Что такое идентификация рисков. Управление рисками проекта

управление риск проект мониторинг

Идентификация рисков предусматривает определение рисков, способных повлиять на проект, и документальное оформление их характеристик. При необходимости в операциях по идентификации рисков могут принимать участие: менеджер проекта, члены команды проекта, команда управления рисками (если таковая создана), эксперты в определенных областях, не входящие в команду проекта, заказчики, конечные пользователи, другие менеджеры проектов, участники проекта и эксперты по вопросам управления рисками. Хотя главная роль в идентификации рисков принадлежит этим специалистам, следует поощрять участие в этом процессе всего персонала.

Идентификация рисков - это итеративный процесс, поскольку по мере развития проекта в рамках его жизненного цикла могут обнаруживаться новые риски. Частота итерации и состав участников выполнения каждого цикла в каждом случае могут быть разными. В этом процессе должны принимать участие члены команды проекта с тем, чтобы у них вырабатывалось чувство «собственности» и ответственности за риски и за действия по реагированию на них. Участники проекта, не входящие в команду проекта, могут предоставлять дополнительную объективную информацию. Обычно за процессом идентификации рисков следует процесс качественного анализа рисков. В случае если идентификация рисков происходит под управлением опытного менеджера по рискам, непосредственно за идентификацией может следовать количественный анализ рисков. В некоторых случаях уже сама идентификация риска может определять меры реагирования; эти меры должны фиксироваться для дальнейшего анализа и осуществления в ходе процесса планирования реагирования на риски.

Рисунок 3 - Идентификация рисков

При идентификации рисков может оказаться полезной информация из открытых источников, в том числе коммерческие базы данных, научные работы, бенчмаркинг и другие исследовательские работы в данной области.

Информация о выполнении прежних проектов может быть доступна в архивах предыдущих проектов, как в ее исходном виде, так и в виде накопленных знаний.

Допущения проекта приводятся в описании содержания проекта. Неопределенность в допущениях проекта следует рассматривать в качестве потенциального источника возникновения рисков проекта.

Ключевыми входами для процесса идентификации рисков из плана управления рисками являются схема распределения ролей и ответственности, резерв на операции по управлению рисками в бюджете и в расписании, а также категории рисков. Эти мероприятия иногда находят свое отражение в иерархической структуре ресурсов.

Для процесса идентификации рисков также необходимо понимание планов управления расписанием, стоимостью и качеством, которые входят в план управления проектом. Выходы процессов из других областей знаний должны анализироваться для идентификации возможных рисков в рамках всего проекта.

Методы и средства:

Можно осуществлять структурированный анализ документации по проекту, включая планы, допущения, архив предыдущего проекта и другие источники. Качество планов, а также согласованность планов и их соответствие требованиям и допущениям проекта могут служить показателями возможности риска в проекте.

Для идентификации рисков могут использоваться следующие методы сбора информации:

Мозговой штурм. Целью мозгового штурма является создание подробного списка рисков проекта. Обычно мозговой штурм проводит команда проекта, часто совместно с участием экспертов из разных областей, не являющихся членами команды. Генерация идей, относящихся к рискам проекта, происходит под руководством ведущего. За основу может приниматься система категорий рисков (раздел 11.1), например иерархическая структура рисков. Далее риски подлежат идентификации и категоризации по типам, а их определения уточнению.

Метод Дельфи - это способ достижения консенсуса между экспертами. Данный метод предполагает, что эксперты по вопросам рисков проекта принимают в нем участие анонимно. С помощью опросного листа ведущий собирает идеи о важных рисках проекта. Составляются резюме ответов, которые потом возвращаются экспертам для дальнейших комментариев. Консенсуса можно достичь за несколько циклов этого процесса. Метод Дельфи помогает преодолеть необъективность в оценке данных и устраняет избыточное влияние отдельных лиц на результат работы.

Опросы. Проведение опросов среди опытных сотрудников, принимающих участие в проекте, среди участников проекта и экспертов в этой области, может способствовать идентификации рисков. Результаты опросов являются одним из основных источников информации в процессе сбора данных об идентификации рисков.

Идентификация основной причины. Это выявление наиболее существенных причин возникновения рисков проекта. Это позволяет дать более точные определения рискам и сгруппировать риски по причинам, их вызывающих. Реагирование на риски может быть эффективным только тогда, когда оно направлено на устранение основной причины возникновения риска.

Анализ сильных и слабых сторон, возможностей и угроз (анализ SWOT) Этот метод позволяет провести анализ проекта с позиции каждой из указанных выше сторон, что дает более полное представление о рисках проекта.

К методам отображения рисков в виде диаграмм относятся:

Диаграммы причинно-следственных связей. Эти графики, известные также как диаграмма Ишикавы или диаграммы типа «рыбий скелет», используются для идентификации причин возникновения рисков.

Системная диаграмма или диаграмма зависимостей процесса. Этот вид графического отображения демонстрирует порядок взаимодействия различных элементов системы между собой и их причинно-следственные связи.

Диаграммы влияния. Графическое представление ситуаций, отображающее взаимные влияния, временные связи событий и другие отношения между переменными и результатами.

Управление рисками включает процессы, направленные на идентификацию рисков, их анализ и реагирование. Целью является извлечение максимально большей выгоды из событий, положительно влияющих на проект, и минимизация последствий событий, влияющих на проект отрицательно.

В данной главе методического пособия управление рисками рассматривается кратко. Более подробное описание вы можете найти в специализированной литературе, посвященной управлению рисками проекта.

Выделяются следующие основные процессы:

Идентификация рисков – определение рисков, способных повлиять на проект, и документирование каждого из них.

