Сергей Авдошин - Информатизация бизнеса. Управление рисками
При проведении качественной оценки рисков проектная группа может использовать как собственный опыт, так и «внешние» источники информации. В качестве таковых могут выступать правила и рекомендации, действующие в организации, базы данных рисков индустрии, имитационные и аналитические модели, а также управленческое звено организации, эксперты предметной области проекта и др.
По ходу работы над проектом и при изменении внешних обстоятельств шаги выявления и анализа рисков должны повторяться, и главная таблица рисков должна обновляться. В ней могут появляться новые риски и исчезать старые, не оказывающие более на проект существенного влияния.
Качественная оценка рисков трансформирует имеющиеся данные о рисках в форму, облегчающую принятие решений. Приоритезация рисков указывает, какие из них являются наиболее важными, и, как следствие, работа над ними должна быть проведена прежде всего.
По результатам качественной оценки рисков:
1) фиксируются результаты оценки вероятности возникновения и влияния рисков;
2) производится ранжирование рисков;
3) составляется перечень приоритетных рисков;
4) распределяется ответственность по наиболее ответственным рискам;
5) определяется перечень рисков, которые требуют дополнительного анализа, оценки и управления.
Процесс качественной оценки рисков состоит из нескольких последовательных этапов, которые мы рассмотрим более подробно.
Этап 1. Выбор ответственного/владельца риска. Обычно все идентифицированные риски распределяются между ответственными. За риск, как правило, отвечает тот, кто идентифицировал данный риск. Владельцы рисков (risk owners) наблюдают за признаками наступления риска, а также управляют ответными процедурами в случае возникновения данного риска. Сотрудники становятся владельцами рисков в силу специфических экспертных знаний или в связи с тем, что они обладают определенным контролем над специфическим риском. Обычно чем раньше в процесс управления рисками вводится владелец риска, тем лучше.
Этап 2. Анализ допущений. Анализ допущений (assumption testing), которые были сделаны в процессе идентификации рисков, необходимо выполнить, прежде чем непосредственно переходить к качественному и количественному анализам рисков.
Отсутствие информации делает данные еще более рискованными. Если допущения оказываются ложными, степень риска проекта существенно увеличивается. Поэтому необходимо проанализировать стабильность каждого сделанного допущения, а также последствий, если допущение неверно.
Этап 3. Выбор шкал для экспертной оценки. После завершения работы с погрешностью данных необходимо понять, какие шкалы степени воздействия рисков будут использованы и какие методики качественного анализа могут применяться.
Наиболее простая и удобная в использовании методика оценки заключается в выработке проектной группой коллективных оценок двух общепризнанных параметров каждого из рисков – вероятности возникновения (risk probability) и степени влияния риска (risk impact).
Поскольку качественная оценка проводится на основе опроса мнения экспертов и анкетирования (балльная, рейтинговая оценка), то для формирования оценок следует определиться со шкалой измерения, исходя из полноты, рациональности использования, минимальной размерности шкалы.
Шкалы представляют собой определенные наборы степеней воздействия рисков на проект в целом. На данном шаге шкала воздействия определяется субъективно. Можно использовать существующие шкалы степени воздействия тех или иных рисков либо можно построить и свои шкалы. Шкала оценки вероятности возникновения риска может различаться в зависимости от принятой в организации стратегии и от чувствительности организации к конкретному виду воздействий. Шкала может быть относительной (значения представлены в описательном виде) и числовой. Оценка влияния, как правило, производится по разработанной заранее матрице, в которой потенциальный эффект, который может оказать риск на стоимость, сроки, качество и содержание проекта, ставится в соответствие определенному значению (описательному или числовому).
Существуют следующие шкалы измерения:
• номинальные: допустимое/недопустимое значение;
• качественные: вероятность очень мала/значительна/велика;
• количественные (0–1).
ИТ-риски можно оценивать по объективным или субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования за определенный промежуток времени. Примером субъективного критерия является оценка владельцем информационного ресурса риска выхода из строя этого оборудования. Для этого обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровни.
Наиболее распространены субъективные критерии, измеряемые в качественных шкалах, поскольку оценка должна отражать субъективную точку зрения владельца информационных ресурсов, а также должны быть учтены различные аспекты, не только технические, но и организационные, психологические и т. д.
Для построения функциональных соответствий между нечеткими лингвистическими описаниями (типа «высокий», «теплый» и т. д.) и специальными функциями, выражающими степень принадлежности значений измеряемых параметров, была реализована в первоначальном замысле математическая теория нечетких множеств.
Математическая теория нечетких множеств была предложена профессором Л. А. Заде, она открывает большие возможности перед системными аналитиками в области управления рисками на основе применения нечеткой логики. Теория нечетких множеств Л. А. Заде описывает подход, который позволяет эксперту наилучшим образом формализовать свои нечеткие представления, трансформировав язык слов в язык количественных оценок. Этот подход применим всюду, где свидетельства о тех или иных проявлениях объекта научного исследования количественно ограничены и качественно разнородны. Если эксперт хорошо знает предприятие изнутри, то ему не составит никакого труда выделить именно те факторы, которые наиболее влияют на процессы потери платежеспособности (включая ошибки менеджмента), сопоставить этим факторам количественные показатели и пронормировать их. При этом если эксперт затрудняется с классификацией, он может в ходе нормирования успешно применять уже существующие нечеткие описания с последующим арифметическим анализом и оценкой рисков принятия того или иного решения.
Например, менеджер ИТ-проекта не может четко разграничить понятия «высокой» и «максимальной» вероятности или когда надо провести границу между средним и низким уровнями показателя. Тогда применение нечетких описаний означает интерпретацию лингвистических переменных, которые определяет менеджер. Например, переменная «уровень менеджмента» может обладать лингвистическими значениями «очень низкий, низкий, средний, высокий, очень высокий» и принимать значения от нуля до единицы. Одной из важнейших задач при переходе из качественного в количественный признак являются агрегирование информации и применение нечеткого управления как одного из самых результативных областей применения теории нечетких множеств.