Информатизация бизнеса. Управление рисками

Авдошин Сергей Михайлович

Песоцкая Елена Юрьевна

Глава 4

Этапы управления риском ИТ

 

 

4.1. Планирование и идентификация рисков

Управление рисками – это целенаправленные процессы, связанные с идентификацией, анализом рисков и принятием управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь на протяжении всего жизненного цикла проекта.

Как и любая другая деятельность в проекте, управление рисками требует времени и затрат ресурсов. Поэтому эта работа обязательно должна планироваться. На этапе планирования рисков (первом этапе процесса управления рисками) происходят организация работ и планирование действий по управлению рисками с привязкой к жизненному циклу ИТ-проекта. То есть планирование управления рисками – это процесс определения подходов и планирования операций по управлению рисками проекта.

Во время этапа планирования необходимо ответить на следующие вопросы: как будет реализовываться процесс управления рисками? Из каких шагов состоит этот процесс? Какие именно действия, роли участников и их обязанности, результаты характеризуют каждый шаг? Кто будет осуществлять действия по управлению рисками? Какие для этого требуются навыки/квалификация? Какой инструментарий и какие методики будут применены? Какой терминологический аппарат будет использован для классификации и оценки? Какова процедура приоритезации рисков? Как будут строиться планы управления рисками и планы мероприятий по смягчению возможных негативных последствий? Какие действия будут предпринимать отдельные члены проектной группы для управления рисками? Как будет выполняться мониторинг управления рисками? Какая инфраструктура (базы данных, программные инструменты, хранилища данных) будет использована для обеспечения процесса управления рисками?

Планирование управления рисками может включать в себя решения по организации, кадровому обеспечению процедур управления рисками проекта, выбор предпочтительной методологии, источников данных для идентификации рисков, регламент выполнения процедур. Важно спланировать управление рисками, адекватное как уровню неопределенности и риска, так и важности проекта для организации.

По статистике мировой консалтинговой компании IBM, занимающейся реализацией проектов в области ИТ в различных индустриях, на стадии предварительной проработки и планирования внедрения проекта (первые 10 %) закладывается более 90 % его полезности. Именно в это время закладываются наиболее болезненные последствия: срыв сроков, нереальный бюджет, ущербная функциональность. При этом консультанты и заказчики видят проблемы неодинаково, что приводит к различным методам управления рисками, которые планируются на ранних этапах. Каждая компания должна разработать собственный план управления рисками, содержащий общие регламенты и рекомендуемые методики.

Целью этапа планирования управления рисками является разработка плана управления рисками, который содержит:

 обоснование выбора методологии управления рисками. В зависимости от выбранной методологии могут выполняться определенные этапы, использоваться различные средства управления рисками;

 детальные планы управления рисками. Тщательное и подробное планирование управления рисками позволяет выделить достаточное количество времени и ресурсов для выполнения операций по управлению рисками, определить общие основания для оценки рисков, повысить вероятность успешного достижения результатов проекта. Данные о выделенных ресурсах и оценка стоимости мероприятий, необходимых для управления рисками, включаются в базовый план по стоимости проекта. Необходимо предусмотреть обеспечение планов управления рисками посредством их интеграции в общие процессы управления ИТ-проектом;

 определение роли и ответственности в процессе управления рисками и обеспечение вовлеченности участников. Помимо распределения ролей и ответственности, необходимо выделить список позиций выполнения, поддержки и управления рисками для каждого вида операций, включенных в план управления рисками, назначение сотрудников на эти позиции и разъяснение их ответственности;

 определение подходов, инструментов и источников данных, которые могут использоваться для управления рисками в данном проекте. Организации могут иметь заранее разработанные подходы к управлению рисками, например категории рисков, общие определения понятий и терминов, стандартные шаблоны, схемы распределения ролей и ответственности, а также определенные уровни полномочий для принятия решений, что необходимо прописать в плане управления рисками на этапе планирования;

 определение пороговых уровней рисков. Отношение к риску и толерантность к риску организаций и лиц, участвующих в проекте, оказывает влияние на план управления проектом. Оно должно быть зафиксировано в изложении основных принципов и подходов к управлению рисками;

 определение методов идентификации и оценки рисков, критериев приоритезации идентифицированных рисков. В зависимости от выбранной методологии происходит определение сроков и частоты выполнения идентификации и оценки рисков на протяжении всего жизненного цикла проекта, а также определение методов по идентификации и оценке рисков;

 принципы учета и документирования. На этапе планирования происходят определение частоты и формата отчетности, разработка шаблонов для документирования процесса управления рисками, определяются регламенты и правила написания и оформления документов.

Планирование управления рисками должно быть завершено на ранней стадии планирования проекта, поскольку оно крайне важно для успешного выполнения других процессов. План управления рисками проекта разрабатывается на основе внутренних документов предприятия, а также контрактов с внешними заинтересованными сторонами.

Процедура идентификации рисков должна проводиться регулярно на протяжении жизненного цикла ИТ-проекта для выявления упущенных и новых образовавшихся потенциальных рисков. Мероприятия по выявлению рисков могут привязываться к временному графику (например, быть ежедневными, еженедельными или ежемесячными) или вехам проекта.

После формирования плана управления рисками начинается этап идентификации рисков, на котором определяются риски, способные повлиять на проект, и документируются характеристики этих рисков. Идентификация рисков – это итеративный процесс, который периодически повторяется на всем протяжении проекта, поскольку в рамках его жизненного цикла могут обнаруживаться новые риски. Поэтому процедура идентификации рисков должна проводиться регулярно на протяжении реализации проекта для выявления упущенных и новых образовавшихся потенциальных рисков. В идентификации рисков должно быть задействовано как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов.

В рамках процесса идентификации рисков ИТ-проекта необходимо:

• определить, какие риски могут повлиять на проект;

• обеспечить итеративный процесс выявления рисков;

• организовать методы идентификации и совещания по проекту;

• анализировать все возможные допущения и ограничения;

• анализировать сильные и слабые стороны, угрозы и возможности;

• обеспечить своевременное и полное документирование рисков проекта;

• обеспечить четкие и своевременные коммуникации.

В идентификации рисков должно быть задействовано как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов, – поскольку требуется понимание миссии проекта, его предметной области, целей заказчика, инвестора и других заинтересованных лиц.

Для сбора информации о рисках могут применяться различные подходы. Среди этих подходов наиболее распространены:

1) обзор документации;

2) метод мозгового штурма;

3) метод Дельфи (Delphi);

4) SWOT-анализ;

5) интервью (опросы экспертов);

6) контрольные списки;

7) анализ предположений/сценариев;

8) причинно-следственные диаграммы;

9) структурирование рисков с использованием структурной декомпозиции риска.

Обзор документации. Метод используется для первоначального ознакомления с проектом и предполагает проведение обзора существующих документов группой управления рисками проекта, включает структурированный анализ плана проекта и имеющихся предложений (ограничений) как на уровне всего проекта, так и на уровне отдельных работ.

Исходные данные для выявления и описания характеристик рисков могут браться из разных источников. В первую очередь это база знаний организации. Информация о выполнении прежних проектов может быть доступна в архивах предыдущих проектов. Следует помнить, что проблемы завершенных и выполняемых проектов – это, как правило, риски в новых проектах.

