Информатизация бизнеса. Управление рисками
Шрифт:
Рис. 11. Пример причинно-следственной диаграммы для идентификации ИТ-рисков
Использование диаграмм является очень наглядным, хотя и трудоемким методом идентификации рисков.
Структурирование рисков с использованием структурной декомпозиции риска (Risk Breakdown Structure, RBS) сформировано по аналогии со структурной декомпозицией работ проекта (WBS) и позволяет группировать риски по источникам появления для определения суммарного воздействия рисков.
Универсальный
Использование данного метода в области ИТ требует большого знания предметной области и наличия достаточной информации.
Для идентификации рисков необходимо привлекать как можно больше людей из команды проекта. Если в идентификации участвует только руководитель проекта, он может не учесть всех возможных рисков в силу ограниченности своих знаний. В результате идентификации рисков проекта ИТ должны быть получены списки рисков и рискообразующих факторов, при наступлении которых возможно получение отрицательного воздействия на проект ИТ. Каждый риск необходимо зарегистрировать, а именно:
• дать наименование риску и присвоить ему уникальный номер;
• определить ответственного за данный риск;
• описать причины возникновения риска;
• описать последствия наступления риска;
• зафиксировать статус риска (новый/в работе/закрыт).
Таблица 3.
Структурная декомпозиция рисков ИТ-проекта
4.2. Качественная и количественная оценка рисков
Оценка рисков предполагает определение величины возможных результатов (позитивных или негативных) воздействия неопределенных факторов и вероятность (правдоподобность) их наступления.
Для оценки рисков можно применять качественную либо количественную оценку. Качественная оценка, как правило, основана на экспертных методах оценки, использующих шкалы и баллы в качестве базы для измерения. Качественную оценку легче выполнить, при этом результаты оценки достаточно наглядны. Количественная оценка рисков означает присвоение количественного значения качественному параметру и позволяет определить числовое выражение вероятности возникновения рисков и их влияние на проект, а также меру риска всего проекта. Количественная и качественная оценки могут осуществляться одновременно. Количественная оценка математически обоснована и позволяет оценить эффективность управления рисками за счет анализа затрат на снижение рисков. Количественная оценка считается более объективной при наличии достаточных статистических данных, экспертов в области моделирования и доступных программных средств для математической обработки данных.
Качественная оценка ИТ-рисков. Качественная оценка рисков – процесс представления качественного анализа и трансформации «сырого» списка рисков, составленного на шаге идентификации, в основную таблицу рисков с учетом их приоритетов. Основными целями шага анализа рисков являются их приоритезация и определение тех рисков, на которые стоит выделить ресурсы для дальнейшей работы с ними. При этом качественно оцениваются вероятность риска и важность его последствий. Для этого проектная группа определяет самые существенные из рисков. Для управления ими надлежит выделить необходимые ресурсы для планирования и реализации соответствующих стратегий, а также выявить несущественные риски, чьим влиянием можно пренебречь и вычеркнуть их из списка. Рискам приписываются ранги, характеризующие их обобщенный отрицательный эффект. Таким образом, проектная группа рассматривает риски из списка, составленного при их выявлении, задает приоритеты и формирует главную таблицу рисков.
При проведении качественной оценки рисков проектная группа может использовать как собственный опыт, так и «внешние» источники информации. В качестве таковых
могут выступать правила и рекомендации, действующие в организации, базы данных рисков индустрии, имитационные и аналитические модели, а также управленческое звено организации, эксперты предметной области проекта и др.По ходу работы над проектом и при изменении внешних обстоятельств шаги выявления и анализа рисков должны повторяться, и главная таблица рисков должна обновляться. В ней могут появляться новые риски и исчезать старые, не оказывающие более на проект существенного влияния.
Качественная оценка рисков трансформирует имеющиеся данные о рисках в форму, облегчающую принятие решений. Приоритезация рисков указывает, какие из них являются наиболее важными, и, как следствие, работа над ними должна быть проведена прежде всего.
По результатам качественной оценки рисков:
1) фиксируются результаты оценки вероятности возникновения и влияния рисков;
2) производится ранжирование рисков;
3) составляется перечень приоритетных рисков;
4) распределяется ответственность по наиболее ответственным рискам;
5) определяется перечень рисков, которые требуют дополнительного анализа, оценки и управления.
Процесс качественной оценки рисков состоит из нескольких последовательных этапов, которые мы рассмотрим более подробно.
Этап 1. Выбор ответственного/владельца риска. Обычно все идентифицированные риски распределяются между ответственными. За риск, как правило, отвечает тот, кто идентифицировал данный риск. Владельцы рисков (risk owners) наблюдают за признаками наступления риска, а также управляют ответными процедурами в случае возникновения данного риска. Сотрудники становятся владельцами рисков в силу специфических экспертных знаний или в связи с тем, что они обладают определенным контролем над специфическим риском. Обычно чем раньше в процесс управления рисками вводится владелец риска, тем лучше.
Этап 2. Анализ допущений. Анализ допущений (assumption testing), которые были сделаны в процессе идентификации рисков, необходимо выполнить, прежде чем непосредственно переходить к качественному и количественному анализам рисков.
Отсутствие информации делает данные еще более рискованными. Если допущения оказываются ложными, степень риска проекта существенно увеличивается. Поэтому необходимо проанализировать стабильность каждого сделанного допущения, а также последствий, если допущение неверно.
Этап 3. Выбор шкал для экспертной оценки. После завершения работы с погрешностью данных необходимо понять, какие шкалы степени воздействия рисков будут использованы и какие методики качественного анализа могут применяться.
Наиболее простая и удобная в использовании методика оценки заключается в выработке проектной группой коллективных оценок двух общепризнанных параметров каждого из рисков – вероятности возникновения (risk probability) и степени влияния риска (risk impact).
Поскольку качественная оценка проводится на основе опроса мнения экспертов и анкетирования (балльная, рейтинговая оценка), то для формирования оценок следует определиться со шкалой измерения, исходя из полноты, рациональности использования, минимальной размерности шкалы.
Шкалы представляют собой определенные наборы степеней воздействия рисков на проект в целом. На данном шаге шкала воздействия определяется субъективно. Можно использовать существующие шкалы степени воздействия тех или иных рисков либо можно построить и свои шкалы. Шкала оценки вероятности возникновения риска может различаться в зависимости от принятой в организации стратегии и от чувствительности организации к конкретному виду воздействий. Шкала может быть относительной (значения представлены в описательном виде) и числовой. Оценка влияния, как правило, производится по разработанной заранее матрице, в которой потенциальный эффект, который может оказать риск на стоимость, сроки, качество и содержание проекта, ставится в соответствие определенному значению (описательному или числовому).