Управление рисками проекта. Большая энциклопедия нефти и газа
Идентификация и анализ риска
Это важный этап, который необходим для понимания специфики изучаемой рисковой ситуации. Под идентификацией и анализом рисков следует понимать выявление рисков, их специфику, обусловленную природой и другими характерными чертами рисков, выделение особенностей их реализации, включая изучение размера экономического ущерба, а также изменение рисков во времени, степень взаимосвязи между ними и изучение факторов, влияющих на них. Без такого исследования невозможно эффективно и целенаправленно осуществлять процесс управления риском.
Этот этап процесса менеджмента рисков идентифицирует риски, которые будут влиять на достижение целей и задач организации или конкретной деятельности. Всесторонняя идентификация с применением хорошо структурированного систематического процесса имеет большое значение, поскольку риск, не идентифицированный в рамках этого элемента процесса, может быть исключен из дальнейшего анализа. Идентификация должна включать риски независимо от того, управляет ими организация или нет.
Для идентификации и анализа рисков менеджер должен ответить на ряд вопросов:
В чем источники неопределенности и риска?
С какими ситуациями и с какими негативными последствиями предстоит столкнуться вследствие реализации риска?
Из каких источников следует получить информацию?
Каким образом можно численно оценить риск?
Как различные риски влияют друг на друга?
Идентификация рисков включает идентификацию источника риска, события и потенциальные последствия. Оценка идентифицированных источников опасности проводится далее в рамках процесса анализа рисков. Если возможно, идентификация рисков может также предусматривать или не предусматривать возможность потенциального управления риском.
Специфика данного этапа связана с его значением как информационной основы для системы управления риском. На этом этапе может быть получена качественная информация о возможности реализации риска и его последствиях, а также даны количественные оценки самого риска, его параметров, величины экономического ущерба и других показателей, необходимых для принятия решения об управлении риском. Фактически на данном этапе обеспечивается информационная основа для всей процедуры риск-менеджмента.
Общая характеристика идентификации и анализа рисков
Идентификация и анализ рисков являются ключевым элементом процесса управления риском. От их правильной организации в значительной степени зависит, насколько эффективными будут дальнейшие решения и, в конечном итоге, удастся ли фирме в достаточной мере защититься от угрожающих ей рисков. Поэтому исследование особенностей данной области риск-менеджмента и их учет в практической деятельности менеджера по рискам являются важным этапом для понимания всей системы управления риском.
Основной целью идентификации и анализа рисков является формирование у лиц, принимающих решения, целостной картины рисков, угрожающих бизнесу фирмы, жизни и здоровью ее сотрудников, имущественным интересам владельцев/акционеров, обязательствам, возникающим в процессе взаимоотношений с клиентами и другими контрагентами, правам третьих лиц и т.п. В данном случае важен не только перечень рисков, но и понимание менеджерами того, как эти риски могут повлиять на деятельность фирмы и насколько серьезными могут быть последствия. В результате такого исследования будет правильно организована система управления рисками, которая обеспечит приемлемый уровень защиты фирмы от этих рисков.
Идентификация и анализ рисков предполагает проведение качественного, а затем и количественного изучения рисков, с которыми сталкивается фирма.
Качественный анализ предполагает обнаружение рисков, исследование их особенностей, выявление последствий реализации соответствующих рисков в форме экономического ущерба, раскрытие источников информации относительно каждого риска. На данной стадии проводится подробная классификация выявленных рисков. В результате этого у менеджера по рискам возникает понимание круга проблем, с которыми придется столкнуться в процессе риск-менеджмента.
Предварительным шагом стадии количественной оценки рисков является получение информации о них. Такая информация должна содержать следующие данные, необходимые для оценки степени предсказуемости риска: частота (вероятность) возникновения и размер убытков, т.е. распределение ущерба, а также другие характеристики, которые требуются для дальнейшего анализа рисков. Правильность всех последующих решений будет зависеть от того, удастся ли собрать необходимые качественные данные в нужном объеме. Поэтому определение степени доверия к разным источникам информации представляет собой важный аспект этого шага.
