Сергей Авдошин - Информатизация бизнеса. Управление рисками

Этап 4. Экспертная оценка вероятности возникновения и степени влияния риска. Формально процедура экспертной оценки чаще всего состоит в разработке перечня критериев оценки в виде экспертных (опросных) листов, содержащих вопросы. Для каждого критерия назначаются весовые коэффициенты, которые не сообщаются экспертам. По каждому критерию составляются варианты ответов, веса которых также неизвестны экспертам. Эксперты, проводя экспертизу, должны обладать полной информацией об оцениваемом проекте, анализировать поставленные вопросы и отмечать выбранный вариант ответа. Далее заполненные экспертные листы обрабатываются, и выдаются результаты проведенной экспертизы.

Вероятность возникновения риска (risk probability) – это мера возможности того, что последствие риска, описанное в его формулировке, действительно наступит.

Вероятность возникновения риска является базовой составляющей риска и определяет отношения количества случаев, когда событие, связанное с риском, произошло, к общему количеству аналогичных проектов. Вероятность риска должна быть больше нуля, так как иначе он из себя ничего не представляет. Также вероятность риска должна быть меньше единицы, иначе риск не содержит неопределенности и представляет собой уже известную проблему. Если вероятность риска равна единице либо риск высоковероятен (более 0,8 наступления события) – такая вероятность выводит проблему из разряда рисков и переводит в разряд фактов. Оценку вероятности можно получить на основании метода экспертных оценок, опыта прошлых проектов и предположений участников проекта. В большинстве ситуаций проектные группы могут представить собственный опыт и/или имеющиеся в индустрии опытные данные в виде простых и понятных формулировок, которые затем могут быть превращены в числовые значения.

Для оценки вероятности применяются шкалы, позволяющие упростить работу эксперта по определению оценок с любой точностью. При упрощенной оценке вероятности возникновения малозначимых рисков зачастую риску присваивают вероятность либо 1, либо 0. Соблазнительно применить для оценки шкалы типы «данный риск имеет вероятность 0,65» или «риск оценивается как 0,48». Однако использование подобных шкал предполагает, что имеется модель для расчета и значение достоверно. Такая высокая точность спорна. Наиболее эффективной шкалой вероятности риска является простейшая градация «низко – средне – высоко», отображаемая в отдельно взятые численные значения (0,17 0,5 0,84), либо же сложные оценки таких выражений, как «почти невозможно», «маловероятно», «возможно», «почти наверняка» (семиуровневая градация), и прочие градации (табл. 4).

Таблица 4.

Пример шкалы для оценки вероятности риска

При проведении численного оценивания рисков необходимо использовать для каждого из них один и тот же диапазон, чтобы полученная приоритезация была единообразна. Можно также оценить вероятность на основе имеющейся словесной формулировки или числового интервала.

Влияние/воздействие риска (risk impact) – представляет собой меру серьезности негативных последствий, уровень убытков или оценку потенциальных возможностей, связанных с риском.

Влияние должно быть непосредственным числовым выражением последствия риска, описанного в его формулировке. Оно может оцениваться в денежных единицах или же по некоторой субъективной шкале. Выражение влияния всех рисков в деньгах имеет то преимущество, что оно будет более понятно инвесторам бизнеса. Финансовые угрозы рисков могут представлять собой долговременные расходы на функционирование и сопровождение продукта, уменьшение доли компании на рынке, прочее.

Предпочтительна субъективная пятибалльная или десятибалльная шкала для оценки угрозы рисков. Для применения простых методик приоритезации рисков в главной таблице рисков необходимо указать величины угрозы всех рисков в одинаковых единицах.

Степень влияния риска часто определяется расчетом затрат на восстановление, если нежелательные события произойдут, – другими словами, дополнительными затратами, требующимися для успешного завершения проекта. Проблема точности оценки масштаба последствий менее актуальна, чем для вероятности, но она также существует.

Таблица 5.

Шкала для оценки влияния риска (пример)

Как показано в табл. 5, степень влияния риска может выражаться в присвоении одного из значений степени влияния риска на различные показатели ИТ-проекта, например: очень сильное – 0,8, сильное – 0,4, среднее – 0,2, слабое – 0,1, очень слабое – 0,05.

Многие компании используют трехуровневые шкалы воздействия рисков типа «высокая – средняя – низкая». Проблема состоит в том, что такой подход сделает распределение рисков при их сортировке на стадии качественного анализа слишком плотным – будет сложно понять, какие риски окажутся приоритетными.

Этап 5. Построение матрицы Вероятность × Воздействие и приоритезация рисков. Интерпретация качественных оценок в количественные показатели позволяет менеджеру риска построить матрицу количественных показателей с ранжированными по приоритетам рисками, которая будет основана на качественных показателях матрицы Вероятность × Воздействие.

Для построения матрицы используются полученные оценки «вероятность возникновения риска» и «воздействие/влияние риска». Произведение этих двух величин дает единую метрику риска, называемую ожидаемой величиной ( Exposure ), которая используется при ранжировании рисков (табл. 6) и заполняется в ячейки матрицы. Ранжирование для каждого риска происходит совместно на совещании рабочей группы. Определяется пороговое значение для критических рисков (например, значение >0,28).

Обычно те факторы, которые «вероятны» или «высоковероятны» и имеют «серьезные» или «средние» последствия, являются кандидатами на высокий приоритет. Факторы, которые «маловероятны» и имеют «незначительные» последствия, не являются кандидатами для управления. Однако они должны документироваться и включаться в процесс анализа. Отметим, что «маловероятные» факторы риска, но с «серьезными» последствиями должны быть предметом тщательного рассмотрения.

Таблица 6.

Матрица Вероятность × Воздействие

Еще одним критерием, с учетом которого можно устанавливать приоритет факторов риска, является его срочность (безотлагательность), то есть момент времени, когда произойдет событие, связанное с фактором риска, и проявятся его отрицательные последствия.