Количественная оценка рисков – оценка рисков с точки зрения размеров потенциальных потерь для проекта.

Разработка методов реагирования – определение последовательностей действий, позволяющих использовать позитивные возможности и противостоять угрозам.

Контроль реагирования – реагирование на изменения в факторах риска на протяжении жизненного цикла проекта.

В разных предметных областях существуют различные нюансы в трактовке приведенных здесь терминов. Например:

Процессы идентификации рисков и их количественной оценки часто рассматриваются как один процесс, называемый анализом или оценкой рисков.

Процессы разработки методов реагирования и контроля реагирования также часто рассматриваются как один процесс под названием управление рисками.

Обзор процессов управления рисками приведен на рис. 31.

Идентификация рисков

Процесс идентификации рисков включает определение рисков, способных повлиять на проект, и документирование характеристик каждого из них. Идентификация рисков не является единовременным событием и должна регулярно выполняться на протяжении всего проекта.

Процесс идентификации рисков имеет дело как с внутренними рисками, так и с внешними. Внутренние риски появляются внутри проекта, например, при назначении персонала или выполнении оценки затрат, и команда управления проектом имеет возможность контролировать такие риски и влиять на них. Внешние риски возникают вне проекта, и команда управления проектом не имеет возможности на них влиять. К событиям, рождающим внешние риски, относятся, например, изменения в конъюнктуре рынка и действия правительства.

Строго говоря, риск определяется как вероятность потерь или приобретений. В управлении проектами используются термины возможности (для обозначения положительных последствий) и угрозы (для обозначения отрицательных последствий).

Входные материалы для процесса идентификации рисков

Описание продукта . Природа продукта оказывает сильное влияние на риски. Например, производство продукта с применением не апробированной технологии будет вызывать большие риски по сравнению с продуктом, для производства которого применяется устоявшаяся технология.

Выходные материалы других процессов планирования . Выходные материалы других процессов могут вызвать появление некоторых рисков. Например:

WBS – при использовании нетрадиционных подходов декомпозиции продуктов проекта появляется вероятность того, что будет пропущен один из продуктов верхнего уровня, отмеченный в своде содержания проекта.

Оценки продолжительности и затрат – агрессивные оценки и оценки, сделанные в условиях недостатка исходной информации, вызывают наибольшие риски.

План найма персонала – некоторые члены команды проекта могут оказаться обладателями уникальных навыков, что влечет за собой дополнительные риски, связанные с вероятностью их ухода из проекта.

План закупок – некоторые условия (например, падение курса местной валюты в стране, в которой выполняется проект) могут привести к возможности снизить издержки на приобретение требуемых продуктов и услуг.

Статистическая и архивная информация . Информация о фактических событиях, имевших место в ходе выполнения других схожих проектов в прошлом, может оказаться чрезвычайно полезной для идентификации рисков данного проекта. Эта информация может быть получена из архивов прошлых проектов, из коммерчески доступных источников или на основе опыта членов команды проекта.

Идентификация рисков - это выявление рисков, способных повлиять на проект, и документальное оформление их характеристик. Это итеративный процесс, который периодически повторяется на всем протяжении проекта, поскольку в рамках его жизненного цикла могут обнаруживаться новые риски.

Исходные данные для выявления и описания характеристик рисков могут браться из разных источников.

В первую очередь это база знаний организации. Информация о выполнении прежних проектов может быть доступна в архивах предыдущих проектов. Следует помнить, что проблемы завершенных и выполняемых проектов, это, как правило, риски в новых проектах.

Другим источником данных о рисках проекта может служить разнообразная информация из открытых источников, научных работ, маркетинговая аналитика и другие исследовательские работы в данной области. Наконец, многие форумы по программированию могут дать бесценную информацию о возникших ранее проблемах в похожих проектах.

Каждый проект задумывается и разрабатывается на основании ряда гипотез, сценариев и допущений. Как правило, в описании содержания проекта перечисляются принятые допущения - факторы, которые для целей планирования считаются верными, реальными или определенными без привлечения доказательств. Неопределенность в допущениях проекта следует также обязательно рассматривать в качестве потенциального источника возникновения рисков проекта. Анализ допущения позволяет идентифицировать риски проекта, происходящие от неточности, несовместимости или неполноты допущений.

Для сбора информации о рисках могут применяться различные подходы. Среди этих подходов наиболее распространены:

· Опрос экспертов

· Мозговой штурм

· Метод Дельфи

· Карточки Кроуфорда

Цель опроса экспертов - идентифицировать и оценить риски путем интервью подходящих квалифицированных специалистов. Специалисты высказывают своё мнение о рисках и дают им оценку, исходя из своих знаний, опыта и имеющейся информации. Этот метод может помочь избежать повторного наступления на одни и те же грабли.

Перед опросом эксперт должен получить всю необходимую вводную информацию. Деятельность экспертов необходимо направлять, задавая вопросы. Во время опроса вся информация, выдаваемая экспертом, должна записываться и сохраняться. При работе с несколькими экспертами выходная информация обобщается и доводится до сведения всех задействованных экспертов.

К участию в мозговом штурме привлекаются квалифицированные специалисты, которым дают «домашнее задание» - подготовить свои суждения по определенной категории рисков. Затем проводится общее собрание, на котором специалисты по очереди высказывают свои мнения о рисках. Важно: споры и замечания не допускаются. Все риски записываются, группируются по типам и характеристикам, каждому риску дается определение. Цель - составить первичный перечень возможных рисков для последующего отбора и анализа.