Основной шаг стадии количественной оценки рисков - обработка собранных данных. Она должна обслуживать цели последующего процесса принятия решений по управлению риском. Для выявления факторов риска и степени их воздействия могут быть использованы различные методы статистической обработки данных, в том числе корреляционный и дисперсионный анализ, анализ временных рядов, факторный анализ и другие методы многомерной классификации, а также математическое моделирование, включая имитационное.
При необходимости статистический анализ может быть использован для подтверждения некоторых выводов предшествующей стадии, когда качественного анализа для этого недостаточно. Например, если качественной информации не хватает для проведения подробной классификации рисков, то можно провести процедуру многомерной классификации.
Процесс идентификации
Для разработки всестороннего перечня рисков необходимо применять систематический процесс, начинающийся с определения сложившейся ситуации. Для подтверждения эффективной идентификации рисков представляется целесообразным рассматривать процесс, проект или деятельность структурировано, используя для этого ключевые элементы, определенные при установлении ситуации. Это позволяет убедиться в том, что основные источники риска (или события) не были упущены или случайно исключены из последующего рассмотрения.
При идентификации источников риска представляется важным наличие соответствующей и актуализированной информации. На начальном этапе можно обсудить предысторию этой или аналогичных организаций или их деятельности, а затем перейти к обсуждению исторических, текущих и возникающих вопросов с участием самых различных заинтересованных сторон.
Необходимо, чтобы специалисты, участвующие в процессе идентификации рисков, знали хорошо основные аспекты, связанные с источниками и причинами рисков.
Идентифицировав, какое событие, связанное с риском, может произойти, представляется необходимым рассмотреть возможные причины и сценарии, демонстрирующие, каким образом источник риска и событие могут привести к нежелательным последствиям. Событие может развиваться по самым различным сценариям. Представляется важным не пропустить наиболее существенные причины и следствия.
Этапы идентификации и анализа рисков
Анализ риска (ГОСТ Р 51898–2002) представляет собой структурированный процесс, целью которого является определение как вероятности, так и размеров неблагоприятных последствий исследуемого действия, объекта или системы. Посредством проведения анализа риска предпринимаются попытки ответить на три основных вопроса:
Что может выйти из строя или произойти (идентификация опасности)?
С какой вероятностью это может произойти (анализ частоты)?
Каковы последствия этого события (анализ последствий)?
Риск присутствует в любой человеческой деятельности. Он может относиться к здоровью и безопасности (учитывая, например, как немедленные, так и долгосрочные последствия для здоровья от воздействия токсичных химических продуктов). Риск может быть экономическим, например, приводящим к уничтожению оборудования и продукции вследствие пожаров, взрывов или других аварий. Он может учитывать неблагоприятные воздействия на окружающую среду. Задачей управления рисками является контроль, предотвращение гибели людей, снижение заболеваемости, снижение ущерба, урона имуществу и других производственных потерь, а также воздействия на окружающую среду.
Для повышения эффективности менеджмента рисков необходимо проводить предварительный анализ риска, включающий следующие элементы:
а) идентификация риска и определение подходов к решению связанных с ним проблем;
б) использование объективной информации при принятии решений;
в) удовлетворение регламентированных требований к риску.
Можно предложить множество критериев для выделения этапов процесса идентификации и анализа рисков. Наиболее распространенным является степень подробности исследования риска. В соответствии с ней можно выделить следующие этапы:
1) осмысление риска, т.е. качественный анализ, сопровождаемый исследованием структурных характеристик риска (опасность - подверженность риску - уязвимость). Это очень важный этап, так как он определяет, с чем столкнется в дальнейшем менеджер по рискам, и тем самым задает границы принятия решений в процессе риск-менеджмента;
2) анализ конкретных причин возникновения неблагоприятных событий и их отрицательных последствий. Данный этап представляет собой подробное изучение отдельных рисков (причинно-следственные связи между факторами риска, возникновением неблагоприятных событий и вызванным ими появлением ущерба). Такое исследование обеспечивает основу для принятия решений в рамках управления риском;
3) комплексный анализ рисков. Указанный этап предполагает изучение всей совокупности рисков в целом, что дает цельную, комплексную картину рисков, с которыми сталкивается фирма. Это позволяет проводить единую политику по управлению риском. Подобное исследование включает также проведение таких процедур, как аудит безопасности, т.е. всестороннее исследование бизнеса фирмы, методов принятия решений и используемых технологий с целью выявления и анализа рисков, которым они подвержены.
