Размер риска в качественном или количественном выражении который компания готова принять в процессе

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

ценность активов в денежном выражении;
полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
частота реализации каждой угрозы;
потенциальный ущерб от каждой угрозы;
рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Узнать больше

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Читайте также:
Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля

Источник

Обновлено: 22.03.2023

7 МИН

Как оценить риски предприятия

Ошибки в расчётах и планировании, изменения ситуации на рынке и в законодательстве создают риски для бизнеса. Объясняем, как их оценить и предотвратить.

Виды деловых рисков

Обычно под «деловым риском» подразумевают одно или несколько событий, негативно воздействующих на деятельность предприятия или её аспекты.

С точки зрения предсказуемости риски делят на систематические и несистематические. Несистематические риски возникают в отдельно взятой компании, их можно спрогнозировать и оценить своими силами. Систематические риски угрожают рынку в целом или отдельным сферам бизнеса. Предсказать их возникновение и оценить последствия могут только эксперты.

Виды систематических рисков:

Политические — изменение политической ситуации в стране и мире.
Природные риски. К ним относятся экологические катастрофы или стихийные бедствия.
Юридические — сюда входит как несовершенство существующих законов, так и риск появления новых, способных создать дополнительные проблемы для бизнеса.
Экономические — изменения в налоговой системе, санкции против государства, потери из-за нестабильности курсов валют и т. п.

Пример юридического риска

Из-за поправок в Жилищном кодексе с 1 октября 2019 года хостелы и гостиницы могут располагаться только в нежилых зданиях или в помещениях многоквартирных домов, имеющих статус нежилого фонда и соответствующих ряду дополнительных требований. Теперь предприниматели, хостел или гостиница которых находятся в жилом доме, должны перевести помещение в статус нежилого фонда, переехать в другое или закрыть бизнес.

Виды несистематических рисков

1 Производственные

Могут быть связаны не только с производственными процессами, но и с управленческими, с невыполнением плана продаж или с сокращением объёмов производства.

2 Финансовые

Возникают из-за недополучения прибыли от проекта, неликвидности продукции и т. п.

3 Рыночные

Появляются из-за нестабильности ситуации на рынке, ценовой политики организации и появления новых конкурентов в нише.

Последствия несистематических рисков реально минимизировать грамотным менеджментом.

Пример производственного риска

Вы открываете завод по производству шлакоблоков. Можно выбрать:

а) уже готовое помещение и заказать для производственной линии оборудование у производителя с монтажом и настройкой;

б) место для строительства завода с нуля, заказать разное оборудование у нескольких поставщиков и установить его собственными силами.

В случае «б» несистематические риски намного выше: вы можете обсчитаться и нарушить нормы при строительстве, а оборудование — сломаться или потерять эффективность из-за неправильной установки, а то и вовсе оказаться несовместимым.

Методы оценки рисков

Способы оценки рисков на предприятии делят на количественные и качественные.

Использование количественных методик потребует специальных программ или помощи аналитиков. К ним относятся методы проверки устойчивости и метод имитационного моделирования, он же метод Монте-Карло. А для расчётов применяются статистические приложения, например SAS, — с модулями постобработки BASE, STAT и их аналогами.

Качественная оценка рисков

Качественными методами оценить риски можно и самостоятельно. В основе этой группы — сбор предполагаемых рисков компании, их описание и оценка без использования сложных формул и программ.

Метод экспертных оценок

К оценке и анализу рисков на предприятии привлекают независимого эксперта. Он изучает составленный руководителем или собственником список рисков или предлагает свой.

Метод рейтинговых оценок

Основан на самостоятельном или экспертном ранжировании уже имеющегося списка рисков по вероятности их возникновения или опасности последствий. Результат метода — заполненная таблица с рейтингом рисков.

Контрольные списки источников рисков

Метод базируется на разборе рисков, с которыми столкнулись в предыдущих проектах. Произошедшие инциденты, факторы рисков и убытки анализируются и вносятся в общую таблицу. Если заполнять такую таблицу по итогам каждого реализованного проекта, по ней можно будет проверять возможные риски будущих.

Метод аналогий

Разновидность контроля списков источников риска. Отличается тем, что предыдущий опыт не только исследуют, но выявляют с его помощью закономерности между процессами в разных проектах.

Главное

1

Есть систематические и несистематические риски. Первые касаются отрасли или рынка в целом, их нельзя предотвратить силами компании. Несистематические риски можно самостоятельно оценить и минимизировать.

1

Чтобы систематические риски не застали врасплох, следите за новостями своей отрасли, за политической и экономической ситуацией в стране. Или читайте отчёты и прогнозы экспертов, которым доверяете.

1

Не забывайте, что законодательство тоже может меняться. О важных нововведениях пишут все деловые издания.

1

Учитывайте несистематические риски: производственные, финансовые и рыночные. Проверяйте поставщиков и других контрагентов через госреестры. При закупках оценивайте фактическое качество товара, при производстве собственной продукции учитывайте отзывы потребителей и успехи конкурентов.

1

Для оценки рисков используйте количественные и качественные методы. С количественными, например методом Монте-Карло, помогут программы и специалисты-аналитики.

Читайте также:

Фразы из овервотч на русском

Найти мнимую часть выражения

Что значит фраза люди для того чтобы быть людьми должны философствовать

Фразы из фильма мечтай и будешь путешествовать

Первая критическая сила или сила эйлера определяется по выражению

Источник

!!! Полезный материал! Сборник статей по целевому управлению. Скачать >

Причиной возникновения рисков являются неопределенности, существующие в каждом проекте. Риски могут быть “известные” — те, которые определены, оценены, для которых возможно планирование. Риски “неизвестные” — те, которые не идентифицированы и не могут быть спрогнозированы. Хотя специфические риски и условия их возникновения не определены, менеджеры проекта знают, исходя из прошлого опыта, что большую часть рисков можно предвидеть.

Реализуя проекты, имеющие высокую степень неопределенности в таких элементах, как цели и технологии их достижения многие компании уделяют внимание разработке и применению корпоративных методов управления рисками. Данные методы учитывают как специфику проектов, так и корпоративных методов управления.

Американский Институт управления проектами (PMI), разрабатывающий и публикующий стандарты в области управления проектами, значительно переработал разделы, регламентирующие процедуры управления рисками. В новой версии PMBOK (принятие которого ожидается в 2000 году) описаны шесть процедур управления рисками. В данной статье мы предлагаем краткий обзор процедур управления рисками (без комментариев).

Управление рисками — это процессы, связанные с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий.