Другим источником данных о рисках проекта может служить разнообразная информация из открытых источников, научных работ, маркетинговая аналитика и другие исследовательские работы в данной области. Наконец, многие форумы по программированию могут дать бесценную информацию о возникших ранее проблемах в похожих проектах (рис. 9).

Среди документов, которые могут быть эффективно использованы с целью идентификации рисков для максимально полного списка рисков, предлагаются следующие документы:

• устав проекта;

• структурная декомпозиция работ;

• описание продукта;

• расписание проекта;

• предполагаемые затраты и сроки;

• ресурсный план;

• план поставок;

• список предположений и ограничений.

Дополнительно может использоваться документация предыдущих проектов и доступная внешняя информация – коммерческие базы данных, учебные пособия, специализированные издания, открытые публикации по похожим проектам и прочее.

При анализе планов проекта проводится анализ соответствия задач по плану договорным документам и ранее принятым соглашениям, соответствия выделяемого времени масштабам задач, возможности управлять и контролировать работы по представленному плану, анализ процедур взаимодействия, методологий и подходов к работе и порядка выполнения работ.

Рис. 9. Процесс выявления рисков согласно методологии MSF

Каждый проект задумывается и разрабатывается на основании ряда гипотез, сценариев и допущений. Как правило, в описании содержания проекта перечисляются принятые допущения – факторы, которые для целей планирования считаются верными, реальными или определенными без привлечения доказательств. Неопределенность в допущениях проекта следует также обязательно рассматривать в качестве потенциального источника возникновения рисков проекта. Анализ допущения позволяет идентифицировать риски проекта, происходящие от неточности, несовместимости или неполноты допущений.

Метод мозгового штурма. Метод «мозгового штурма» – наиболее распространенный метод идентификации рисков. Цель – составить перечень возможных рисков, которые позднее могут быть отобраны в процессе окончательного формирования списка рисков. При использовании этого метода организуются встречи с наиболее квалифицированными специалистами, которые высказывают свои идеи по рискам проекта.

На первом этапе все члены команды называют риски, которые кажутся им наиболее актуальными. Все предложения записываются без обсуждения, это продолжается до тех пор, пока есть идеи, которые можно записать, или до наступления определенного срока. Встреча может оказаться более удачной, если участники подготовятся заранее, выбрав определенные категории рисков. На втором этапе происходит обсуждение предложенных рисков. Оставляют только те риски, которые команда признала интересными для дальнейшего рассмотрения. Встречи проходят без перерыва и без комментариев по поводу суждения каждого – споры и замечания не допускаются. Затем риски группируются по типам и их характеристикам, им даются определения.

Основным недостатком этого метода является то, что на встречах участники не имеют возможности выступить анонимно, что может повлиять на качество результата, в случае если участник боится выступить с идеей, обратной мнению начальника или более авторитетного лидера.

Метод Дельфи. Метод Дельфи позволяет достичь единогласия экспертов и специалистов в области управления рисками. В данном методе используется группа экспертов от семи до десяти человек. Метод во многом похож на метод мозгового штурма, однако есть важные отличия. Во-первых, при применении этого метода эксперты участвуют в опросе анонимно. Метод предполагает анонимное заполнение анкет или опросников экспертами с последующей корректировкой оценки на основании обработанных комплексных результатов экспертизы. Все участники опроса определяются заранее, но в экспертизе выступают, не встречаясь друг с другом. Поэтому результат характеризуется меньшей субъективностью, меньшей предвзятостью и меньшим влиянием отдельных экспертов. Во-вторых, опрос экспертов проводится в несколько этапов. На каждом этапе ведущий рассылает анкеты, собирает и обрабатывает ответы. Полученные результаты рассылаются экспертам для уточнения с учетом мнения других экспертов. Каждый эксперт имеет возможность ознакомиться с комплексными результатами экспертизы, а затем дать новую, более взвешенную оценку. Согласованный список рисков может быть получен в результате нескольких итераций заочных согласований. В итоге получается список рисков в порядке их важности, основанный на независимом мнении каждого привлеченного эксперта. Данный метод позволяет достичь некоего общего мнения специалистов о рисках, а также уменьшить необъективность, предвзятость анализа и преждевременное влияние отдельных членов группы на мнения других экспертов. Недостатком этого метода может являться сложность реализации всех этапов.

SWOT-анализ. SWOT-анализ (Strength, Weaknesses, Opportunities and Threats) – оценка качеств проекта ИТ с точки зрения сильных и слабых сторон, возможностей и угроз. SWOT-анализ обеспечивает анализ проекта с каждой из перечисленных сторон, чтобы сформулировать предположения об основных угрозах реализации проекта в целом.

Так, например, при проведении SWOT-анализа сильные стороны (Strength) описывают более развитые, проработанные составляющие проекта ИТ, такие как наличие опыта персонала в подобных проектах, наличие требуемых навыков и квалификаций, наличие бесперебойных технологий, обеспечивающих достижение целей проекта ИТ. Слабые стороны (Weakness) описывают составляющие проекта, представляющие угрозу своей неясностью, неполнотой, слабой проработкой или организацией, например нечеткая постановка целей или нежелание сотрудников переходить на новые технологии. Возможности (Opportunities) представляют возможности по стратегии реализации проекта, дополнительные преимущества, получаемые за счет минимизации затрат и максимизации результата, такие как уменьшение трудозатрат за счет использования более развитых информационных технологий, обеспечение безопасности данных или увеличение скорости обмена информацией между сотрудниками. Угрозы (Threats) определяют факторы, которые могут помешать выполнить проект с плановыми результатами либо вообще сделать его реализацию невозможной, бессмысленной, невыгодной и т. д., например несовместимость технологий, невозможность переноса данных из одной системы в другую, прекращение финансирования проекта в результате административной реформы и организационных изменений (рис. 10).

При всех положительных характеристиках SWOT-анализа основным и существенным недостатком являются низкая степень детализации полученных параметров и возможность неоднозначной интерпретации рисков из-за слишком общих категорий анализа сторон проекта.

Интервью (опросы экспертов). Интервьюирование – метод проведения опросов и интервью экспертов специалистами по управлению рисками проекта. Этот метод обычно используется для уточнения деталей риска, исследования новых рисков или проверки тех областей проекта, которые были перепланированы. Риски могут быть идентифицированы с помощью опросов, проводимых специалистами по управлению рисками проекта. Лица, ответственные за идентификацию рисков, определяют подходящих специалистов в различных функциональных областях проекта. Специалисты, дающие интервью, базируются на своем опыте, информации о проекте и других источниках и могут оказать огромную помощь в избегании повторного решения одних и тех же проблем. Однако при использовании мнения экспертов нужно соблюдать осторожность. Если эксперту доверять безоговорочно и брать его советы, не задавая вопросов, то проект может пойти в неверном направлении.