В ряде случаев не все перечисленные этапы реализуются в практике риск-менеджмента конкретных фирм, но наиболее полный и комплексный вариант включает все три этапа. Как правило, это характерно для крупных фирм, занимающихся сложным бизнесом.
Результаты анализа риска могут использоваться специалистом, принимающим решение, при оценке допустимости риска, а также при выборе между потенциальными мерами по снижению или устранению риска. С точки зрения специалиста, принимающего решение, к основным достоинствам анализа риска относятся следующие:
а) систематическая идентификация потенциальных опасностей;
б) систематическая идентификация возможных видов отказов;
в) количественные оценки или ранжирование рисков;
г) оценка надежности возможных модификаций системы для снижения риска и достижения предпочтительных уровней ее надежности;
д) выявление факторов, обусловливающих риск, и слабых звеньев в системе;
е) более глубокое понимание устройства и функционирования системы;
ж) сопоставление риска исследуемой системы с рисками альтернативных систем или технологий;
з)идентификация и сопоставление рисков и неопределенностей;
и)помощь в установлении приоритетов при совершенствовании санитарных требований и норм;
к)формирование базы для рациональной организации профилактического обслуживания, ремонта и контроля;
л)обеспечение возможности поставарийного расследования и мер по предупреждению аварий;
м)возможность выбора мер и приемов по обеспечению снижения риска.
Все эти факторы играют важную роль в эффективном управлении рисками независимо от того, какие задачи рассматриваются (охрана здоровья, безопасность, предотвращение экономических потерь, обеспечение выполнения требований постановлений правительства и т.п.).
Анализ может охватывать такие области специальных знаний, как:
а) системный анализ;
б) вероятность и статистика;
в) химическая технология, машиностроение, электротехника, строительная техника или ядерная техника;
г) физические, химические или биологические науки;
д) медицинские науки, в том числе токсикология и эпидемиология;
е) общественные науки, в том числе экономика, психология и социология;
ж) влияние человеческого фактора, эргономика и наука управления. Распределение рисков по категориям
Анализ риска является частью оценки риска и процесса менеджмента рисков, проиллюстрированного на рис, и состоит из определения области применения, идентификации опасности и оценки величины риска.
Опубликовано 14.11.2017 20:13 определяет, какие риски способны повлиять на проект, и документирует характеристики этих рисков. Идентификация рисков не будет эффективной, если она не будет проводиться регулярно на протяжении реализации проекта.
Идентификация рисков должна привлекать как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов.
Идентификация рисков - итерационный процесс. Вначале идентификация рисков может быть выполнена частью менеджеров проекта или группой аналитиков рисков. Далее идентификацией может заниматься основная группа менеджеров проекта. Для формирования объективной оценки в завершающей стадии процесса могут участвовать независимые специалисты. Возможное реагирование может быть определено в течение процесса идентификации рисков.
3. Качественная оценка рисков
Качественная оценка рисков - процесс представления качественного анализа идентификации рисков и определения рисков, требующих быстрого реагирования. Такая оценка рисков определяет степень важности риска и выбирает способ реагирования. Доступность сопровождающей информации помогает легче расставить приоритеты для разных категорий рисков. Качественная оценка рисков это оценка условий возникновения рисков и определение их воздействия на проект стандартными методами и средствами. Использование этих средств помогает частично избежать неопределенности, которые часто встречаются в проекте. В течение жизненного цикла проекта должна происходить постоянная переоценка рисков.
