Перечень актуальных рисков, которыми действительно управляют, как правило, колеблется в пределах 10 – 20 на проект. В этот список попадают наиболее «актуальные» риски.
В работе «Вальсируя с медведями» выделены 5 наиболее распространенных рисков, из-за которых происходит большинство расхождений между планом и реальным ходом проекта:
1. внутренние изъяны календарного планирования;
2. изменение требований;
3. текучесть кадров;
4. нарушение спецификаций;
5. низкая производительность.
Рассмотрим наиболее распространенный риск «Изъяны календарного планирования». Он появляется из-за изъянов процесса планирования бюджета времени и средств. Ошибки календарного планирования состоят в неправильной оценке размеров продукта, который предстоит создать: могут быть упущены какие-либо работы, переоценка размера работ, оказавшаяся в плане, редко оказывается достаточной, чтобы компенсировать недооценку. Оценки календарного планирования основаны всего лишь на требованиях заказчика и чаще всего расходятся с итоговым сроком выполнения проекта. Когда календарное планирование строится без учета размера продукта, весьма вероятен перерасход времени на 50-80%.
Компании, которые прилагают усилия для определения размера продукта, могут сократить влияние ошибок календарного планирования до 15% и менее. Соответственно, заложен необходимый резерв времени, который высчитывается всё более точно с учетом опыта предыдущих проектов.
Ключевой момент в данном риске состоит в том, что когда проект не укладывается в график, то это происходит несмотря на работу разработчиков, а не благодаря ей.
Риск «Изменение требований» возникает в связи с тем, что область деятельности заказчика не остается статичной за время создания программного обеспечения. Она будет изменяться со скоростью, диктуемой рынком и собственными темпами технологического развития, а, следовательно, меняются и желания заказчика относительно проекта. С точки зрения проекта, эти изменения всегда являются раздуванием требований. Даже удаление того, что уже создано — своего рода раздувание, поскольку требует дополнительной работы.
На основании различных крупных проектов был сделан вывод о том, что размер разумно ожидаемых изменений составляет менее 1% в месяц. Компания-разработчик ПО должна предполагать такую возможность и иметь соответствующие ресурсы для удовлетворения изменений требований.
Следующим риском является «Текучесть кадров».
Оценка текучести кадров основана на следующих данных:
• средний процент текучести технического персонала в компании;
• оценка общих потерь времени при найме для каждой замены;
Общие потери времени - число месяцев, которое потребуется нанятому работнику на достижение того же уровня производительности, который был у замененного им работника. Обычно это время составляет от 2 месяцев на самых простых позициях в IT-отделах до 24 месяцев для компании, производящей очень сложные приложения. Длина этого периода зависит от того, насколько сложна область и насколько она отличается от опыта и навыков, наличие которых можно ожидать от начинающего разработчика.
Четвертый риск «Нарушение спецификаций» дискретный, если он реализуется, то это почти всегда губительно для проекта. Нарушение спецификаций относится к краху процесса переговоров по установлению требований, которые идут в начале проекта.
Распространенной попыткой «решения» проблемы является оттягивание решения, маскировка и утаивание проблемы с помощью двоякой трактовки спецификации.
Хотя возможно описать (специфицировать) продукт двусмысленно, но невозможно создать продукт неоднозначным. В итоге приходится столкнуться с отложенными проблемами, и конфликт разгорается вновь. В худшем случае это происходит на очень поздней стадии проекта, когда потрачены почти все отведенные на проект ресурсы (деньги и время). Проект очень уязвим в этой стадии, и отказ любой из сторон поддерживать его может привести к быстрому прекращению.
Нарушение спецификаций проявляется и в случае, когда недовольные участники проекта перегружают проект все большим и большим количеством функций. Такого рода «заваливание» обычно происходит в конце работы по анализу и приводит к невозможности договоренности по спецификациям.
Проявление этого риска вероятно в любом проекте, пока не происходит четкого прекращения прений по поводу спецификаций. После чего риск можно убрать.
Следующим риском является «Низкая производительность».
Команды разработчиков могут отличаться производительностью, но, в целом, скорость работы одинакова, если не подвержена влиянию других рисков. Однако для очень малых команд это неверно. Например, команда из одного человека подвержена куда большему воздействию низкой или высокой производительности.
Сбалансированный риск, вроде низкой или высокой производительности, просто вносит шум в процесс. Он расширяет диапазон неопределенности без сдвига среднего ожидаемого показателя, в каком бы то ни было направлении.