Метод Дельфи во многом похож на метод мозгового штурма. Однако есть важные отличия. Во-первых, при применении этого метода эксперты участвуют в опросе анонимно. Поэтому результат характеризуется меньшей субъективностью, меньшей предвзятостью и меньшим влиянием отдельных экспертов. Во-вторых, опрос экспертов проводится в несколько этапов. На каждом этапе модератор рассылает анкеты, собирает и обрабатывает ответы. Результаты опроса рассылаются экспертам снова для уточнения их мнений и оценок. Такой подход позволяет достичь некоего общего мнения специалистов о рисках.

Для быстрого выявления рисков можно воспользоваться еще одной из методик социометрии является известной как "Карточки Кроуфорда" .

Суть этой методики в следующем. Собирается группа экспертов 7-10 человек. Каждому участнику мини-исследования раздается по десять карточек (для этого вполне подойдет обычная бумага для записок). Ведущий задает вопрос: "Какой риск является наиболее важным в этом проекте?" Все респонденты должны записать наиболее, по их мнению, важный риск в данном проекте. При этом никакого обмена мнениями не должно быть. Ведущий делает небольшую паузу, после чего вопрос повторяется. Участник не может повторять в ответе один и тот же риск.

После того как вопрос прозвучит десять раз, в распоряжении ведущего появятся от 70 до 100 карточек с ответами. Если группа подобрана хорошо (в том смысле, что в нее входят люди с различными точками зрения), вероятность того, что участники эксперимента укажут большинство значимых для проекта рисков, весьма высока. Остается составить список названных рисков и раздать его участникам для внесения изменений и дополнений.

В качестве источника информации при выявлении рисков могут служить различные доступные контрольные списки рисков проектов разработки ПО, которые следует проанализировать на применимость к данному конкретному проекту.

Например, Барии Боэм приводит список 10 наиболее распространенных рисков программного проекта:

1. Дефицит специалистов.

2. Нереалистичные сроки и бюджет.

3. Реализация несоответствующей функциональности.

4. Разработка неправильного пользовательского интерфейса.

5. "Золотая сервировка", перфекционизм, ненужная оптимизация и оттачивание деталей.

6. Непрекращающийся поток изменений.

7. Нехватка информации о внешних компонентах, определяющих окружение системы или вовлеченных в интеграцию.

8. Недостатки в работах, выполняемых внешними (по отношению к проекту) ресурсами.

9. Недостаточная производительность получаемой системы.

10. "Разрыв" в квалификации специалистов разных областей знаний.

Демарко и Листер приводят свой список из пяти наиболее важных источников рисков любого проекта разработки ПО:

1. Изъяны календарного планирования

2. Текучесть кадров

3. Раздувание требований

4. Нарушение спецификаций

5. Низкая производительность

Не существует исчерпывающих контрольных списков рисков программного проекта, поэтому необходимо внимательно анализировать особенности каждого конкретного проекта.

Результатом идентификации рисков должен стать список рисков с описанием их основных характеристик: причины, условия, последствий и ущерба.

Если вернуться к примеру проекта создания «Автоматизированной системы продажи документации», который мы рассматривали в предыдущих лекциях, то список главных выявленных рисков может выглядеть следующим образом:

Таблица 4 Список рисков проекта создания «Автоматизированной системы продажи документации»

Идентификация и анализ рисков являются ключевым элементом про-цесса управления риском. От их правильной организации в значительной степени зависит, насколько эффективными будут дальнейшие решения и, в конечном итоге, удастся ли фирме в достаточной мере защититься от уг-рожающих ей рисков. Поэтому исследование особенностей данной облас-ти риск-менеджмента и их учет в практической деятельности менеджера по рискам являются важным этапом для понимания всей системы управле-ния риском.

Основной целью идентификации и анализа рисков является формирова-ние у лиц, принимающих решения, целостной картины рисков, угрожающих бизнесу фирмы, жизни и здоровью ее сотрудников, имущественным интере-сам владельцев / акционеров, обязательствам, возникающим в процессе взаи-моотношений с клиентами и другими контрагентами , правам третьих лиц и т.п. В данном случае важен не только перечень рисков, но и понимание ме-неджерами того, как эти риски могут повлиять на деятельность фирмы и на-сколько серьезными могут быть последствия. В результате такого исследо-вания будет правильно организована система управления рисками, которая обеспечит приемлемый уровень защиты фирмы от этих рисков.

Идентификация и анализ рисков предполагает проведение качествен-ного, а затем и количественного изучения рисков, с которыми сталкивается фирма.

Качественный анализ предполагает обнаружение рисков, исследование их особенностей, выявление последствий реализации соответствующих рисков в форме экономического ущерба, раскрытие источников информа-ции относительно каждого риска. На данной стадии проводится подробная классификация выявленных рисков, основные критерии которой рассмот-рены в теме 2. В результате этого у менеджера по рискам возникает пони-мание круга проблем, с которыми придется столкнуться в процессе риск-менеджмента .

Предварительным шагом стадии количественной оценки рисков является получение информации о них. Такая информация должна содержать сле-дующие данные, необходимые для оценки степени предсказуемости риска: частота (вероятность) возникновения и размер убытков, т.е. распределение ущерба, а также другие характеристики, которые требуются для дальнейше-го анализа рисков. Правильность всех последующих решений будет зави-сеть от того, удастся ли собрать необходимые качественные данные в нуж-ном объеме. Поэтому определение степени доверия к разным источникам информации представляет собой важный аспект этого шага.

Основной шаг стадии количественной оценки рисков - обработка соб-ранных данных. Она должна обслуживать цели последующего процесса принятия решений по управлению риском. Для выявления факторов риска и степени их воздействия могут быть использованы различные методы ста-тистической обработки данных, в том числе корреляционный и дисперси-онный анализ, анализ временных рядов, факторный анализ и другие мето-ды многомерной классификации, а также математическое моделирование, включая имитационное.