Рис. 10. Пример SWOT-анализа для идентификации рисков ИТ-проекта

Поскольку внедрение новой ИТ должно осуществляться с поддержки бизнеса, это обусловливает необходимость проводить интервью как с бизнес-пользователями, так и с отделом ИТ. В связи с этим ограничением метода может являться разница в терминологии и языке общения между бизнесом и ИТ. Еще одним ограничением является тот факт, что привлечение экспертов, особенно нанимаемых за пределами своей организации, может стоить дорого. Поэтому необходимо обеспечить продуктивное и эффективное их использование – перед опросом эксперт должен получить вводную информацию и ясно понять цель опроса.

Контрольные списки/таблицы. Контрольные таблицы представляют собой списки типовых рисков, структурированные в соответствии с некоторой классификацией, которая использовалась на предыдущем проекте. Контрольные таблицы идентификации рисков могут быть разработаны не только в соответствии с накопленным опытом по предыдущим сходным проектам, но и на основе других источников (платных баз данных, прочего). Преимуществом использования контрольных таблиц является возможность быстрой и простой работы при условии, что предметная область и цели проекта близки. Недостаток заключается в невозможности составления полной, исчерпывающей контрольной таблицы, так как пользователь ограничен существующими видами рисков. В целях составления более полного перечня потенциальных событий контрольные таблицы следует использовать на первоначальном этапе планирования рисков, дополняя их специфическими рисками конкретного проекта.

Анализ предположений/сценариев. Анализ предположений (сетевые методы анализа) – метод, который исследует правильность предположений и затем идентифицирует риски, исходя из правильности, полноты и последовательности предположений. Данный метод идентификации направлен на определение областей, которые могут быть подвержены риску, исходя из правильности, полноты и последовательности предположений о данной области. Анализ предположений производится при аудите документов проекта и позволяет формулировать потенциальные риски, исходя из того, что выдвинутое предположение о проекте может оказаться неверным. Часто для анализа применяется гипотеза «что, если», при помощи которой можно исследовать правильность предположений о ходе выполнения проекта ИТ на каждом этапе жизненного цикла и идентифицировать риски, исходя из правильности, полноты и последовательности предположений. Например, если предположение, что «в ближайшие 5 лет в компании планируется увеличение данных в n раз и для передачи данных достаточно будет использовать сетевой кабель с пропускной способностью» неверно, то существует потенциальный риск невозможности обмена коммуникациями при увеличении информации более чем в n раз.

Анализ сценариев помогает выбрать один из нескольких вариантов реагирования в случае наступления одного из факторов риска. После определения фактора риска или неопределенности следует использовать следующие принципы анализа сценариев:

1) определить участников принятия решений и ответственных за возникновение риска (кто принимает решение?);

2) определить последствия неопределенности (на что влияет?);

3) определить характер изменений и способ реагирования на риски (что изменить и как?).

Например, если проект испытывает недостаток квалифицированных специалистов, то могут возникнуть сложности с внедрением системы и ее дальнейшей поддержкой. Или же если система обладает избыточной функциональностью, то дальнейшая поддержка системы окажется сложной и дорогостоящей.

Просмотр и оценка большого числа сценариев являются трудоемким процессом, но при этом расширяют область поиска решений и увеличивают вероятность получения наилучшего решения. Для каждого изменения предполагается, как правило, несколько альтернативных сценариев, из которых можно выбрать наиболее оптимистичный вариант.

Для оценки сценариев изменений необходимо использовать классификацию изменений (социальные, политические, экономические, технологические, технические и прочие), которая может отличаться в зависимости от проекта внедрения и стратегических целей в программе ИТ-проекта.

Главный недостаток данного метода заключается в субъективности выбора сценария реализации проекта и отсутствии учета информационной неопределенности.

Причинно-следственные диаграммы. Применение причинно-следственных диаграмм при идентификации рисков ИТ-проекта (рис. 11) представляет анализ графического отображения неопределенностей и прочих аспектов проекта. Применение причинно-следственных диаграмм позволяет выявить причинно-следственные связи, которые могут привести к возникновению риска. Использование диаграмм следует связывать с использованием будущих ИТ, которые оцениваются с применением различных критериев и факторов на всех этапах жизненного цикла, включая разработку и использование ИТ в конкретной организации.

Рис. 11. Пример причинно-следственной диаграммы для идентификации ИТ-рисков

Использование диаграмм является очень наглядным, хотя и трудоемким методом идентификации рисков.

Структурирование рисков с использованием структурной декомпозиции риска (Risk Breakdown Structure, RBS) сформировано по аналогии со структурной декомпозицией работ проекта (WBS) и позволяет группировать риски по источникам появления для определения суммарного воздействия рисков.

Универсальный пример иерархических уровней структурной декомпозиции рисков ИТ-проекта представлен ниже в табл. 3.

Использование данного метода в области ИТ требует большого знания предметной области и наличия достаточной информации.

Для идентификации рисков необходимо привлекать как можно больше людей из команды проекта. Если в идентификации участвует только руководитель проекта, он может не учесть всех возможных рисков в силу ограниченности своих знаний. В результате идентификации рисков проекта ИТ должны быть получены списки рисков и рискообразующих факторов, при наступлении которых возможно получение отрицательного воздействия на проект ИТ. Каждый риск необходимо зарегистрировать, а именно:

• дать наименование риску и присвоить ему уникальный номер;

• определить ответственного за данный риск;

• описать причины возникновения риска;

• описать последствия наступления риска;

• зафиксировать статус риска (новый/в работе/закрыт).

Таблица 3.

Структурная декомпозиция рисков ИТ-проекта 

 

4.2. Качественная и количественная оценка рисков

Оценка рисков предполагает определение величины возможных результатов (позитивных или негативных) воздействия неопределенных факторов и вероятность (правдоподобность) их наступления.

Для оценки рисков можно применять качественную либо количественную оценку. Качественная оценка, как правило, основана на экспертных методах оценки, использующих шкалы и баллы в качестве базы для измерения. Качественную оценку легче выполнить, при этом результаты оценки достаточно наглядны. Количественная оценка рисков означает присвоение количественного значения качественному параметру и позволяет определить числовое выражение вероятности возникновения рисков и их влияние на проект, а также меру риска всего проекта. Количественная и качественная оценки могут осуществляться одновременно. Количественная оценка математически обоснована и позволяет оценить эффективность управления рисками за счет анализа затрат на снижение рисков. Количественная оценка считается более объективной при наличии достаточных статистических данных, экспертов в области моделирования и доступных программных средств для математической обработки данных.

Качественная оценка ИТ-рисков. Качественная оценка рисков – процесс представления качественного анализа и трансформации «сырого» списка рисков, составленного на шаге идентификации, в основную таблицу рисков с учетом их приоритетов. Основными целями шага анализа рисков являются их приоритезация и определение тех рисков, на которые стоит выделить ресурсы для дальнейшей работы с ними. При этом качественно оцениваются вероятность риска и важность его последствий. Для этого проектная группа определяет самые существенные из рисков. Для управления ими надлежит выделить необходимые ресурсы для планирования и реализации соответствующих стратегий, а также выявить несущественные риски, чьим влиянием можно пренебречь и вычеркнуть их из списка. Рискам приписываются ранги, характеризующие их обобщенный отрицательный эффект. Таким образом, проектная группа рассматривает риски из списка, составленного при их выявлении, задает приоритеты и формирует главную таблицу рисков.

