Опубликован: 04.06.2015 | Уровень: для всех | Доступ: платный
Лекция 3:

Идентификация рисков

< Лекция 2 || Лекция 3: 12 || Лекция 4 >
Аннотация: Третья лекция курса "Процессы анализа и управления рисками в области ИТ" будет посвящена "входной" части активности анализа рисков, этапу идентификации. Вполне уместно, начиная лекцию о идентификации рисков, процитировать одного из любимейших советских детских героев, капитана Врунгеля, из мультипликационного фильма "Путешествие капитана Врунгеля": "Как Вы лодку назовёте, так она и поплывет!". В условиях современного мира информационных технологий, когда количество данных увеличивается в геометрической прогрессии, а их качество и интерпретируемость, при этом, оставляет желать лучшего, правильно выбранный план по работе с определенным риском определяется только тем, насколько правильно он был отнесен к определенным группе, типу, виду. Именно это определяет дальнейший алгоритм по работе с ним и успех конечного результата деятельности по анализу и управлению рисками. Подобное "отнесение", являющееся, по сути процессом идентификации, мы и собираемся сейчас с Вами обсудить.

3.1. Введение

Данная лекция преследует несколько целей.

Во-первых; сформировать у коллег подробное представление о процессе идентификации рисков, как о части активности анализа рисков, так и как о самодостаточной, комплексной деятельности, связанной при этом, своими результатами, с последующими стадиями домена управления и анализа рисков.

Во-вторых; предложить рабочие инструменты и методы, с помощью которых стало бы возможным правильно, с точки зрения определенной деятельности, во время выявить критичные для неё ИТ риски.

Перед тем как преступить к теме лекции мы сделаем очередное лирическое отступление. Прошлой лекцией мы подытожили вводную стадию курса процессы анализа и управления рисками. По нашему глубокому убеждению, теперь мы можем (а по большому счету должны) считать Вас своими коллегами. Вы получили первоначально необходимый набор знаний, который каждый из Вас употребит по своему усмотрению и желанию, но при этом абсолютно легитимным становится тот факт, что Вы теперь полноправные участники сообщества по управлению и анализу рисков, что обязывает Вас использовать полученные навыки и знания по назначению!

3.2. Идентификация рисков

Этап идентификации рисков заключается в систематическом выявлении и изучении рисков, которые характерны для определенного вида деятельности, подверженной рисковому влиянию.

Ключевыми, в представленном определении, являются словосочетания – "систематическое выявление" и "изучение рисков". Они подчеркивают необходимость в постоянной и комплексной работе в данном направлении. Только наличие именно "таких" процессов позволит гарантировать достижение поставленных результатов деятельности по управлению рисками, но об этом чуть позже, в соответствии с логикой изложения материала нашей лекции.

Процесс идентификация начинается с определения опасностей, угрожающих рассматриваемой организации или деятельности, что свидетельствует о том, что для идентификации рисков необходимо изучение всех возможных компонентов, которые их сопровождают:

  • "опасности", которые могут привести к возникновению ущерба;
  • ресурсы, на которые риск может оказать влияние;
  • факторы, увеличивающие или уменьшающие вероятность реализации рисков;
  • и т.д.

При сборе информации для идентификации рисков необходимо определить следующие стадии, представленные в виде структуры деятельностей:

  • сбор информации;
  • классификация информации;
  • описание формы, содержания, степени детализации представления информации для выработки последующих управленческих решений по работе над рисками;
  • сроки предоставления информации.

Разработанные и представленные по итогам сбора информации документы могут (а вернее сказать должны) послужить основой для создания системы по работе над идентификацией рисков.

Вообще тема создания "системы", это отдельная составляющая нашего курса лекций. Мы будем говорить о ней отдельно, но сам тот факт, что необходимость внедрения и использования именно системы по управлению и анализа рисков, на каждой стадии работы с ними, дополнительно подчеркивает необходимость этой составляющей в рассматриваемом нами домене, как в его теоретической, так и в практической части.