Процесс управления рисками проекта обычно включает выполнение следующих процедур:

Планирование управления рисками — выбор подходов и планирование деятельности по управлению рисками проекта.
Идентификация рисков — определение рисков, способных повлиять на проект, и документирование их характеристик.
Качественная оценка рисков — качественный анализ рисков и условий их возникновения с целью определения их влияния на успех проекта.
Количественная оценка — количественный анализ вероятности возникновения и влияния последствий рисков на проект.
Планирование реагирования на риски — определение процедур и методов по ослаблению отрицательных последствий рисковых событий и использованию возможных преимуществ.
Мониторинг и контроль рисков — мониторинг рисков, определение остающихся рисков, выполнение плана управления рисками проекта и оценка эффективности действий по минимизации рисков.

Все эти процедуры взаимодействуют друг с другом, а также с другими процедурами. Каждая процедура выполняется, по крайней мере, один раз в каждом проекте. Несмотря на то, что процедуры, представленные здесь, рассматриваются как дискретные элементы с четко определенными характеристиками, на практике они могут частично совпадать и взаимодействовать.

Планирование управления рисками

Планирование управления рисками — процесс принятия решений по применению и планированию управления рисками для конкретного проекта. Этот процесс может включать в себя решения по организации, кадровому обеспечению процедур управления рисками проекта, выбор предпочтительной методологии, источников данных для идентификации риска, временной интервал для анализа ситуации. Важно спланировать управление рисками, адекватное как уровню и типу риска, так и важности проекта для организации.

Идентификация рисков

Идентификация рисков определяет, какие риски способны повлиять на проект, и документирует характеристики этих рисков. Идентификация рисков не будет эффективной, если она не будет проводиться регулярно на протяжении реализации проекта.

Идентификация рисков должна привлекать как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов.

Идентификация рисков — итерационный процесс. Вначале идентификация рисков может быть выполнена частью менеджеров проекта или группой аналитиков рисков. Далее идентификацией может заниматься основная группа менеджеров проекта. Для формирования объективной оценки в завершающей стадии процесса могут участвовать независимые специалисты. Возможное реагирование может быть определено в течение процесса идентификации рисков.

Качественная оценка рисков

Качественная оценка рисков — процесс представления качественного анализа идентификации рисков и определения рисков, требующих быстрого реагирования. Такая оценка рисков определяет степень важности риска и выбирает способ реагирования. Доступность сопровождающей информации помогает легче расставить приоритеты для разных категорий рисков.

Качественная оценка рисков это оценка условий возникновения рисков и определение их воздействия на проект стандартными методами и средствами. Использование этих средств помогает частично избежать неопределенности, которые часто встречаются в проекте. В течение жизненного цикла проекта должна происходить постоянная переоценка рисков.

!!! Полезный материал! Сборник статей по целевому управлению. Скачать >

Количественная оценка рисков

Количественная оценка рисков определяет вероятность возникновения рисков и влияние последствий рисков на проект, что помогает группе управления проектами верно принимать решения и избегать неопределенностей.

Количественная оценка рисков позволяет определять:

вероятность достижения конечной цели проекта;
степень воздействия риска на проект и объемы непредвиденных затрат и материалов, которые могут понадобиться;
риски, требующие скорейшего реагирования и большего внимания, а также влияние их последствий на проект;
фактические затраты, предполагаемые сроки окончания.

Количественная оценка рисков часто сопровождает качественную оценку и также требует процесс идентификации рисков. Количественная и количественная оценка рисков могут использоваться по отдельности или вместе, в зависимости от располагаемого времени и бюджета, необходимости в количественной или качественной оценке рисков.

Планирование реагирования на риски

Планирование реагирования на риски — это разработка методов и технологий снижения отрицательного воздействия рисков на проект.

Берет на себя ответственность за эффективность защиты проекта от воздействия на него рисков. Планирование включает в себя идентификацию и распределение каждого риска по категориям. Эффективность разработки реагирования прямо определит, будут ли последствия воздействие риска на проект положительными или отрицательными.

Стратегия планирования реагирования должна соответствовать типам рисков, рентабельности ресурсов и временным параметрам. Вопросы, обсуждаемые во время встреч, должны быть адекватны задачам на каждой стадии проекта, и согласованы со всеми членами группы по управлению проектом. Обычно требуются несколько вариантов стратегий реагирования на риски.

Мониторинг и контроль

Мониторинг и контроль следят за идентификацией рисков, определяют остаточные риски, обеспечивают выполнение плана рисков и оценивают его эффективность с учетом понижения риска. Показатели рисков, связанные с осуществлением условий выполнения плана фиксируются. Мониторинг и контроль сопровождает процесс внедрения проекта в жизнь.

Качественный контроль выполнения проекта предоставляет информацию, помогающую принимать эффективные решения для предотвращения возникновения рисков. Для предоставления полной информации о выполнении проекта необходимо взаимодействие между всеми менеджерами проекта.

Целью мониторинга и контроля является выяснить, было ли:

Система реагирования на риски внедрена в соответствии с планом.
Реагирование достаточно эффективно или необходимы изменения.
Риски изменились по сравнению с предыдущим значением.
Наступление влияния рисков.
Необходимые меры приняты.
Воздействие рисков оказалось запланированным или явилось случайным результатом.

Контроль может повлечь за собой выбор альтернативных стратегий, принятие корректив, перепланировку проекта для достижения базового плана. Между менеджерами проекта и группой риска должно быть постоянное взаимодействие, должны фиксироваться все изменения и явления. Отчеты по выполнению проекта должны формироваться регулярно.

!!! Полезный материал! Сборник статей по целевому управлению. Скачать >

Источник

Аннотация: Качественный анализ рисков. Количественный анализ рисков. Подтверждение содержания проекта.

Цель процесса идентификации рисков состоит в определении потенциальных рисков, способных повлиять на успех проекта. Идентификацию рисков выполняют члены команды проекта и эксперты по вопросам управления рисками, в ней могут принимать участие заказчики, участники проекта и эксперты в определенных областях. Это итеративный процесс, поскольку по мере развития проекта в рамках его жизненного цикла могут обнаруживаться новые риски. Частота итерации и состав участников выполнения каждого цикла в каждом случае могут быть разными. В процессе идентификации должны принимать участие члены команды проекта, чтобы у них вырабатывалось чувство собственности и ответственности за риски и за действия по реагированию на них.

Идентификация рисков выполняется на основе разработанных ранее планов управления интеграцией, содержанием, сроками, качеством и человеческими ресурсами.

Также при разработке плана учитывается опыт выполнения аналогичных проектов.