Данные риски можно использовать для оценки того, был ли процесс управления рисками осуществлен разумно. Если пять вышеперечисленных рисков не были учтены, то вряд ли можно говорить об управлении рисками.
Нужно ли?
Примеры стратегических рисков:
Финансовые риски:
Операционные риски:
Риски опасностей:
Понятие позитивного риска
Ключевой особенностью рассмотрения рисков в современном понимании риск-менеджмента является разделение рисков на позитивные и негативные.
Позитивные риски связаны с возможностями для развития компании, негативные — с препятствиями на пути этого развития. Оба вида рисков взаимосвязаны, так как неиспользование возможностей позитивного риска ведет к негативному риску.
Компания может игнорировать позитивные риски и упустить возможности, допуская следующие ошибки:
1. Избегание возможности. Нередко руководители, видя угрозу, опасаются думать о том, что она может коснуться их бизнеса. Избегание негативного риска ведет за собой потерю возможности.
2. Невозможность отказа от старых и проверенных продуктов, процессов и т.д. Даже если руководитель понимает, что появившаяся технология или другие изменения на рынке могут оказать на его бизнес серьезное влияние, он порой отказывается делать что‑либо, потому что не желает ничего менять в своей компании. Иногда это приводит к курьезным ситуациям, когда все игроки на рынке вкладывают деньги в новую технологию, ставшую уже стандартом в отрасли, и только одна компания не хочет изменяться.
3. Избегание денежных затрат. Несмотря на перспективность нового решения, компания не желает вкладывать средства в новую технологию и вместе с тем теряет рыночную долю.
Каждое управленческое действие имеет как позитивные, так и негативные риски. В случае проектов целесообразно разделить возможные позитивные и негативные последствия на денежные и временные. Кроме того, необходимо оценить приемлемость негативного риска и его критичность для конкретного управленческого решения.
Например, при принятии решения о реорганизации необходимо учесть не только позитивные возможности повышения прозрачности системы управления, но и негативные риски, связанные с отторжением преобразований и снижению производительности труда на достаточно длительный период.
Если негативные риски не являются критичными для отказа от проекта, то для сравнения проектов сначала необходимо определить сумму математических ожиданий для каждого из них. При этом математическое ожидание рисков должно быть рассчитано как в денежном, так и во временном выражении. После этого необходимо внести изменения в расчеты проектов путем простого добавления денежного математического ожидания к итоговому финансовому показателю эффективности, а временное — к продолжительности проекта.
Положительное математическое ожидание от рисков может возникать в результате реализации позитивных рисков.
Учет рисков на основании математического ожидания, положительного для позитивных рисков и отрицательного для негативных, может изменить приоритеты при принятии решений на основании ключевых показателей.
? (Надо ли, не ИТ сфера)Примеры позитивных рисков в противовес негативным:
Производство нового продукта. Маркетологи оценивают потенциал нового продукта и на основании цены и его ожидаемых потребительских свойств рассчитывают ожидаемые продажи. Однако новый продукт может как «провалиться», так и «выстрелить». Соответственно, провал продукта будет негативным, а успешность — позитивным риском. Вероятность и последствия каждого такого риска можно рассчитать и учесть при принятии решений.
При внедрении системы внутреннего контроля обычно рассматривается позитивный риск сокращения расходов. Однако необходимо рассматривать и негативные риски изменения процедур, связанные с их замедлением: несвоевременное принятие решения, увеличение трудозатрат и т.д. Поэтому результат усиления внутреннего контроля может быть как позитивным, так и негативным.
Существует перечень проблем, принятие решений по которым с учетом рисков показало свою максимальную эффективность. К ним относятся следующие решения:
· Выбор из стратегических альтернатив развития компании. Грамотно проведенная оценка рисков позволяет отказаться от заведомо рисковых вариантов с малой доходностью. Кроме того, в зависимости от стратегии компания может войти либо в наименее рисковые, либо в потенциально максимально доходные проекты. Кроме того, при выборе из существующих альтернатив развития, необходимо максимально учитывать стратегические риски, угрожающие компании в настоящее время.
· Любое осуществление инвестиций. Например, выбор технологий, территориальное размещение производств, обеспечение безопасности промышленных объектов и т.д.