При проведении качественной оценки рисков проектная группа может использовать как собственный опыт, так и «внешние» источники информации. В качестве таковых могут выступать правила и рекомендации, действующие в организации, базы данных рисков индустрии, имитационные и аналитические модели, а также управленческое звено организации, эксперты предметной области проекта и др.

По ходу работы над проектом и при изменении внешних обстоятельств шаги выявления и анализа рисков должны повторяться, и главная таблица рисков должна обновляться. В ней могут появляться новые риски и исчезать старые, не оказывающие более на проект существенного влияния.

Качественная оценка рисков трансформирует имеющиеся данные о рисках в форму, облегчающую принятие решений. Приоритезация рисков указывает, какие из них являются наиболее важными, и, как следствие, работа над ними должна быть проведена прежде всего.

По результатам качественной оценки рисков:

1) фиксируются результаты оценки вероятности возникновения и влияния рисков;

2) производится ранжирование рисков;

3) составляется перечень приоритетных рисков;

4) распределяется ответственность по наиболее ответственным рискам;

5) определяется перечень рисков, которые требуют дополнительного анализа, оценки и управления.

Процесс качественной оценки рисков состоит из нескольких последовательных этапов, которые мы рассмотрим более подробно.

Этап 1. Выбор ответственного/владельца риска. Обычно все идентифицированные риски распределяются между ответственными. За риск, как правило, отвечает тот, кто идентифицировал данный риск. Владельцы рисков (risk owners) наблюдают за признаками наступления риска, а также управляют ответными процедурами в случае возникновения данного риска. Сотрудники становятся владельцами рисков в силу специфических экспертных знаний или в связи с тем, что они обладают определенным контролем над специфическим риском. Обычно чем раньше в процесс управления рисками вводится владелец риска, тем лучше.

Этап 2. Анализ допущений. Анализ допущений (assumption testing), которые были сделаны в процессе идентификации рисков, необходимо выполнить, прежде чем непосредственно переходить к качественному и количественному анализам рисков.

Отсутствие информации делает данные еще более рискованными. Если допущения оказываются ложными, степень риска проекта существенно увеличивается. Поэтому необходимо проанализировать стабильность каждого сделанного допущения, а также последствий, если допущение неверно.

Этап 3. Выбор шкал для экспертной оценки. После завершения работы с погрешностью данных необходимо понять, какие шкалы степени воздействия рисков будут использованы и какие методики качественного анализа могут применяться.

Наиболее простая и удобная в использовании методика оценки заключается в выработке проектной группой коллективных оценок двух общепризнанных параметров каждого из рисков – вероятности возникновения (risk probability) и степени влияния риска (risk impact).

Поскольку качественная оценка проводится на основе опроса мнения экспертов и анкетирования (балльная, рейтинговая оценка), то для формирования оценок следует определиться со шкалой измерения, исходя из полноты, рациональности использования, минимальной размерности шкалы.

Шкалы представляют собой определенные наборы степеней воздействия рисков на проект в целом. На данном шаге шкала воздействия определяется субъективно. Можно использовать существующие шкалы степени воздействия тех или иных рисков либо можно построить и свои шкалы. Шкала оценки вероятности возникновения риска может различаться в зависимости от принятой в организации стратегии и от чувствительности организации к конкретному виду воздействий. Шкала может быть относительной (значения представлены в описательном виде) и числовой. Оценка влияния, как правило, производится по разработанной заранее матрице, в которой потенциальный эффект, который может оказать риск на стоимость, сроки, качество и содержание проекта, ставится в соответствие определенному значению (описательному или числовому).

Существуют следующие шкалы измерения:

• номинальные: допустимое/недопустимое значение;

• качественные: вероятность очень мала/значительна/велика;

• количественные (0–1).

ИТ-риски можно оценивать по объективным или субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования за определенный промежуток времени. Примером субъективного критерия является оценка владельцем информационного ресурса риска выхода из строя этого оборудования. Для этого обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровни.

Наиболее распространены субъективные критерии, измеряемые в качественных шкалах, поскольку оценка должна отражать субъективную точку зрения владельца информационных ресурсов, а также должны быть учтены различные аспекты, не только технические, но и организационные, психологические и т. д.

Для построения функциональных соответствий между нечеткими лингвистическими описаниями (типа «высокий», «теплый» и т. д.) и специальными функциями, выражающими степень принадлежности значений измеряемых параметров, была реализована в первоначальном замысле математическая теория нечетких множеств.

Математическая теория нечетких множеств была предложена профессором Л. А. Заде, она открывает большие возможности перед системными аналитиками в области управления рисками на основе применения нечеткой логики. Теория нечетких множеств Л. А. Заде описывает подход, который позволяет эксперту наилучшим образом формализовать свои нечеткие представления, трансформировав язык слов в язык количественных оценок. Этот подход применим всюду, где свидетельства о тех или иных проявлениях объекта научного исследования количественно ограничены и качественно разнородны. Если эксперт хорошо знает предприятие изнутри, то ему не составит никакого труда выделить именно те факторы, которые наиболее влияют на процессы потери платежеспособности (включая ошибки менеджмента), сопоставить этим факторам количественные показатели и пронормировать их. При этом если эксперт затрудняется с классификацией, он может в ходе нормирования успешно применять уже существующие нечеткие описания с последующим арифметическим анализом и оценкой рисков принятия того или иного решения.

Например, менеджер ИТ-проекта не может четко разграничить понятия «высокой» и «максимальной» вероятности или когда надо провести границу между средним и низким уровнями показателя. Тогда применение нечетких описаний означает интерпретацию лингвистических переменных, которые определяет менеджер. Например, переменная «уровень менеджмента» может обладать лингвистическими значениями «очень низкий, низкий, средний, высокий, очень высокий» и принимать значения от нуля до единицы. Одной из важнейших задач при переходе из качественного в количественный признак являются агрегирование информации и применение нечеткого управления как одного из самых результативных областей применения теории нечетких множеств.

Этап 4. Экспертная оценка вероятности возникновения и степени влияния риска. Формально процедура экспертной оценки чаще всего состоит в разработке перечня критериев оценки в виде экспертных (опросных) листов, содержащих вопросы. Для каждого критерия назначаются весовые коэффициенты, которые не сообщаются экспертам. По каждому критерию составляются варианты ответов, веса которых также неизвестны экспертам. Эксперты, проводя экспертизу, должны обладать полной информацией об оцениваемом проекте, анализировать поставленные вопросы и отмечать выбранный вариант ответа. Далее заполненные экспертные листы обрабатываются, и выдаются результаты проведенной экспертизы.

Вероятность возникновения риска (risk probability) – это мера возможности того, что последствие риска, описанное в его формулировке, действительно наступит.

