Управление рисками в проекте: что это и как работает
Если вы когда-нибудь руководили проектом или просто участвовали в нем, то знаете закономерность: как только начинается исполнение, всё идёт не по плану. И дело не в плохих планах и исполнителях. Дело в рисках, которые могут возникнуть где угодно: от ушедшего на больничный ключевого разработчика до решения регулятора изменить правила игры.
Рассмотрим, как выявлять, оценивать и управлять рисками, чтобы ваши проекты не превратились в вечную борьбу с форс-мажорами. Неважно, разрабатываете ли вы приложение, строите завод или запускаете маркетинговую кампанию – принципы риск-менеджмента работают везде.
- Что такое риск в проекте и зачем им управлять
- Инструменты и шаблоны
- Виды проектных рисков
- Этапы управления рисками
- Как правильно формулировать риски
- Частые ошибки в управлении рисками
- Заключение
- Рекомендуем посмотреть курсы по управлению проектами
Что такое риск в проекте и зачем им управлять
Риск в проекте — это потенциальное событие, которое может произойти и повлиять на задачи, сроки, бюджет или качество проекта. Причем — и это важно! — влияние может быть как негативным, так и позитивным. Для понимания структуры риска используем триаду: причина – событие – последствие. Например:
- Причина: неопытность команды в новой технологии.
- Событие: может возникнуть большое количество ошибок в коде.
- Последствие: увеличится время на тестирование и исправление, проект выйдет за рамки сроков.
Но почему я говорю, что риски бывают позитивными? Да, парадоксально, но факт. В проджект-менеджменте их еще называют возможностями. Например:
- Причина: новый фреймворк с расширенной функциональностью.
- Событие: команда может реализовать фичи быстрее, чем планировалось.
- Последствие: возможность добавить дополнительные функции или выпустить продукт раньше срока.
А вот примеры из реальной жизни:
- Аналитик, который работал над задачей полгода, внезапно решил сменить сферу деятельности и найти себя за неделю до дедлайна. Проект затормозился на месяц.
- Поставщик комплектующих не смог обеспечить нужное количество товара из-за резкого роста спроса. Производство встало.
- Стартап планировал запуск новой кампании в день, когда конкурент неожиданно анонсировал похожий продукт и перетянул всё внимание СМИ.
- Компания разработала отличный продукт, но регулятор внезапно изменил требования к безопасности, и пришлось переделывать решение.
Инструменты и шаблоны
Для эффективного risk management вам не понадобится докторская степень в статистике и годовая подписка на мегадорогое ПО. В большинстве случаев достаточно относительно простых инструментов и четко выстроенного процесса.
Risk Register (Реестр рисков)
Самый базовый инструмент — это реестр рисков, структурированная таблица, которая содержит всю информацию о возможных угрозах для компании.
| ID | Описание риска | Вероятность | Влияние | Рейтинг | Стратегия | Действия | Ответственный | Статус |
| R01 | Если технические требования изменятся в процессе разработки, то может потребоваться перепроектирование, что приведет к задержке на 2-3 недели | Средняя | Высокое | Высокий | Снижение |
|
А. Иванов | Активный |
| R02 | Если основной разработчик уйдет в отпуск, то может замедлиться процесс разработки, что увеличит сроки выполнения на 1-2 недели | Высокая | Среднее | Средний | Снижение |
|
Е. Петрова | Закрыт |
Этот шаблон реестра рисков можно перенести в Excel. В программе можно настроить:
- Формулу автоматического расчета рейтинга на основе вероятности и влияния.
- Цветовое кодирование для быстрого визуального определения критичности риска.
- Графики для отслеживания трендов и общей картины рисков проекта.
О табличных инструментах поговорим далее.
Excel, Google Sheets и аналоги
Для многих проектов Excel или Google Sheets — достаточные инструменты. Их преимущества:
- Практически у всех есть доступ к этим программам.
- Легко настроить формулы для автоматического расчета рейтинга рисков.
- Можно создавать наглядные дашборды с графиками и диаграммами.
- Возможность совместной работы (особенно в Google Sheets).
Для создания реестров рисков, матриц и дашбордов можно также использовать:
TEAMLY — российская альтернатива Google Sheets с поддержкой drag-and-drop, автоматизацией и возможностью встраивания таблиц через iframe.
Интерфейс сервиса Teamly. Скриншот с сайта компании.
Яндекс Таблицы — облачный сервис с функциональностью, схожей с Google Sheets, интегрированный с другими продуктами Яндекса.
В Яндекс.Таблицах можно создавать диаграммы и реестры рисков.