· Покупка бизнеса. Позитивные риски при покупке бизнеса — возможность достижения синергетического эффекта (сокращение персонала, оптимизация логистики, снижение затрат на закупку сырья и материалов) и увеличения доли рынка. Негативные риски — это снижение показателей покупаемого бизнеса, внутренняя конкуренция, невозможность интеграции разных корпоративных культур и пр. Отсутствие при принятии решения о покупке бизнеса рассмотрения рисков такой покупки может привести как к невыгодной для компании покупке, так и к отказу от дальнейшего развития.
· Региональная экспансия и экспансия на другие рынки. Очевидно, что такого рода расширение деятельности имеет как позитивные, так и негативные риски. Рассмотрение региональной специфики может показать неожиданные результаты: даже в рамках одной области в некоторых районах развитие возможно без проблем, а в некоторых — вообще невозможно. Кроме того, рассмотрение вариантов может изменить стратегию: в каком-то регионе компания может развиваться сама, а в каком-то — наоборот: приобрести потенциального конкурента и обеспечить захват рынка в течение полугода.
Жизненный цикл риска
Риск существует с момента возникновения замысла проекта. Соответственно, жизненный цикл риска зависит от этапа управления проектом.
Планирование управлением рисками – первый из этапов управления рисками проекта, который определяет методологию управления рисками для компании и подтверждает факт того, что управление рисками проводится в данной компании. Данный этап производится также с момента возникновения замысла проекта.
Следующим этапом жизненного цикла риска является его идентификация. Аналогично, существует этап идентификации рисков в процессе управления проектом. Он состоит в определении рискового события и заведении карточка риски, куда вносится вся информация, необходимая для управления риском.
Риски объединяются в реестр и подвергаются оценке на этапах качественного и количественного анализа рисков проекта. В реестре они могут классифицироваться по:
• источникам рисков;
• этапам жизненного цикла проекта;
• этапам жизненного цикла продукта;
• типу риска.
Обычно, риски оцениваются по трем основным факторам: вероятность возникновения, степень оказываемого воздействия и влияние на срок выполнения проекта. Консолидированная оценка жесткости риска определяется перемножением коэффициентов вероятности, воздействия и срочности.
Система рейтингов рисков отображается в виде матрицы воздействия и помогает руководить реагированием на риски. Например, для рисков, оказывающих в случае наступления негативное воздействие на цели проекта, необходимы предупреждающие действия и агрессивная стратегия реагирования. Для угроз в зоне низкого риска предупреждающие действия могут не потребоваться. Достаточно того, что они помещены в список для наблюдения или добавлены в резерв на возможные потери.
То же самое касается и благоприятных возможностей: те, которые легко достижимы и обещают наибольшую выгоду, должны иметь наивысший приоритет. За благоприятными возможностями в зоне низкого риска следует установить наблюдение.
При работе с рисками используются следующие стратегии на этапе планирования реагирования на риски:
✔ Избежание рисков — выбрать такое проектное решение или альтернативу, которое исключит рисковое событие, например внести в контракт положения, которые позволят создать более благоприятные условия выполнения проекта.
✔ Передача рисков — передать рисковое событие через контракт, например, третьей стороне. Страхование рисковых событий в страховых компаниях
✔ Смягчение рисков —предпринять меры, чтобы снизить вероятность риска и/или уменьшить степень его воздействия.
Так как меры, принимаемые в отношении одних рисков, могут воздействовать на другие и даже порождать новые, то необходимо проводить анализ взаимодействия рисков и мер реагирования на них. Согласно сделанным выводам формируется план мероприятий по снижению вероятности риска или его неблагоприятного влияния на проект. Далее определяются точки целесообразного мониторинга риска и критерии эффективности проведенного мероприятия.
В процессе контроля проводится анализ результатов выполнения запланированных по каждому риску мероприятий, их воздействие на риск и весь проект в целом.
Жизненный цикл риска завершается с завершением проекта или его фазы, включающей данный риск.
Рассмотрим детальнее каждый из процессов управления рисками в контексте управления проектом.
Планирование управления рисками
Планирование управления рисками представляет собой процесс определения порядка осуществления действий по управлению рисками в рамках проекта. Тщательное и подробное планирование повышает вероятность успеха пяти остальных процессов управления рисками. Планирование управления рисками определяет тип управления рисками, уровень затрат в зависимости от важности проекта для организации. Процесс планирования управления рисками должен начинаться, как только появляется замысел проекта, и должен быть завершен на ранних стадиях планирования проекта планирование управления рисками:
Входами данного процесса являются:
1. Описание содержания проекта, которое определяет возможности, связанные с проектом и его результатами, а также устанавливает рамки того, насколько значительными могут оказаться усилия по управлению рисками.