Качественный анализ рисков

Качественный анализ рисков подразумевает оценку рисков в терминах их возможных последствий, используя установленные критерии. Критерии могут учитывать затраты, официальные и предписанные требования, социально-экономические аспекты и факторы внешней среды, интересы заказчика, приоритеты и иные исходные данные для оценки. Результат процесса качественной оценки — определение градации рисков по их вероятности и последствиям

Основная проблема управления рисками заключается в размере перечня рисков, полученного на этапе идентификации. Управлять всеми выявленными рисками невозможно, так как это требует больших финансовых и кадровых затрат. Основные задачи качественного анализа состоят в разделении рисков на группы и расположении их в порядке приоритетов. Классифицировать риски можно, например, по их временной близости. Так, близкие риски должны иметь более высокий приоритет, чем риски, которые могут случиться в отдаленном будущем. Расположения рисков по степени их важности для дальнейшего анализа или планирования реагирования на риски может быть выполнено путем оценки
вероятности их возникновения и воздействия на проект. Качественный анализ рисков — быстрый и недорогой способ установки приоритетов — выполняется на протяжении всего жизненного цикла проекта и должен отражать все изменения, относящиеся к рискам проекта.

Рис.
9.1.
Отображение миграции риска А в матрице воздействия риска

Матрица вероятностей и последствий — инструмент, позволяющий определять ранг риска отдельно для каждой цели, например, для стоимости, времени или содержания. Ранг риска помогает управлять реагированием на риски. Например, для рисков, расположенных в зоне высокого риска (область красного цвета) матрицы, необходимы предупредительные операции и агрессивная стратегия реагирования (рис. 9.1). Для угроз, расположенных в зоне низкого риска (зеленый цвет), осуществление предупредительных операций может не потребоваться.

Рис.
9.2.
Пример отслеживания временной динамики ранга риска А

Матрица вероятностей и последствий позволяет отслеживать динамическую миграцию рисков. На рис. 9.2 показано изменение ранга риска А с течением времени. В апреле риск находился в зоне низкого риска, в мае переместился в область умеренного, а в июне попал в зону критически высокого риска (см. рис. 9.2).

Количественный анализ рисков

Количественный анализ рисков обычно выполняется для рисков, которые были квалифицированы в результате качественного анализа. При количественном анализе также оцениваются вероятности возникновения рисков и размеры ущерба/выгоды; здесь анализируются риски, имеющие высокие и умеренные ранги. Выбор методов анализа определяется для каждого проекта и зависит от наличия времени и от бюджета.

Исходной информацией для количественного анализа рисков служат:

активы организационного процесса;
описание содержания проекта;
план управления рисками;
реестр рисков;
план управления проектом.

Наиболее распространенным методом количественного анализа является анализ дерева решений.

Дерево решений — это графический инструмент для анализа проектных ситуаций, находящихся под воздействием риска. Дерево решений описывает рассматриваемую ситуацию с учетом каждой из имеющихся возможностей выбора и возможного сценария. Дерево решений имеет пять элементов (рис. 9.3).

Точки принятия решений — это моменты времени, когда происходит выбор альтернатив.

Точка случайного события (точка возникновения последствий) — момент времени, когда с тем или иным результатом наступает случайное событие.

Ветви — линии, соединяющие точки принятия решений с точками случайного события. Ветви, исходящие из точки принятия решений, показывают возможные решения, а линии, исходящие из узлов случайных событий, представляют возможные результаты случайного события.

Вероятности — числовые значения, расположенные на ветвях дерева и обозначающие вероятность наступления этих событий. Сумма вероятностей в каждой точке принятия решений равна 1.

Ожидаемое значение (последствия) — это расположенное в конце ветви количественное выражение каждой альтернативы.

Рис.
9.3.
Дерево решений для проектной ситуации, находящейся под воздействием

Модель создается слева направо. Построение начинается с отображения точки принятия решения, имеющей вид квадрата. Из этой точки рисуют количество ветвей, равное числу проектных альтернативных решений. В конце каждой ветви рисуют кружок, обозначающий возникновение допустимого случайного события, из которого выходят две ветви — возможные результаты вероятностного события. Ветви дерева берут свое начало в точке принятия решений и разрастаются до получения конечных результатов. Путь вдоль ветвей дерева состоит из последовательности отдельных решений и случайных событий.

Пример использования дерева решения

Таблица
9.1.
Сравнение стратегий реагирования на риски

Классификация рисков	Уклонение от риска	Передача риска	Принятие риска	Снижение последствий вероятности возникновения риска
Риски, связанные с масштабом проекта	Разделение проекта на несколько под-проектов. Сокращение функционального и географического объема проекта	Разделение проекта на несколько под-проектов, выделение пилотного проекта по подсистемам (ограниченного масштаба)	Увеличение трудоемкости работ и стоимости проекта	Детальный анализ каждого этапа работ, взаимодействие участников, организация работ	Детально проработанная программа качества, отработанное управление конфигурацией проекта, специальные процедуры взаимодействия участников
Риски, связанные с недостаточным опытом в сфере ИТ	Реализация только не технологической части проекта, передача технологической части проекта другой компании	Согласование с заказчиком большинства проектных документов, согласование всех изменений в функциональности системы	Увеличение трудоемкости работ и стоимости проекта	Проведение обучения пользователей, включая руководство, соблюдение технологии работы	Разработка и утверждение концепции проекта на возможно более ранней его стадии
Технические риски проекта	Использование более надежных	Документально зафиксированная	Увеличение трудоемко-	Строгий отбор проектной команды по	Использование стандартов пред-
	технологических решений	персональная ответственность участников проекта, документальное фиксирование всех изменений в процессе проекта	сти работ и стоимости проекта	квалификационным критериям. Обучение участников проекта технологии проектных работ, инструментальным средствам	приятия для проектных работ, разработка стандартов проекта
Организационные риски проекта	Значительное сужение объема проекта и превращение его в чисто инфраструктурный технологический проект	Включение представителей заказчика в рабочие группы	Увеличение трудоемкости работ и стоимости проекта	Обучение участников проекта(курс «управление проектом»), тренинги команды, как можно более полная формализация деятельности	Включение в команду администратора проекта, детальное распределение ролей в проекте
Операционные риски проекта	Изменение модели оплаты компании-исполнителю: перевод на оплату по результату оценки качества реализованного решения	Акт сдачи заказчику любого документа. Фиксирование отсутствия претензий заказчика по каждому этапу работы	Увеличение трудоемкости работ и стоимости проекта	Многократное тестирование созданных продуктов, тщательная экспертиза документов	Строгое выполнение процедур программы качества

Торговая компания открывает новый магазин, который должен быть укомплектован новейшим оборудованием. Оборудование производят два конкурирующих поставщика (П1 и П2), объявивших одну и ту же дату появления на рынке нового оборудования. Для увеличения эффективности работы компания планирует осуществить внедрение ИС класса ERP. Разработаны три варианта расписания внедрения информационной системы: вариант 1, вариант 2, вариант 3. Длительность проекта рассматривается как параметр первостепенной важности. Расписание внедрения ИС зависит от поставки и монтажа оборудования. Команда проекта оценила вероятность того, что поставщик 1 (П1) или поставщик 2 (П2) поставит нужное оборудование первым. Анализ информации о прежних разработках поставщиков позволил предположить, что поставщик 1 поставит на рынок новое оборудование с вероятностью 60%; соответственно, для поставщика 2 эта вероятность будет равна 40%.