При необходимости статистический анализ может быть использован для подтверждения некоторых выводов предшествующей стадии, когда ка-чественного анализа для этого недостаточно. Например, если качествен-ной информации не хватает для проведения подробной классификации рисков, то можно провести процедуру многомерной классификации.

Можно предложить множество критериев для выделения этапов про-цесса идентификации и анализа рисков. Наиболее распространенным яв-ляется степень подробности исследования риска.

В соответствии с ней можно выделить следующие этапы:

Осмысление риска, т.е. качественный анализ, сопровождаемый ис-следованием структурных характеристик риска (опасность - подвер-женность риску - уязвимость). Это очень важный этап, так как он определяет, с чем столкнется в дальнейшем менеджер по рискам, и тем самым задает границы принятия решений в процессе риск-менеджмента;

Анализ конкретных причин возникновения неблагоприятных собы-тий и их отрицательных последствий. Данный этап представляет собой подробное изучение отдельных рисков (причинно-следст-венные связи между факторами риска, возникновением неблагопри-ятных событий и вызванным ими появлением ущерба). Такое иссле-дование обеспечивает основу для принятия решений в рамках управ-ления риском;

Комплексный анализ рисков. Указанный этап предполагает изучение всей совокупности рисков в целом, что дает цельную, комплексную картину рисков, с которыми сталкивается фирма. Это позволяет про-водить единую политику по управлению риском. Подобное исследо-вание включает также проведение таких процедур, как аудит безо-пасности, т.е. всестороннее исследование бизнеса фирмы, методов принятия решений и используемых технологий с целью выявления и анализа рисков, которым они подвержены.

В ряде случаев не все перечисленные этапы реализуются в практике риск-менеджмента конкретных фирм, но наиболее полный и комплексный вариант включает все три этапа. Как правило, это характерно для крупных фирм, занимающихся сложным бизнесом.

Мы обсудили деятельность, по активности управления и анализа рисков в целом. А сегодня представим на Ваш суд статью о «входной» части активности анализа рисков, этапу идентификации.

Вполне уместно, начиная сегодняшний мильтилог:) , процитировать одного из любимейших советских детских героев, капитана Врунгеля, из мультипликационного фильма «Путешествие капитана Врунгеля»: «Как Вы лодку назовёте, так она и поплывет!».

Цели обсуждения

Сформировать у коллег подробное представление о процессе идентификации рисков, как о части активности анализа рисков, так и как о самодостаточной, комплексной деятельности, связанной при этом, своими результатами, с последующими стадиями домена управления и анализа рисков.

Предложить рабочие инструменты и методы, с помощью которых стало бы возможным правильно, с точки зрения определенной деятельности, во время выявить критичные для неё ИТ риски.

Идентификация рисков

Этап идентификации рисков заключается в систематическом выявлении и изучении рисков, которые характерны для определенного вида деятельности, подверженной рисковому влиянию.

Ключевыми, в представленном определении, являются словосочетания – «систематическое выявление» и «изучение рисков». Они подчеркивают необходимость в постоянной и комплексной работе в данном направлении. Только наличие именно «таких» процессов позволит гарантировать достижение поставленных результатов деятельности по управлению рисками, но об этом чуть позже…

Процесс идентификация начинается с определения опасностей, угрожающих рассматриваемой организации или деятельности, что свидетельствует о том, что для идентификации рисков необходимо изучение всех возможных компонентов, которые их сопровождают:

• «опасности», которые могут привести к возникновению ущерба;
• ресурсы, на которые риск может оказать влияние;
• факторы, увеличивающие или уменьшающие вероятность реализации рисков;
• и т.д.

При сборе информации для идентификации рисков необходимо определить следующие стадии, представленные в виде структуры деятельностей:

• сбор информации;
• классификация информации;
• описание формы, содержания, степени детализации представления информации для выработки последующих управленческих решений по работе над рисками;
• сроки предоставления информации.

Разработанные и представленные по итогам сбора информации документы могут (а вернее сказать должны) послужить основой для создания системы по работе над идентификацией рисков.

Вообще тема создания «системы», это отдельная составляющая нашего курса лекций. Мы будем говорить о ней отдельно, но сам тот факт, что необходимость внедрения и использования именно системы по управлению и анализа рисков, на каждой стадии работы с ними, дополнительно подчеркивает необходимость этой составляющей в рассматриваемом нами домене, как в его теоретической, так и в практической части.

Явным предварительным результатом этапа идентификации рисков должен быть перечень возможных рисков, который принято называть «реестр рисков».

Задокументированные риски и их характеристики, отраженные в реестре рисков, позволяют исследовать причины и возможные смежные риски, которые могут взаимовлиять и взаимозаменять друг друга, в зависимости от параметров окружения деятельности. Размер реестра рисков, будет зависеть от масштаба деятельности, но, если организация преследует цели повышения качества своей деятельности и создание как можно более качественного продукта или услуги, то реестр рисков должен быть максимально полным, вне зависимости от вероятности и значения событий риска.

Понимая реалии ситуации в области ИТ, абсолютно очевидно, что управлять всеми возможными рисками представляется маловероятным, так как это требует больших финансовых и кадровых затрат. Поэтому обязательным условием для реестра рисков является наличие в нём приоритетов.

Приоритет риска - это параметр, которыми идентифицируется наиболее важные и значимые из них, в данный момент времени.

Именно важность, корректного определения приоритетов рисков, среди их общего числа, может обеспечить надежные «тылы» значимых процессов и проектов, проводимых в организации.