2. План управления стоимостью проекта определяет порядок составления отчетов по бюджетам рисков, возможным потерям и управленческим резервам, а также порядок предоставления доступа к ним.
3. План управления расписанием определяет порядок составления отчетов по возможным потерям расписания и порядок их оценки.
4. План управления коммуникациями проекта определяет взаимодействия во время проекта, а также сотрудников, выполняющих функции по распространению информации о рисках и управлению ими.
5. Факторы среды предприятия включают с себя некоторую информацию об управлении рисками: отношение к рискам и готовность принимать риски определенного уровня.
· Активы процессов организации, которые могут оказывать влияние на процесс планирования управления рисками: категории рисков, общие определения понятий и терминов, форматы описания рисков, стандартные шаблоны, роли и ответственности, уровни полномочий для принятия решений, накопленные знания и реестры заинтересованных сторон проекта.
Инструменты и методы, используемые на данном этапе:
1. Совещания по планированию и анализу, проводимые командами проектов проводят для разработки плана управления рисками. В совещаниях могут принимать участие менеджер проекта, отдельные члены команды проекта и заинтересованные стороны проекта, другие лица.
На таких совещаниях составляются высокоуровневые планы действий по управлению рисками, разрабатываются элементы стоимости и запланированные действия по управлению рисками, которые включаются в бюджет и расписание проекта. Могут определяться или пересматриваться подходы к использованию резервов на возможные потери и рисков. Распределяется ответственность по управлению рисками. Имеющиеся в организации общие шаблоны, касающиеся категорий рисков и определения терминов, адаптируются к конкретному проекту с учетом его специфики.
Выходом процесса управления рисками является:
План управления рисками, который включает в себя следующие элементы:
· Методология – определение подходов, инструментов и источников данных, которые могут использоваться для управления рисками в данном проекте.
· Роли и ответственности. Определение руководящих и вспомогательных членов команды, а также членов команды, отвечающих за управление рисками, для каждого вида операций и разъяснение их ответственности.
· Разработка бюджета. Назначение ресурсов и оценка средств, необходимых для управления рисками, а также разработка процедур по использованию резерва на возможные потери.
· Определение сроков. Определение сроков и частоты выполнения процессов управления рисками на протяжении всего жизненного цикла проекта, разработка процедур по использованию резервов расписания на возможные потери, а также определение действий по управлению рисками, которые будут включены в расписание проекта.
· Категории рисков. Определение структуры, на основании которой производится систематическая и всесторонняя идентификация рисков с нужной степенью детализации. Организация может использовать разработанную заранее схему категоризации типичных рисков, которая может принимать форму простого списка категорий или оформляться в виде иерархической структуры рисков.
· Определения вероятности возникновения рисков и их воздействий. Качественный анализ рисков предполагает определение различных уровней вероятности возникновения рисков и их воздействий. Общие определения уровней вероятности и воздействия адаптируются к конкретному проекту в ходе процесса планирования управления рисками и используются затем в ходе процесса качественного анализа рисков.
· Матрица вероятности и воздействия. Приоритеты между рисками расставляются в соответствии с их вероятными последствиями, которые могут оказывать воздействие на цели проекта. Типичным способом расположения рисков по приоритету является использование таблицы соответствия или матрицы вероятности и воздействия.
· Готовность заинтересованных сторон проекта принимать риски. В ходе процесса планирования управления рисками готовность заинтересованных сторон проекта принимать риски может корректироваться.
· Формат отчетности. Содержит определение, каким образом производится документирование, анализ и обмен информацией о результатах процессов управления рисками.
· Отслеживание. Документирует порядок регистрации всех операций по рискам для целей данного проекта, а также для будущих проектов. Документирует, в каких случаях и каким образом будет проводиться аудит процессов управления рисками. [2, 276]
Идентификация рисков
Идентификация рисков — это процесс по выявлению и фиксации рисков, которые могут оказать влияние на успех проекта. Необходимо регулярно повторять идентификацию рисков на всем протяжении жизненного цикла проекта для того, чтобы выявить ранее упущенные риски. Качество идентификации также может быть улучшено, если выполнять следующие требования:
· привлекать к процессу идентификации рисков менеджеров из других проектов, заказчиков, пользователей, независимых экспертов, участников проектной команды и т. Д.;
· использовать для идентификации рисков различные методы;
· изучать отчеты и проектную документацию ранее реализованных ИТ-проектов.