4. Количественная оценка рисков
Количественная оценка рисков определяет вероятность возникновения рисков и влияние последствий рисков на проект, что помогает группе управления проектами верно принимать решения и избегать неопределенностей. Количественная оценка рисков позволяет определять:
Вероятность достижения конечной цели проекта
Степень воздействия риска на проект и объемы непредвиденных затрат и материалов, которые могут понадобиться.
Риски, требующие скорейшего реагирования и большего внимания, а также влияние их последствий на проект.
Фактические затраты, предполагаемые сроки окончания.
Количественная оценка рисков часто сопровождает качественную оценку и также требует процесс идентификации рисков. Количественная и количественная оценка рисков могут использоваться по отдельности или вместе, в зависимости от располагаемого времени и бюджета, необходимости в количественной или качественной оценке рисков.
5. Планирование реагирования на риски
Планирование реагирования на риски - это разработка методов и технологий снижения отрицательного воздействия рисков на проект. Берет на себя ответственность за эффективность защиты проекта от воздействия на него рисков. Планирование включает в себя идентификацию и распределение каждого риска по категориям. Эффективность разработки реагирования прямо определит, будут ли последствия воздействие риска на проект положительными или отрицательными.
Стратегия планирования реагирования должна соответствовать типам рисков, рентабельности ресурсов и временным параметрам. Вопросы, обсуждаемые во время встреч, должны быть адекватны задачам на каждой стадии проекта, и согласованы со всеми членами группы по управлению проектом. Обычно требуются несколько вариантов стратегий реагирования на риски.
6. Мониторинг и контроль
Мониторинг и контроль следят за идентификацией рисков, определяют остаточные риски, обеспечивают выполнение плана рисков и оценивают его эффективность с учетом понижения риска. Показатели рисков, связанные с осуществлением условий выполнения плана фиксируются. Мониторинг и контроль сопровождает процесс внедрения проекта в жизнь.
Качественный контроль выполнения проекта предоставляет информацию, помогающую принимать эффективные решения для предотвращения возникновения рисков. Для предоставления полной информации о выполнении проекта необходимо взаимодействие между всеми менеджерами проекта.
Целью мониторинга и контроля является выяснить, было ли:
Система реагирования на риски внедрена в соответствии с планом
Реагирование достаточно эффективно или необходимы изменения
Риски изменились по сравнению с предыдущим значением
Наступление влияния рисков
Необходимые меры приняты
Воздействие рисков оказалось запланированным или явилось случайным результатом.
Контроль может повлечь за собой выбор альтернативных стратегий, принятие корректив, перепланировку проекта для достижения базового плана. Между менеджерами проекта и группой риска должно быть постоянное взаимодействие, должны фиксироваться все изменения и явления. Отчеты по выполнению проекта должны формироваться регулярно
Под идентификацией рисков понимается действия, направленные на определение параметров рисковой ситуации (что может случиться, где, когда, как и почему?)
Целью идентификации рисков является составление полного перечня рисков, которые могут повлиять на достижение целей организации в рамках интегрированной системы менеджмента. Этот перечень должен быть максимально полным, так как неидентифицированные риски могут представлять существенную опасность для достижения поставленных целей, вызвать потерю контроля над процессами ИСМ и привести к утрате перспективных возможностей.
Причинно-следственная связь между основными составляющими идентификации рисков представлена на рисунке 15 /5/.
Причины риска представляют собой источник появления рисковой ситуации.
Например, нестабильность экономической ситуации в стране порождает потенциальный риск задержки погашения дебиторской задолженности компании.
Факторы риска - это условия, в которых проявляются причины риска, обусловливающие появление рисковых ситуаций.
В развитие предыдущего примера можно установить, что задержка с выплатой дебиторской задолженности произошла вследствие неконтролируемого роста инфляции на фоне нестабильной макроэкономической среды на уровне государства. В данном случае фактором риска выступает неконтролируемый рост инфляции.
Рисковая ситуация представляет собой событие, обусловленное причинами и факторами риска, которое может привести к негативным или позитивным последствиям.
