Структурная декомпозиция рисков ИТ-проекта 

4.2. Качественная и количественная оценка рисков

Оценка рисков предполагает определение величины возможных результатов (позитивных или негативных) воздействия неопределенных факторов и вероятность (правдоподобность) их наступления.

Для оценки рисков можно применять качественную либо количественную оценку. Качественная оценка, как правило, основана на экспертных методах оценки, использующих шкалы и баллы в качестве базы для измерения. Качественную оценку легче выполнить, при этом результаты оценки достаточно наглядны. Количественная оценка рисков означает присвоение количественного значения качественному параметру и позволяет определить числовое выражение вероятности возникновения рисков и их влияние на проект, а также меру риска всего проекта. Количественная и качественная оценки могут осуществляться одновременно. Количественная оценка математически обоснована и позволяет оценить эффективность управления рисками за счет анализа затрат на снижение рисков. Количественная оценка считается более объективной при наличии достаточных статистических данных, экспертов в области моделирования и доступных программных средств для математической обработки данных.

Качественная оценка ИТ-рисков. Качественная оценка рисков – процесс представления качественного анализа и трансформации «сырого» списка рисков, составленного на шаге идентификации, в основную таблицу рисков с учетом их приоритетов. Основными целями шага анализа рисков являются их приоритезация и определение тех рисков, на которые стоит выделить ресурсы для дальнейшей работы с ними. При этом качественно оцениваются вероятность риска и важность его последствий. Для этого проектная группа определяет самые существенные из рисков. Для управления ими надлежит выделить необходимые ресурсы для планирования и реализации соответствующих стратегий, а также выявить несущественные риски, чьим влиянием можно пренебречь и вычеркнуть их из списка. Рискам приписываются ранги, характеризующие их обобщенный отрицательный эффект. Таким образом, проектная группа рассматривает риски из списка, составленного при их выявлении, задает приоритеты и формирует главную таблицу рисков.

При проведении качественной оценки рисков проектная группа может использовать как собственный опыт, так и «внешние» источники информации. В качестве таковых могут выступать правила и рекомендации, действующие в организации, базы данных рисков индустрии, имитационные и аналитические модели, а также управленческое звено организации, эксперты предметной области проекта и др.

По ходу работы над проектом и при изменении внешних обстоятельств шаги выявления и анализа рисков должны повторяться, и главная таблица рисков должна обновляться. В ней могут появляться новые риски и исчезать старые, не оказывающие более на проект существенного влияния.

Качественная оценка рисков трансформирует имеющиеся данные о рисках в форму, облегчающую принятие решений. Приоритезация рисков указывает, какие из них являются наиболее важными, и, как следствие, работа над ними должна быть проведена прежде всего.

По результатам качественной оценки рисков:

1) фиксируются результаты оценки вероятности возникновения и влияния рисков;

2) производится ранжирование рисков;

3) составляется перечень приоритетных рисков;

4) распределяется ответственность по наиболее ответственным рискам;

5) определяется перечень рисков, которые требуют дополнительного анализа, оценки и управления.

Процесс качественной оценки рисков состоит из нескольких последовательных этапов, которые мы рассмотрим более подробно.

Этап 1. Выбор ответственного/владельца риска. Обычно все идентифицированные риски распределяются между ответственными. За риск, как правило, отвечает тот, кто идентифицировал данный риск. Владельцы рисков (risk owners) наблюдают за признаками наступления риска, а также управляют ответными процедурами в случае возникновения данного риска. Сотрудники становятся владельцами рисков в силу специфических экспертных знаний или в связи с тем, что они обладают определенным контролем над специфическим риском. Обычно чем раньше в процесс управления рисками вводится владелец риска, тем лучше.

Этап 2. Анализ допущений. Анализ допущений (assumption testing), которые были сделаны в процессе идентификации рисков, необходимо выполнить, прежде чем непосредственно переходить к качественному и количественному анализам рисков.

Отсутствие информации делает данные еще более рискованными. Если допущения оказываются ложными, степень риска проекта существенно увеличивается. Поэтому необходимо проанализировать стабильность каждого сделанного допущения, а также последствий, если допущение неверно.