Специализированные системы управления проектами
Если вы работаете в команде и управляете несколькими проектами, имеет смысл интегрировать risk management в вашу систему управления:
1. Jira с плагинами для risk management позволяет связывать риски с конкретными задачами, эпиками и спринтами. Особенно полезно в agile-проектах, где угрозы могут меняться от спринта к спринту.
Интерфейс сервиса Jira
2. Trello с использованием карточек, меток и чек-листов может стать простым, но эффективным инструментом визуализации рисков. Например, колонки могут представлять различные стадии работы с риском: «Выявлен», «В анализе», «План реагирования разработан», «Мониторинг», «Закрыт».
Интерфейс сервиса Trello
3. WEEEK — российский сервис для управления задачами, предлагающий гибкость в организации задач и поддерживающий различные методологии.
Интерфейс сервиса Weeek. Скриншот с сайта сервиса.
Полезные ресурсы и шаблоны
Также могут быть полезны:
- Шаблон реестра рисков PMI — классический подход от Института управления проектами.
- Библиотека рисков OCTAVE— обширная база рисков, в том числе для IT-проектов.
- ISO 31000 — международный стандарт по risk management.
- Risk Academy — предоставляет бесплатные шаблоны и примеры инструментов и методик управления рисками, полезные для начинающих риск-менеджеров.
- Шаблон плана управления рисками от НТИ — документ, включающий структуру реестра рисков и рекомендации по управлению ими.
План по риск-менеджменту по образцу от НТИ.
Виды проектных рисков
По источнику возникновения
Внутренние риски — это те, что зарождаются внутри вашей организации, и теоретически вы можете на них повлиять. Например:
- Ваш ведущий разработчик уехал медитировать в Индию прямо перед релизом.
- Финансовый отдел оптимизировал бюджет вашего проекта на 30%, не поставив вас в известность.
- Команда тестирования не успевает проверить все функции из-за параллельных проектов.
- Новое оборудование, на котором держится весь процесс, оказалось более капризным, чем тренер футбольной сборной в день проигрыша.
Внешние риски — те, что формируются во внешней среде, и контролировать их невозможно как погоду:
- Внезапно изменились требования регулятора к безопасности данных.
- Конкурент выпустил аналогичный продукт на неделю раньше вас.
- Курс валюты изменился, и импортные комплектующие стали в два раза дороже.
- Поставщик, с которым вы работали годами, неожиданно обанкротился.
По типу воздействия
Как я уже говорил, они могут быть не только негативными.
Угрозы — традиционные негативные риски, о которых все думают в первую очередь:
- Задержка поставки материалов срывает график проекта.
- Ошибки в требованиях приводят к переделке работы.
- Технические сбои останавливают производство.
Возможности или позитивные риски, о которых почему-то все забывают, — это события, которые могут положительно повлиять на компанию. Научившись их выявлять, вы превращаетесь из пожарной команды в стратегов:
- Новая технология позволяет сократить время разработки на 20%.
- Ранний выход на рынок дает конкурентное преимущество.
- Привлечение стажеров из университета позволяет получить свежие идеи при минимальных затратах.
- Партнерство с другой компанией снижает затраты на маркетинг.
По степени известности
Этот подход к классификации угроз и возможностей показывает, насколько мы вообще можем что-то знать о потенциальных проблемах.
Известные-известные — это факты и требования, которые мы точно знаем и можем учесть:
- Мы знаем, что сервер требует ежемесячного обслуживания.
- Мы знаем, что для запуска продукта нужна сертификация, и она занимает две недели.
Известные-неизвестные — классические угрозы, о которых мы знаем, но не уверены, произойдут ли они:
- Мы знаем, что кто-то из команды может заболеть, но не знаем, кто и когда.
- Мы знаем, что поставщик может задержать поставку, но не уверены, случится ли это.
Неизвестные-известные — скрытые факты, которые известны в определенном сообществе, но не вам:
- Местные жители знают, что в этом районе часто отключают электричество, а вы — нет.
- Опытные разработчики знают, что конкретная библиотека нестабильна, а ваша команда — нет.
Неизвестные-неизвестные — события, о которых никто не подозревает, пока они не произойдут:
- Новый вирус, останавливающий мировую экономику? До 2020 года мало кто серьезно рассматривал такой сценарий.
- Критическая уязвимость в используемой всеми технологии, о которой никто не знал.
Такая структуризация помогает понять, где искать риски и как готовиться к неизвестному. И даже если вы не можете предвидеть всё (а вы не можете, извините за спойлер), осознание этого факта — уже половина успеха в risk management.