Отсутствия финансирования организации со стороны дебиторской компании иллюстрирует понятие рисковой ситуации.
Вид риска характеризует источник появления рисковой ситуации. Другими словами, вид риска определяет, кто из заинтересованных сторон является «инициатором» возникновения рисковой ситуации.
В рассматриваемом примере вид риска является внешним, так как его «инициатором» выступает внешняя заинтересованная сторона - дебиторская компания.
Метод выявления характеризует способ обнаружения рисковой ситуации.
Отсутствие финансирования выявляется финансовоэкономической службой организации путем мониторинга расчетного счета и договорных обязательств между организацией и дебитором.
Характеристики рисковой ситуации определяются временными и структурными параметрами появления риска.
В нашем примере отсутствие финансирования может возникнуть на этапе выполнения дебитором своих обязательств.
Последствия представляют собой результаты рисковой ситуации в случае их реализации.
Рассматриваемая рисковая ситуация ведет к негативным последствиям для организации, например, к срыву временных характеристик (сроков) при реализации бизнес-процесса или проекта.
Рисунок 15. Определение взаимосвязи между составляющими идентификации рисков.
Разработать всеобъемлющий перечень рисков можно в рамках систематического процесса управления рисками, который необходимо начинать с формулирования и определения контекста риск-менеджмента (см. предыдущий раздел). Для обеспечения гарантии результативности идентификации рисков рекомендуется подходить к бизнес-процессу, проекту или деятельности последовательным структурированием. На рисунке 16 приведен базовый алгоритм разработки такой процедуры. Этот алгоритм представляет собой ряд последовательных вопросов. Ответы на них позволяют разработать эффективную процедуру идентификации рисков. Уровень детализации вопросов зависит от статуса процесса риск-менеджмента в контексте деятельности, на которую он распространяется.
Идентификация рисков является одним из базовых и основополагающих элементов риск-менеджмента. При идентификации рисков определяющим фактором является качество используемой информации /5/. Качество информации определяется следующими основными параметрами:
- Достоверность;
- Объективность;
- Своевременность;
- Актуальность;
- Полнота охвата.
- Проведение консультаций с группами специалистов, имеющих опыт в реализации деятельности, в рамках которой осуществляется управление рисками;
- Опыт конкурентов и других сторонних организаций;
- SWOT-анализ и результаты маркетинговых исследований;
- Отчеты по страховым случаям;
- Результаты внутренних и внешних аудитов;
- Результаты инспекционных проверок технологии реализации бизнес-процессов;
- Записи прошлых событий, базы данных по происшествиям, анализ проблем и предыдущие перечни рисков (если таковые имеются).
При идентификации рисков необходимо также определиться со схемой их классификации. Классификация рисков дает возможность разделить их на однородные кластеры, что позволяет систематизировать риски. Необходимость классификации связана с тем, что основной причиной возникновения рисковой ситуации является неопределенность предпринимательской среды - как внутренней, так и внешней.
Классифицировать риски можно по различным признакам. При этом необходимо стремиться не столько перечислить все виды рисков, сколько создать определенную базовую схему, которая позволила бы не упустить какие-либо из них. В рамках данной публикации представлена классификация рисков по видам предпринимательской деятельности:
- Производственная (производство товаров и услуг);
- Коммерческая (реализация товаров и услуг);
- Финансовая (управление финансовыми потоками).
Рисунок 16. Базовый алгоритм разработки процедуры идентификации рисков
Классификация рисков коммерческой и финансовой деятельности предприятия
Для указанных видов предпринимательской деятельности наиболее распространенной и часто используемой является классификационная схема рисков, предложенная в /3/. Ее основой является разделение всех рисков по однородности последствий от возникновения рисковой ситуации (рисунок 17): чистые (нефинансовые), спекулятивные (финансовые) и смешанные (коммерческие) риски.
Рисунок 17. Генеральная классификация рисков в деятельности коммерческих и финансовых структур
Чистые (нефинансовые) риски связаны с возникновением рисковых ситуаций, которые непосредственно не возникают в процессах движения финансовых потоков, но оказывают на них значительное влияние. Чистые риски могут быть разделены на следующие типы (рисунок 18):
– природно-естественные;
– политические;
– социальные;
– транспортные.