Команда проекта разработала сетевые графики трех альтернативных вариантов расписания внедрения ИС при условии, что оборудование уже поставлено, и оценила возможные значения продолжительности проекта.

Рассчитаем возможную длительность проекта для каждого точки случайного события:

ожидаемая длительность для случайного узла А: (80 дней* 0,6) + (70 дней *0,4) = 76 дней;
ожидаемая длительность для случайного узла Б: (70 дней * 0,6) + (75 дней *0,4) = 72 дня;
ожидаемая длительность для случайного узла В: (75 дней * 0,6) + (80 дней *0,4) = 77 дней

Результат дерева решений — вариант расписания с наименьшей продолжительностью, равной 72 дням.

Дерево решений — инструмент, который позволяет наглядно провести анализ проектных решений, содержащих несколько путей решения. Такое определение данного метода дает возможность с полным основанием использовать его для принятий решений о продолжении и ходе развития проекта на шлюзах.

По итогам проведения качественного и количественного анализа риска необходимо выработать четкое представление о стратегиях, используемых для реагирования на каждый проектный риск.

Стратегия реагирования на риски — совокупность методов, которая будет использована для снижения негативных последствий или вероятности реализации идентифицированных рисков. Для каждого риска необходимо выбрать свою стратегию, которая обеспечит наиболее эффективную работу с ним.

Существует четыре типовые стратегии реагирования на появление негативных рисков: уклонение, передача, принятие и снижение.

Уклонение от риска
Стратегия состоит в полном исключении воздействия риска на проект за счет изменений характера проекта или плана управления проектом. Некоторых рисков, возникающих на ранних стадиях проекта, например, из-за отсутствия четкого определения требований заказчика, можно избежать, затратив дополнительное время и увеличив трудозатраты на их выявление. Однако эта стратегия не может полностью исключить риск.
Передача риска
Стратегия передачи риска также исключает угрозу риска путем передачи негативных последствий риска с ответственностью за реагирование на риск на третью сторону. Передача риска обычно сопровождается выплатой премии за риск стороне, принимающей на себя риск и ответственность за его управление. Сам риск при этом не устраняется. Условия передачи ответственности за определенные риски третьей стороне могут определяться в контракте.
Принятие риска

Стратегия означает решение команды не уклоняться от риска. При пассивном принятии риска команда ничего не предпринимает в отношении риска и в случае его возникновения разрабатывает способ его обхода или исправления последствий. При активном принятии риска план действий разрабатывается до того, как риск может произойти, и называется планом действий в непредвиденных обстоятельствах.
Снижение риска

Стратегия снижения риска предполагает усилие, направленное на понижение вероятности и/или последствий риска до приемлемых пределов. В стратегии снижения используется включение в план проекта дополнительной работы, которая будет выполняться независимо от возникновения риска, как, например, проведение дополнительного тестирования функциональности информационной системы, разработка прототипа системы, дополнительное подключение к работе опытных сотрудников.

Подтверждение содержания проекта

Процесс подтверждения содержания формализует принятие завершенных результатов поставки проекта. Подтверждение содержания — это формальное принятие участниками проекта завершенного содержания проекта и относящихся к нему результатов поставки. Процесс подтверждения содержания проекта включает в себя проверку наличия всех работ, обеспечивающих результаты поставки. Если выполнение проекта прекращается досрочно, процесс подтверждения содержания должен установить и документировать уровень и степень его выполнения.

Входной информацией для процесса являются:

описание содержания проекта;
словарь ИСР;
план управления содержанием проекта;
результаты поставки.

Подтверждение содержания выполняется методом инспекции, который включает в себя такие операции, как измерение, изучение и проверка, и служит для определения соответствия работ результатам поставки, требованиям и критериям приемки продукта.

Процесс подтверждения содержания документирует результаты поставки, которые прошли приемку в соответствии с процедурой приемки проектных документов. Непринятые результаты поставки документируются с указанием причин, по которым они не прошли приемку. Подтверждение содержания включает в себя сопроводительную документацию, полученную от заказчика или спонсора и подтверждающую факт приемки результатов поставки участниками проекта.

Источник

Риски проекта – это события, которые могут негативно повлиять на продукт или услугу: снизить эффективность, качество, способствовать расходам и т. д.

Рассмотрим, как выполнять управление рисками и какие моменты нужно учитывать, чтобы сделать работу компании более продуктивной.

Виды рисков

Различают известные и неизвестные риски:

Для известных рисков возможно прогнозирование, их можно контролировать. Допустим, если планируется предлагать продукт в конкурентной нише, есть риск недостаточного спроса на товар или услугу.
Для неизвестных рисков невозможно прогнозирование и контроль. Например, компания решает поставить новое оборудование не сегодня, а через неделю. Но за это время оно изменилось в цене из-за изменения экономической ситуации. Это неизвестный риск, который нельзя предугадать.

Зачем управлять рисками?

Управление рисками проекта необходимо для определения проблемных точек, их анализа и снижения эффекта от их воздействия. При грамотном подходе обеспечивается сохранение качества продукта независимо от внешних факторов.

Управление позволяет выполнять профилактику возможных проблем, прогнозировать риски и принимать решения для успешного развития.

Этапы управления рисками

Процесс управления рисками состоит из 6 стадий:

Планирование
Идентификация факторов риска
Качественная оценка
Количественная оценка
Подготовка плана реакции
Мониторинг и контроль

Рассмотрим эти стадии подробнее.

Планирование

Здесь осуществляется выбор стратегии управления.

Грамотное планирование подразумевает:

Создание комфортной среды управления – налаживание отношений в команде
Применение подготовленных шаблонов процессов управления
Подготовка описательной части и плана управления рисками

Главное средство планирования – совещание. На нем команда, а иногда и инвесторы, обсуждают возможные риски для проекта. Затем формируется план управления, который является руководством по противодействию рискам для определенного проекта.