Явным предварительным результатом этапа идентификации рисков должен быть перечень возможных рисков, который принято называть "реестр рисков". Задокументированные риски и их характеристики, отраженные в реестре рисков, позволяют исследовать причины и возможные смежные риски, которые могут взаимовлиять и взаимозаменять друг друга, в зависимости от параметров окружения деятельности. Размер реестра рисков, будет зависеть от масштаба деятельности, но, если организация преследует цели повышения качества своей деятельности и создание как можно более качественного продукта или услуги, то реестр рисков должен быть максимально полным, вне зависимости от вероятности и значения событий риска.

Понимая реалии ситуации в области ИТ, абсолютно очевидно, что управлять всеми возможными рисками представляется маловероятным, так как это требует больших финансовых и кадровых затрат. Поэтому обязательным условием для реестра рисков является наличие в нём приоритетов.

Приоритет риска - это параметр, которыми идентифицируется наиболее важные и значимые из них, в данный момент времени.

Именно важность, корректного определения приоритетов рисков, среди их общего числа, может обеспечить надежные "тылы" значимых процессов и проектов, проводимых в организации.

На основе своего опыта, мы предлагаем следующий алгоритм идентификации, который на наш взгляд является наиболее удачным алгоритмом при осуществлении процесса идентификации:

  • Идентификация потенциальных рисков
  • Группировка и сортировка рисков, в соответствии с целями компании в области риск-менеджмента
  • Идентификация методов по работе с рисками
  • Идентификация стратегий локализации риска
  • Идентификация стратегий предотвращения рисков
  • Идентификация стратегий уменьшения риска

В процессе идентификации должны принимать участие члены команды проекта и эксперты по вопросам управления рисками. В ней могут принимать участие заказчики, участники проекта и эксперты в определенных областях. Привлечение дополнительных сторон к процессу идентификации поможет выработать чувство собственности и ответственности за риски, и за действия по реагированию на них у всех заинтересованных сторон.

Так же, вовлечение пользователей со всех уровней организационной иерархии и экспертных сторонних специалистов, будет способствовать формированию максимально объективной оценки рисков для последующей работы с ними.

Изучая процесс идентификации можно провести параллель с понятием диагностики.

Причина появления того или иного фактора не всегда очевидна, а в большинстве ситуаций наоборот, является скрытой от поверхностного взгляда специалистов, не обладающих экспертными знаниями и навыками в риск-менеджменте. Поэтому, способность увидеть за малой и незначительной проблемой предпосылки к возникновению "стопперов" основных производственных процессов доступна только опытным профессионалам (этот вариант решения проблемы нас, конечно же, не вполне устраивает) или является результатом правильно выстроенной системы по управлению и анализу рисками.

Оценка риска может быть выполнена с различной степенью глубины и детализации с использованием одного или нескольких методов разного уровня сложности и назначения. Форма оценки и ее выходные данные должны быть совместимы с критериями риска, установленными при определении области применения. Выбор методик, которые обеспечат полный и оптимальный, для конкретного процесса, деятельности или проекта реестр рисков - это надежный фундамент стадии идентификации рисков.

3.3. Методики идентификации рисков

После того, как нами установлено, что процесс идентификации является стартовым этапом процедур по работе с рисками, помогающим выявить и первоначально оценить риск, необходимо рассказать о доступных инструментах, с помощью которых процесс идентификации воплощается на практике.

Существует множество способов классификации и, соответственно, идентификации рисков проекта. Часть из них является строго формальными и математическими (например Метод Монте-Карло), часть из них менее формальна и доступна для применения в широких аудиториях специалистов, вне зависимости от уровня предварительной специальной подготовки к деятельности по анализу рисков (Метод Brainstorming), некоторые из них применимы во всех направлениях при работе в ИТ отрасли, а отдельные, являются узконаправленными для конкретных процессов и доменов.

