Качественный анализ рисков

5.1. Введение

Цель лекции – сформировать у коллег видение методики качественного анализа рисков, теоретическую и практическую базу, которая позволит эффективно использовать в своей повседневной деятельности техники работы с рисками, с позиции их качественной оценки, переосмыслить применяемые ранее в своих активностях подходы, скорректировав их на предмет возможной рисковой составляющей.

Усвоив методологии КАР, коллеги смогут быть более успешными и эффективными, превентивно реагируя на потенциальные рисковые ситуации и обеспечивая тем самым для себя и свои компании надежные демпферный запас информации или ресурсов, что играет конкурентное преимущество для большинства ИТ организаций на сегодняшний день.

Качественный анализ рисков представляет собой процесс, направленный на выявление конкретных рисков деятельности/процесса/проекта, а так же порождающих их причин, с последующей оценкой возможных последствий и выработку мероприятий по работе с рисками. В процессе КАР происходит выработка метрик, отвечающих за определение граничных показателей факторов, символизирующих о проявление риска/ов.

Преимущество качественного анализа состоит в том, что он позволяет быстро и относительно "дешево" (с минимальными затратами ресурсов) определить максимально возможное количество факторов и областей, в которых возможно явное или неявное проявление рисков.

Отличие качественного и количественного (будет рассмотрен в следующем модуле) видов анализа рисков состоит в том, что в процессе качественного анализа выявляются все возможные риски, влияние которых может повлиять на цели деятельности, (так сказать очерчиваются рамки работы по работе с рисками). В процесс количественного анализа разрабатываются количественные оценки возможности осуществления рисков. Так же в процессе количественного анализа происходит сравнение и более качественная приоритезация и переопритезация рисков.

Можно сказать, что качественный и количественный анализы рисков это последовательно идущие стадии одного процесса по работе с рисками. В этом процессе, качественный анализ является необходимой базой, без которой дальнейшая работа с рисками не представляется возможным.

Таким образом, присутствие качественного анализа рисков, как активности, при условии уже существующих процессов идентификации рисков, позволяет говорить о стадии "рождении" системы по работе с рисками, которая будет рассмотрена нами позже. Количественный анализ, это следующий этап, выполняемый после качественного анализа, который более затратен и целесообразен к применению только в тех организациях, где работе с рисками уделяется особое внимание, в силу специфики их активностей и состоянии на рынке ИТ.

Если организация/компания/фирма/структурное подразделение претендует на лидирующие позиции в том окружении, где оно осуществляет свою активность, то без процессов качественного анализа рисков этих "высот" не достигнешь.

Пытливый коллега, наверное, уже отметил для себя повторяемость и закономерность многих структур работ, которые излагаются нами на протяжении этого курса. Тут стоит сказать о том, что деятельность по анализу рисков хоть и является довольно инновационной для нашей сферы, но, при этом, как любая качественная профессиональная деятельность, цель которой это достижение определенных результатов, должна подчиняться определенным законам. Одним из таких законов является последовательность проводимых этапов работ. В сравнении можно привести последовательность работ, выполняемых при разработке программного обеспечения (Жизненный цикл ПО в соответствии с ГОСТ 12207) и многие другие профессиональные ИТ стандарты, методики и методологии, доказавшие свое право на успешность. В дальнейшем мы рассмотрим подобную структуру работ.

5.2. Фазы анализа

Структура работ по качественному анализу рисков, заключается в подробном рассмотрении данных, полученных в ходе активности идентификации рисков, детализации деятельности, связанной с самим доменом анализа рисков, документированием полученной информации и выработанных результатов, а так же планированием дальнейшего пути работы над рисками. План работ можно представить следующим образом:

1. Идентификация рисков;
2. Обработка полученной информации;
3. Анализ входных данных определенным инструментом/инструментами;
4. Получение результатов;
5. Документирование результатов и их последующая приоритезация;
6. Составление плана реагирования на риски;
7. Совершенствование созданного плана и выполняемых процессов;

Набор процессов, отраженных выше, является необходимым минимумом в активности по качественному анализу рисков. Их использование послужит упорядоченным осмыслением и переосмыслением приобретенных ранее знаний и позволит повысить уровень навыков, прививаемый на протяжении данного курса лекций.

Предлагаемая нами последовательность работ хорошо зарекомендовала себя ранее и, по сути, является примером "best practice", применяемой при активности качественного анализа рисков.

Рассмотрение КАР, мы начнем с фазы идентификации, основополагающей, как было показано ранее, для всех видов процессов анализа.

5.3. Идентификация

Рассматривая активность идентификации причин, для качественного анализа рисков, мы сосредоточимся на моментах, понимание и использование которых позволит ориентироваться в сути процессах качественного анализа рисков. Более полно процедура идентификации рисков, полностью описывающая данный процесс работы, была нами описана в лекции №3.

