Информатизация бизнеса. Управление рисками
Шрифт:
Обычно те факторы, которые «вероятны» или «высоковероятны» и имеют «серьезные» или «средние» последствия, являются кандидатами на высокий приоритет. Факторы, которые «маловероятны» и имеют «незначительные» последствия, не являются кандидатами для управления. Однако они должны документироваться и включаться в процесс анализа. Отметим, что «маловероятные» факторы риска, но с «серьезными» последствиями должны быть предметом тщательного рассмотрения.
Таблица 6.
Матрица Вероятность x Воздействие
Еще
Все три критерия – «серьезность», «вероятность», «срочность» – используются для приоритезации потенциальных факторов рисков. При оценке факторов отдельным лицом неизбежно присутствует субъективизм. Обычно коллектив старается достичь согласия относительно приоритетов факторов, на основании которых должны быть выделены факторы для управления риском.
Для наглядной визуализации рисков существует возможность преобразовать матрицу Вероятность x Воздействие в карту рисков (рис. 12). Преимущество графической формы представления уровней рисков заключается в том, что в отчетах для спонсоров и других заинтересованных лиц различные группы рисков могут быть выделены различными цветами с наглядным отображением порогового уровня. Такое разделение очень четко и легко понимаемо («красный риск» воспринимается легче, чем «большая ожидаемая величина Risk Exposure»).
Рис. 12. Карта рисков с приемлемым пороговым уровнем
Самое важное на шаге приоритезации рисков – принять решение по поводу пороговых величин, которые будут участвовать в дальнейшем рассмотрении. Это сложный вопрос, по которому трудно дать конкретные рекомендации. Огромную роль здесь играет опыт руководителя проекта, а также уровни рисков, которые приняты как пороговые в компании. Многие руководители определяют «допустимый» риск, то есть риск, который считается приемлемым для конкретного этапа жизненного цикла.
Для приоритезации рисков специалисты компании Microsoft рекомендуют также использовать принятые формулировки риска, все возможные накопленные знания о рисках и рискообразующих факторах, корпоративные правила и инструкции, а также управленческие решения (рис. 13).
Рис. 13. Процесс анализа и приоритезации рисков согласно методологии MSF
По результатам оценки и анализа рисков эксперты формируют качественные характеристики каждого риска (могут быть сгруппированы по приоритетам) и первую консолидированную оценку степени риска проекта.
Этап 6. Документирование незначимых рисков. «Легковесные», или незначимые, риски, не вошедшие в дальнейшее управление рисками, должны быть задокументированы,
Поскольку невозможно до начала проекта спрогнозировать проект на 100 %, по мере выполнения проекта и обретения лучшего понимания его составляющих рейтинги рисков будут меняться. Не рекомендуется откладывать риски, угроза которых выше определенного порога, если только проектная группа не является абсолютно уверенной в том, что их вероятность и ожидаемая величина останется низкой при любых непредвиденных обстоятельствах.
Далее необходимо определить, стоит ли переходить к количественному анализу рисков или ограничиться полученными качественными оценками.
Количественная оценка ИТ-рисков
Количественная оценка рисков – это трансформация идентифицированного списка в основную таблицу рисков на основе количественного анализа характеристик неопределенности (распределения вероятностей, диапазона изменения неопределенных параметров и т. д.). По результатам количественного анализа рисков происходит дальнейшее обновление карты рисков и может быть построена новая версия карты рисков. Количественная оценка позволяет определить числовое выражение вероятности возникновения рисков и их влияние на проект, а также меру риска всего проекта.
Как правило, переходить к количественному анализу имеет смысл, если:
• доступны инструменты количественного анализа рисков;
• количественный анализ стоит затрат времени и средств, потраченных на него;
• приоритет проекта очень высокий или же проект находится в центре внимания руководства;
• отмечается наличие опыта и специалистов для выполнения количественного анализа рисков.
Если проект краткосрочный или малобюджетный и у менеджера проекта недостаточно опыта в управлении рисками, вместо количественного анализа можно переходить сразу к этапу реагирования на риски.
Процесс количественной оценки проекта осуществляется с целью определения вероятности достижения целей проекта, степени воздействия риска на проект, объема резервов, которые могут понадобиться, реалистичных затрат и сроков окончания проекта. Задача количественного анализа также состоит в численном измерении влияния изменений рискованных факторов проекта на поведение критериев эффективности проекта.
Проведение полного количественного анализа рисков не всегда возможно. Наиболее частым ограничением является достаток информации о системе или деятельности, подвергающейся анализу. Менеджер ИТ-проекта часто встречается с отсутствием или недостатком статистических данных – данных об отказах, влиянии человеческого фактора, прочих рисках. Неточность исходных данных и ограничения аналитических методов также могут привести к неточным количественным расчетам. Отсутствие инструментов реализации количественной оценки может привести к затянутым срокам оценки и неэффективному использованию ресурсов, занятых в процессе.