Этапы управления рисками
Давайте пройдемся по этим этапам с конкретикой, которую можно применить уже завтра.
1. Идентификация рисков
Первый этап — найти угрозы до того, как они найдут вас. Есть несколько проверенных способов:
- Мозговой штурм. Соберите команду и начинайте генерировать возможные угрозы. Ключевой момент — разнообразие участников. Разработчик видит технические риски, маркетолог — рыночные, а юрист — правовые. Новички часто замечают то, что опытные сотрудники считают само собой разумеющимся.
- Анализ документации. Изучите требования к проекту, контракты, технические спецификации — они часто содержат скрытые угрозы. Например, фраза «интеграция с существующими системами» может скрывать целый пул проблем, если эти системы работают устаревших технологиях
- Структурированные опросы. Проведите интервью с ключевыми стейкхолдерами. Спрашивайте не «какие есть риски?», а конкретнее: «что может пойти не так с поставками?», «какие есть зависимости от других команд?»
- Анализ предыдущих проектов. История имеет свойство повторяться. Изучите отчеты по предыдущим аналогичным задачам — там наверняка найдутся подсказки.
- Диаграмма Исикавы или «рыбья кость» — инструмент для визуализации причинно-следственных связей. В «голову рыбы» помещаете риск, а на «костях» — возможные причины его возникновения.
Диаграмма Исикавы, где можно распределить источники-причины риска.
Диаграмма помогает визуализировать причинно-следственные связи риска «Ошибки в коде». «Голова рыбы» — сам риск, а «кости» — основные причины, такие как «Неопытность команды», «Сжатые сроки», «Недостаточное тестирование», «Неясные требования». Такая визуализация помогает детально проанализировать, что именно вызывает риск, и сосредоточить внимание на устранении корней проблемы.
2. Анализ и оценка рисков
Когда список рисков готов, нужно понять, каким из них уделить внимание в первую очередь, а какие пока не рассматривать.
Эта матрица показывает, как сочетаются вероятность наступления риска и его влияние на проект. По оси X — вероятность от «очень низкой» до «очень высокой», по оси Y — влияние по той же шкале. Каждая ячейка закрашена цветом, отражающим уровень риска: от зелёного (низкий) до красного (критический).Это помогает быстро определить, какие риски требуют немедленного внимания, а какие можно пока отложить.
Методы оценки делятся на две группы:
Качественные методы:
| Метод | Описание | Когда использовать |
| Матрица вероятности и последствий | Оценивает риски по двум параметрам: вероятность наступления и влияние на проект | Когда нужна быстрая, визуальная оценка рисков |
| Метод экспертных оценок | Привлечение специалистов для оценки рисков на основе их опыта | Когда у вас есть доступ к экспертам в предметной области |
| SWOT-анализ | Анализ сильных/слабых сторон, возможностей и угроз | На ранних этапах, для общей картины |
Количественные методы:
| Метод | Описание | Когда использовать |
| Анализ чувствительности | Определяет, как изменения различных переменных влияют на результат проекта | Для финансово-ориентированных проектов |
| Имитационное моделирование | Моделирует множество сценариев для определения вероятных исходов | Для сложных проектов с множеством переменных |
| Анализ ожидаемой денежной стоимости | Умножает стоимость каждого возможного исхода на вероятность его возникновения | Когда можно точно оценить финансовые последствия |
Оценив угрозы, стоит ранжировать их по критичности влияния на проект. В этом поможет матрица рисков — таблица из категорий вероятности и влияния. В результате их совмещения можно присвоить событию статус.
| Влияние | Вероятность | ||||
| Очень низкая | Низкая | Средняя | Высокая | Очень высокая | |
| Очень высокое | Средний | Средний | Высокий | Очень высокий | Очень высокий |
| Высокое | Средний | Средний | Высокий | Высокий | Очень высокий |
| Среднее | Низкий | Средний | Средний | Высокий | Высокий |
| Низкое | Низкий | Низкий | Средний | Средний | Высокий |
| Очень низкое | Низкий | Низкий | Низкий | Средний | Средний |
3. Планирование реакций
После оценки рисков нужно решить, что с ними делать. Для угроз существует четыре стратегии:
Избегание: полностью их устранить, изменив план проекта.
Когда выбирать: если риск критический, с высокой вероятностью и тяжелыми последствиями.
Пример: отказаться от использования непроверенной технологии и выбрать стабильное решение.
Передача: переложить ответственность на третью сторону.
Когда выбирать: если кто-то может справиться с проблемой лучше вас.
Пример: страхование оборудования, аутсорсинг сложных компонентов.
Снижение: уменьшить вероятность или последствия.