Стартом для процесса идентификации рисков КАР может являться:

• Информация, приведенная в реестре рисков или в ином документе, аналогичного содержания:
• Данная активность "стартует" в том случае, если в организации отлажен процесс работы с рисками, как часть операционно-процессной деятельности компании и все возможные риски должны быть учтены, а работа с ними включена в соответствующие директивные документы
• Проявление конкретных рисков в деятельности компании;

В процессе идентификации рисков используются те же инструменты, которые были описаны ранее "Идентификация рисков" .

Результатом процесса идентификации должны стать:

• Все явные и потенциальные риски;
• Желательные (способные уменьшить или убрать) и не желательные (способные увеличить степень проявления) условия;
• Триггеры/ признаки рисков (метрики рисков).

Идентификация рисков выполняется сотрудниками, для которых данная активность является частью их рабочих обязанностей, но, при этом, в данную работу должно быть вовлечено максимальное количество людей, для которых выполнение процессов подверженных рискам, это их основная обязанность. Дело в том, что в деятельности по выявлению и работе с рисками жизненноважны детали процессов, в которых возможно проявление рисков. Эти детали доступны только для экспертов конкретного домена, которыми риск-менеджеры, часто не являются, поэтому сплав профессиональных знаний определенных процессов и риск-менеджемента во многих случаях являются залогом успеха. Именно внимание к деталям отличает новичка/молодого специалиста от признанного профессионала.

Идентификация рисков - итеративный процесс, периодическое выполнение которого является условием построения системы по работе с рисками.

По причине того, что риски это понятие динамическое, то по мере развития проекта или процесса в рамках его жизненного цикла могут обнаруживаться новые риски, проявляться старые риски, при этом обладая более высоким потенциальным ущербом от их возможной реализации.

Частота итерации и состав участников выполнения каждого цикла в каждом случае должны быть разными (это желательное условие). В процессе идентификации должны принимать поочередное участие все задействованные в риск-менеджменте сотрудники. Это условие поможет выработать чувство "собственности" и ответственности за риски и за действия по реагированию на них.

5.4. Обработка "входных данных" для КАР

После того, как получен набор входных данных, который позволит говорить о возможных рисках, необходимо обработать и представить полученные данные таким образом, чтобы дальнейшая работа над ними позволила четко, однозначно, непротиворечиво трактовать тот или иной риск. Изложенные выше характеристики информации (ясность, однозначность, непротиворечивость) являются основными показателями объективной и эффективной информации на основе которой можно принимать успешные управленческие решения, от своевременности которых зависит развитие любого типа бизнеса.

Именно о того, насколько правильно выявлен риск, будет оптимально выбрано средство/метод/стратегия по его обработке.

Активность по обработке "входных" данных можно значительно облегчить и унифицировать, в случае её надлежащего шаблонизирования. При разработке специализированных шаблонов документов, таких, как:

• Специально подготовленные опросные листы, учитывающие конкретную специфику деятельности;
• Специально подготовленные интервью, учитывающие детали рабочих процессов;
• Автоматизированные средства сбора данных;
• Средства визуализации полученной информации;
• Средства автоматизации полученных результатов и построения прогнозных трендов (их описание будет приведено в дальнейшем);
• И т.д.;

Приведенные средства позволят:

• Выявить и построить качественные модели/картины рисков, дальнейшее использование которых позволит выявить определенные закономерности;
• Установка однозначные и косвенные связи между рисками и факторами их порождающими, и следствиями рисковых событий;
• Соблюсти объективность в проведении рисковых исследований, максимально абстрагируясь от "человеческого фактора"
• И т.д.;

Безусловно, не используя приведенные советы можно добиться высоких результатов, но при этом будет затрачено избыточное количество энергии и ресурсов, которую можно было бы потратить на более конструктивную деятельность.

Применение опыта конкретных отраслей для конкретной ситуации, учитывая и адаптируя его под определенный условия, позволят накапливать успешный опыт коллег, преумножая и переосмысливая его для того домена, в котором Вы осуществляете свою активность.

5.5. Инструментарий

Тему инструментария мы поднимали "Идентификация рисков" , которая практически вся была посвящена теме разнообразных видов инструментов, используемых для сбора и идентификации информации. С небольшими оговорками, освещенные инструменты подходят для обработки полученной информации, её структуризации и процессам анализа и синтеза, из которых состоит вся активность анализа рисков. Но, наиболее популярные инструменты, используемые для качественного анализа рисков осветить необходимо применительно к рассматриваемой деятельности. Наиболее признанными методами, для обработки "рисковой информации" на данный момент развития данного домена, являются следующие средства:

• Матрица вероятностей и последствий;
• Методы экспертной оценки;
• Анализ чувствительности;
• Анализ дерева решений;
• И т.д.

Многие из этих методов мы подробно и очень скрупулезно рассмотрели ранее, в ходе предыдущих лекций. Сегодня же мы сосредоточимся на том, что подвергнем тщательной декомпозиции те техники, которые акцентируются на процессах качественного анализа рисков или схожими, по природе возникновения, с ними.

После того, как все риски выявлены и включены в реестр рисков, все данные о них, вне зависимости от их степени вероятности возникновения, которая, как правило, определяется на основе методов экспертных оценок или мозгового штурма, и воздействия на окружение включаются в реестр рисков. За всеми рисками в дальнейшем ведется подробное наблюдение и изучение.

