Управления рисками в жизненном цикле ИС.
Риск– неопределенное событие (условие), реализация которого влияет на ход проекта и достижение его целей.
Риск-менеджмент (англ. risk management) — процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь проекта, вызванных его реализацией.
Теория риск-менеджмента основывается на трёх базовых понятиях: полезности, регрессии и диверсификации.
Полезность блага или товара — его способность удовлетворять какую-нибудь человеческую потребность.
Полезность можно разделить на объективную и субъективную. Проблема измерения субъективной полезности в том, что у каждого человека может быть своя оценка полезности, существенно отличающаяся от средней.
Субъективная полезность — это полезность, которая может измеряться, например деньгами, или сравниваться. Например, при потреблении потребителем первого яблока, оно даёт ему самый высокий уровень полезности, второе яблоко даёт меньший уровень полезности, нежели первое. Третье и четвёртое яблоки не дают никакой полезности потребителю или никакого удовлетворения от их потребления, поскольку потребление третьего и четвёртого яблок сразу после первого и второго является чрезмерным для потребителя. Здесь наблюдается сравнение полезности яблок, что характерно для кардиналистской (субъективной) полезности.
Объективная полезность — это полезность, которая не может измеряться или сравниваться. Например, полезность воды в реке или песка в пустыне для потребителя не может быть измерена.
В 1738 году швейцарский математик Даниил Бернулли дополнил теорию вероятностей методом полезности или привлекательности того или иного исхода событий. Идея Бернулли состояла в том, что в процессе принятия решения люди уделяют больше внимания размеру последствий разных исходов, нежели их вероятности.
Статистическая регрессия — частный случай ошибки селекции, когда группы отбираются на основе крайних показателей.
В конце XIX века английский исследователь Ф. Гальтон предложил считать регрессию или возврат к среднему значению универсальной статистической закономерностью. Суть регрессии трактовалась им как возврат явлений к норме с течением времени. Впоследствии было доказано, что правило регрессии действует в самых разнообразных ситуациях, начиная с азартных игр и расчёта вероятности возникновения несчастных случаев, и заканчивая прогнозированием колебаний экономических циклов.
Диверсифика́ция— мера разнообразия в совокупности. Чем больше разнообразие, тем больше диверсификация. Диверсификация — важная инвестиционная концепция. Она снижает риск инвестиционного портфеля, при этом чаще всего не снижая доходность.
Наибольший эффект от диверсификации достигается добавлением в инвестиционный портфель активов различных классов, отраслей, регионов таким образом, чтобы падение стоимости одного актива компенсировалось ростом другого.
В 1952 году аспирант Чикагского университета Гарри Марковиц в статье «Диверсификация вложений» («Portfolio Selection») математически обосновал стратегию диверсификации инвестиционного портфеля. В частности, он показал, как путём продуманного распределения вложений минимизировать отклонения доходности от ожидаемого показателя.
В риск-менеджменте принято выделять несколько ключевых этапов:
1. выявление риска и оценка вероятности его реализации и масштаба последствий, определение максимально возможного убытка;
2. выбор методов и инструментов управления выявленным риском;
3. разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;
4. реализация риск-стратегии;
5. оценка достигнутых результатов и корректировка риск-стратегии.
Наиболее часто применяемым инструментом риск-менеджмента является страхование.
Примерами других инструментов могут быть:
· отказ от чрезмерно рисковой деятельности (метод отказа),
· профилактика или диверсификация (метод снижения),
· аутсорсинг затратных рисковых функций (метод передачи),
· формирование резервов или запасов (метод принятия).
ГОСТ Р ИСО 31000:2010 определяет методы реагирования на риски:
· Избегание риска путем принятия решения не начинать или не продолжать деятельность, порождающую этот риск
· Принято или увеличение риска с целью получения возможности
· Удаление источника риска
· Изменение вероятности
· Изменение последствий
· Передача риск третьей стороне или сторонам (включая контракты и финансирование риска)
· Осознанное решение по удержанию риска
Общая схема управления рисками в организации согласно ISO 31000 включает:
· Определение полномочий и обязанностей
· Поредение внутреннего и внешнего контекста
· Утверждения политики по управлению рисками
· Отчетность по рискам
· Интеграция в организационные процессы
· Ресурсы
· Установление внутренней и внешней коммуникации и механизмов отчетности
· Внедрение процесса управления рисками
· Мониторинг и контроль
· Непрерывное совершенствование
Процессы управления рисками проекта включают в себя следующее:
1. планирование управления рисками;
2. идентификация рисков;
3. качественный анализ рисков;
4. количественный анализ рисков;
5. планирование реагирования на риски;
6. мониторинг и управление рисками.
В любом ИТ-проекте необходимо учитывать несколько крайне важных категорий рисков, ассоциированных как со внедрением, так и с поддержкой, технологическим совершенствованием и в целом управлением системы:
‒ Организационные: ассоциированные с поддержкой руководства компании и корректностью проведенного на первом этапе обследования бизнес-архитектуры компании.
‒ Ресурсные: риски проектного управления в части «треугольника ограничений»: времени, ресурсов, качества.
‒ Проектные: остальные риски проектного управления (в части контроля показателей проекта, управления коммуникациями, мотивацией, интеграцией).
‒ Технологические: риски возникновения ошибок, вызванных недостаточно точным анализом и проектированием системы на уровне архитектуры приложений, данных и технологий.