Рисунок 18. Классификация чистых (нефинансовых) рисков
Идентификация риска
Идентификация рисков – начальный этап системы мероприятий по управлению рисками, состоящий в систематическом выявлении рисков, характерных для определенного вида деятельности, и определении их характеристик.
Согласно ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» под идентификацией риска понимается процесс нахождения, составления перечня и описания элементов риска.
Идентификация рисков определяет, какие риски способны повлиять на проект, и документирует характеристики этих рисков.
Идентификация рисков – итерационный процесс. Вначале идентификация рисков может быть выполнена частью менеджеров проекта или группой аналитиков рисков.
Далее идентификацией может заниматься основная группа менеджеров проекта. Для формирования объективной оценки в завершающей стадии процесса могут участвовать независимые специалисты. Возможное реагирование может быть определено в течение процесса идентификации рисков.
Исходные данные для выявления и описания характеристик рисков могут браться из разных источников :
1. В первую очередь это база знаний организации . Информация о выполнении прежних проектов может быть доступна в архивах предыдущих проектов. Следует помнить, что проблемы завершенных и выполняемых проектов, это, как правило, риски в новых проектах.
2. Другим источником данных о рисках проекта может служить разнообразная информация из открытых источников , научных работ, маркетинговая аналитика и другие исследовательские работы в данной области.
Каждый проект задумывается и разрабатывается на основании ряда гипотез, сценариев и допущений. Как правило, в описании содержания проекта перечисляются принятые допущения – факторы, которые для целей планирования считаются верными, реальными или определенными без привлечения доказательств. Неопределенность в допущениях проекта следует также обязательно рассматривать в качестве потенциального источника возникновения рисков проекта. Анализ допущения позволяет идентифицировать риски проекта, происходящие от неточности, несовместимости или неполноты допущений.
Основными сложностями при идентификации факторов риска и неопределенности при проведении предпроектного обоснования инвестиций являются:
Отсутствие зависимости, в общем смысле, между событиями, убыточными для проекта в целом и событиями, убыточными для конкретного участника;
При проведении идентификации рисковых событий сложность нахождения компромисса между чрезмерным количеством возможных событий и их неполным перечнем. В данном случае крайне важным становится профессионализм экспертов.
Для устранения данных противоречий целесообразно проводить первоначальное выявление убыточных именно для конкретного участника событий, а затем из их числа – наиболее возможные с учетом специфики участия в проекте.
Для сбора информации о рисках могут применяться различные подходы. Среди этих подходов наиболее распространены: опрос экспертов, мозговой штурм, метод Дельфи, карточки Кроуфорда.
Современные методики управления рисками снабжены мощным инструментарием выявления рисковых событий, характеризующих как проект в целом, так и отдельные его аспекты. Наиболее эффективным методом идентификации рисков является анализ окружения проекта . Из списка негативных событий вначале определяются наиболее правдоподобные с точки зрения эксперта в данном проекте (отбор по возможности-вероятности наступления). Затем события, определенные с помощью экспертных оценок, отбираются по убыточности для проекта.
При идентификации рисковых событий конкретного участника на основе модели контрактных взаимоотношений три основные группы рисковых событий (рост инвестиционных расходов, рост затрат на производство, падение доходов) предлагается выявлять в зависимости от того, какими из следующих факторов они обусловлены: форс-мажорными обстоятельствами, невыполнением прочими участниками своих обязательств, невыполнение самим участником своих обязательств.
Основным достоинством приведенной классификации негативных событий проекта является то, что она обладает ориентацией на убыточность событий проекта для отдельного участника, чего недостаточно полно учитывают современные экспертные методы. При этом особое внимание при идентификации рисковых событий уделяется возможным обострением взаимоотношений участников проекта.
Результатом идентификации рисков должен стать список рисков с описанием их основных характеристик: причины, условия, последствий и ущерба.
