Comments 14
Замечательная статья. Однако, не указаны нормативные ссылки, где можно больше узнать про риски, например, ISO 31000 или ISO 9001:2015. Кроме того, хорош будет SWOT-анализ при идентификации рисков. Но самое главное, нужно дать определение риска (не абыв при этом, что это не только угроза, но и возможность), риск-менеджмента и риско-ориентированного мышления.
Мне нравится определение риска, в сравнении с проблемой: «Если вы чувствуете неприятный запах, то это риск. Если наступили — то это уже проблема».
Буду благодарен, если немного подробнее напишите, каким образом используете SWOT анализ при идентификации риска.
Если вы чувствуете неприятный запах, то это риск. Если наступили — то это уже проблема
Вот об этом в частности я и говорю, что риск не всегда описывает будущую возможную проблему. Он ещё может описывать и возможность. Так что скорее ваша статья посвящена "управлению угрозами".
А про SWOT анализ — если у вас в профиле указаны контакты, я вам напишу
На практике в реестре рисков ни разу не видел возможностей. Из-за разницы вы интересах, часто возможности одних — это потери других, поэтому возможности не афишируются.
В любом случае, я не спорю о терминах. И да, моя статья посвящена работе с угрозами.
Никаких дискуссий нет: риск это и как угроза и как возможность. А то, что не встречали на практике — это не значит, что таких рисков нет совсем. Ну а при управлении рисками — верно, предпринимая попытки исключить один риск, важно не родить два новых.
Опишу свою практику управления рисками.
Отмечу, что каждый риск имеет такие характеристики, как:
- вероятность наступления — probability
- последствия — impact
Они выражаются в числах от 1 до 10. — Т.е 1 — это низкая вероятность, или незначительные последствия, 10 — это высокая вероятность / значительные или критические последствия.
При анализе рисков важно правильно оценить эти две величины, потому что потом они перемножаются и вместе дают такую вещь, как степень критичности риска, которая в свою очередь дает возможность рассортировать риски по критичности, чтобы заняться самыми важными из них в первую очередь
Управление рисками в принципе заключается в том, чтобы за счет каких-либо мероприятий уменьшить либо probability, либо impact, либо и то и другое до приемлемых значений.
Теперь насчет практики. JIRA отлично подходит для управления рисками. В моем случае я попросил админов сделать специальный Workflow в Jira — Risk Management Workflow и специальный тип issue, который логично называется Risk. Помимо стандартных полей в риске есть поля impact и probability, куда можно ввести соответствующие цифровые значения. В описании риска в подробной форме описывается суть риска, причины, последствия. Workflow включает основные этапы жизни риска — выявление, анализ, назначение, планирование, отслеживание, закрытие — тыкаешь кнопку и риск идет по workflow.
Также есть поле Risk management — где в текстовой форме описывается идея минимизации риска.
Но это поле не главное. Главное то, что после того, как риск создан, можно создавать задания в той же Jira, которые линкуются с риском по типу resolved by. И этих заданий может быть несколько, и каждое может линковаться с одним или несколькими рисками. Суть в том, что задание должно быть направлено на уменьшение impact и/или probability соответствующего риска.
Ну а далее обычные действия — можно сделать матрицу рисков. Найти наиболее критичные. Назначить риски и задания конкретным пользователям, следить за выполнением, понижать и повышать важность рисков, комментировать.
Единственная проблема — статья так и не дает ответа на вопрос "почему процедуры так редко работают". А еще больше — почему мало кто использует Риск Менеджмент.
На мой взгляд это происходит потому, что Риск Менеджмент имеет смысл, когда уже все другие аспекты управления проектами в организации наработаны и закрыты — есть настроенные и работающие методики планирования и управления проектами, есть методики управления ресурсами, документацией, жизненным циклом продуктов и т.д. В этом случае Риск-Менеджмент в дополнение к уже существующим в организации методикам позволяет еще больше приблизить выполнение проекта к плану.
А если этого всего нет, и организация кроме модного Agile нифига не умеет — то риск менеджмент тут не поможет.
Дожидаться, когда все остальное будет хорошо, нельзя. Управление рисками — это неотъемлемая часть работы РП, делает он это явно или нет. Я за то, чтобы сделать эту работу явной, структурированной и аудироемой.
Риск-менеджмент — это не серебряная пуля, которая решит все проблемы, так же как и все остальные процедуры. Все работает только в комплексе. Уберешь одну подпорку, конструкция упадет.
Но я все же считаю, что риск-менеджмент не является такой уж серьезной подпоркой в управлении проектами. Вы уже сами написали, что неявный риск-менеджмент практически всегда присутствует в той или иной форме при любых раскладах и его отсутствие обычно не приводит к особым проблемам в проектировании, кроме внеплановых увеличений сроков или стоимости проектов. Поэтому там, где это некритично, риск менеджмент вполне правильно игнорируется.
Но ресурсов на это дело не дали. В итоге люди, не имеющие в этой сфере опыта создали паспорта рисков, карты рисков, мероприятия и т.п. по полной программе.
Теперь с нас требуют отчеты о выполнении мероприятий.
Так вот потратив время на все это дело и не имея ресурсов на мероприятия в результате вероятность наступления рисков возросла.
Управление рисками — почему процедуры так редко работают?