Вероятность возникновения риска является базовой составляющей риска и определяет отношения количества случаев, когда событие, связанное с риском, произошло, к общему количеству аналогичных проектов. Вероятность риска должна быть больше нуля, так как иначе он из себя ничего не представляет. Также вероятность риска должна быть меньше единицы, иначе риск не содержит неопределенности и представляет собой уже известную проблему. Если вероятность риска равна единице либо риск высоковероятен (более 0,8 наступления события) – такая вероятность выводит проблему из разряда рисков и переводит в разряд фактов. Оценку вероятности можно получить на основании метода экспертных оценок, опыта прошлых проектов и предположений участников проекта. В большинстве ситуаций проектные группы могут представить собственный опыт и/или имеющиеся в индустрии опытные данные в виде простых и понятных формулировок, которые затем могут быть превращены в числовые значения.

Для оценки вероятности применяются шкалы, позволяющие упростить работу эксперта по определению оценок с любой точностью. При упрощенной оценке вероятности возникновения малозначимых рисков зачастую риску присваивают вероятность либо 1, либо 0. Соблазнительно применить для оценки шкалы типы «данный риск имеет вероятность 0,65» или «риск оценивается как 0,48». Однако использование подобных шкал предполагает, что имеется модель для расчета и значение достоверно. Такая высокая точность спорна. Наиболее эффективной шкалой вероятности риска является простейшая градация «низко – средне – высоко», отображаемая в отдельно взятые численные значения (0,17 0,5 0,84), либо же сложные оценки таких выражений, как «почти невозможно», «маловероятно», «возможно», «почти наверняка» (семиуровневая градация), и прочие градации (табл. 4).

Таблица 4.

Пример шкалы для оценки вероятности риска 

При проведении численного оценивания рисков необходимо использовать для каждого из них один и тот же диапазон, чтобы полученная приоритезация была единообразна. Можно также оценить вероятность на основе имеющейся словесной формулировки или числового интервала.

Влияние/воздействие риска (risk impact) – представляет собой меру серьезности негативных последствий, уровень убытков или оценку потенциальных возможностей, связанных с риском.

Влияние должно быть непосредственным числовым выражением последствия риска, описанного в его формулировке. Оно может оцениваться в денежных единицах или же по некоторой субъективной шкале. Выражение влияния всех рисков в деньгах имеет то преимущество, что оно будет более понятно инвесторам бизнеса. Финансовые угрозы рисков могут представлять собой долговременные расходы на функционирование и сопровождение продукта, уменьшение доли компании на рынке, прочее.

Предпочтительна субъективная пятибалльная или десятибалльная шкала для оценки угрозы рисков. Для применения простых методик приоритезации рисков в главной таблице рисков необходимо указать величины угрозы всех рисков в одинаковых единицах.

Степень влияния риска часто определяется расчетом затрат на восстановление, если нежелательные события произойдут, – другими словами, дополнительными затратами, требующимися для успешного завершения проекта. Проблема точности оценки масштаба последствий менее актуальна, чем для вероятности, но она также существует.

Таблица 5.

Шкала для оценки влияния риска (пример) 

Как показано в табл. 5, степень влияния риска может выражаться в присвоении одного из значений степени влияния риска на различные показатели ИТ-проекта, например: очень сильное – 0,8, сильное – 0,4, среднее – 0,2, слабое – 0,1, очень слабое – 0,05.

Многие компании используют трехуровневые шкалы воздействия рисков типа «высокая – средняя – низкая». Проблема состоит в том, что такой подход сделает распределение рисков при их сортировке на стадии качественного анализа слишком плотным – будет сложно понять, какие риски окажутся приоритетными.

Этап 5. Построение матрицы Вероятность × Воздействие и приоритезация рисков. Интерпретация качественных оценок в количественные показатели позволяет менеджеру риска построить матрицу количественных показателей с ранжированными по приоритетам рисками, которая будет основана на качественных показателях матрицы Вероятность × Воздействие.

Для построения матрицы используются полученные оценки «вероятность возникновения риска» и «воздействие/влияние риска». Произведение этих двух величин дает единую метрику риска, называемую ожидаемой величиной (Exposure), которая используется при ранжировании рисков (табл. 6) и заполняется в ячейки матрицы. Ранжирование для каждого риска происходит совместно на совещании рабочей группы. Определяется пороговое значение для критических рисков (например, значение >0,28).

Обычно те факторы, которые «вероятны» или «высоковероятны» и имеют «серьезные» или «средние» последствия, являются кандидатами на высокий приоритет. Факторы, которые «маловероятны» и имеют «незначительные» последствия, не являются кандидатами для управления. Однако они должны документироваться и включаться в процесс анализа. Отметим, что «маловероятные» факторы риска, но с «серьезными» последствиями должны быть предметом тщательного рассмотрения.

Таблица 6.

Матрица Вероятность × Воздействие 

Еще одним критерием, с учетом которого можно устанавливать приоритет факторов риска, является его срочность (безотлагательность), то есть момент времени, когда произойдет событие, связанное с фактором риска, и проявятся его отрицательные последствия.

Все три критерия – «серьезность», «вероятность», «срочность» – используются для приоритезации потенциальных факторов рисков. При оценке факторов отдельным лицом неизбежно присутствует субъективизм. Обычно коллектив старается достичь согласия относительно приоритетов факторов, на основании которых должны быть выделены факторы для управления риском.

Для наглядной визуализации рисков существует возможность преобразовать матрицу Вероятность × Воздействие в карту рисков (рис. 12). Преимущество графической формы представления уровней рисков заключается в том, что в отчетах для спонсоров и других заинтересованных лиц различные группы рисков могут быть выделены различными цветами с наглядным отображением порогового уровня. Такое разделение очень четко и легко понимаемо («красный риск» воспринимается легче, чем «большая ожидаемая величина Risk Exposure»).

Рис. 12. Карта рисков с приемлемым пороговым уровнем

Самое важное на шаге приоритезации рисков – принять решение по поводу пороговых величин, которые будут участвовать в дальнейшем рассмотрении. Это сложный вопрос, по которому трудно дать конкретные рекомендации. Огромную роль здесь играет опыт руководителя проекта, а также уровни рисков, которые приняты как пороговые в компании. Многие руководители определяют «допустимый» риск, то есть риск, который считается приемлемым для конкретного этапа жизненного цикла.

Для приоритезации рисков специалисты компании Microsoft рекомендуют также использовать принятые формулировки риска, все возможные накопленные знания о рисках и рискообразующих факторах, корпоративные правила и инструкции, а также управленческие решения (рис. 13).

Рис. 13. Процесс анализа и приоритезации рисков согласно методологии MSF

По результатам оценки и анализа рисков эксперты формируют качественные характеристики каждого риска (могут быть сгруппированы по приоритетам) и первую консолидированную оценку степени риска проекта.

Этап 6. Документирование незначимых рисков. «Легковесные», или незначимые, риски, не вошедшие в дальнейшее управление рисками, должны быть задокументированы, чтобы можно было по мере выполнения проекта быстро понять, как ведет себя данный риск. Некоторые риски могут быть незначительными в силу их неправдоподобности, то есть практически стабильной нулевой вероятности. Другие могут быть признаны незначимыми, так как имеют очень малую угрозу, то есть более выгодным оказывается принятие возможного ущерба, нежели затраты усилий на управление. Для таких рисков проектная группа сводит к нулю все затраты и усилия на мониторинг рисков. Фиксация незначимых рисков позволяет проектной группе сосредоточиться на других рисках, действительно требующих активного управления.