Когда выбирать: для событий среднего уровня опасности.
Пример: провести дополнительное тестирование, создать резервные копии данных.
Принятие: признать, но не предпринимать никаких действий.
Когда выбирать: для малозначительных рисков или когда другие стратегии слишком дороги.
Пример: принять вероятность небольшой задержки поставки некритичных материалов.
Для позитивных рисков (возможностей) стратегии другие: использование, усиление, совместное использование и принятие.
4. Реализация и мониторинг
Далее необходимо непрерывное отслеживание угроз и выполнения плана реагирования.
Кто отслеживает риски:
- Владелец риска — назначенное лицо, ответственное за конкретный риск.
- Менеджер — контролирует общую картину рисков.
- Команда — сообщает о новых угрозах и изменениях в существующих.
Как отслеживать:
- Регулярные обзоры угроз на встречах команды.
- Отчеты об их статусе.
- Триггеры и индикаторы — заранее определенные сигналы, указывающие на приближение события.
План risk management может меняться и должен адаптироваться к изменениям. Новые риски возникают, существующие меняют свою вероятность и влияние, а некоторые и вовсе перестают быть актуальными. Если ваш план не менялся с начала проекта — это симптом того, что вы его возможно игнорируете.
Как правильно формулировать риски
Одна из самых распространенных ошибок — это размытые формулировки, по которым невозможно понять причину и спланировать действия.
Правильная формулировка риска должна содержать три ключевых элемента: причину, событие и последствия. Это позволяет понять не только что может произойти, но и почему, а главное — как это отразится на процессе работы. Классический шаблон для формулировки выглядит так:
«Если [причина], то может произойти [событие], что приведет к [последствие]».
Вот как это работает на практике:
| Причина | Событие (риск) | Последствие |
| У команды нет опыта работы с технологией X | Могут возникнуть ошибки при разработке модуля Y | Задержка выполнения на 2-3 недели |
| Зависимость от единственного поставщика критичных компонентов | Поставщик может не выполнить обязательства в срок | Остановка производства и штрафные санкции от клиентов |
| Требования заказчика сформулированы нечетко | Команда может неверно интерпретировать ожидания | Необходимость переделки продукта и дополнительные затраты |
| Сжатые сроки тестирования | Могут быть пропущены критические дефекты | Снижение качества продукта и репутационные потери |
Такая структура дает несколько преимуществ:
- Причина указывает, на что именно нужно воздействовать, чтобы предотвратить риск. Если вы знаете, что команда не имеет опыта с технологией, вы можете организовать обучение или привлечь консультанта.
- Событие описывает конкретно, что может произойти, без размытых формулировок.
- Последствие показывает, почему этот риск важен и какой ущерб он может нанести проекту — это помогает правильно расставить приоритеты.
Еще один полезный прием — количественная оценка в формулировке последствий. Вместо «задержка выполнения» лучше указать «задержка выполнения на 2–3 недели». Вместо «дополнительные затраты» — «увеличение бюджета на 15–20%». Это делает риск более осязаемым и позволяет точнее оценить его значимость.
Частые ошибки в управлении рисками
- Игнорирование возможностей. Нереализованная возможность может быть так же губительна для проекта, как и реализовавшаяся угроза.
- Формальное отношение. «У нас есть реестр рисков и план реагирования? Есть. Зачем нам это всё оценивать и обновлять? Это же просто для аудита». Результат этой позиции всегда один: угрозы реализуются.
- Откладывание risk management на потом. «Сначала давайте запустим проект, а рисками займемся, когда появится свободное время» — эта фраза примерно так же логична, как «давайте сначала поедем, а ремни безопасности пристегнем, если случится авария». Риски нужно выявлять и оценивать в начале проекта и постоянно пересматривать их.
- Отсутствие мониторинга. Выявили, составили план, положили в ящик и забыли. Звучит знакомо? Риски — не статичны, они меняются вместе с проектом. То, что было маловероятно в начале, может стать почти неизбежным через месяц. И наоборот, некоторые угрозы перестают быть актуальными.
- Неправильная оценка вероятности и влияния. «Этого никогда не случится с нами!» — знаменитые слова менеджера перед тем, как именно это и случается. Субъективные оценки без четких критериев приводят к недооценке одних угроз и переоценке других.
- Фокус только на очевидных рисках. Часто команды концентрируются только на очевидных и понятных угрозах, игнорируя более сложные, системные риски, которые могут иметь гораздо более серьезные последствия.
- Отсутствие ответственных. Каждый риск должен иметь своего владельца, который следит за ним и отвечает за реагирование.
