Информатизация бизнеса. Управление рисками - Сергей Авдошин
Шрифт:
Интервал:
Закладка:
Этап 5. Построение матрицы Вероятность × Воздействие и приоритезация рисков. Интерпретация качественных оценок в количественные показатели позволяет менеджеру риска построить матрицу количественных показателей с ранжированными по приоритетам рисками, которая будет основана на качественных показателях матрицы Вероятность × Воздействие.
Для построения матрицы используются полученные оценки «вероятность возникновения риска» и «воздействие/влияние риска». Произведение этих двух величин дает единую метрику риска, называемую ожидаемой величиной (Exposure), которая используется при ранжировании рисков (табл. 6) и заполняется в ячейки матрицы. Ранжирование для каждого риска происходит совместно на совещании рабочей группы. Определяется пороговое значение для критических рисков (например, значение >0,28).
Обычно те факторы, которые «вероятны» или «высоковероятны» и имеют «серьезные» или «средние» последствия, являются кандидатами на высокий приоритет. Факторы, которые «маловероятны» и имеют «незначительные» последствия, не являются кандидатами для управления. Однако они должны документироваться и включаться в процесс анализа. Отметим, что «маловероятные» факторы риска, но с «серьезными» последствиями должны быть предметом тщательного рассмотрения.
Таблица 6.
Матрица Вероятность × Воздействие
Еще одним критерием, с учетом которого можно устанавливать приоритет факторов риска, является его срочность (безотлагательность), то есть момент времени, когда произойдет событие, связанное с фактором риска, и проявятся его отрицательные последствия.
Все три критерия – «серьезность», «вероятность», «срочность» – используются для приоритезации потенциальных факторов рисков. При оценке факторов отдельным лицом неизбежно присутствует субъективизм. Обычно коллектив старается достичь согласия относительно приоритетов факторов, на основании которых должны быть выделены факторы для управления риском.
Для наглядной визуализации рисков существует возможность преобразовать матрицу Вероятность × Воздействие в карту рисков (рис. 12). Преимущество графической формы представления уровней рисков заключается в том, что в отчетах для спонсоров и других заинтересованных лиц различные группы рисков могут быть выделены различными цветами с наглядным отображением порогового уровня. Такое разделение очень четко и легко понимаемо («красный риск» воспринимается легче, чем «большая ожидаемая величина Risk Exposure»).
Рис. 12. Карта рисков с приемлемым пороговым уровнем
Самое важное на шаге приоритезации рисков – принять решение по поводу пороговых величин, которые будут участвовать в дальнейшем рассмотрении. Это сложный вопрос, по которому трудно дать конкретные рекомендации. Огромную роль здесь играет опыт руководителя проекта, а также уровни рисков, которые приняты как пороговые в компании. Многие руководители определяют «допустимый» риск, то есть риск, который считается приемлемым для конкретного этапа жизненного цикла.
Для приоритезации рисков специалисты компании Microsoft рекомендуют также использовать принятые формулировки риска, все возможные накопленные знания о рисках и рискообразующих факторах, корпоративные правила и инструкции, а также управленческие решения (рис. 13).
Рис. 13. Процесс анализа и приоритезации рисков согласно методологии MSF
По результатам оценки и анализа рисков эксперты формируют качественные характеристики каждого риска (могут быть сгруппированы по приоритетам) и первую консолидированную оценку степени риска проекта.
Этап 6. Документирование незначимых рисков. «Легковесные», или незначимые, риски, не вошедшие в дальнейшее управление рисками, должны быть задокументированы, чтобы можно было по мере выполнения проекта быстро понять, как ведет себя данный риск. Некоторые риски могут быть незначительными в силу их неправдоподобности, то есть практически стабильной нулевой вероятности. Другие могут быть признаны незначимыми, так как имеют очень малую угрозу, то есть более выгодным оказывается принятие возможного ущерба, нежели затраты усилий на управление. Для таких рисков проектная группа сводит к нулю все затраты и усилия на мониторинг рисков. Фиксация незначимых рисков позволяет проектной группе сосредоточиться на других рисках, действительно требующих активного управления.
Поскольку невозможно до начала проекта спрогнозировать проект на 100 %, по мере выполнения проекта и обретения лучшего понимания его составляющих рейтинги рисков будут меняться. Не рекомендуется откладывать риски, угроза которых выше определенного порога, если только проектная группа не является абсолютно уверенной в том, что их вероятность и ожидаемая величина останется низкой при любых непредвиденных обстоятельствах.
Далее необходимо определить, стоит ли переходить к количественному анализу рисков или ограничиться полученными качественными оценками.
Количественная оценка ИТ-рисков
Количественная оценка рисков – это трансформация идентифицированного списка в основную таблицу рисков на основе количественного анализа характеристик неопределенности (распределения вероятностей, диапазона изменения неопределенных параметров и т. д.). По результатам количественного анализа рисков происходит дальнейшее обновление карты рисков и может быть построена новая версия карты рисков. Количественная оценка позволяет определить числовое выражение вероятности возникновения рисков и их влияние на проект, а также меру риска всего проекта.
Как правило, переходить к количественному анализу имеет смысл, если:
• доступны инструменты количественного анализа рисков;
• количественный анализ стоит затрат времени и средств, потраченных на него;
• приоритет проекта очень высокий или же проект находится в центре внимания руководства;
• отмечается наличие опыта и специалистов для выполнения количественного анализа рисков.
Если проект краткосрочный или малобюджетный и у менеджера проекта недостаточно опыта в управлении рисками, вместо количественного анализа можно переходить сразу к этапу реагирования на риски.
Процесс количественной оценки проекта осуществляется с целью определения вероятности достижения целей проекта, степени воздействия риска на проект, объема резервов, которые могут понадобиться, реалистичных затрат и сроков окончания проекта. Задача количественного анализа также состоит в численном измерении влияния изменений рискованных факторов проекта на поведение критериев эффективности проекта.