На основе своего опыта, мы предлагаем следующий алгоритм идентификации, который на наш взгляд является наиболее удачным алгоритмом при осуществлении процесса идентификации:

• Идентификация потенциальных рисков;
• Группировка и сортировка рисков, в соответствии с целями компании в области риск-менеджмента;
• Идентификация методов по работе с рисками;
• Идентификация стратегий локализации риска;
• Идентификация стратегий предотвращения рисков;
• Идентификация стратегий уменьшения риска.

В процессе идентификации должны принимать участие члены команды проекта и эксперты по вопросам управления рисками. В ней могут принимать участие заказчики, участники проекта и эксперты в определенных областях. Привлечение дополнительных сторон к процессу идентификации поможет выработать чувство собственности и ответственности за риски, и за действия по реагированию на них у всех заинтересованных сторон.

Так же, вовлечение пользователей со всех уровней организационной иерархии и экспертных сторонних специалистов, будет способствовать формированию максимально объективной оценки рисков для последующей работы с ними.

Изучая процесс идентификации можно провести параллель с понятием диагностики.

Причина появления того или иного фактора не всегда очевидна, а в большинстве ситуаций наоборот, является скрытой от поверхностного взгляда специалистов, не обладающих экспертными знаниями и навыками в риск-менеджменте. Поэтому, способность увидеть за малой и незначительной проблемой предпосылки к возникновению «стопперов» основных производственных процессов доступна только опытным профессионалам (этот вариант решения проблемы нас, конечно же, не вполне устраивает) или является результатом правильно выстроенной системы по управлению и анализу рисками.

Оценка риска может быть выполнена с различной степенью глубины и детализации с использованием одного или нескольких методов разного уровня сложности и назначения. Форма оценки и ее выходные данные должны быть совместимы с критериями риска, установленными при определении области применения. Выбор методик, которые обеспечат полный и оптимальный, для конкретного процесса, деятельности или проекта реестр рисков - это надежный фундамент стадии идентификации рисков.

Методики идентификации рисков

После того, как нами установлено, что процесс идентификации является стартовым этапом процедур по работе с рисками, помогающим выявить и первоначально оценить риск, необходимо рассказать о доступных инструментах, с помощью которых процесс идентификации воплощается на практике.

Существует множество способов классификации и, соответственно, идентификации рисков проекта. Часть из них является строго формальными и математическими (например Метод Монте-Карло), часть из них менее формальна и доступна для применения в широких аудиториях специалистов, вне зависимости от уровня предварительной специальной подготовки к деятельности по анализу рисков (Метод Brainstorming), некоторые из них применимы во всех направлениях при работе в ИТ отрасли, а отдельные, являются узконаправленными для конкретных процессов и доменов.

Наиболее правильно, при работе с рисками, является использование не одного (хоть и самого универсального метода), а применение нескольких, которые должны образовать комплекс методов, учитывающих всю специфику и особенности конкретных рисков, для решения поставленной задачи. Каждый из методов не является абсолютной «учебной» истиной, любой из них должен модифицироваться и адаптироваться под конкретные нужды путем усовершенствования и, в дальнейшем, эволюционирования и развития.

На выбор конкретного метода или комплекса методов по работе с рисками влияют различные факторы, такие как доступность квалифицированных ресурсов, характер и степень неопределенности данных и информации, сложность метода для его применения. Перед тем, как выбрать тот или иной метод, необходимо провести исследование, целью которого является обоснование выбора конкретных методов идентификации риска с указанием их приемлемости, пригодности и применимости в заданных условиях функционирования. Необходимо обеспечить соответствие используемых методов и выходных данных для объединения результатов различных анализов, при работе над крупными проектами.

Сделаем небольшой комментарий о том, что мы не будем рассматривать строгоформальные, специализированные методы, из-за их низкой применимости и использования. Мы рассмотрим наиболее популярные и хорошо себя зарекомендовавшие на практике методы, которые, при небольшом усвоении методического материала, сможет применить каждый специалист, в своей работе.

Нами для подробного рассмотрения были выбраны следующие методы:

1. Brainstorming (метод мозгового штурма);
2. Метод Делфи;
3. Идентификация основных причин;
4. SWOT анализ
5. Метод Монте-Карло

Важно отметить, что каждый из представленных методов будет в дальнейшем более пристально рассмотрен в лекции посвященной непосредственно процессу анализа рисков, но под другим «углом» и с расстановкой других ключевых акцентов и значимых характеристик каждого из них.

Все представленные здесь методы относятся к группе экспертных методов выявления рисков. Самое главное, при работе с экспертными методами, это четкая фокусировка на конечном результате. Экспертная группа, задействованная в работе по анализу и управлению рисками, должна четко сформировать список наиболее важных рисков, причин их возникновения, возможную степень угрозы и последствия. Это является достаточной почвой для дальнейшего функционирования процедур домена рисков.

Как правило, при правильном подходе и организации процесса идентификации, уже при использовании методов идентификации рисков частично вырабатываются меры по управлению ими.

Brainstorming

Мозговой штурм (именно так переводится название этого метода на русский язык) является самым простым и распространенным методом идентификации, который существует довольно давно (его авторство, в современном варианте, приписывают копирайтеру – Алексу Осборну, который разработал его в 1941 году).

Целью мозгового штурма является создание подробного списка всех возможных, пусть даже самых фантастических и маловероятных, на первый взгляд, рисков проекта или процесса. Важно отметить, что на собрании, посвященному самому Мозговому штурму, не разрабатывается реестр рисков. Цель собрания разработать список рисков. Важно отметить, что Brainstorming относится к классу методов , которые широкого распространения не получили из-за своей сложности и затратности. В собрании участвует от 5 до 12 человек (члены команды по процессу/проекту, подверженному рисковому влиянию, приглашенные эксперты из рассматриваемой области и смежных областей, заинтересованные . Участники собрания выявляют и идентифицируют все возможные риски, которые, по их собственному мнению считают важными, при этом (это один из ключевых моментов данного метода) не допускается обсуждение выдвинутых идей. Группа экспертов озвучивает любые идеи, которые в дальнейшем должны быть подробно и тщательно проанализированы, структурированы с дальнейшим отражением в реестре рисков.