Идентификация

Для определения рисков проводятся исследования, которые выполняются на основе факторов риска. Возможные риски указываются по очереди от самого большого к самому несущественному. Однако не все риски можно выявить в начале проекта. Поэтому обычно число возможных рисков становится больше во время работы.

Важно: контроль рисков еще не гарантирует успешность проекта. Это нужно учитывать.

Но управление рисками необходимо, так как делает работу над проектом более эффективной.

Качественная и количественная оценка

Качественная оценка – это анализ точек зрения специалистов на возможные риски с учетом факторов риска, свойственных для определенного проекта. Такая оценка обычно более глубокая, и нередко ее достаточно. Результаты качественного анализа:

определение рисков и их сортировка;
определение событий для дополнительного анализа;
комплексная оценка рисков для проекта.

Оценки экспертов бывают двух видов: которые оценивают вероятность возникновения рисков, и которые оценивают их влияние. Для работы обычно используется матрица вероятности/воздействия рисков, которая делает анализ более эффективным.

При анализе матрицы угрозы делятся на три вида: несущественные, средние и недопустимые. С учетом этого подготавливаются мероприятия для исключения рисков или снижения эффекта от их воздействия.

Количественный анализ сложнее, и применяется не всегда. Для него важно качество применяемых данных. Такой анализ подразумевает внедрение сложных математических моделей, а специалист должен иметь необходимую квалификацию для проведения такого исследования. Количественный анализ более точный, но применяется в основном для сложных проектов. Он позволяет определить:

вероятность, с которой может быть достигнута определенная цель;
силу действия рисков на проект;
события, на которых нужно сконцентрироваться, чтобы исключить угрозы;
расходы, которые могут быть.

Для исследования обычно применяются такие методы:

Вероятностный анализ. Изучается история других проектов, вероятность, с которой возникали в них определенные риски.
Анализ чувствительности. Изучение действия основных характеристик экономической модели на результат для определения самых важных точек проекта, в которых могут быть риски.
Имитационное прогнозирование – определенная модель, которая имитирует реальный проект, тестируется несколько раз.

Для количественного анализа обычно используются специальный софт, который делает работу более комфортной.

Подготовка плана реакции

После определения рисков, нужно понять, как защитить о них проект или минимизировать их воздействие. Предусматриваются действия, которые в теории будут более эффективными для борьбы с определенными рисками. Главная их задача – сохранить работоспособность проекта.

Можно выделить четыре вида реакций:

Уклонение. План корректируется, что позволяет защитить проект от рисков или снизить эффект от их действия. Допустим, можно изменить график или объемы работы, удалив несущественные модификации.
Передача. Этот метод позволяет снизить расходы на работу с рисками. Например, подписывается соглашение в страховой или берется предоплата у заказчика.
Снижение. Подготавливаются действия, которые снижают вероятность появления угроз. Допустим, при создании команды предусматриваются дублеры, которые могут заменить любого специалиста.
Использование. Минусы можно превратить в плюсы. Например, для проекта берется тестировщик без опыта. Это риск, который может снизить качество продукта. Поэтому берем дублера – более опытного специалиста. Его услуги будут не нужны, если основной тестировщик выполнит работу.

Реакции применяются в зависимости от проекта, его особенностей и рисков.

Мониторинг и контроль

Эта стадия важна не меньше, чем другие. Постоянный мониторинг позволяет определять новые риски и контролировать угрозы, которые известны. Данная работа выполняется в течение всей подготовки продукта. Важно также понимать, что чем более подготовленным продукт является, тем сильнее на него могут воздействовать угрозы. Устранить или минимизировать их эффект в начале проекта легче.

Рисками занимается проектный менеджер, но он не может контролировать все угрозы. Поэтому желательно назначить для каждого риска своего специалиста. Затем проект-менеджеру нужно будет только контролировать их работу, а не заниматься самими рисками.

FAQ

Сложно ли выполнять работу по управлению рисками?

Задача непростая и для нее важна определенная квалификация. Проектный менеджер, или директор по рискам – это специалист, который использует в работе специальные инструменты. Они упрощают анализ и определение рисков, улучшают качество оценки. При определенном опыте и применении подходящих средств анализа управле6ние рисками становится обычной задачей, которая выполняется при работе над проектом. Плюс, управление рисками может осуществлять не только проектный менеджер, но и специалисты в его команде. Иногда создаются рисковые команды, которые занимаются только этим.

Требуется ли управление рисками всем компаниям?

Если предприятие достаточно крупное и производит серьезный продукт, или просто компании важна стабильность, управление рисками необходимо. Обычно оно требуется для принятия управленческих решений. Без оценки угроз решения по развитию компании может быть неправильным. Поэтому оценивать угрозы необходимо всем компаниям. Другой вопрос – насколько качественно они выполняют эту работу. Здесь все зависит от размеров предприятия и его возможностей.

Подведем итоги

Риски – это события, которые могут повлиять на качество продукта, команду и весь проект. Они не формируются сами по себе, а образуются от внешних или внутренних факторов (например, из-за малого опыта сотрудников).
Риски бывают известными и неизвестными. Работать проще с первыми, но предусматривать нужно и вторые.
Для исключения угроз или снижения эффекта от их действия необходимо управлять рисками. Этим занимаются проектные менеджеры и специалисты в их команде.
Выделяют несколько этапов управления рисками: планирование, выявление, анализ, подготовка плана реакции, мониторинг и контроль.
Грамотное управление рисками позволяет сделать работу над продуктом более эффективной. Однако успех проекта не только в этом. Просто это работа, которая должна проводиться, как и другие проектные мероприятия.

Источник

Любой технологический проект сопряжен с рисками. Чем сложнее реализуемый продукт, чем больше процессов запущено — тем выше вероятность возникновения непредвиденных рисковых ситуаций.

В этой статье рассматриваем, что такое риск в контексте проектной деятельности, как его выявить на старте проекта и какие механики управления рисками проекта использовать.

Что такое риски проекта

Риском называют неблагоприятные события, которые вероятно могут случиться в процессе работы над проектом и повлечь за собой нежелательные последствия, помешав достижению конкретной цели. Риск может быть известным, который можно заранее спрогнозировать и придумать к нему стратегию реагирования, и неизвестным. Реагировать на неизвестные рисковые обстоятельства проблематично — их тяжело предугадать на раннем этапе и проявляются они только в процессе работы. Часто риск проекта связан с отсутствием конкретики и четкости в постановке задач, в понимании результата, на которые рассчитывает клиент. Также нередко проблемы возникают из-за некорректного планирования бюджета или расплывчатых формулировок при составлении плана. Ответственность за каждый риск проекта и несет руководитель.

