиям по предотвращению можно отнести координацию изменений объектов конфигурации, документирование архитектуры и функциональности ПО.

6. Выпадение членов проектной команды заказчика/исполнителя

Такое на проектах действительно случается, но иногда, в форс-мажорных ситуациях, таких как, например, очередная волна коронавируса или релокация сотрудников, может приобрести непредвиденные масштабы. Смягчить последствия данного риска можно путем документирования артефактов для преемственности информации и быстрого введения в курс дела новых членов команды взамен выпавших.

Вся информация, документы, договоренности должны фиксироваться в текстовом формате в трекере либо ином ресурсе, к которому у членов проектной команды есть доступ. Так, на встречах по управлению рисками статус рисков, результаты их оценки и мероприятия по митигации должны отражаться в таблице по митигации рисков, на еженедельных встречах по управлению проектом — определяться перечень задач и в тот же день фиксироваться в трекере.

7. Недостаток ресурсов со стороны заказчика для выполнения задач по проекту

Процесс разработки занимает значительное время, и часто результат работы команда исполнителя выдает «оптом». При этом количество ключевых пользователей со стороны заказчика, которые могут принять доработки, как правило, ограничено. Они могут не успевать протестировать результаты и их согласовать.

Для того чтобы не допустить овеществления этого риска, необходимо выполнять приоритизацию доработок, формировать планы по их сдаче. В случае если сроки ограничены, при приоритизации важно сфокусироваться на выполнении критичных доработок и проработке инцидентов.

8. Формирование объема работ сверх бюджета проекта

Это типовой риск. Но в случаях, когда в виду сжатых сроков проекта возможности провести тщательное предпроектное обследование нет, вероятность овеществления риска существенно повышается.

В случае появления запроса на доработку функционала сверх бюджета проекта в первую очередь необходимо проанализировать возможность использования типового функционала. Если же возможности типовой конфигурации не удовлетворяют потребности заказчика, должно быть принято решение о дополнительной кастомизации системы.

9. Несогласованность критериев завершения опытной эксплуатации

Особенностью проектов миграции с SAP на 1С, управляемых по гибкой методологии, может быть затягивающийся процесс возникновения новых требований и пожеланий со стороны владельцев бизнес-процессов у заказчика, в том числе на этапе опытной эксплуатации. Для того чтобы процесс не превратился в бесконечный, необходимо определить критерии его завершения, в том числе дату, число пройденных скриптов в трекере — в идеале они должны быть пройдены все, и количество допустимых инцидентов.

10. Неготовность системы в связи с неготовностью функционала к целевому сроку запуска

В случае высокой вероятности овеществления данного риска работает только одно: приоритизация задач разработки (с некоторыми задачами можно перейти в промышленную эксплуатацию и доработать их в ходе нее) и привлечение дополнительных ресурсов исполнителя.

Итак, мы рассмотрели примеры наиболее значимых рисков, характерных для проектов миграции с SAP на 1С, реализуемых в сжатые сроки, и способы их митигации.

Хотите рассчитать стоимость перехода с SAP на 1С? Заполните форму, и мы с вами свяжемся для уточнения деталей.

Что такое митигация рисков?

Митигация (или митигирование) рисков — это термин, происходящий от английского слова mitigation, означающего «смягчение» или «смягчение последствий». Прямой перевод с английского уже частично описывает суть митигации рисков — это снижение последствий от их реализации.

Изначально термин «митигация» применялся в отношении различного рода катастроф и чрезвычайных ситуаций (в понимании способов снижения тяжести их последствий), но в последнее время он нередко используется и в теории управления рисками. Особенно часто этот термин применяется в таких областях как промышленная безопасность и управление рисками в производстве.

При этом, если мы говорим об управлении рисками, митигация означает усилия, направленные не только на уменьшения тяжести последствий реализации риска, но также и на снижение вероятности реализации рискового события.