Ключевым, в данном методе, является пристальное рассмотрение каждой идеи. При практическом использовании метод мозгового штурма встречается со многими «преградами». Результатом правильно проведенного «brainstorming» - бесчисленное количество идей, которое просто иногда невозможно обработать.

Неоспоримым преимуществом метода является дешевизна, быстрота проведения, последующая кристаллизация команды и отладка способов её членов. Недостатками является потенциальное доминирование одной личности, фокусировка только на отдельных предметных областях, что может привести к тому, что цели встречи будут «замылены», необходимость в присутствии опытного, сильного, объективного ко всем членам группы ведущего.

Использование этого метода требует демократическо-наставническо-поощерительной атмосферы, которая, к сожалению не нашла широкого распространения в ИТ-бизнесс среде. Метод, безусловно, очень популярный, но его эффетивность и результативность оставляет еще большую почву для совершенствования организации и специалистов, которые его проводят.

На сегодняшний день идеи метода мозгового штурма получили довольно широкое распространение не только в качестве самодостаточного метода, но так же и в качестве базиса для метода «Карточки Кроуфорда». Этот метод, в отличии от своего «родителя» абсолютно анонимный и позволяет идентифицировать и, далее ранжировать риски в порядке их приоритетов по влиянию на деятельность. Каждый участник экспертной группы на листке бумаги записывает наиболее важный, по его мнению, риск, с кратким пояснением предложенных приоритетов.

Собрав информацию, риски можно объединить в группы по степени важности. Затем происходит совместный анализ всех рисков и принимаются решения о том, в каком направлении по работе с рисками двигаться. Данный метод требователен к подбору экспертов, участвующих в нем, от которого, во многом зависит эффективность результата.

Плюсы метода – относительная быстрота, реализуемость, легкая достижимость конечного результата, снижение эффекта подавления членов группы более лидирующей личностью. Недостатком, по сравнению с методом мозгового штурма является более низкая социальная ориентированность методики карточек кроуфорда. И один, и другой методы, авторы этого курса в своей практики применяли. Методики вполне жизнеспособные и имеют, при правильном использовании и модерировании, практическую значимость и ценность.

Метод Delphi

Второй по популярности метод, используемый при работе с рисками, метод Delphi. Он был разработан во время разгара холодной войны, в 50х годах в США, группой экспертов, представляющих одну из корпораций, работающих на правительственные структуры. Первоначально метод использовался в целях прогнозирования влияния разрабатываемых технологий на направления ведения гипотетически возможной войны. Эта методика также относится к к группе методов экспертного оценивания. Она более ресурсотребовательная, по сравнению с методом мозгового штурма, поскольку выполняется в несколько операций. Первым этапом проводится письменный опрос участников команды, затем полученные данные подвергаются более подробному анализу и обобщаются сторонними лицами, а уже потом вновь рассылаются экспертам в виде интегрированного списка рисков для дальнейших комментариев. Данный метод позволяет проанализировать риски несколько раз, систематизировать их, автоматически отодвигая незначительные на второй план. Консенсус и список рисков получается через несколько итераций этого процесса. В методе Deiphi исключается давление со стороны коллег и боязнь неловкого положения при высказывании идеи. Главными преимущества метода является исключение возможности доминирования одной личности, метод может проводиться дистанционно, к примеру, через электронную почту, нивелируется возможность «не зрелой» оценки. Недостатки метода: требует участия каждого члена группы, занимает много времени, высокая загрузка ложиться на плечи ведущего и административный персонал.

Данный метод нами применялся, но его эффективность и результативность может быть обеспечена только в том, случае, если посвятить ему достаточное количество времени, что не всегда получается.

Идентификация основных причин

Идентификация основных причин (ИОП) - это не отдельный метод, имеющий четко сформулированный алгоритм (по сравнению с методами Brainstorming или Delphi). ИОП это комплексный подход, используемый при идентификации рисков.

При его применении на первый план выходить квалификация исполнителя/эксперта, способного предусмотреть максимально возможное видение (сформировать комплексное представление) всех потенциальных и явных причин ущербов и организовать процесс работы над ними.

Подходы, применяемые для идентификации источников рисков, событий, их причин и потенциальных последствий, включают использование источников, основанных на опыте и комплексе уже имеющихся документарных артефактов проекта (реестр рисков, и т.д.), выявленных и зафиксированных на более ранних стадиях или разработанных специально для данного метода.

Использование данного подхода зависит от характера рассматриваемой деятельности, типов риска, организационных аспектов и цели процесса менеджмента рисков. Впрочем, эти составляющие используются и для всех остальных методов в управлении и анализа рисков, на всех стадиях процесса.

Суть данного метода заключается в подробном рассмотрении всех возможных рисков, которые, по своей сути являются следствием определенной деятельности/ей и построением причинно-следственных связей. С помощью зафиксированных закономерностей и становится возможным выявить основные и главные причины рисков, области и активности, в которых они возникают, учитывая всевозможные смежные процессы, которые оказывают свое влияние на возникновение рисков.

После того, как причины выявлены и зафиксированы необходимо принять решение о том, что и каким образом необходимо корректировать и исправлять.