Входами данного процесса являются:
1. План управления рисками, а именно, схема распределения ролей и ответственности, резерв на действия по управлению рисками, предусмотренный в бюджете и расписании, а также категории рисков.
2. Оценка стоимости операций. Она предоставляет количественную оценку наиболее вероятной стоимости выполнения запланированных операций и выражается в виде диапазона, ширина которого указывает на степень риска.
3. Оценка длительности операций. Пересмотр оценки длительности операций полезен при определении рисков, связанных с временными ограничениями операций или всего проекта.
4. Базовый план по содержанию, в котором указаны допущения проекта. Неопределенность в допущениях проекта следует рассматривать в качестве потенциального источника возникновения рисков проекта.
Также план по содержанию включает ИСР, она способствует пониманию потенциальных рисков как на микро, так и на макроуровне.
5. Реестр заинтересованных сторон проекта. Ключевые заинтересованные стороны проекта смогут принять участие в процессе идентификации рисков.
6. План управления стоимостью. Конкретный для каждого проекта подход к управлению стоимостью в силу своего характера или структуры может создавать или снижать риски.
7. План управления расписанием. Конкретный для каждого проекта подход к управлению расписанием в силу своего характера или структуры может создавать или снижать риски.
8. План управления качеством, который также в силу своего характера или структуры может создавать или снижать риски.
9. Документы проекта:
· журнал допущений;
· отчеты об исполнении работ;
· отчеты об освоенном объеме;
· сетевые диаграммы;
· базовые планы;
· другая проектная информация.
10. Факторы среды предприятия:
· опубликованная информация, включая коммерческие базы данных;
· академические исследования;
· опубликованные контрольные списки;
· бенчмаркинг (процесс определения, понимания и адаптации имеющихся примеров эффективного функционирования компании с целью улучшения собственной работы);
· промышленные исследования;
· отношения к рискам.
11. Активы процессов организации, которые могут оказывать влияние на процесс идентификации рисков:
· проектные архивы;
· элементы управления процессами проекта и организации;
· шаблоны описаний рисков;
· накопленные знания.
Инструментами по идентификации рисков является:
· Анализ документации по проекту, включая планы, допущения, архивы предыдущих проектов, контракты и другие источники. Качество планов, а также согласованность планов и их соответствие требованиям и допущениям проекта могут служить показателями возможности рисков в проекте.
· Метод «мозгового штурма». Известный метод, заключающийся в генерации разнообразных идей и их последующей фиксации, а затем выборе наиболее подходящих из имеющегося списка, подключая критическое мышление в противовес креативному мышлению, используемому в фазе генерации идей;
· Метод Делфи. Данный метод предполагает, что эксперты по вопросам рисков проекта принимают в нем участие анонимно. С помощью опросного листа ведущий собирает идеи о важных рисках проекта. Составляются резюме ответов, которые потом возвращаются экспертам для дальнейших комментариев. Консенсус может быть достигнут за несколько циклов данного процесса. Метод Делфи помогает преодолеть необъективность в оценке данных и устраняет избыточное влияние отдельных лиц на результат работы;
· Проведение опросов среди опытных участников проекта, заинтересованных сторон проекта или экспертов в этой области может способствовать идентификации рисков.
· SWOT-анализ (рассмотрение слабых и сильных сторон, возможностей и рисков предприятия) моделирует имеющееся и потенциальное положение компании в зависимости от заданных слабых и сильных сторон, а также внешних возможностей и рисков. Он выделяет ключевые компоненты маркетинговой информации из огромного количества данных маркетингового аудита. Это позволяет компании выявить внешние возможности и риски и сопоставить их со своими сильными и слабыми сторонами.
SWOT-анализ является основой для определения целей и стратегий, и должен проводиться на нескольких уровнях: организации, каждого основного сегмента рынка, каждого основного товара/услуги, а также конкурентной борьбы. Информация включается в SWOT-анализ в зависимости от ее значимости и вероятности применения;
· Анализ контрольных списков, разработанных на основе исторической информации и знаний, полученных в ходе исполнения предыдущих аналогичных проектов или из других источников информации. Команда должна уделять особое внимание вопросам, которые не нашли своего отражения в контрольном списке. При завершении проекта контрольный список следует пересматривать с целью внесения в него новых накопленных знаний.