Благодаря управлению риском можно предотвратить или, по крайней мере, минимизировать последствия , к которым приводят рисковые ситуации. Как это выглядит на практике — рассмотрим дальше.

Зачем управлять рисками

Практически любой риск проекта, если им не управлять, может растянуть запланированные сроки, «убить» рентабельность продукта и привести к другим нежелательным последствиям. Прогнозируя возможный риск и проблемы, которые за ним последуют, можно заранее принять меря для их исключения.

Грамотные управленцы, используя современные инструменты и методологию, на ранних этапах идентифицируют проблемные факторы, анализируют их и принимают решение, как минимизировать возможные отрицательные последствия при наступлении рисковой ситуации.

Рисковые ситуации возинкают постоянно и управление ими — это непрерывный процесс. Использование набора стандартных превентивных мер на самом старте проекта — правильно, но для хорошего результата мало. Важно регулярно оценивать и предотвращать потенциальные проблемы и рисковые случаи— это поможет повысить рентабельность проекта, высвободить материальные и трудовые ресурсы.

Оценка рисков и работы по управлению проектом нужны как своего рода страховка, которая в случае чего позволит спасти основной костяк или главную составляющую проекта. Многие управленцы согласятся, что с помощью внедрения профилактических мер и использования эффективных методов управления рисками обходится выгоднее, чем решение возникших проблем в срочном порядке.

В любом проекте есть два пути — игнорировать любой риск и надеяться на удачу, или поступить более продуманно — использовать инструменты для оценки и эффективного анализа для выявления возможных проблем и рисковых обстоятельств в будущем. Оценка рисков помогает держать, если не все, то большинство работ в рамках проекта под контролем.

Принимая риск как данность, и не предпринимая никаких мер по управлению рисками, компания может понести большие убытки.

Оценка рисков и последующие работы по их предотвращению требуют больше ресурсов и тщательного анализа, но в конечном результате это принесет свои плоды, если речь идет не о мелких, а серьезных угрозах.

Оценка рисков преследует одну цель — определить, какой риск наиболее опасен, а также разработать уникальный механизм по управлению рисками в конкретной ситуации.

Под каждый риск можно подобрать свою стратегию или сочетать несколько методов, которые будут наиболее эффективны. В результате развернутой оценки должна быть подготовлена главная стратегия и на случай непредвиденных рисковых ситуаций — резервная.

Как провести анализ рисков проекта

Проводить оценку рисковых обстоятельств важно всей командой. Необходим всесторонний подход — качественный и количественный анализ. Такая оценка помогает разобраться в рисках, распределяя их по мере их приоритетности и разработать готовые схемы реагирования. Подробнее количественный и качественный анализ мы рассмотрим далее, обсуждая шаги в управлении рисками.

Анализируя, управленцу необходимо собрать всю команду — каждый из специалистов, задействованный в работе над проектом, сможет предложить идеи и указать на «слабые места», руководствуясь практическим опытом и наработанными навыками.

Анализируя каждый риск, важно понять, что делать и как разбираться с последствиями, когда он превратится в проблему. Чтобы структурировать информацию, можно создать список рисковых ситуаций и классифицировать их по силе последствий. Если вероятность возникновения низкая, а последствия будут некритичными, то достаточно учитывать, что такой риск есть в числе возможных, и наработать схему реагирования. Если вероятность, что риск возникнет, высокая, а последствия, скорее всего, будут серьезными, важно поэтапно продумать, какими действиями можно предупредить возникновение рисковых обстоятельств.

Виды рисков

Есть несколько классификаций рисковых ситуаций. Мы предлагаем рассмотреть виды, с которыми чаще всего сталкиваются при управлении:

Временной риск (связан с затратой времени). Суть в том, что все действия по реализации проекта могут занять больше времени, чем запланировали на старте. Время — ценнейший ресурс, поэтому о временных рисках важно всегда помнить. Временной риск опасен еще тем, что ведет к повышению расходов.
Риск, связанный с изменением объемов работ. Такие рисковые ситуации могут появиться, если при согласовании проекта исполнители не до конца поняли требования клиента или же клиент сам внес дополнения в проект. Результат — потребуется увеличить бюджет, скорректировать сроки выполнения проектов и задач.
Внешний риск. Речь идет о потенциально возможных рисковых событиях, которые никак не связаны с внутренними процессами компании, а значит, не могут контролироваться. Простой пример — в процессе работы над сложным проектом государство ввело новый законопроект, в результате чего потребуются дополнительные корректировки, расходы финансов и временные затраты.
Бюджетный риск. Чаще всего такой риск возникает из-за недостатка планирования конечной стоимости проекта. Получается, что расходы больше, чем заложено в бюджет. Далее варианта два — либо проект останавливается, либо придется вкладывать дополнительные средства, чтобы устранить последствия, вызванные возникшим риском.
Риск возникновения единой точки отказа. Это событие, которое кардинально влияет на работу всей команды над проектом. То есть, пока проблема не будет решена, никто из специалистов, задействованных в проекте, не сможет приступить к своим обязанностям. Из примеров можно рассмотреть такую ситуацию: для компании, работа которой связана с подключением к сети, единой точкой отказа может быть отключение интернета и/или электричества.
Риск зависимости. При работе над сложными проектами одна задача тесно связана с другой. И пока один специалист не закончит свою часть работы, другой — не сможет приступить к выполнению своей.

Зная, что может возникнуть риск определенного вида, и, понимая, какие этапы включает в себя управление рисками проекта вкомпании, следует заранее проанализировать вероятность возникновения рисковых ситуаций в рамках проекта. Как это делать, мы рассмотрели, когда обсуждали качественный и количественный анализ.