Поскольку невозможно до начала проекта спрогнозировать проект на 100 %, по мере выполнения проекта и обретения лучшего понимания его составляющих рейтинги рисков будут меняться. Не рекомендуется откладывать риски, угроза которых выше определенного порога, если только проектная группа не является абсолютно уверенной в том, что их вероятность и ожидаемая величина останется низкой при любых непредвиденных обстоятельствах.

Далее необходимо определить, стоит ли переходить к количественному анализу рисков или ограничиться полученными качественными оценками.

 

Количественная оценка ИТ-рисков

Количественная оценка рисков – это трансформация идентифицированного списка в основную таблицу рисков на основе количественного анализа характеристик неопределенности (распределения вероятностей, диапазона изменения неопределенных параметров и т. д.). По результатам количественного анализа рисков происходит дальнейшее обновление карты рисков и может быть построена новая версия карты рисков. Количественная оценка позволяет определить числовое выражение вероятности возникновения рисков и их влияние на проект, а также меру риска всего проекта.

Как правило, переходить к количественному анализу имеет смысл, если:

• доступны инструменты количественного анализа рисков;

• количественный анализ стоит затрат времени и средств, потраченных на него;

• приоритет проекта очень высокий или же проект находится в центре внимания руководства;

• отмечается наличие опыта и специалистов для выполнения количественного анализа рисков.

Если проект краткосрочный или малобюджетный и у менеджера проекта недостаточно опыта в управлении рисками, вместо количественного анализа можно переходить сразу к этапу реагирования на риски.

Процесс количественной оценки проекта осуществляется с целью определения вероятности достижения целей проекта, степени воздействия риска на проект, объема резервов, которые могут понадобиться, реалистичных затрат и сроков окончания проекта. Задача количественного анализа также состоит в численном измерении влияния изменений рискованных факторов проекта на поведение критериев эффективности проекта.

Проведение полного количественного анализа рисков не всегда возможно. Наиболее частым ограничением является достаток информации о системе или деятельности, подвергающейся анализу. Менеджер ИТ-проекта часто встречается с отсутствием или недостатком статистических данных – данных об отказах, влиянии человеческого фактора, прочих рисках. Неточность исходных данных и ограничения аналитических методов также могут привести к неточным количественным расчетам. Отсутствие инструментов реализации количественной оценки может привести к затянутым срокам оценки и неэффективному использованию ресурсов, занятых в процессе.

Для реализации процедуры количественной оценки рисков ИТ-проекта предлагается использовать следующие основные методы.

1. Анализ чувствительности – состоит в определении набора рисков, имеющих наибольшее влияние на значение параметров эффективности проекта. При этом рассчитывается влияние значения одного из параметров проекта на один из показателей эффективности, при неизменности остальных параметров системы.

2. Сценарный анализ – предполагает, что развитие ситуации может происходить разными путями, при этом ни один из путей не является предопределенным. В результате анализа различных сценариев можно получить информацию о возможном ущербе и опасности данного риска.

3. Построение дерева решений – для выявления возможных альтернативных вариантов развития проекта и оценки вариации уровня риска и затрат; описывает рассматриваемую ситуацию с учетом каждой из имеющихся возможностей выбора и возможного сценария.

4. Анализ ожидаемой денежной стоимости (ОДС) – производится путем умножения значения каждого возможного денежного результата на вероятность его появления, а затем полученные значения суммируются.

5. Моделирование и имитация – при моделировании проекта используется модель для определения последствий от воздействия подробно описанных неопределенностей на результаты проекта в целом. Моделирование подразумевает построение модели проекта, которая отражает преобразование возможных колебаний параметров задач проекта в их воздействие на весь проект.

Каждый из перечисленных методов имеет свои достоинства и недостатки. Наиболее часто используемыми результатами являются диаграммы частоты в зависимости от последствия, либо совокупная стоимость ущерба, и статистически ожидаемый размер потерь от возникновения аппаратных сбоев, программных ошибок, нарушения безопасности, вирусных атак. Также широко используется распределение риска с соответствующим уровнем ущерба, представленное в виде графика и указывающее уровни равного ущерба.

Решение о применении каждого из методов должно быть основано на уверенности проектной группы в том, что его вклад в процесс приоритезации или планирования окупит дополнительные расходы. Рассмотрим каждый из методов более подробно.

1. Анализ чувствительности. Это стандартный метод количественного анализа, который заключается в изменении значений критических параметров (количество пользователей, объем операций, устойчивость к сбоям, производительность системы, время доступности системы и прочее) и расчете показателей эффективности проекта при каждом таком изменении. Анализ чувствительности можно реализовать как с помощью специальных программных пакетов, так и программы Excel.

Анализ чувствительности позволяет определить риски, имеющие наибольшее влияние на проект, и состоит в определении набора рисков, имеющих наибольшее влияние на значение параметров эффективности проекта. Основная идея метода исследования чувствительности состоит в анализе уязвимости, степени изменяемости коррелируемых показателей по отношению к изменениям параметров моделей: распределение вероятностей, областей изменения тех или иных величин (рис. 14). При этом рассчитывается воздействие изменения одного из входных параметров проекта на один из параметров эффективности. Пример: увеличение затрат на тестирование на 30 % приводит к увеличению стоимости проекта в 2 раза.

Рис. 14. Пример анализа чувствительности

Анализ чувствительности показывает связь двух факторов проекта при неизменных остальных показателях. Чем сильнее зависимость, тем критичнее воздействие выбранного рискового фактора, тем больше внимания необходимо ему уделить.

Выделяют два вида анализа чувствительности:

• относительный анализ – результат выражается в процентах отклонения параметра от первоначального значения;

• абсолютный анализ – чувствительность выражается в единицах измерения исследуемого параметра.

Методика анализа чувствительности очень наглядна и является хорошей иллюстрацией влияния отдельных исходных факторов на конечный результат проекта. Однако главным недостатком является то, что анализируется влияние только одного из факторов, а остальные считаются неизменными. Если на практике изменяются сразу несколько показателей, применение данного метода может быть ограничено.

2. Сценарный анализ. Методы, применяемые в настоящее время в сценарном анализе, используют конечное число сценариев, каждый из которых требуется предварительно подготовить. Более простым представляется подход с непрерывным числом исходных альтернатив-сценариев, когда их множество задается указанием его границ. Сценарий должен быть вероятным.

Для выполнения сценарного анализа необходимо определить перечень критических факторов, которые будут изменяться одновременно. Для этого, используя результаты анализа чувствительности, можно выбрать 2–4 фактора, которые оказывают наибольшее влияние на результат проекта. Рассматривать одновременно большее количество факторов не имеет смысла, поскольку это только усложняет расчеты. Обычно рассматривают три сценария: оптимистический, пессимистический и наиболее вероятный, но при необходимости их число можно увеличить. В каждом из сценариев фиксируются соответствующие значения отобранных факторов, после чего рассчитываются показатели эффективности проекта.