Наилучшим образом, для проведения анализа ИОП подходит инструмент под названием «Диаграмма Ишикава». Эта техника нашла на сегодняшний день очень широкое применение и используется во многих областях. Мы не будем описывать алгоритм использования «Диаграммы Ишикавы», при желании, изучить этот инструмент сможет каждый желающий, без труда найдя необходимую информацию в сети, но отметим, что этот инструмент можно использовать и на других стадия процесса управления и анализа рисков.

Несомненным преимуществом метода идентификации основных причин является возможность его проведения без дополнительного привлечения дорогого ресурса дополнительных экспертов, отдельно взятым специалистом, что делает этот метод менее «экспертным» (с точки зрения количества участников) по сравнению с рассмотренными ранее методами, но не менее эффективным, и более быстрым.

SWOT анализ

SWOT (SWOT, акроним - Strengths [преимущества], Weaknesses [недостатки], Opportunities [возможности] и Threats [угрозы]). Термин «SWOT» введен в Гарварде в 1963 году, профессором экономики Кеннетом Эндрюсом.

Цель проведения этого вида анализа - оценить возможности и окружение «рискового» проекта или процесса. На сегодняшний день эта методика получила очень широкое распространение в разнообразных областях бизнеса при проведении консалтинговых и управленческих исследований за счет своей привлекательной субъективности и легкоинтерпретируемости результатов, выполненных конкретными экспертами.

Преимущества и недостатки - это факторы внутренней среды процесса или проекта, влияющие на возникновения или сами порождающие риски. Возможности и угрозы - это факторы внешней среды, оказывающие влияние на объект и приводящие к возможному возникновению рисков.

Преимуществами данного вида анализа являются: универсальность применения, гибкость использования, широта использования, легкая адаптируемость.

Слабыми сторонами SWOT анализа: поверхностность оцениваемых факторов, только качественное описание факторов, субъективность.

Задача SWOT-анализа - дать структурированное описание ситуации, относительно которой нужно принять какое-либо решение.

Выводы, сделанные на его основе, носят описательный характер без рекомендаций и расстановки приоритетов, что приводит к тому, что данный анализ, сам по себе, нельзя считать самодостаточным, а порой даже очень вредным и «ядовитым».

SWOT-анализ, пожалуй, самый противоречивый из всех приведенных в этой лекции методов. С одной стороны, данный вид анализа очень привлекательный за счет того, что предлагает быстрый результат. С другой стороны, качество этого результата может быть очень поверхностным. Это приведет к тому, что решение, принятое на его основе, будет неоправданным, как с тактической, так и со стратегической точек зрения конкретной деятельности.

Результаты его проведения необходимо дополнительно анализировать и интерпретировать в свете дополнительных методологических данных конкретной области, в которой он был проведен. Без альтернативных данных в областях, где этот метод применялся, получить качественную информационную картину рисковой области представляется затруднительным.

Метод Монте-Карло

Метод Монте-Карло (ММК), является самым формализованным и сложным из рассматриваемых методик. Этот метод имеет наиболее основательный технологический аппарат, из представленных в этой лекции. Наш выбор этого метода, для включения в этот обзор, был осознанным. Этим мы пытаемся продемонстрировать «полюсы» методик в области идентификации рисков.

ММК построен на использовании математических алгоритмов, что позволяет считать данную методику наиболее обоснованной и точной. Сложность и основательность данного метода оправдана только при использовании большого количества статистических данных.

Количество времени и этапов обработки данных, необходимых для вычисления конечных или «промежуточно» конечных результатов, порой довольно продолжительное. Это приводит к тому, что ММК оптимален только в тех случаях, когда в рисковой деятельности уже имеется большой массив информации и результаты не должны быть предоставлены «вчера». Иначе, преимущества этого метода, точность и применимость к сложным структурным и иерархическим системам, теряет смысл и постепенно «выхолащивается» в процессе его применения.

Для ММК необходимо использовать информационные таблицы, современные программные средства моделирования и описания процессов, для которых должны удовлетворяться высокие требования к функциональным и нефункциональным характеристикам использованных данных.

ММК это способ идентификации неопределенных параметров в широком диапазоне ситуаций, имеющих определенное периодическое, частотное значение. Данный метод это уже не аналитический метод, а научная методика, нашедшая своё технологическое применение в некоторых сферах бизнеса (в рисковой деятельности в том числе).

Метод Монте-Карло применяют для идентификации прогнозных значений рисков, результатов низкоформализованных и стохастических активностей, когда экспертные и аналитические методы затруднительно применить из-за сложности и комплексности рисковой области.

Преимуществами метода Монте-Карло являются - универсальность применения к любым данным не зависимо от источника их возникновения или поступления, модели, используемые в ММК относительно просты, с научной точки зрения, и при наличии необходимых ресурсов для их создания и развития, они могут быть дополнены и расширены. Данный метод позволяет учесть не отдельно взятый процесс, а взаимосвязанность процессов в совокупности с установленными связями. Используемые модели могут быть прозрачными и понятными, что повышает доверие к этому методу. ММК позволяет достичь необходимой точности результатов.

Недостатками ММК являются – большое количество времени, затрачиваемое для достижения результатов, чрезмерная техническая сложность метода может оттолкнуть от него стэйкхолдеров процессов и оставить специалистов, ответственных за проведение метода наедине с компьютером. Метод Монте-Карло не может адекватно моделировать события с очень высокой или очень низкой вероятностью появления.

Подводя итоги надо сказать, что использование Метода Монте-Карло может быть оправдано только в тех компаниях и областях, в которых уже наработан доступный для использования массив данных, на основе которого могут быть построены модели поведения систем и процессов.

Завышенная ресурсотребовательность этого метода послужили тому, что на данный момент он не нашел широкого распространения в информационных технологиях бизнес областей.