Этапы управления рисками

Условно весь процесс управления можно разделить на 5 отдельных этапов:

Планирование.
На этом этапе выбираем стратегию, то есть, решаем, как будет организован процесс по управлению рисками проекта — как между собой будут взаимодействовать участники процесса, какие инструменты будут использоваться.
Для эффективного планирования важны: благоприятная среда для коммуникации внутри команды, заранее подготовленные схемы и шаблоны, которые будут задействоваться в управлении рисками. На этапе планирования важно провести совещание, в котором примут участие все члены команды. По результату в плане должны быть прописаны рисковые ситуации, подборка методов для реагирования, правила формирования отчетности и документации по проектным угрозам, а также ответственные по рискам лица.
Идентификация факторов.
Следующий шаг — выявить и зафиксировать угрозы и определить вероятность возникновения конкретного риска на проект. В результате должен быть сформирован перечень возможных проблем и рисковых обстоятельств с ранжированием по уровню опасности для проекта. Не все угрозы можно идентифицировать на старте, а по мере работы над проектом значимость некоторых рисковых ситуаций может возрасти.
В идентификации факторов, которые могут привести к риску, можно использовать два важных фактора: источник рискового события, а также саму угрозу. В результате команда должна сформировать реестр возможных рисковых ситуаций для конкретного проекта.
Качественный и количественный анализ.
Чтобы идентифицировать риск, важно дать ему соответствующую оценку. Для этой цели применяют два метода — качественный и количественный анализ.
Качественный заключается в получении экспертных мнений относительно возможности развития неблагоприятных последствий, связанных с обнаруженными факторами риска. Качественный анализ носит поверхностный характер, но для многих проектов этого вполне достаточно. Плюс в том, что уже на старте можно получить перечень рисковых событий, распределить их по приоритетности (уровню опасности) и предпринять необходимые меры.
Количественный анализ занимает больше времени, но он намного точнее — помогает получить конкретные оценки вероятности наступления определенного рискового события. К проведению количественного анализа необходимо привлекать компетентных специалистов, так как приходится использовать сложные математические модели и методики. Благодаря проектному количественному анализу можно спрогнозировать степень воздействия на проект, а также объемы возможных материальных потерь при риске.
Планирование реакции.
Далее следует важный этап — планирование реакции для предупреждения или минимизации последствий угрозы, вызванной возникшим риском. Проще говоря, на этом этапе нужно продумать меры, которые позволят достичь целей проекта, даже при появлении непредвиденных рисковых обстоятельств.
При планировании реакции можно использовать одну из следующих стратегий:
- Уклонение. План возможных действий корректируется таким образом, чтобы снизить или исключить вероятность появления негативных последствий, которые может спровоцировать тот или иной риск. Например, скорректировать утвержденный ранее график.
- Передача. Суть методики в том, чтобы переложить ответственность и возможные последствия на другую команду (третью сторону). Например, заключить договор страхования, предусмотреть в договоре неустойку.
- Снижение. Стратегия формирования предупредительных мер. Например, собирая команду экспертов, для ведущих специалистов подбирают «дублера» с соответствующей квалификацией, который в случае непредвиденной ситуации сможет взять выполнение обязанностей на себя.
Мониторинг.
Финальный этап — проведение системной работы, направленной на выявление новых возможных угроз и рисков на проект, их контроль и реагирование в согласии с ранее составленным планом. Проводить мониторинг и контроль важно на каждом этапе старта продукта, отслеживая как уже выявленные, так и потенциальные рисковые ситуации. При поэтапном управлении рисками предполагается активный подход в работе источниками проектных угроз. Если придерживаться только пассивного реагирования уже по факту обнаружения угроз, можно сорвать сроки выполнения проекта, не уложиться в бюджет и потерять клиента. Если проект крупный, разумно по каждому риску назначить ответственного, так как менеджер по управлению не сможет контролировать все угрозы одновременно.

Управление рисками с помощью BPM-системы от «КСК ТЕХНОЛОГИИ»

Использовать механизмы по управлению рисками проекта и давать оценку вероятности возникновения проблем необходимо постоянно, так как разобраться со всеми проблемами раз и навсегда невозможно. Поскольку задача долгосрочная, на каждом этапе важно организовать:

сбор информации о рисках и возможность для документирования;
хранение и передачу информации о реализованных задачах;
мониторинг статусов рисковых ситуаций;
контроль процессов проектным менеджером.

Учесть все вышеперечисленные требования поможет процессный подход, благодаря которому выстраивается последовательность задач и контролируется их выполнение в автоматическом режиме.

Компания «КСК ТЕХНОЛОГИИ» предлагает готовое решение для реализации процессного подхода в компании — low-code платформу «КСК.ИК» класса ВРМ для цифровой трансформации организации. Платформа построена на базе ВРМ-движка, который помогает автоматизировать все процессы организации, мониторинг и аналитику исполнения приоритетных задач.

Основный функционал:

автоматическая постановка задач;
контроль просрочки задач и процессов;
доступна история процесса;
удобный функционал для коммуникации сотрудников;
возможность группировать процессы и кейсы в списки по предметной области;
интеграция с почтовыми сервисами;
автоматическая рассылка системных уведомлений;
версионность процессов (возможность исполнения бизнес-процессов по разным версиям);
актуализация процессов без остановки уже запущенных;
сбор информации для подготовки отчетности и анализа бизнес-процессов.

С помощью ВРМ-системы от «КСК ТЕХНОЛОГИИ», вы сможете эффективно моделировать и исполнять бизнес-процессы, принимать наилучшие решения для вашего бизнеса, грамотно управляя каждым вероятным риском.

Источник

Чтобы грамотно управлять угрозами для бизнеса, мы решили использовать метод фреймворка PMBoK от PMI. Разработчики предлагают поделить процесс управления на 6 этапов:

Планирование управления
Идентификация факторов
Качественная оценка
Количественная оценка
Планирование реакции
Мониторинг и контроль

Такая методология предполагает активный подход в работе с источниками проектных угроз. Пассивное реагирование на последствия допустимо при появлении непредвиденных факторов. Но пассивная реакция на угрозы, которые можно предугадать недопустима — можем сильно увеличить смету, сорвать сроки или потрелять заказчика. В современных бизнес-реалиях пассивная реакция равноценна осознанному убийству проекта.

Такую схему из 6 этапов предлагает PMBoK.

Планирование управления

На этапе планирования выбираем стратегии организации процесса управления и правила взаимодействия участников и заинтересованных сторон. Мы сможем уточнить выбранные методы, инструменты и уровень организации управления.

Вот такую проектную схему предлагают разработчики PMBoK.

Диаграмма потоков данных планирования управления рисками в PMBoK.

3 главных аспекта правильного планирования:

формирование благоприятной среды управления — гармонизация отношений внутри команды
использование заранее заготовленных схем и шаблонов процессов управления
создание описательной части и плана управления угрозами

Основной процессный инструмент — совещание. В нем принимают участники все члены команды, а иногда и инвесторы, когда речь идет про угрозы для инвестиционного проекта. Результат их работы — создание плана управления. Это полноценный регламент, которым команда руководствуется при противодействии угрозам.

Обычно в плане управления указывают:

методы и инструменты управления
роли участников при возникновении рисковых ситуация
допустимые значения и диапазоны угроз
принципы и правила внесения изменений в работу
форматы отчетности и документации по проектным угрозам
способы мониторинга и ответственные

Идентификация

На этом этапе выявляют и документируют проектные угрозы. Результат — перечень возможных проблем с ранжированием по степени опасности. Сначала команда выявляет рисковые факторы, затем проводит исследования и идентифицирует угрозы. Нужно понимать, что не все угрозы можно идентифицировать на старте. Обычно по мере развития проекта количество возможных рисковых событий увеличивается.