· Экспертная оценка. Риски могут быть определены непосредственно экспертами, имеющими соответствующий опыт работы в подобных проектах или сферах бизнеса. Таких экспертов должен определять менеджер проекта и приглашать для рассмотрения всех аспектов проекта. Эксперты могут сообщить о возможных рисках на основе своего предыдущего опыта и областей компетенции. Во время данного процесса необходимо учитывать необъективность экспертов.
· Анализ чувствительности – наиболее иллюстративный метод для рассмотрения степени влияния отдельных факторов на рискованность проекта. Алгоритм действий:
1. выбор параметров проекта, влияние которых необходимо учитывать при анализе значимости совокупного риска;
2. минимальное значение фактора выбирается таким образом, чтобы по экспертной оценке реальное значение фактора могло оказаться равным или меньше этого значения не более чем в 5% случаев;
3. максимальное значение фактора выбирается таким, чтобы по экспертной оценке реальное значение фактора могло оказаться равным или более этого значения не более чем в 5% случаев;
4. производится расчет значений отдельно по каждому фактору от минимального до максимального значения;
5. результаты расчета чувствительности отражаются с помощью диаграммы торнадо и (или) диаграммы паука;
6. в диаграмме торнадо базовое значение платежеспособности отражается в виде толстой вертикальной линии (оси торнадо), а отклонения, возникающие вследствие изменения значений факторов, откладываются вправо и влево от оси и образуют «воронку торнадо»;
7. диаграмма паука отражает характер влияния факторов на результат проекта и представляет собой график. Отложенный на осях «отклонение фактора от базового значения (%) – платежеспособность»
· BPEST-анализ (бизнес, политический, экономический, социальный, технологический) и PESTLE-анализ (политический, экономический, социальный, технологический, юридический, экологический). При применении анализируются риски, связанные с каждым из аспектов, приведенных в названии. По итогам анализа возникает перечень угроз, которые могут помешать достижению целей. PESTLE можно расширить до STEEPLED (PESTLE + образовательный и демографический виды анализа).
· Анализ сценариев. При разработке стратегии развития компании возможны различные сценарии развития. Это связано с каждым из аспектов, причем каждый раздел стратегии должен быть взаимосвязан с другими. Выбрать приемлемый с точки зрения риска вариант позволяет метод анализа сценариев. В нем последовательно рассматриваются все возможные комбинации и анализируются потенциальные риски, которые сопоставляются с ожидаемой доходностью. При выявлении негативных рисков бизнеса используется для определения событий, реализация которых в совокупности приводит к невозможности достижения стратегических целей.
· Рассмотрение каждого бизнес-процесса. Самый эффективный способ для выявления операционных рисков. Основан на том, что все процессы подвергаются подробнейшему изучению на предмет как возможностей для улучшения, так и негативных рисков. Метод трудоемкий, однако без такого рассмотрения существует вероятность пропустить значительное количество операционных рисков.
· Планирование непрерывности бизнеса. Метод основан на выявлении возможных проблем, которые могут привести к кризису, связанному с невозможностью осуществлять деятельность на тех же условиях, что и раньше. Существуют стандарты по планированию непрерывности бизнеса, к примеру, британский BS25999. В нем представлены типовые угрозы: эпидемии, пожары, наводнения, землетрясения, перебои в энергоснабжении, хакерские атаки, терроризм и т.д. Перечень угроз не исчерпывающий, поэтому риск-менеджер должен проанализировать, что именно грозит бизнесу.
· Анкетирование. Самый простой способ выявления рисков, основанный на опросе максимально широкого круга лиц. Может быть эффективен в начале постановки системы управления рисками.
· Другие.
Основные выходы процесса идентификации рисков – это начальные записи в реестре рисков. Подготовка реестра рисков начинается в процессе идентификации рисков, в течение которого реестр заполняется информацией. Затем эта информация становится доступной при осуществлении других процессов, относящихся к управлению проектом и управлению рисками проекта. Реестр состоит из:
· Список идентифицированных рисков.