Результатом процесса идентификации рисков является Реестр рисков, содержащий:
Список идентифицированных рисков;
Список потенциальных действий по реагированию;
Основные причины возникновения риска;
В процессе идентификации список категорий рисков может пополняться новыми категориями, что может привести к расширению иерархической структуры рисков, разработанной в процессе планирования управления рисками.
Реестр рисков содержит следующую информацию:
1. Дата возникновения риска.
2. Дата регистрации риска.
3. Наименование риска.
4. Описание риска.
5. Инициатор.
6. Причины, вызвавшие риск.
7. Последствия.
8. Владелец риска.
9. Дата окончания действия риска.
Несмотря на то, что проекты – это рискованные предприятия, и в них всегда присутствует неопределенность, которую необходимо идентифицировать и контролировать, включать каждый неопределенный риск в Реестр рисков – ошибочно.
У всех рисков есть общие неотъемлемые характеристики:
1. Они относятся к будущему времени и еще не произошли.
2. Это неопределенные события, которые могут и не случиться.
3. Они имеют значение в случае, если они происходят.
Вместо того, чтобы заполнять Реестр общими рисками, которые не требуют специального реагирования, кроме надлежащего выполнения работ, необходимо обращать внимание на обнаружение реальных рисков.
Идентификация рисков – это выявление рисков, способных повлиять на проект, и документальное оформление их характеристик. Это итеративный процесс, который периодически повторяется на всем протяжении проекта, поскольку в рамках его жизненного цикла могут обнаруживаться новые риски.
В качестве источника информации при выявлении рисков могут служить различные доступные контрольные списки рисков проектов ранее разработанных, которые следует проанализировать на применимость к данному конкретному проекту.
Классификация наиболее часто проявляющихся рисков представлена в табл. 1.
Таблица 1
Оценка рисков
Проведя первичную идентификацию рисков надо оценить их относительную важность, что достаточно удобно выполнить по таким параметрам риска, как вероятность его возникновения и последствия для проекта. Каждый из этих параметров оценивается на основании экспертного мнения, а значимость риска прямо пропорциональна величине вероятности и последствиям.
Цели получения данной оценки:
приоритизация позволяет правильно распределить усилия на планирование и последующее выполнение мероприятий, направленных на минимизацию последствий рисков;
при расчете эффекта от проекта целесообразно для получения объективной картины использовать поправки на риск.
Так, при расчете ROI методом дисконтированных денежных потоков, рекомендуется использовать определенные увеличения процента дисконтирования при оценке будущих доходов от проекта в зависимости от величины риска.
При подготовке проекта внедрения, разработанной ИС, были экспертным путем определены риски (табл. 2).
Таблица 2
После этого, используя таблицу, содержащую рекомендуемые поправки значений ROI с учетом интегральных рисков ИТ-проекта, нужно рассчитать поправки на риск (табл. 3).
Таблица 3
Таким образом, оценка рисков в баллах по результатам таблицы 2 дала 31,85 балла, что соответствует поправке в 30%:
по плану на разработку и внедрение новой ИС потребуется 84 дня, то с учетом риска в 30% получится около 110 дней;
по плану на разработку и внедрение новой ИС расходы составляют 104 320 рублей, то с учетом риска в 30% получится около 140 000 рублей, однако выделено $ 500 000, что приблизительно составляет 15 000 000 рублей, и поэтому риск превышения бюджета можно не рассматривать.
Планирование реагирования на риски
Планирование реагирования на риски - это процесс разработки путей и определения действий по увеличению возможностей и снижению угроз для целей проекта. Данный процесс начинается после проведения качественного и количественного анализа рисков.
Запланированные операции по реагированию на риски должны соответствовать серьезности риска, быть экономически эффективными в решении проблемы, своевременными, реалистичными в контексте проекта и согласованными со всеми участниками.
Возможны четыре метода реагирования на риски:
Уклонение от риска (risk avoidance);
Передача риска (risk transference);
Снижение рисков (risk mitigation);
Принятие риска (risk acceptance).