- Игнорирование уроков прошлых проектов. Анализ угроз, которые реализовались в прошлых проектах, — это золотая жила информации для текущих.
- Перфекционизм в risk management. Другая крайность — попытка предусмотреть абсолютно всё и создать идеальный план реагирования на каждый мыслимый сценарий. В итоге команда тратит больше времени на анализ рисков, чем на саму работу по задачам. Стоит сосредоточиться на наиболее значимых угрозах.
- Отсутствие коммуникации. «Зачем беспокоить заказчика? Мы же профессионалы, сами справимся» — и вот уже заказчик узнаёт о проблеме, когда проект на грани срыва. Прозрачный диалог о возможных угрозах с ключевыми стейкхолдерами — это не признак слабости, а показатель профессионализма.
Заключение
Если вы узнали свою команду хотя бы в трех из перечисленных пунктов — не расстраивайтесь. В этой ситуации находится 90% всех проектных команд. Но теперь вы знаете, что делать. Давайте подведем итоги.
- Что такое управление рисками. Risk management — практический инструмент, который превращает неожиданности в спокойное предвидение и поиск решений.
- Этапы управления. Определить, что может пойти не так, оценить вероятность и последствия, разработать план действий и следить за ситуацией.
- Практические рекомендации. Проведите аудит угроз для текущего проекта. Соберите команду на час, выявите топ-10 рисков, оцените их, назначьте ответственных и введите еженедельный мониторинг. Даже этот минимальный подход уже значительно повысит шансы компании на успех.
- Позитивные риски. Риски — это не только угрозы, но и возможности. И управление ими — это не только избегание проблем, но и готовность к изменениям, которые неизбежны в любой работе.
Если хотите лучше и качественнее управлять проектами, то изучите курсы по проджект менеджменту. Вы не только изучите теоретическую часть, но и выполните практические задания, которые помогут лучше понять, как все работает на практике.
Рекомендуем посмотреть курсы по управлению проектами
| Курс | Школа | Цена | Рассрочка | Длительность | Дата начала | Ссылка на курс |
|---|---|---|---|---|---|---|
|
Менеджер проектов
|
Eduson Academy
61 отзыв
|
Цена
Ещё -11% по промокоду
132 720 ₽
295 908 ₽
|
От
11 060 ₽/мес
Беспроцентная. На 1 год.
24 659 ₽/мес
|
Длительность
3 месяца
|
Старт
3 июля
|
Ссылка на курс |
|
Профессия Менеджер проектов
|
ProductStar
38 отзывов
|
Цена
Ещё -16% по промокоду
129 600 ₽
288 000 ₽
|
От
6 000 ₽/мес
13 333 ₽/мес
|
Длительность
6 месяцев
|
Старт
в любое время
|
Ссылка на курс |
|
Project manager
|
Нетология
43 отзыва
|
Цена
с промокодом kursy-online
101 520 ₽
169 200 ₽
|
От
2 820 ₽/мес
Без переплат на 2 года.
|
Длительность
10 месяцев
|
Старт
9 июля
|
Ссылка на курс |
|
Управление проектами в современных компаниях
|
Moscow Business School
10 отзывов
|
Цена
53 900 ₽
|
От
2 246 ₽/мес
0% на 12 месяцев
|
Длительность
3 дня
|
Старт
4 августа
|
Ссылка на курс |
|
Профессия Менеджер проектов
|
Skillbox
136 отзывов
|
Цена
Ещё -20% по промокоду
133 728 ₽
267 455 ₽
|
От
4 314 ₽/мес
Без переплат на 31 месяц с отсрочкой платежа 6 месяцев.
9 572 ₽/мес
|
Длительность
12 месяцев
|
Старт
6 июля
|
Ссылка на курс |
Методы управления персоналом: кнут, пряник или баланс?
Какие методы управления персоналом действительно работают, а какие ведут к хаосу? Административные, экономические и социальные подходы — разберем их плюсы и минусы на примерах.
Как VR и AR меняют анимацию: технологии, примеры, перспективы
Слияние VR, AR и анимации уже изменило индустрию. Узнайте о ключевых технологиях, инструментах и проектах, которые задают новые стандарты.
Кастдев без иллюзий: когда стоит разговаривать с клиентами
Кастдев — это разговор с пользователем до релиза. Что спросить, чтобы не получить вежливое «да» и закрытый кошелёк? Разбираемся по шагам.
Maven: как ускорить разработку и избежать ошибок?
Если вы хотите автоматизировать сборку Java-проектов и тратить меньше времени на рутину, познакомьтесь с Maven – инструментом, который меняет подход к разработке.