· Список возможных действий по реагированию. Такие меры реагирования, если они определены во время этого процесса, могут послужить в качестве входов для процесса планирования реагирования на риски.[2, 282]
В реестре рисков каждый из рисков содержит подробное описание. Примерная форма описания риска представлена в таблице 1.1. [11, 28]
Элемент | Назначение |
Идентификатор риска | Уникальное имя риска (используется для мониторинга и отчетности) |
Источник риска | Общее указание на исходный фактор риска (используется для поиска первопричин) |
Условие возникновения риска | Описание существующего условия/причины потенциального убытка (первая часть формулировки риска) |
Последствие риска | Описание негативного эффекта, возникающего при реализации риска (вторая часть формулировки риска) |
Вероятность риска | Вероятностная величина больше 0, но меньше 100%, указывающая на “шансы” реализации риска |
Классификация угрозы риска | Общая характеристика типа воздействия, которое может оказать риск |
Угроза риска | Количественная мера угрозы риска. Может представлять собой как денежную величину, так и просто значение из некоторой принятой шкалы оценки угрозы |
Ожидаемая величина риска | Общая мера важности риска, принимающая во внимание как вероятность риска, так и его угрозу |
Контекст риска | Дополнительная информация, проясняющая природу риска и связанные с ним обстоятельства |
Связанные риски | Перечень идентификаторов других рисков, находящихся с данным риском в какой-либо зависимости |
Таблица 1.1. Форма описания риска
Качественный анализ рисков
Качественный анализ рисков представляет собой процесс расстановки приоритетов между рисками для дальнейшего анализа или действия с помощью оценки и суммирования вероятности их возникновения и воздействия.
На вход данного процесса поступают:
1. Реестр рисков
2. План управления рисками, а именно, некоторые его элементы: распределение ролей и ответственности в управлении рисками, бюджетом и запланированными операциями по управлению рисками, категории рисков, определение вероятности возникновения и воздействия, матрица вероятности и воздействия и уточненная готовность заинтересованных сторон проекта принимать риски.
3. Описание содержания проекта, позволяющее снизить степень его неопределенности.
4. Активы процессов организации.
Методы, используемые в качественном анализе:
1.Метод экспертных оценок
В своих работах Т. ДеМарко и Т. Листер приводят пример использования качественного метода «диаграмма неопределенности», который позволяет выявить вероятность наступления рискового события на основании экспертной оценки. Используя технику оценки PERT (project evaluation and review technique), Т. ДеМарко и Т. Листер демонстрируют процесс прогнозирования финальной даты завершения проекта. Математический вид PERT представлен формулой:
где Тпр – прогнозируемы результат, Треал – реальный результат, Тпес – пессимистический результат, Топ – оптимистический результат.
2.Оценка вероятности возникновения и воздействия рисков
Вероятность возникновения риска может определяться с помощью качественных методов оценки риска как отношение количества случаев наступления рисковых событий к общему количеству идентифицированных рисков, выявленных в прошлых ИТ-проектах.
Степень влияния риска можно определить, как затраты, которые необходимо понести для усиления или ослабления рискового события с целью успешного завершения проекта.
При качественной оценке степени влияния риска на успех ИТ-проекта принято использовать различные показатели, например, следующие весовые коэффициенты:
· 0,8 — очень высокое влияние рискового события;
· 0,4 — высокое влияние рискового события;
· 0,2 — умеренное влияние рискового события;
· 0,1 — низкое влияние рискового события;
· 0,05 — очень низкое влияние рискового события.
Аналогично весовые коэффициенты могут быть применены для описания вероятности наступления рискового события. В частности, :
· 0,8 — очень высокая вероятность наступления рискового события;
· 0,4 — высокая вероятность наступления рискового события;
· 0,2 — средняя вероятность наступления рискового события;
· 0,1 — низкая вероятность наступления рискового события;
· 0,05 — очень низкая вероятность наступления рискового события.
Для выявления рисков, которые требуют от менеджера оперативного реагирования, часто вычисляется подверженность риску с помощью формулы:
где RE (risk exposure) — подверженность риску; Pr — вероятность наступления рискового события (Probability); Im — влияние рискового события (Impact).
3.Матрица вероятности и воздействия.
Расчет подверженности риску позволяет проводить ранжирование рисков и визуализировать их в виде матрицы вероятности и влияния. Используя данную матрицу, менеджер ИТ-проекта может выявить неприемлемые риски, которые требуют незамедлительных мероприятий, определить приемлемые риски, которые можно не учитывать.