Пример: необходимо рассчитать вероятность, что количество сбоев в системе не будет превышать значение X. Для этого выберем ключевой фактор для построения сценариев – объем выполняемых операций. В качестве дополнительных факторов выберем количество пользователей и нагрузку на систему. Для расчета эффекта возьмем несколько сценариев – по полученному значению (накопленное нормальное распределение) определим расчетную вероятность. Расчетная вероятность может быть определена как с помощью специальных программных пакетов, так и программы Excel путем имитации с использованием генерации случайных чисел. Именно с этой вероятностью количество сбоев в системе не будет превышать заданное значение X.

3. Построение дерева решений. Суть метода состоит в разбиении задачи на ряд подзадач и представлении в виде дерева решений, которое завершается исходами с субъективной вероятностью. Для оценки исходов используют весовые коэффициенты и распределяют элементы данных на все более и более мелкие группы.

Дерево решений – метод построения логически связанной цепи событий от текущего момента времени к будущему. Как правило, дерево решений используют, когда нужно принять несколько решений в условиях неопределенности и когда каждое решение зависит от исхода предыдущего или исходов испытаний. Составляя «дерево» решений, нужно нарисовать диаграмму, где «ствол» и «ветви» отображают структуру проблемы. Располагаются «деревья» слева направо или сверху вниз. «Ветви» обозначают возможные альтернативные решения, которые могут быть приняты, и возможные исходы, возникающие в результате этих решений. При построении соблюдаются хронология событий и логика принятия управленческих решений, выбирается наиболее оптимальное решение. Как показано в примере (рис. 15), расходы для первого варианта «новое оборудование» составляют $120, для второго варианта «модернизация» – $50. При этом вероятность востребованности расширенных возможностей составляет 0,65. Вероятность невостребованности этих возможностей составляет 0,35. Для нового оборудования востребованные возможности составляют доход $200, невостребованные возможности – доход $90. Для варианта установки нового оборудования при больших расходах получаем большую отдачу (которая может быть востребована или нет – варианты 1 и 2). Второй вариант – более дешевая модернизация оборудования с меньшими возможностями. Полученные результаты обеспечивают поддержку принятия решений при выборе оптимальной реализации проекта с точки зрения стоимости и вероятности наступления рискового события.

Рис. 15. Пример дерева решений

При построении дерева решений рассчитывается ожидаемая денежная стоимость для каждого из рассматриваемых вариантов (EMV – Expected Mone-tary Value). Если дерево содержит большое количество альтернативных решений, можно оценивать только наиболее приоритетные ветви. Ожидаемая денежная стоимость считается для одного или нескольких вариантов решений по следующей формуле:

EMV = Вероятность исхода1 × Стоимость исхода1 + Вероятность исхода2 × Стоимость исхода2 + … + Вероятность исхода(n) × Стоимость исхода(n).

Рассчитаем EMV для примера на рис. 13 по формуле EMV = (Доход – Расход) × Вероятность + (Доход – Расход) × Вероятность. Получим следующие значения:

EMV (Новое оборудование) = (200–120) × 0,65 + (90 – 120) × 0,35 = 41,5. EMV (Модернизация) = (120 – 50) × 0,65 + (60–50) × 0,35 = 49.

Далее выбирается вариант максимального EMV.

Метод деревьев решений позволяет специалисту определить оптимальную последовательность действий с учетом личных оценок и предпочтений. Ограничением практического применения данного метода является исходная предпосылка о том, что проект ИТ должен иметь обозримое или разумное число стратегий, а также слишком большая субъективность оценок вероятностей. Метод может быть полезен в ситуациях, когда решения, принимаемые в каждый момент времени, сильно зависят от решений, принятых ранее, и, в свою очередь, определяют сценарии дальнейшего развития событий.

В результате построения диаграммы дерева решений:

• выявляются важные (узловые) события и представляются в графическом виде;

• отражаются вероятности и величины затрат и выгод каждой логической цепи событий и будущих решений;

• используется анализ ожидаемой денежной стоимости для определения относительной стоимости альтернативных операций.

Для анализа рисков стоимости и расписания рекомендуется применять моделирование, так как оно обладает большей мощностью и снижает вероятность неправильного применения по сравнению с анализом ожидаемой денежной стоимости.

5. Моделирование и имитация. Имитационное моделирование – техника численных экспериментов, с помощью которых можно получить эмпирические оценки степени влияния различных факторов – исходных величин, которые точно не определены, на зависящие от них результаты – показатели.

Имитационное моделирование часто используется для количественной оценки воздействия изменений значений параметров системы (например, в случае наступления рискового события) на выбранные показатели (группу показателей) успешности проекта. Для проведения моделирования критичным является выбор или разработка математической модели, наиболее точно имитирующей поведение оцениваемого показателя.

Самый распространенный метод имитационного моделирования Монте-Карло дает наиболее точные и обоснованные оценки вероятностей при наименьших трудозатратах по сравнению с прочими методами, однако точность оценок в значительной степени зависит от качества исходных предположений и учета взаимосвязей переменных внешней среды. Современные программные средства позволяют учесть форму распределения вероятностей и корреляции десятков внешних переменных, однако оценить эти значения в практическом исследовании обычно достаточно непросто.

Упрощенный алгоритм моделирования Монте-Карло состоит из следующих шагов.

1. Задаются границы изменения параметра (факторов). При имитационных прогонах переменная выбирается случайным образом в соответствии с типом распределения и в границах заданного диапазона.

2. С помощью компьютерной программы, имитирующей случайность процессов, случайным образом выбираются значения параметра из заданного интервала и рассчитывается значение события. Значение рассчитывается исходя из выбранного распределения для ключевых параметров модели. Выбор распределения осуществляется либо по прошлой информации (статистические данные), либо по оценкам экспертов.

3. Проводится большое число прогонов, что позволяет получить множество случайных значений события, для которых могут быть рассчитаны среднее значение и стандартное отклонение (d). Каждый прогон происходит с вероятностью Р = 100/N (размер выборки). Для получения вероятности всех прогонов полученную величину Р умножаем на количество прогонов (с получением анализируемого результата).

4. Применяется правило трех сигм (при предположении о нормальности распределения вероятности), при котором значение окажется в трех интервалах:

• с вероятностью 0,68 в диапазоне ±1d);

• с вероятностью 0, 95 в диапазоне (±2d);

• с вероятностью 0, 99 в диапазоне (±3d).

Таким образом, обещая клиенту, что мы закончим проект в срок, соответствующий точке наиболее вероятного значения, мы имеем 50-процентную возможность окончить проект позднее обещанной даты (при выборе нормального распределения).

5. На основе полученных результатов принимается решение о целесообразности дальнейших действий при заданных параметрах. Например, если с вероятностью более 0,94 нижняя граница оценки проекта положительна, то проект рассматривается как проект низкого риска для заданного фактора риска.

В результате моделирования получается диаграмма, показывающая вероятности всех возможных сроков завершения проекта и вероятности возможных затрат с четким изображением наиболее вероятных затрат по проекту (рис. 16, 17).

