Информатизация бизнеса. Управление рисками
Шрифт:
Оценка рисков предполагает определение величины возможных результатов (позитивных или негативных) воздействия неопределенных факторов и вероятность (правдоподобность) их наступления.
Для оценки рисков можно применять качественную либо количественную оценку. Качественная оценка, как правило, основана на экспертных методах оценки, использующих шкалы и баллы в качестве базы для измерения. Качественную оценку легче выполнить, при этом результаты оценки достаточно наглядны. Количественная оценка рисков означает присвоение количественного значения качественному параметру и позволяет определить числовое выражение вероятности возникновения рисков и их влияние на проект, а также меру
Качественная оценка ИТ-рисков. Качественная оценка рисков – процесс представления качественного анализа и трансформации «сырого» списка рисков, составленного на шаге идентификации, в основную таблицу рисков с учетом их приоритетов. Основными целями шага анализа рисков являются их приоритезация и определение тех рисков, на которые стоит выделить ресурсы для дальнейшей работы с ними. При этом качественно оцениваются вероятность риска и важность его последствий. Для этого проектная группа определяет самые существенные из рисков. Для управления ими надлежит выделить необходимые ресурсы для планирования и реализации соответствующих стратегий, а также выявить несущественные риски, чьим влиянием можно пренебречь и вычеркнуть их из списка. Рискам приписываются ранги, характеризующие их обобщенный отрицательный эффект. Таким образом, проектная группа рассматривает риски из списка, составленного при их выявлении, задает приоритеты и формирует главную таблицу рисков.
При проведении качественной оценки рисков проектная группа может использовать как собственный опыт, так и «внешние» источники информации. В качестве таковых могут выступать правила и рекомендации, действующие в организации, базы данных рисков индустрии, имитационные и аналитические модели, а также управленческое звено организации, эксперты предметной области проекта и др.
По ходу работы над проектом и при изменении внешних обстоятельств шаги выявления и анализа рисков должны повторяться, и главная таблица рисков должна обновляться. В ней могут появляться новые риски и исчезать старые, не оказывающие более на проект существенного влияния.
Качественная оценка рисков трансформирует имеющиеся данные о рисках в форму, облегчающую принятие решений. Приоритезация рисков указывает, какие из них являются наиболее важными, и, как следствие, работа над ними должна быть проведена прежде всего.
По результатам качественной оценки рисков:
1) фиксируются результаты оценки вероятности возникновения и влияния рисков;
2) производится ранжирование рисков;
3) составляется перечень приоритетных рисков;
4) распределяется ответственность по наиболее ответственным рискам;
5) определяется перечень рисков, которые требуют дополнительного анализа, оценки и управления.
Процесс качественной оценки рисков состоит из нескольких последовательных этапов, которые мы рассмотрим более подробно.
Этап 1. Выбор ответственного/владельца риска. Обычно все идентифицированные риски распределяются между ответственными. За риск, как правило, отвечает тот, кто идентифицировал данный риск. Владельцы рисков (risk owners) наблюдают за признаками наступления риска, а также управляют ответными процедурами в случае возникновения данного риска. Сотрудники становятся
Этап 2. Анализ допущений. Анализ допущений (assumption testing), которые были сделаны в процессе идентификации рисков, необходимо выполнить, прежде чем непосредственно переходить к качественному и количественному анализам рисков.
Отсутствие информации делает данные еще более рискованными. Если допущения оказываются ложными, степень риска проекта существенно увеличивается. Поэтому необходимо проанализировать стабильность каждого сделанного допущения, а также последствий, если допущение неверно.
Этап 3. Выбор шкал для экспертной оценки. После завершения работы с погрешностью данных необходимо понять, какие шкалы степени воздействия рисков будут использованы и какие методики качественного анализа могут применяться.
Наиболее простая и удобная в использовании методика оценки заключается в выработке проектной группой коллективных оценок двух общепризнанных параметров каждого из рисков – вероятности возникновения (risk probability) и степени влияния риска (risk impact).
Поскольку качественная оценка проводится на основе опроса мнения экспертов и анкетирования (балльная, рейтинговая оценка), то для формирования оценок следует определиться со шкалой измерения, исходя из полноты, рациональности использования, минимальной размерности шкалы.
Шкалы представляют собой определенные наборы степеней воздействия рисков на проект в целом. На данном шаге шкала воздействия определяется субъективно. Можно использовать существующие шкалы степени воздействия тех или иных рисков либо можно построить и свои шкалы. Шкала оценки вероятности возникновения риска может различаться в зависимости от принятой в организации стратегии и от чувствительности организации к конкретному виду воздействий. Шкала может быть относительной (значения представлены в описательном виде) и числовой. Оценка влияния, как правило, производится по разработанной заранее матрице, в которой потенциальный эффект, который может оказать риск на стоимость, сроки, качество и содержание проекта, ставится в соответствие определенному значению (описательному или числовому).
Существуют следующие шкалы измерения:
• номинальные: допустимое/недопустимое значение;
• качественные: вероятность очень мала/значительна/велика;
• количественные (0–1).
ИТ-риски можно оценивать по объективным или субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования за определенный промежуток времени. Примером субъективного критерия является оценка владельцем информационного ресурса риска выхода из строя этого оборудования. Для этого обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровни.
Наиболее распространены субъективные критерии, измеряемые в качественных шкалах, поскольку оценка должна отражать субъективную точку зрения владельца информационных ресурсов, а также должны быть учтены различные аспекты, не только технические, но и организационные, психологические и т. д.
Для построения функциональных соответствий между нечеткими лингвистическими описаниями (типа «высокий», «теплый» и т. д.) и специальными функциями, выражающими степень принадлежности значений измеряемых параметров, была реализована в первоначальном замысле математическая теория нечетких множеств.