Что такое матрица рисков, как она помогает в управлении проектами и как её сделать

Вдруг отдел безопасности не пропустит проект? Или подрядчики затянут сроки? Или приложение «упадёт» в праздники? Когда риски — лишь смутные опасения, которыми в команде делятся мимоходом, они становятся неуправляемыми. Чтобы всё было под контролем, их важно фиксировать, оценивать и отслеживать по ходу проекта. Матрица рисков позволяет делать это наглядно.

В статье редакции «Управление» Skillbox Media разберём:

• что такое матрица рисков и зачем она нужна;
• как она устроена;
• как её сделать;
• как с ней работать — на примере;
• в каких сервисах можно её создать.

Что такое матрица рисков и зачем она нужна

Матрица рисков — таблица с рисками, которые распределены по ячейкам в зависимости от вероятности их возникновения и тяжести последствий. Чтобы показать их приоритет, используют цвета — обычно зелёный, жёлтый и красный. Инструмент помогает визуализировать, что в проекте может пойти не так, и решить, как на это реагировать: срочно, не срочно или просто наблюдать.

Чаще всего матрицу используют в управлении проектами. Риски есть в проектах из любых сфер: финансов, IT, строительства, производства, и во всех этих сферах матрица работает эффективно.

«Инструмент обязателен, когда в проекте много вводных и неизвестных, большое ТЗ и несколько заинтересованных сторон. Матрица позволяет оценить, насколько технические, рыночные и прочие риски могут повлиять на проект, и подготовить планы реагирования».

Александр Алексеев,
руководитель отдела аналитики SimbirSoft

Без грамотной оценки рисков проект может завершиться неудачей. Например, если команда упустит влияние инфляции и неправильно рассчитает бюджет, то ей придётся экономить на материалах или специалистах. В итоге заказчик может остаться недоволен. Составив матрицу рисков, команда убереглась бы от подобных проблем или решила бы, как с ними справляться.

«Например, оценка рисков при разработке банковского приложения повлияла на то, что продукт занял достойное место в рейтинге Markswebb. Матрица помогла расставить приоритеты для набора функций. Она стала аргументом, когда мы обсуждали ресурсы, и показала необходимость ранней проверки и анализа сложных сценариев для переводов и платежей, — на тот момент риски были наглядны и измеримы. План реагирования на них позволил определиться с составом команды и уложиться в сроки».

Ирина Бибик,
руководитель отдела в направлении QA SimbirSoft

Чаще всего за составление матрицы отвечает менеджер проекта или риск-менеджер, если он есть в команде. Но участвуют в процессе все, кто работает над проектом: это позволяет увидеть максимум рисков и разумно их оценить.

Как устроена матрица рисков

Матрицу рисков обычно рисуют в форме таблицы 3 × 3 или 3 × 4, — этого бывает достаточно для большинства задач. Таблицы с большим числом ячеек — 4 × 4, 4 × 5, 5 × 5 и так далее — составляют, чтобы детально оценить угрозы для проекта.

Столбцы в таблице — вероятность возникновения риска, а строки — тяжесть последствий в случае, если риск реализуется. Ячейки на пересечениях столбцов и строк окрашивают в разные цвета, чтобы обозначить приоритет.

Пример:

• Зелёным выделяют незначительные риски: вероятность их реализации невысока, последствия не очень серьёзные. У них низкий приоритет — за ними можно просто наблюдать.
• Жёлтым — умеренные риски со средней вероятностью и последствиями. У них средний приоритет — нужно отслеживать их и быть готовыми реагировать.
• Красным — критические риски: скорее всего, они возникнут и их последствия будут серьёзными. У них высокий приоритет — на них нужно реагировать срочно.

Риски распределяют по этим ячейкам, чтобы сразу понять, какие из них незначительные, а какие — критические.

Если в проекте несколько крупных направлений, матрицу рисков составляют для каждого из них. Например, в матрице финансов могут учесть колебания курса доллара или перерасход бюджета, в матрице маркетинга — изменение спроса или появление подобного продукта у конкурента. Если же делать матрицу для проекта в целом, то из полезного рабочего инструмента она превратится в безразмерное хранилище всех возможных угроз, в котором трудно разобраться.

Как сделать матрицу рисков

Подходы к формированию матрицы могут различаться в разных компаниях. Мы расскажем о классическом процессе работы над ней — он состоит из шести этапов, или шагов.

