Идентификация рисков
3.6. Идентификация основных причин
Идентификация основных причин (ИОП) - это не отдельный метод, имеющий четко сформулированный алгоритм (по сравнению с методами Brainstorming или Delphi). ИОП это комплексный подход, используемый при идентификации рисков.
При его применении на первый план выходить квалификация исполнителя/эксперта, способного предусмотреть максимально возможное видение (сформировать комплексное представление) всех потенциальных и явных причин ущербов и организовать процесс работы над ними.
Подходы, применяемые для идентификации источников рисков, событий, их причин и потенциальных последствий, включают использование источников, основанных на опыте и комплексе уже имеющихся документарных артефактов проекта (реестр рисков, и т.д.), выявленных и зафиксированных на более ранних стадиях или разработанных специально для данного метода.
Использование данного подхода зависит от характера рассматриваемой деятельности, типов риска, организационных аспектов и цели процесса менеджмента рисков. Впрочем, эти составляющие используются и для всех остальных методов в управлении и анализа рисков, на всех стадиях процесса.
Суть данного метода заключается в подробном рассмотрении всех возможных рисков, которые, по своей сути являются следствием определенной деятельности/ей и построением причинно-следственных связей. С помощью зафиксированных закономерностей и становится возможным выявить основные и главные причины рисков, области и активности, в которых они возникают, учитывая всевозможные смежные процессы, которые оказывают свое влияние на возникновение рисков.
После того, как причины выявлены и зафиксированы необходимо принять решение о том, что и каким образом необходимо корректировать и исправлять.
Наилучшим образом, для проведения анализа ИОП подходит инструмент под названием "Диаграмма Ишикава". Эта техника нашла на сегодняшний день очень широкое применение и используется во многих областях. Мы не будем описывать алгоритм использования "Диаграммы Ишикавы", при желании, изучить этот инструмент сможет каждый желающий, без труда найдя необходимую информацию в сети, но отметим, что этот инструмент можно использовать и на других стадия процесса управления и анализа рисков.
Несомненным преимуществом метода идентификации основных причин является возможность его проведения без дополнительного привлечения дорогого ресурса дополнительных экспертов, отдельно взятым специалистом, что делает этот метод менее "экспертным" (с точки зрения количества участников) по сравнению с рассмотренными ранее методами, но не менее эффективным, и более быстрым.
Недостатками можно считать необходимость наличия определенной документарной базы, на основе которой можно было бы построить анализ идентификации и выявления рисков.
3.7. SWOT анализ
SWOT (SWOT, акроним - Strengths [преимущества], Weaknesses [недостатки], Opportunities [возможности] и Threats [угрозы]). Термин "SWOT" введен в Гарварде в 1963 году, профессором экономики Кеннетом Эндрюсом.
Цель проведения этого вида анализа - оценить возможности и окружение "рискового" проекта или процесса. На сегодняшний день эта методика получила очень широкое распространение в разнообразных областях бизнеса при проведении консалтинговых и управленческих исследований за счет своей привлекательной субъективности и легкоинтерпретируемости результатов, выполненных конкретными экспертами.
Идентификация сильных и слабых сторон позволяет выявить практическую картину и реалии окружения, максимально объективно оценить возможности и недостатки, с которыми можно столкнуться при проведении той или иной деятельности.
Преимущества и недостатки - это факторы внутренней среды процесса или проекта, влияющие на возникновения или сами порождающие риски. Возможности и угрозы - это факторы внешней среды, оказывающие влияние на объект и приводящие к возможному возникновению рисков.
Преимуществами данного вида анализа являются: универсальность применения, гибкость использования, широта использования, легкая адаптируемость..
Слабыми сторонами SWOT-анализа: поверхностность оцениваемых факторов, только качественное описание факторов, субъективность.
Задача SWOT-анализа — дать структурированное описание ситуации, относительно которой нужно принять какое-либо решение.
Выводы, сделанные на его основе, носят описательный характер без рекомендаций и расстановки приоритетов, что приводит к тому, что данный анализ, сам по себе, нельзя считать самодостаточным, а порой даже очень вредным и "ядовитым".
SWOT-анализ, пожалуй, самый противоречивый из всех приведенных в этой лекции методов. С одной стороны, данный вид анализа очень привлекательный за счет того, что предлагает быстрый результат. С другой стороны, качество этого результата может быть очень поверхностным. Это приведет к тому, что решение, принятое на его основе, будет неоправданным, как с тактической, так и со стратегической точек зрения конкретной деятельности.
Результаты его проведения необходимо дополнительно анализировать и интерпретировать в свете дополнительных методологических данных конкретной области, в которой он был проведен. Без альтернативных данных в областях, где этот метод применялся, получить качественную информационную картину рисковой области представляется затруднительным.
