Риск после риска: вторичные угрозы ломают даже подстрахованные проекты

В интервью Алексей Пилипчук, технический директор «Софтлайн Решения», объясняет, чем опасны остаточные и вторичные риски, почему страхование не спасает от последствий и какие три вопроса должна задавать себе каждая зрелая проектная команда.

— Алексей, сегодня в каждой презентации по управлению проектами есть слайд про риски. Но обычно речь идет о так называемых первичных рисках. Что остается за кадром?

— Действительно, большинство команд ограничивается базовым уровнем: идентифицировали первичные риски, оценили вероятность и влияние, прописали меры реагирования — на этом работа часто заканчивается. Формально все корректно, но по факту проект все равно «стреляет» в самых неожиданных местах.
 Чаще всего проблема в том, что команды не работают с двумя большими пластами — остаточными и вторичными рисками. А это уже более взрослый уровень проектного управления. Когда вы начинаете не просто гасить угрозы, но и осознавать последствия своих решений, проект становится гораздо более предсказуемым.

— Давайте разберемся с терминологией. Что именно вы называете остаточными и вторичными рисками?

— Остаточные риски — это те риски, которые остаются после того, как вы уже применили стратегии реагирования. То есть вы что-то сделали: перенесли, застраховали, минимизировали, перераспределили. Но риск полностью не исчез, он просто трансформировался или стал меньше. И с ним по-прежнему нужно работать: выбирать дополнительные меры, закладывать резервы, включать в мониторинг.

Вторичные риски — это новая категория угроз, которая возникает как прямое следствие ваших действий по управлению первичными рисками. Вы, например, спасаете сроки — а под угрозу ставите бюджет. Снижаете технологический риск — но повышаете зависимость от конкретного подрядчика. Формально вы «выполнили план по управлению рисками», а фактически создали новую проблему, иногда куда более болезненную.

— Можете привести пример остаточного риска из практики?

— Возьмем простой сценарий: компания переезжает в новый офис, и нужно перевезти дорогостоящее оборудование. Команда принимает типичное решение — застраховать риск повреждения техники при транспортировке. Казалось бы, риск красиво перенесен на страховую компанию, можно выдохнуть.

Но когда вы открываете договор и считаете цифры, обнаруживается интересная вещь: страховая премия достигает уровня, при котором в случае поломки оборудования ремонт обойдется ненамного дороже, чем совокупные страховые платежи. То есть формально риск перенесен, а экономически решение не оптимально.

Вот это и есть остаточный риск: вы применили стратегию реагирования, но риск — в измененном виде — продолжает жить. Значит, нужно искать дополнительное решение: пересматривать условия, выбирать другую страховую компанию, менять логистику, возможно, даже менять сам подход к перевозке оборудования.

— А как выглядит вторичный риск?

— Классический пример — борьба за сроки. Допустим, у вас есть риск срыва поставки оборудования, который может «утопить» проект по срокам. Чтобы снизить вероятность задержки, вы привлекаете дополнительные ресурсы поставщика, ускоряете цепочку, перераспределяете людей, догружаете подрядчика сверх стандартного режима.

Первичный риск вы действительно снижаете — поставка приходит вовремя. Но вместе с этим возникает вторичный риск: перерасход бюджета. Дополнительные ресурсы стоят денег, ускорение логистики стоит денег, сверхурочные работы — тоже деньги. Если вы не учли это заранее, проект «выхватывает» уже на финансовом контуре. То есть вы честно боролись за сроки, а в итоге получили бюджетный риск, которого не было бы без ваших действий.

— Получается, простая логика «закрыли риск — молодцы» уже не работает?

— Она опасна своей иллюзией. Управление рисками — это не чек-лист, который нужно формально заполнить. Это постоянная работа с причинно-следственными связями.
 Если команда не задает себе два ключевых вопроса — «что останется, когда мы внедрим меры реагирования?» и «какие новые риски мы создаем своими действиями?» — значит, она управляет рисками только наполовину. На практике это хорошо видно по проектам, которые вроде бы «подстрахованы» со всех сторон, но при этом регулярно сталкиваются с проблемами: то подрядчик перегружен, то бюджет трещит, то оборудование простаивает из-за неправильно спланированных работ.