Наиболее правильно, при работе с рисками, является использование ни одного (хоть и самого универсального метода), а применение нескольких, которые должны образовать комплекс методов, учитывающих всю специфику и особенности конкретных рисков, для решения поставленной задачи. Каждый из методов не является абсолютной "учебной" истиной, любой из них должен модифицироваться и адаптироваться под конкретные нужды путем усовершенствования и, в дальнейшем, эволюционирования и развития.

На выбор конкретного метода или комплекса методов по работе с рисками влияют различные факторы, такие как доступность квалифицированных ресурсов, характер и степень неопределенности данных и информации, сложность метода для его применения. Перед тем, как выбрать тот или иной метод, необходимо провести исследование, целью которого является обоснование выбора конкретных методов идентификации риска с указанием их приемлемости, пригодности и применимости в заданных условиях функционирования. Необходимо обеспечить соответствие используемых методов и выходных данных для объединения результатов различных анализов, при работе над крупными проектами.

Сделаем небольшой комментарий о том, что мы не будем рассматривать строго формальные, специализированные методы, из-за их низкой применимости и использования. Мы рассмотрим наиболее популярные и хорошо себя зарекомендовавшие на практике методы, которые, при небольшом усвоении методического материала, сможет применить каждый специалист, в своей работе.

Нами для подробного рассмотрения были выбраны следующие методы:

  1. Brainstorming (метод мозгового штурма);
  2. Метод Делфи;
  3. Идентификация основных причин;
  4. SWOT анализ
  5. Метод Монте-Карло

Важно отметить, что каждый из представленных методов будет в дальнейшем более пристально рассмотрен в лекции посвященной непосредственно процессу анализа рисков, но под другим "углом" и с расстановкой других ключевых акцентов и значимых характеристик каждого из них.

Все представленные здесь методы относятся к группе экспертных методов выявления рисков. Самое главное, при работе с экспертными методами, это четкая фокусировка на конечном результате. Экспертная группа, задействованная в работе по анализу и управлению рисками, должна четко сформировать список наиболее важных рисков, причин их возникновения, возможную степень угрозы и последствия. Это является достаточной почвой для дальнейшего функционирования процедур домена рисков.

Как правило, при правильном подходе и организации процесса идентификации , уже при использовании методов идентификации рисков частично вырабатываются меры по управлению ими.

3.4. Brainstorming

Мозговой штурм (именно так переводится название этого метода на русский язык) является самым простым и распространенным методом идентификации, который существует довольно давно (его авторство, в современном варианте, приписывают копирайтеру – Алексу Осборну, который разработал его в 1941 году).

Целью мозгового штурма является создание подробного списка всех возможных, пусть даже самых фантастических и маловероятных, на первый взгляд, рисков проекта или процесса. Важно отметить, что на собрании, посвященному самому Мозговому штурму, не разрабатывается реестр рисков. Цель собрания разработать список рисков. Важно отметить, что Brainstorming относится к классу методов синектики (http://bainr.ru/article13.html#article13), которые широкого распространения не получили из-за своей сложности и затратности. В собрании участвует от 5 до 12 человек (члены команды по процессу/проекту, подверженному рисковому влиянию, приглашенные эксперты из рассматриваемой области и смежных областей, заинтересованные стейкхолдеры [http://bainr.ru/vocabulary_BABOK.html#vocabulary_BABOK]). Участники собрания выявляют и идентифицируют все возможные риски, которые, по их собственному мнению считают важными, при этом (это один из ключевых моментов данного метода) не допускается обсуждение выдвинутых идей. Группа экспертов озвучивает любые идеи, которые в дальнейшем должны быть подробно и тщательно проанализированы, структурированы с дальнейшим отражением в реестре рисков.

Ключевым, в данном методе, является пристальное рассмотрение каждой идеи. При практическом использовании метод мозгового штурма встречается со многими "преградами". Результатом правильно проведенного "brainstorming" - бесчисленное количество идей, которое просто иногда невозможно обработать.