Уклонение от риска предполагает изменение плана управления проектом таким образом, чтобы исключить угрозу, вызванную негативным риском, оградить цели проекта от последствий риска или ослабить цели, находящиеся под угрозой (например, уменьшить содержание проекта). Некоторые риски, возникающие на ранних стадиях проекта, можно избежать при помощи уточнения требований, получения дополнительной информации или проведения экспертизы.
Для уклонения от риска при разработке проекта автоматизации торговой компании «Рассвет» необходимо следующее:
уточнение всех условий проекта;
обращение к дополнительной информации или проведение экспертизы об условиях проекта;
разработка 1-2 вариантов альтернативного развития проекта;
Передача риска подразумевает переложение негативных последствий угрозы с ответственностью за реагирование на риск на третью сторону. Передача риска просто переносит ответственность за его управление другой стороне, но риск при этом никуда не девается. Передача риска практически всегда предполагает выплату премии за риск стороне, принимающей на себя риск. В IT часто приходится формулировать риски в виде допущений, тем самым передавая его заказчику.
Для передачи риска при разработке проекта автоматизации торговой компании «Рассвет» необходимо следующее:
договор со страховой компанией;
проводить постоянный мониторинг переданных рисков.
Снижение рисков предполагает понижение вероятности и/или последствий негативного рискованного события до приемлемых пределов. Принятие предупредительных мер по снижению вероятности наступления риска или его последствий часто оказываются более эффективными, нежели усилия по устранению негативных последствий, предпринимаемые после наступления события риска.
Для снижения риска при разработке проекта автоматизации торговой компании «Рассвет» необходимо следующее:
постоянное тестирование на всех этапах проекта;
постоянное сопровождение на этапе внедрения;
комплексное обучение персонала.
Принятие риска означает, что команда проекта осознанно приняла решение не изменять план управления проектом в связи с риском или не нашла подходящей стратегии реагирования. Организация вынуждена принимать все «неизвестные риски».
Управление рисками должно осуществляться на протяжении всего проекта.
Мониторинг и управление рисками - это процесс идентификации, анализа и планирования реагирования на новые риски, отслеживания ранее идентифицированных рисков, а также проверки и исполнения операций реагирования на риски и оценка эффективности этих операций.
Мониторинг и управления рисками включает в себя следующие задачи:
Пересмотр рисков – должен проводиться регулярно, согласно расписанию;
Аудит рисков – предполагает изучение и предоставление в документальном виде результатов оценки эффективности мероприятий по реагированию на риски, относящихся к идентифицированным рискам, изучение основных причин их возникновения, а также оценку эффективности процесса управления рисками.
Часть плана реагирования на риски проекта автоматизации торговой компании «Рассвет» представлена в таблице 4.
|
Пакет работ/задачи |
Событие риска и описание |
Вероятность, % |
Степень тяжести последствий, дни, деньги и т.д. |
Статус события риска |
Степень критичности* |
Действия |
||
|
Превентивные |
Условие инициации |
Действия в случае наступления события риска |
||||||
|
Документация предпроектного обследования торговой компании «Рассвет» |
Отсутствие специалиста для обследования фирмы «КМ-Техника» |
Нанять специалиста |
Специалист не нанят до 23.03.12 |
«Одолжить» специалиста у другого подразделения фирмы «КМ-Техника» |
||||
|
Подбор оптимальной ИС |
Отсутствие на рынке ИС, подходящей под установленные требования |
Поиск гибкой ИС с возможной настройкой под фирму «КМ-Техника» |
ИС не найдена до 18.04.12 |
Нанять группу программистов для создания оптимальной ИС |
||||
|
Покупка ИС |
Приобретенные вычислительные средства не удовлетворяют минимальным требованиям ИС |
Усовершенствовать вычислительные средства фирмы за счет дополнительно приобретенных компонентов |
Вычислительные средства не соответствуют минимальным требованиям до 11.05.12 |
Приобрести вычислительные средства, нанять специалистов для создания вычислительной базы |
||||
Загрузка...