3.8. Метод Монте-Карло
Метод Монте-Карло (ММК), является самым формализованным и сложным из рассматриваемых методик. Этот метод имеет наиболее основательный технологический аппарат, из представленных в этой лекции. Наш выбор этого метода, для включения в этот обзор, был осознанным. Этим мы пытаемся продемонстрировать "полюсы" методик в области идентификации рисков.
ММК построен на использовании математических алгоритмов, что позволяет считать данную методику наиболее обоснованной и точной. Сложность и основательность данного метода оправдана только при использовании большого количества статистических данных.
Количество времени и этапов обработки данных, необходимых для вычисления конечных или "промежуточно" конечных результатов, порой довольно продолжительное. Это приводит к тому, что ММК оптимален только в тех случаях, когда в рисковой деятельности уже имеется большой массив информации и результаты не должны быть предоставлены "вчера". Иначе, преимущества этого метода, точность и применимость к сложным структурным и иерархическим системам, теряет смысл и постепенно "выхолащивается" в процессе его применения.
Для ММК необходимо использовать информационные таблицы, современные программные средства моделирования и описания процессов, для которых должны удовлетворяться высокие требования к функциональным и нефункциональным характеристикам использованных данных .
ММК это способ идентификации неопределенных параметров в широком диапазоне ситуаций, имеющих определенное периодическое, частотное значение. Данный метод это уже не аналитический метод, а научная методика, нашедшая своё технологическое применение в некоторых сферах бизнеса (в рисковой деятельности в том числе).
Метод Монте-Карло применяют для идентификации прогнозных значений рисков, результатов низкоформализованных и стохастических активностей, когда экспертные и аналитические методы затруднительно применить из-за сложности и комплексности рисковой области.
Преимуществами метода Монте-Карло являются - универсальность применения к любым данным не зависимо от источника их возникновения или поступления, модели, используемые в ММК относительно просты, с научной точки зрения, и при наличии необходимых ресурсов для их создания и развития, они могут быть дополнены и расширены. Данный метод позволяет учесть не отдельно взятый процесс, а взаимосвязанность процессов в совокупности с установленными связями. Используемые модели могут быть прозрачными и понятными, что повышает доверие к этому методу. ММК позволяет достичь необходимой точности результатов.
Недостатками ММК являются – большое количество времени, затрачиваемое для достижения результатов, чрезмерная техническая сложность метода может оттолкнуть от него стэйкхолдеров процессов и оставить специалистов, ответственных за проведение метода наедине с компьютером. Метод Монте-Карло не может адекватно моделировать события с очень высокой или очень низкой вероятностью появления.
Подводя итоги надо сказать, что использование Метода Монте-Карло может быть оправдано только в тех компаниях и областях, в которых уже наработан доступный для использования массив данных, на основе которого могут быть построены модели поведения систем и процессов.
Завышенная ресурсотребовательность этого метода послужили тому, что на данный момент он не нашел широкого распространения в информационных технологиях бизнес областей.
3.9. Создание иерархической структуры рисков
После того, как процесс идентификации рисков проведен, в соответствии с выбранным комплексом методик, составлен полный реестр рисков, влияние которых может оказывать на осуществляемую деятельность, необходимо определиться с тем, каким образом необходимо обрабатывать существующий перечень рисков, какую тактику и стратегию выбрать при работе с ними.
Ответ на поставленный вопрос дает созданная иерархическая структура рисков.
Иерархическая структура рисков – это документ, в котором нашли отражение все риски, выявленные в процессе идентификации и зафиксированные в реестре рисков.
В процесс создания иерархической структуры рисков (ИСР) выполняется декомпозиция рисков на стадии и работы. Каждая работа должна иметь ответственного исполнителя, с тем, чтобы мониторинг идентификации и возникновения рисков имел четкий план действий. План действий каждой работы должен иметь четкую последовательность легкоконтролируемых операций во времени, каждая из которых должна иметь измеримые метрики и показатели, оценка которых должен выполняться всеми, заинтересованными в управлении и анализе рисков сторон.
Несмотря на то, что каждый риск является по своему уникальным, в процессе работы над рисками создаются общепризнанные наиболее успешные шаблоны по работе с ними, применение которых может обеспечить оперативное реагирование и оптимальное решение в работе над отдельно взятым риском.
К примеру, подавляющее число рисков, связанные с проектами/процессами разработки программного обеспечения будет иметь одинаковые признаки возникновения и возможные последствия, а потому и одинаковые или подобные результаты.
Процесс разбиения рисков, на более мелкие составляющие, принято называть декомпозицией риска.