Шаг 1. Собрать команду. Каждый сотрудник замечает и оценивает угрозы для проекта со своей профессиональной позиции. Поэтому первым делом надо собрать представителей всех ключевых направлений — разработки, финансов, кадров, маркетинга и других. Совместное обсуждение позволит не упустить ничего важного и увидеть, как разные риски могут одновременно повлиять на проект.

Шаг 2. Поставить цель. На этом этапе нужно определить, для чего делать матрицу рисков: удержать клиентов, сэкономить бюджет и так далее. Это поможет составить планы реагирования на риски. Часто цели у матрицы рисков такие же, как цели проекта.

Например, если основная цель — выпустить мобильное приложение в срок, то все действия будут подчинены ей. Простые решения в случае наступления рисков уже не подойдут: вместо того чтобы просить клиента о пролонгации, придётся выделять дополнительный бюджет или искать нового подрядчика, который справится с работой быстрее.

Шаг 3. Определить все возможные риски. Для этого можно, например, провести мозговой штурм или интервью с ключевыми сотрудниками, проанализировать опыт подобных проектов.

Риски описывают как события, используя единообразные формулировки: «Обнаружение уязвимостей на поздних стадиях», «Изменение требований законодательства в области безопасности», «Длительная модерация в магазине приложений» и подобные.

Риски с общими причинами и следствиями можно разделить на группы, говорит руководитель отдела в направлении QA SimbirSoft Ирина Бибик. Например, можно объединить в группы риски, связанные с командой (квалификация, человеческий фактор), поставщиками (срывы сроков, блокировки), технические (безопасность, оборудование), бизнесовые риски (бюджет, смена трендов, репутация). Это помогает составить единый план предотвращения рисков и реагирования на них.

Шаг 4. Оценить вероятность рисков и их последствия. На этом этапе определяют градацию вероятности и последствий рисков, решают, как их записать в таблице. Универсальных способов нет — в каждом проекте свои нюансы. В одном достаточно обозначить вероятность наступления риска как «низкую», «среднюю» и «высокую», опираясь на ощущения сотрудников, а в другом — расписать вероятность в процентах и указать, что за ними стоит.

Допустим, команда может определить, что «редко» означает вероятность менее 25%: с таким риском она ещё не сталкивалась, но допускает, что он может реализоваться. «Часто» — 75%, то есть риск возникает при работе с большинством подобных проектов.

Последствия риска можно оценивать как количественно (в рублях, днях задержки), так и качественно — например, «срыв ключевого этапа». Так, если команда запустит приложение на неделю позже и потеряет до 50 тысяч рублей, ущерб можно расценивать как незначительный. Задержка на месяц приведёт к потере до 500 тысяч рублей и подрыву репутации среди ключевых заказчиков, — это уже значительные последствия.

Главное — составлять шкалы всем вместе, ведь сотрудники по-разному воспринимают серьёзность каждого риска: для кого-то это «дело житейское», а для кого-то — почти катастрофа. Руководитель отдела аналитики SimbirSoft Александр Алексеев отмечает, что без команды можно переоценить очевидные риски и упустить системные, связанные, например, с внутренней инфраструктурой заказчика или человеческим фактором.

Шаг 5. Визуализировать матрицу и расставить приоритеты. На этом этапе матрицу раскрашивают: как мы уже говорили, красным обычно выделяют ячейки для критических рисков, жёлтым — для умеренных, зелёным — для незначительных. Затем каждый риск оценивают и вписывают в подходящую ячейку. В одной ячейке может оказаться сразу несколько рисков, а некоторые ячейки могут остаться незаполненными.

Получается тепловая карта — и теперь её нужно оценить целиком.

«Проверьте, не слишком ли пессимистично вы оценили риски, и убедитесь в том, что корректно соотнесли их последствия с выбранной шкалой. Следует внимательно посмотреть на набор рисков: возможно, у них будет один корень. Тогда риски надо объединить и работать с ними не как с отдельными ситуациями, а как с группой.

Например, проблемы с планированием, переработки, неполные технические задания и неактуальные документы — следствия нарушенных процессов. Значит, нужно выстраивать рабочие процессы. Кстати, выявление критических рисков — это хороший повод пересмотреть подходы и условия до того, как кризисная ситуация станет необратимой».

Ирина Бибик,
руководитель отдела в направлении QA SimbirSoft

Шаг 6. Решить, кому и как реагировать на риски. Для каждого критического риска нужны основной и резервный планы реагирования. В них включают:

• цели — избежать риска или смягчить его;
• триггеры — события или метрики, которые сигнализируют, что риск наступил или может наступить в ближайшее время;
• стратегию и конкретные действия — кто, что и к какому сроку должен сделать;
• ответственного за мониторинг и план реагирования;
• ресурсы, необходимые на работу с риском, — бюджет, время, сотрудники.