Рис. 16. Прогноз даты завершения проекта на основании количественной оценки риска

Рис. 17. Прогноз суммарной стоимости проекта на основании количественной оценки риска

Практическое применение метода Монте-Карло продемонстрировало широкие возможности его использования, особенно в условиях неопределенности и риска. Моделирование дает более точные оценки, чем другие методы, например анализ сценариев, что обусловлено перебором промежуточных вариантов. Данный метод особенно удобен для практического применения тем, что удачно сочетается с другими экономико-статистическими методами, а также с теорией игр и другими методами исследования операций.

Однако для использования этого метода необходим большой объем исходной информации, основанной на анализе статистических данных. Вероятностные распределения различаются по каждой позиции и меняются со временем, некоторые составляющие зависят от развития в предыдущих периодах (условная вероятность), существует вероятность появления определенной последовательности статистических данных (появления ошибок, прочего). Точность предоставленных данных и прогнозных оценок напрямую повлияет на качество моделирования.

Пожалуй, самый новый метод моделирования проекта, позволяющий наиболее комплексно описать проект и с помощью имитационного моделирования процессов, протекающих в проекте, определить источники риска и даже количественно описать их.

Основной недостаток метода – необходимость большего количества времени для построения модели. Другая проблема – необходимость «притирки» модели – уточнения коэффициентов и параметров модели. В итоге метод более ресурсоемкий, по сравнению с другими методами, но предоставляет более полную и ясную картину рисков проекта.

 

Выводы по количественной оценке рисков

Результатами процедуры количественной оценки являются список приоритетных рисков с количественными оценками их влияния и прогноз вероятной продолжительности и стоимости проекта.

Количественная оценка рисков, проведенная в полном объеме, с использованием предложенных методик, позволяет компании определить:

• вероятность достижения конечных целей ИТ-проекта;

• прогноз степени воздействия риска на проект и оценку объемов непредвиденных затрат и материалов, которые могут потребоваться;

• риски, требующие скорейшего реагирования и повышенного внимания, а также количественную оценку влияния их последствий на проект;

• реалистичные прогнозы затрат и предполагаемые сроки завершения проекта.

Для каждого типа риска существуют свои методы анализа и конкретные особенности их реализации. Чем более простой алгоритм, тем он грубее, но при этом легче объяснить полученные результаты. Наиболее мощные алгоритмы способны находить сложные нелинейные зависимости, но их интерпретация является непростой задачей. На практике необходимо находить компромисс между точностью и простотой. Например, при анализе технико-производственных рисков, связанных с отказом оборудования, наибольшее распространение получили методы построения деревьев.

Существенную роль играют объем и качество исходных данных. Так, если имеется значительная база данных по динамике рискообразующих факторов, возможно применение методов имитационного моделирования и нейронных сетей. В противном случае вероятнее всего применение экспертных методов или методов нечеткой логики.

Принципиально важно также учитывать динамику показателей, влияющих на уровень риска. При выборе методов анализа следует принимать во внимание не только глубину расчетных данных, но и горизонт прогнозирования показателей, влияющих на уровень риска.

Большое значение имеют срочность и технические возможности проведения анализа. Если в распоряжении аналитика имеются солидный вычислительный потенциал и запас времени, возможно применение математически сложных методов – моделирования по методу Монте-Карло.

В настоящее время экономические системы и промышленные комплексы достигли такой сложности, что зачастую расчет их устойчивости невозможен без математического моделирования и элементов теории вероятностей.

 

4.3. Разработка реагирования на риски

Разработка реагирования включает в себя определение детальных стратегий и мероприятий в отношении главных рисков, приоритезацию этих мероприятий и создание сводного плана управления рисками. Разрабатываются мероприятия, обеспечивающие минимизацию вероятности и ослабление отрицательных последствий рисковых событий, при общем повышении вероятности успешного завершения проекта.

Процесс разработки реагирования на риски включает в себя распределение между участниками проекта ответственности за своевременное реагирование на рисковые события. Создание сбалансированной процедуры реагирования на риски предусматривает возможность выбрать меры реагирования на риски из нескольких заранее проработанных и оцененных альтернативных вариантов. Эффективность разработанных мер реагирования определяется снижением количества рисков и уменьшением серьезности их последствий на выполнение проекта. Задачи из плана управления рисками поручаются определенным членам проектной группы, и их выполнение подвергается активному мониторингу.

В результате разработки реагирования выбираются методы и технологии снижения отрицательного воздействия рисков на проект, формируется план реагирования на риски. Эффективность разработки реагирования прямо определит, будут последствия воздействия риска на проект положительными или отрицательными.

На этапе разработки реагирования в главной таблице рисков фиксируется дополнительная информация о наиболее приоритетных и значимых рисках. Методология MSF рекомендует вынести эту информацию в отдельные документы, используемые членами проектной группы, ответственными за соответствующие риски. План реагирования на риски, согласно MSF, содержит детальные стратегии и мероприятия для главных рисков, приоритезацию этих мероприятий и создание сводного плана управления рисками.

Последующее календарное планирование включает в себя интеграцию задач управления рисками в общий календарный график проекта. В качестве информации для принятия решений предлагается проанализировать список рисков с приоритетами, планы и календарные графики проекта, базу знаний о рисках (рис. 18).

Рис. 18. Процесс планирования реагирования согласно методологии MSF

Согласно другой методологии PMBoK, для осуществления выбора метода реагирования необходимо проанализировать следующую информацию:

• план управления рисками;

• приоритезированный список рисков;

• оценки рисков проекта;

• приоритезированный список рисков с оценками;

• вероятностный анализ проекта;

• вероятности достижения стоимостных и временных целей;

• список возможных реакций;

• пороги рисков;

• ответственные за риски;

• общие причины рисков;

• тенденции в анализе рисков.

В современном управлении рисками проектов существует множество методов реагирования на риск. В соответствии с планом реагирования на риски ИТ принимается решение об осуществлении или отказе от противорисковых мероприятий. При выборе метода реагирования всегда необходимо учесть стоимость метода реагирования (размер затрат на проведение мероприятий) и стоимость самого риска (затраты на устранение последствий риска в случае его наступления).

При оценке последствий риска оценивается некоторое количество параметров, часть из которых взаимосвязаны. Тяжелые проекты подразумевают анализ рисков всех процессов жизненного цикла – от инициации проекта до завершения внедрения – и предполагают оценку нескольких сотен параметров. Имеются в виду не только параметры верхнего уровня, но и детальные коэффициенты, которые приходится рассчитывать. Это дорогие, требующие больших ресурсов оценки, которые помогают расставить приоритеты дальнейшей деятельности и избавиться от значительных затрат в дальнейшем. Однако при принятии решения об оценке последствий риска необходимо взвесить усилия, необходимые на выполнение оценки, и усилия, которые понадобятся, если риск произойдет. Решение о выборе метода реагирования определяется на основе следующего алгоритма:

• определяется перерасход средств с учетом вероятности наступления неблагоприятного события;

• определяются затраты на реализацию возможных мероприятий по уменьшению опасности наступления риска;

• сравниваются требуемые затраты на реализацию предложенных мероприятий с возможным перерасходом средств вследствие наступления рискового события;

• процесс повторяется для следующего по важности риска.

Эффективность выбранного способа можно проверить по формуле