Очень важно каждый из них держать под контролем и управлять его "поведением" в интересах результатов выполняемой деятельности.

Важным инструментом, позволяющим оценить величину риска, его влияние и другие характеристики является матрица вероятности и последствий (МВП). МВП – это методика, позволяющий определять ранг риска отдельно для каждой цели процесса/проекта, например для рамок функциональности, времени или других ресурсов. Ранг риска позволяет оперативно управлять реагированием на риски, которые расположенные в различных зонах матрицы. Зоны матрицы играют роль приоритетов. К примеру, для рисков, расположенных в зоне высокого риска (обычно выделяется красным цветом) матрицы необходимы предупредительные операции и агрессивная стратегия реагирования, которая позволят оптимально справиться с возникающей задачей/ами.

Для угроз, расположенных в зоне низкого риска (зеленый цвет), осуществление предупредительных операций может не потребоваться, если держать под контролем все содержание выполняемой деятельности.

Рис. 5.5.1.

Еще одним, дополнительным преимуществом МВП является то, что она очень просто и наглядно позволяет наблюдать за миграцией рисков во время хода проекта/процесса, осуществлять контроль над его рангом и взаимосвязанными с этой трансформацией связями. Многие риски, в начале определенной активности могут находиться в зоне низкого ранга, а ближе к ответственным вехам переместиться в пограничные или более критичные зоны.

Именно поэтому риск-менеджемент, в организациях, претендующих на лидерство в своем сегменте, не может быть "стихийным", а должен быть частью регулярной работы.

Следующим инструментом, который необходимо рассмотреть является анализ чувствительности.

Анализ чувствительности призван для определения того, какие риски имеют наибольшее влияние на выполняемую деятельность.

Смысл данного инструмента состоит в отслеживании параметров, которые оказывают наибольшее скрытое или явное влияние на конкретные факторы, условия, процессы.

В данном методе необходимо фиксировать и отслеживать все параметры. При изменении одного из них, будет возможным определить воздействие риска на всю ситуацию в целом или на какую-то её часть.

При обследовании определенного вопроса необходимо выделить параметры, влиянию которых он подвержен, например, такие: отсутствие ресурсов, необходимость в аутсорсинге и т.д. В процессе анализа чувствительности для конкретного параметра, рассматриваются те ситуации, при которых ранг матрицы имеет наибольшее значение, после чего они фиксируются, и с ними выполняется определенная деятельность, связанная с уклонением/минимизацией/игнорированием риска, и т.д. актуальная в данном случае.

Последний инструмент, о котором мы сегодня поговорим это анализ дерева решений (АДР). Самые сложные и комплексные ситуации, окружение которых изобилует рисковой составляющей, когда результат деятельности находится под большим суммарным риском реализации, применяют АДР. Несомненным преимуществом АДР является то, что это графический инструмент для анализа рисков процесса/проекта. Лежащее в основе данного вида анализа дерево решений (ДР) представляет собой частный случай диаграммы Ишикавы, приспособленный под активность по анализу и работе с рисками (Рис. 5.5.2).

увеличить изображение
Рис. 5.5.2.

В ходе АДР конкретная ситуация, с учетом каждой из имеющихся возможностей её дальнейшего осуществления, рассматривается и фиксируется в виде графа, который принято называть дерево решений (Рис. 5.5.2).

Дерево решений имеет пять элементов:

• Точки принятия решений - это моменты времени, когда происходит выбор альтернатив;
• Точка случайного события (точка возникновения последствий) - момент времени, когда с тем или иным результатом наступает случайное событие;
• Ветви - линии, соединяющие точки принятия решений с точками случайного события. Ветви, исходящие из точки принятия решений, показывают возможные решения, а линии, исходящие из узлов случайных событий, представляют возможные результаты случайного события.
• Вероятности - числовые значения, расположенные на ветвях дерева и обозначающие вероятность наступления этих событий.
• Сумма вероятностей в каждой точке принятия решений равна 1.Ожидаемое значение (последствия) - это расположенное в конце ветви количественное выражение каждой альтернативы.

Для построения ДР оптимально подходить техника "mindmap". О ней мы упоминали ранее, в прошлой лекции, поэтому каждый сможет найти необходимый материал. Скажем лишь о том, что при желании можно без особых усилий изучить упомянутую технику и адаптировать существующие инструменты "mindmap" для построения дерева решений, с учетом собственных предпочтений и специфики рисковых процессов.

В результате построения ДР получается наглядно представить все необходимые "узловые моменты", от которых зависит принятие решения по каждой отдельной альтернативе и все альтернативы в целом, что способствует принятию целостного, для определенного процесса, решения по каждому отдельному риску, осознавая полную картину и представляя возможное взаимовлияние отдельных рисков.

В заключение главы про инструментарий хочется сказать о том, что использование одного, конкретного метода, каким бы универсальным он не был, не является панацеей. Наиболее удовлетворительные результаты получается в случае использования нескольких различных техник, которые бы дополняли друг друга.