— Как встроить работу с остаточными и вторичными рисками в ежедневную жизнь проекта, а не в красивую методологию на бумаге?

— Прежде всего — перестать воспринимать реестр рисков как статичный документ для стартового совещания. Это живой инструмент. Каждый раз, когда команда принимает значимое управленческое решение, нужно автоматически задавать себе три вопроса:

• Как это влияет на текущие риски?
• Какие риски останутся после реализации решения?
• Какие новые риски мы этим решением создаем?

Формально это может быть отражено в процессах: обновление реестра рисков, пересмотр оценок, привязка рисков к бюджету и срокам, регулярные обзоры на статус-митингах. Но главное — это дисциплина задавать эти вопросы.

— Многие компании надеются, что страхование или «перенос на подрядчика» решает проблему раз и навсегда. Почему это не так?

— Страхование и перенос рисков — лишь один из инструментов. Вы можете переложить ответственность, но не можете переложить последствия. Если подрядчик сорвал сроки, вы, возможно, получите штрафные санкции в свою пользу, но клиенту от этого не легче — его система не запущена вовремя. Если страховая покрыла ущерб, сломанный сервер от этого не оживает быстрее.

Остаточные риски всегда остаются на стороне заказчика и команды проекта — в виде репутационных последствий, задержек по другим инициативам, перегруза ключевых специалистов, уставшей команды, снижения доверия со стороны бизнеса. Именно поэтому одной только юридической конструкцией риски не закрываются.

— Насколько в реальных проектах заказчики готовы обсуждать вторичные риски? Не звучит ли это как «еще одна теоретическая сущность из учебника по менеджменту»?

— Хороший вопрос. Как ни странно, у зрелых заказчиков разговор о вторичных рисках вызывает скорее уважение, чем раздражение.

Когда вы честно говорите: «Чтобы спасти сроки, мы можем применить такой-то сценарий, но он увеличит вероятность перерасхода бюджета на X процентов, давайте вместе решим, что для вас важнее», — это язык партнерства, а не подстраховки. Бизнес ценит прозрачность. Вторичные риски — это не про «мы все усложняем», а про «мы показываем полную картину, чтобы вы принимали осознанное решение».

— Как в этой логике меняется роль департамента проектной методологии и контроля?

— Его задача — не быть «надзорным органом», который следит за правильностью заполнения шаблонов. Он выступает как внутренний консультант и навигатор. Во-первых, дает командам общий язык: что такое первичные, остаточные, вторичные риски, как их отличать и описывать. Во-вторых, помогает выстраивать процессы: когда и как пересматривается реестр рисков, как он связывается с бюджетом и сроками, какие решения обязательно должны сопровождаться пересмотром рисков.
В-третьих, работает с культурой. Важно, чтобы менеджеры проектов не боялись поднимать тему рисков на уровне топ-менеджмента и заказчика, не стеснялись говорить: «Вот здесь мы риск снизим, но появится другой, и о нем тоже нужно договориться».

— Если говорить о культуре: как объяснить командам, что работа с остаточными и вторичными рисками — это не «пессимизм», а профессионализм?

— Я обычно привожу аналогию с медициной. Хороший врач не только выписывает лекарство, но и объясняет побочные эффекты, рассказывает, что делать в случае осложнений и что будет, если лечение прервать. Он не паникует и не пугает, он дает полную картину.

В проектах ровно так же. Опытный руководитель проекта не говорит: «Не переживайте, все под контролем». Он говорит: «Мы видим вот такие риски, вот что останется после наших действий, вот какие новые риски могут возникнуть, вот наши планы на случай каждого сценария». Это не драматизация, а зрелая профессиональная позиция.

— Какой главный совет вы дали бы компаниям, которые хотят по-взрослому работать с рисками?

— Начать с простого: перестать считать рисками только то, что написано в первом варианте реестра. Каждый раз, когда вы принимаете управленческое решение — меняете поставщика, ускоряете график, перераспределяете ресурсы, страхуете имущество, — автоматически задавайте три вопроса:

 «Что останется?», «Что появится?» и «Готовы ли мы к этим последствиям?».

Когда такие вопросы начинают звучать системно, остаточные и вторичные риски перестают быть теорией из методологии и становятся частью реальной управленческой практики. А это уже другой уровень устойчивости проектов и доверия бизнеса к проектным командам.