Декомпозиция риска - это инструмент, который позволяет выполнить разделение результатов проявления рисков на более мелкие. Это приводит к тому, что становится возможным оперативно управлять и корректировать каждый конкретный риск и регулировать последствия его проявления.
Каждый следующий уровень иерархии более детально отражает элементы процесса идентификации рисков в целом. Декомпозиция выполняется до тех пор, пока работа и результаты реагирования на риски не будут иметь четкого регламента, который может быть контролируем ответственным риск-менеджером.
Надо помнить, что излишняя декомпозиция может привести к непродуктивной управленческой трудоемкости, неэффективному использованию ресурсов и снижению эффективности при выполнении работы. Команда экспертов и специалистов должна найти баланс между слишком малой и слишком большой детализацией планирования ИСР.
Структурирование и организация ИСР - метод анализа, использующий шаблоны ИСР, структурирует полученные результаты идентификации рисков и представляет их в виде иерархической структуры. В зависимости от выбранного направления работ или используемого шаблона, можно получить несколько разных видов структуры.
По оценкам признанных экспертов, путем декомпозиции можно определить около 90% от общего объема работ. Системный подход, используемый при идентификации рисков и дальнейшем планировании работы с ними, позволяет увеличить точность процесса декомпозиции.
Используя аналогии из теории системной аналитики, можно сказать, что вся работа процесса идентификации риска должна рассматриваться как синергетическая система, в которой идентификация является процессом преобразования возможных рисковых событий в порядки и регламенты по работе с выявленными рисками.
Каждая операция работ должна преобразовывать свои входные элементы, которые являются выходами предыдущих активностей, в определенный результат, использование которого в дальнейшем позволит добиться заданного уровня качества в управлении рисками, при использовании необходимого количества ресурсов на каждую конкретную операцию.
Каждый задействованный в процессе риск-менеджмента специалист, эксперт и руководитель должен знать и использовать в своей работе созданную ИСР, анализировать входы и выходы промежуточных работ, которые связаны со сферой его компетенции и обязанностями, за которые он несет ответственность.
Подобная вовлеченность в общий процесс каждого его участника позволит выделить лишние работы, выходы которых не используются в проекте, добавить недостающие и исключить дублирующие.
Иерархически организованное представление идентифицированных рисков проекта, распределенных по категориям и подкатегориям риска, указывающее на различные области и источники возможных рисков позволит создать работоспособную систему по работе с ними.
Иерархическая структура рисков не должна существовать только на бумаге (уставе проекта, должностных инструкциях, временном плане – графике работ и т.д.). Этот документ должен использоваться и применяться в работе всеми заинтересованными в работе над рисками членами осуществляемой деятельности. Для этого каждую ИСР необходимо создавать под конкретный вид работ или же адаптировать используемый шаблон для конкретной активности.
3.10. Выводы по изученной лекции
Подводя итог лекции надо сказать о том, что, конечно, особенно "памятуя" о деталях славянского характера, можно сосредоточиться на более важных и значимых этапах управления и анализа рисков (таких как анализ уже существующего риска и выработка мер по работе с ним), но, при этом, не обращать внимание на то, что любой пожар можно погасить, правильно и вовремя, с минимальными ресурсными затратами, распознав и обратив внимание на горелый запах вокруг.
Можно, уповать на удачу и общепризнанный "авось", применяя в идентификации рисков уже сложившуюся годами систему (хорошо если таковая есть) и надеясь на то, что при работе с каждым следующим риском можно будет использовать старые подходы или не использовать вообще ничего связанного с идентификацией рисков, но надо помнить, что удача вещь случайная и изменчивая.
При создании данной лекции мы не ставили себе цель описать все существующие методики идентификации рисков. Мы хотели посвятить нашего слушателя в самые популярные и представить их с объективной и наиболее комплексной точки зрения. Мы ставили себе цель предоставить нашим коллегам самостоятельный выбор методов, для конкретных целей и задач в идентификации рисков.
К каждому методу, приведенному в данной лекции, мы еще неоднократно вернемся, используя их на следующих этапах процессов управления и анализа рисков, демонстрируя преимущества и недостатки каждого, применяя их для тех ситуаций, в которых каждый из них будет наиболее эффективен и поможет принести качественный и оптимальный результат для конкретной ситуации.
Идентификация рисков, как каждая сложная деятельность, в процессе функционирования стремится к самоорганизации и развитию, при заданных параметрах функционирования. Развитие становится возможным тогда, когда в системе высвобождаются свободные ресурсы, которые можно направить на конкретные, новые цели (повышенное качество, более быстрое достижение поставленного результата и т.д.). В том случае, если риск идентифицирован полностью своевременно и правильно, дальнейший путь работы с ним будет определен наиболее оптимально.
В следующей лекции мы приступим к видам анализов риска.