Чтобы увеличить вероятность идентификации, есть смысл использовать грамотную классификацию рисковых событий. Например, мы в Oko используем классификацию по степени по степени контролируемости.

Классификация рисковых событий по степени их контролируемости.

Использование этой классификации помогает определить, под какие неконтролируемые угрозы стоит планировать резервы. Нужно учитывать и то, что контролируемость рисковых событий еще не гарантирует успеха в их управлении. Также отмечу, что не всегда удается четко классифицировать угрозы, поэтому есть смысл использовать и другие способы классификации. Например, по источникам.

Пример классификации рисковых событий в зависимости от их источника.

При формулировании угрозы важно использовать двух составные понятия: с указанием на источник события и саму угрозу. Например, «угроза срыва сроков реализации из-за отсутствия определенности с функционалом» или «риск отсутствия финансирования из-за нестабильной ситуации с бюджетом у компании-заказчика». Результат — создание реестра возможных рисковых ситуаций.

Фрагмент реестра рисковых ситуаций.

Анализ и оценка рисков проекта

Здесь мы совмещаем качественную и количественную оценку.

Качественный анализ — оценка экспертных мнений и взглядов на возможные неблагоприятные последствия, обусловленные выявленными факторами. Качественный анализ более поверхностный, но часто его достаточно. Он позволяет получит на выходе:

перечень рисковых событий, сгруппированный по приоритету
перечень событий, которые нужно дополнительно проанализировать
комплексную оценку угрозы для команды в целом

При анализе экспертные оценки делят на две категории: оценки вероятности наступления рисковых событий и оценки их влияния. Для их корректного анализа создают специальную матрицу с оценками. Например, вот такую матрицу предлагают разработчики PMBoK.

Матрица вероятности/воздействия угроз и благоприятных возможностей из PMBoK.

На основе этой матрицы можем получить три пороговых уровня: незначительные, средние и недопустимые угрозы. Оценка — это приоритет риска. В зависимости от того, в какую из категорий попадает рисковое событие, а также в зависимости от оценки, которую получает угроза, разрабатываются конкретные мероприятия по купированию и предотвращению последствий.

Чтобы оценить степень угрозы у себя в компании, мы придумали такую матрицу, в которой эта степень зависит от вероятности реализации риска и его влияния на показатели работы. Чем выше вероятность реализации и существенней влияние на проектов, тем выше степень угрозы — бороться с ней нужно активнее.

Чем выше вероятность реализации и существенней влияние на проектов, тем выше степень рисковой угрозы.

Количественный анализ рисков проекта направлен на получение конкретных оценок вероятности наступления рискового события. Количественный анализ значительно более трудоемкий, но и более точный. Он требует качества входных данных, использования развитых математических моделей и более высокой компетентности от персонала. Поэтому его используют только для сложных проектов.

Количественная оценка помогает проанализировать:

вероятность достижения конечной цели
степень воздействия угроз на проект и объемы непредвиденных затрат и материалов, которые могут понадобиться
события, требующие скорейшего реагирования и большего внимания, а также влияние их последствий на результат
фактические расходы, предполагаемые сроки окончания

Обычно для количественного анализа используют такие методологии:

Вероятностный анализ — оценка на основе статистики по прошлым проекта с учетом вероятностной погрешности.

Анализ чувствительности — оценка влияния основных параметров финансовой модели на результирующий показатель в целях выявления наиболее существенных переменных для проекта.

Имитационное моделирование — оценка, сделанная на основе многократных опытов с моделью.

Чтобы не усложнять себе жизнь, для количественного анализа лучше использовать специальный софт. Иначе от огромного массива данных и случайных чисел будет боль голова.

Планирование реакции

Когда вы определили угрозы, выяснили, на что они влияют и дали им оценку, нужно продумать реакцию, которая поможет минимизировать последствия от угрозы. Обычно на этом этапе придумывают меры, которые с высокой вероятностью помогут добиться успеха по проекту, несмотря даже на неопределенные рисковые события.

В своей практике мы выработали 4 варианта реакций, которые помогают нам ликвидировать или хотя бы минимизировать последствия от возможных проблем. Вот какие стратегии можно использовать.

1. Уклонение. Корректируем план управления таким образом, чтобы исключить возможность наступления негативных событий или снизить последствия от их наступления. Например, пересмотреть график или изменить объем работы путем удаления некритичных модификаций.

2. Передача. Перекладываем ответственность за негатив на третью сторону. Например, заключаем договор страхования, берем предоплату, предусматриваем в договоре с заказчиком неустойку. Иногда на это потребуются дополнительные деньги.

3. Снижение. Формируем предупредительные меры по снижению вероятности наступления негативных событий или последствий их наступления. Например, при формировании команды включаем в нее возможных дублеров — на случай, если разработчик заболеет, а дизайнер-фрилансер решит пропасть на неделю без предупреждения.

4. Использование. Превращаем негатив в позитив. Пример риска проекта: квалификация тестировщика вызывает у руководителя группы вопросы, есть вероятность срыва сроков и снижения качества продукта. Думаем, что делать — в качестве дублера привлекаем более опытного тестировщика. Мы увеличим бюджет, но сократим сроки на выполнение важных для нас процессов с гарантией их качества.

На основании выбранного варианта реагирования предпринимаются дальнейшие действия. Например, в PMBoK рекомендуют вносить изменения в документацию или план проекта.

Диаграмма потоков данных планирования реакции на угрозы из PMBoK.

Мониторинг и управление

Последний этап — системная работа над выявлением новых угроз, их контроль и реакция в соответствии с планом управления. Обычно эту работу ведут на всех этапах реализации продукта, вплоть до подписания акта приема-передачи. Чем ближе конец работы, тем сильнее последствия может вызвать угроза.

Важно отслеживать состояние как выявленных, так и потенциально новых рисковых событий. Дополнительно отслеживают динамику изменений, отклонений, трендов и состояние резервов, которые используют для нивелирования угроз.

Важный момент: проектный менеджер не может быть владельцем всех угроз и отвечать за всех одновременно. Поэтому есть смысл назначить ответственного по каждому риску отдельно.

В процессе мониторинга и контроля обычно выбирают и тестируют альтернативные стратегии, корректируют план для внедрения новых тактик. Все изменения и дополнения вносятся в новый план, ответственные регулярно готовят отчет, проводят совещания и обсуждают угрозы с коллегами.

Источник