Для умеренных рисков достаточно общего описания плана действий. Для незначительных можно не составлять подробные планы или вовсе не реагировать на них.

«Когда в праздники все выходят в интернет, то сайт загружается на 0,2 секунды дольше, но большинство этого не замечает. Затраты на ускорение системы оказались бы гораздо больше, чем недополучение прибыли из-за единичных отказов пользователей. Принять последствия риска — это не бездействие, а осознанное управленческое решение».

Ирина Бибик,
руководитель отдела в направлении QA SimbirSoft

Всё описанное выше — циклический процесс. Риски могут меняться со временем, поэтому команде нужно регулярно пересматривать матрицу.

«Большая ошибка — создавать её один раз в начале проекта и больше к ней не возвращаться. Без регулярного мониторинга и актуализации матрица превращается в формальный документ, который никак не влияет на управление проектом».

Александр Алексеев,
руководитель отдела аналитики SimbirSoft

Как работать с матрицей рисков: разбираем на примере

Давайте разберём заполнение матрицы на прежнем примере. Команда работает над мобильным приложением, цель — выпустить его в срок. Оценив ситуацию, команда определила, что и в какой степени может этому помешать. Получилась тепловая карта, на которой хорошо видны критические риски.

Рассмотрим один из двух главных рисков — блокировку запуска отделом безопасности со стороны клиента. Основной план команды в том, чтобы не допустить этого. Для этого можно пригласить профильного специалиста на первое совещание по проекту, утвердить с ним главные требования к безопасности приложения, а потом в ходе работы показывать ему демоверсии.

В резервном плане команде важно предусмотреть не одну реакцию на риск, а несколько — в зависимости от того, как именно он возник. Сценарии и действия могут быть следующими.

Сценарий 1: изменилось законодательство в сфере информационной безопасности.

• Действие 1: направить клиенту запрос на официальные разъяснения.
• Действие 2: дать техническому лидеру проекта два дня на оценку трудозатрат и предложить клиенту либо выпустить приложение сейчас и обновлять в течение переходного периода, либо перенести запуск.

Сценарий 2: отдел безопасности клиента затягивает согласование.

• Действие 1: назначить ответственных с каждой стороны. Договориться, что они будут ежедневно проводить 15-минутные созвоны до тех пор, пока замечаний к продукту не останется.
• Действие 2: зафиксировать дату заморозки требований. Все замечания, которые появятся после этой даты, перенести в список задач по обновлению приложения.

Так как команда подготовила основной и резервные планы реагирования, она знает, как действовать и не допустить срыва сроков со своей стороны.

В каких сервисах можно сделать матрицу рисков

Всё зависит от того, с чем будет удобно работать команде. Так, матрицу рисков можно рисовать от руки на листе бумаги или в визуальном редакторе, строить в специальных программах для управления проектами и задачами. А ещё можно использовать:

• Excel, Google Sheets, «Яндекс Таблицы» и другие табличные редакторы;
• Miro, Unidraw, Xmind и другие онлайн-доски.

В табличных редакторах уже задана необходимая структура — таблицу не нужно рисовать с нуля. А в онлайн-досках могут быть подходящие шаблоны, которые останется просто заполнить.

«На онлайн-досках удобно отображать пересечения и степени влияния рисков. Например, неточная оценка трудозатрат напрямую связана с риском не уложиться в дедлайн, с переработками и далее — с недовольством команды. Подобные взаимосвязи можно представить наглядно».

Ирина Бибик,
руководитель отдела в направлении QA SimbirSoft

Главное о матрице рисков в 3 пунктах

• Матрица рисков — таблица с рисками, которые распределены по ячейкам в зависимости от вероятности их возникновения и тяжести последствий. Этот инструмент используют в управлении проектами.
• Чтобы сделать матрицу рисков, надо собрать команду из представителей ключевых направлений, поставить чёткую цель, определить возможные риски, оценить их вероятность и последствия. Затем — распределить риски в таблице и составить план реагирования на них. Для критических рисков обычно пишут основной и резервный планы реагирования, для умеренных — общий план, для незначительных план можно не делать.
• Матрицу нужно постоянно обновлять. Риски могут меняться в ходе проекта, и без обновления матрица будет неэффективна.