Создание иерархической структуры рисков

После того, как процесс идентификации рисков проведен, в соответствии с выбранным комплексом методик, составлен полный реестр рисков, влияние которых может оказывать на осуществляемую деятельность, необходимо определиться с тем, каким образом необходимо обрабатывать существующий перечень рисков, какую тактику и стратегию выбрать при работе с ними.

Ответ на поставленный вопрос дает созданная иерархическая структура рисков.

Иерархическая структура рисков – это документ, в котором нашли отражение все риски, выявленные в процессе идентификации и зафиксированные в реестре рисков.

В процесс создания иерархической структуры рисков (ИСР) выполняется декомпозиция рисков на стадии и работы. Каждая работа должна иметь ответственного исполнителя, с тем, чтобы мониторинг идентификации и возникновения рисков имел четкий план действий. План действий каждой работы должен иметь четкую последовательность легкоконтролируемых операций во времени, каждая из которых должна иметь измеримые метрики и показатели, оценка которых должен выполняться всеми, заинтересованными в управлении и анализе рисков сторон.

Несмотря на то, что каждый риск является по своему уникальным, в процессе работы над рисками создаются общепризнанные наиболее успешные шаблоны по работе с ними, применение которых может обеспечить оперативное реагирование и оптимальное решение в работе над отдельно взятым риском.

К примеру, подавляющее число рисков, связанные с проектами/процессами разработки программного обеспечения будет иметь одинаковые признаки возникновения и возможные последствия, а потому и одинаковые или подобные результаты.

Процесс разбиения рисков, на более мелкие составляющие, принято называть декомпозицией риска.

Декомпозиция риска - это инструмент, который позволяет выполнить разделение результатов проявления рисков на более мелкие. Это приводит к тому, что становится возможным оперативно управлять и корректировать каждый конкретный риск и регулировать последствия его проявления.

Каждый следующий уровень иерархии более детально отражает элементы процесса идентификации рисков в целом. Декомпозиция выполняется до тех пор, пока работа и результаты реагирования на риски не будут иметь четкого регламента, который может быть контролируем ответственным риск-менеджером.

Надо помнить, что излишняя декомпозиция может привести к непродуктивной управленческой трудоемкости, неэффективному использованию ресурсов и снижению эффективности при выполнении работы. Команда экспертов и специалистов должна найти баланс между слишком малой и слишком большой детализацией планирования ИСР.

Структурирование и организация ИСР - метод анализа, использующий шаблоны ИСР, структурирует полученные результаты идентификации рисков и представляет их в виде иерархической структуры. В зависимости от выбранного направления работ или используемого шаблона, можно получить несколько разных видов структуры.

По оценкам признанных экспертов, путем декомпозиции можно определить около 90% от общего объема работ. Системный подход, используемый при идентификации рисков и дальнейшем планировании работы с ними, позволяет увеличить точность процесса декомпозиции.

Используя аналогии из теории системной аналитики, можно сказать, что вся работа процесса идентификации риска должна рассматриваться как синергетическая система, в которой идентификация является процессом преобразования возможных рисковых событий в порядки и регламенты по работе с выявленными рисками.

Каждая операция работ должна преобразовывать свои входные элементы, которые являются выходами предыдущих активностей, в определенный результат, использование которого в дальнейшем позволит добиться заданного уровня качества в управлении рисками, при использовании необходимого количества ресурсов на каждую конкретную операцию.

Каждый задействованный в процессе риск-менеджмента специалист, эксперт и руководитель должен знать и использовать в своей работе созданную ИСР, анализировать входы и выходы промежуточных работ, которые связаны со сферой его компетенции и обязанностями, за которые он несет ответственность.

Подобная вовлеченность в общий процесс каждого его участника позволит выделить лишние работы, выходы которых не используются в проекте, добавить недостающие и исключить дублирующие.

Иерархически организованное представление идентифицированных рисков проекта, распределенных по категориям и подкатегориям риска, указывающее на различные области и источники возможных рисков позволит создать работоспособную систему по работе с ними.

Иерархическая структура рисков не должна существовать только на бумаге (уставе проекта, должностных инструкциях, временном плане – графике работ и т.д.). Этот документ должен использоваться и применяться в работе всеми заинтересованными в работе над рисками членами осуществляемой деятельности. Для этого каждую ИСР необходимо создавать под конкретный вид работ или же адаптировать используемый шаблон для конкретной активности.

Выводы

Подводя итоги надо сказать о том, что, конечно, особенно «памятуя» о деталях славянского характера, можно сосредоточиться на более важных и значимых этапах управления и анализа рисков (таких как анализ уже существующего риска и выработка мер по работе с ним), но, при этом, не обращать внимание на то, что любой пожар можно погасить, правильно и вовремя, с минимальными ресурсными затратами, распознав и обратив внимание на горелый запах вокруг.

Можно, уповать на удачу и общепризнанный «авось», применяя в идентификации рисков уже сложившуюся годами систему (хорошо если таковая есть) и надеясь на то, что при работе с каждым следующим риском можно будет использовать старые подходы или не использовать вообще ничего связанного с идентификацией рисков, но надо помнить, что удача вещь случайная и изменчивая.

Идентификация рисков, как каждая сложная деятельность, в процессе функционирования стремится к самоорганизации и развитию, при заданных параметрах функционирования. Развитие становится возможным тогда, когда в системе высвобождаются свободные ресурсы, которые можно направить на конкретные, новые цели (повышенное качество, более быстрое достижение поставленного результата и т.д.). В том случае, если риск идентифицирован полностью своевременно и правильно, дальнейший путь работы с ним будет определен наиболее оптимально.

Спасибо за уделенное нам время и до скорой встречи!