Неоспоримым преимуществом метода является дешевизна, быстрота проведения, последующая кристаллизация команды и отладка способов её членов. Недостатками является потенциальное доминирование одной личности, фокусировка только на отдельных предметных областях, что может привести к тому, что цели встречи будут "замылены", необходимость в присутствии опытного, сильного, объективного ко всем членам группы ведущего.

Использование этого метода требует демократическо-наставническо-поощерительной атмосферы, которая, к сожалению не нашла широкого распространения в ИТ-бизнесс среде. Метод, безусловно, очень популярный, но его эффетивность и результативность оставляет еще большую почву для совершенствования организации и специалистов, которые его проводят.

На сегодняшний день идеи метода мозгового штурма получили довольно широкое распространение не только в качестве самодостаточного метода, но так же и в качестве базиса для метода "Карточки Кроуфорда". Этот метод, в отличии от своего "родителя" абсолютно анонимный и позволяет идентифицировать и, далее ранжировать риски в порядке их приоритетов по влиянию на деятельность. Каждый участник экспертной группы на листке бумаги записывает наиболее важный, по его мнению, риск, с кратким пояснением предложенных приоритетов.

Собрав информацию, риски можно объединить в группы по степени важности. Затем происходит совместный анализ всех рисков и принимаются решения о том, в каком направлении по работе с рисками двигаться. Данный метод требователен к подбору экспертов, участвующих в нем, от которого, во многом зависит эффективность результата

Плюсы метода – относительная быстрота, реализуемость, легкая достижимость конечного результата, снижение эффекта подавления членов группы более лидирующей личностью. Недостатком, по сравнению с методом мозгового штурма является более низкая социальная ориентированность методики карточек кроуфорда. И один, и другой методы, авторы этого курса в своей практики применяли. Методики вполне жизнеспособные и имеют, при правильном использовании и модерировании, практическую значимость и ценность.

3.5. Метод Delphi

Второй по популярности метод, используемый при работе с рисками, метод Delphi. Он был разработан во время разгара холодной войны, в 50х годах в США, группой экспертов, представляющих одну из корпораций, работающих на правительственные структуры. Первоначально метод использовался в целях прогнозирования влияния разрабатываемых технологий на направления ведения гипотетически возможной войны. Эта методика также относится к к группе методов экспертного оценивания. Она более ресурсотребовательная, по сравнению с методом мозгового штурма, поскольку выполняется в несколько операций. Первым этапом проводится письменный опрос участников команды, затем полученные данные подвергаются более подробному анализу и обобщаются сторонними лицами, а уже потом вновь рассылаются экспертам в виде интегрированного списка рисков для дальнейших комментариев. Данный метод позволяет проанализировать риски несколько раз, систематизировать их, автоматически отодвигая незначительные на второй план. Консенсус и список рисков получается через несколько итераций этого процесса. В методе Deiphi исключается давление со стороны коллег и боязнь неловкого положения при высказывании идеи. Главными преимущества метода является исключение возможности доминирования одной личности, метод может проводиться дистанционно, к примеру, через электронную почту, нивелируется возможность "не зрелой" оценки. Недостатки метода: требует участия каждого члена группы, занимает много времени, высокая загрузка ложиться на плечи ведущего и административный персонал.

Данный метод нами применялся, но его эффективность и результативность может быть обеспечена только в том, случае, если посвятить ему достаточное количество времени, что не всегда получается.

< Лекция 2 || Лекция 3: 12 || Лекция 4 >
Грета Березовская
Грета Березовская
Александр Медов
Александр Медов

Здравствуйте, прошел курс МБА Управление ИТ-проектами и направил документы на получение диплома почтой. Подскажите, сроки получения оного в бумажной форме?

:

Денис Бочаров
Денис Бочаров
Россия
Анна Небеснюк
Анна Небеснюк
Россия, Софрино-1, Майская средняя, 2012