Здавалка
Главная | Обратная связь

Поняття ризику та невизначеності. Класифікація ризиків проекту

⇐ ПредыдущаяСтр 10 из 15Следующая ⇒

Планування та реалі­зація проектів відбувається в умовах невизначеності, що породжується зміною внутрішнього та зовнішнього середовища. Під невизначеністю розуміють відсутність повної та достовірної інформації про умови реалі­зації проекту.

Невизначеність, пов 'язана зможливістю виникнення в ході реалізації проекту несприятливих умов, ситуацій та наслідків, називається ризиком.

Ризик являє собою складну економічно-управлінську категорію, при визначенні якої має місце ряд протиріч.

Управління ризиком це процес реагування на події та зміни ризиків у процесі виконання проекту.

− При цьому важливим є проведення моніторингу ризиків. Моніторинг ризиків включає контроль ризиків протягом всього життєвого циклу про­екту. Якісний моніторинг ризиків забезпечує управління інформацією, яка допомагає приймати ефективні рішення до настання ризикових по­дій. Модель організації робіт по управлінню ризиком наведена на рис. 1.

Інвестори повинні бути впевнені, що прогнозованих доходів від проекту вистачить для покриття витрат, виплат заборгованостей та забезпечення окупності капіталовкладень. Мова йде про ризик нежиттєздатності проекту.

Велика доля позикового капіталу при здійсненні проектів підвищує ризик порушення принципу ліквідності підприємства, тобто існує фінансовий ризик. Взагалі, фінансовий ризик поділяють на ризик ліквідності – ризик можливостей виплат заборговонності в процесі реалізації проекту та ризик рентабельності – ризик зниження рентабельності інвестицій за разунок недостатнього або надмірного використання запозиченних коштів для проекту.

Податковий ризик включає: неможливість використання з тих або інших причин податкових пільг, встановлених законодавством; зміну податкового законодавства та рішення податкової служби, які знижують податкові переваги.

Втрати, пов'язані з ризиком, можуть бути: матеріальними (додаткові витрати сировини, матеріалів, палива, обладнання та іншого майна), фі­нансовими (штрафи, пені, неустойки, неповернення дебіторської заборго­ваності, зменшення реалізації внаслідок зменшення цін та ін.), трудовими (непередбачені простої, виплати за простої та ін.), втратами часу.

 

Актуальной проблемой при разработке программных проектов является эффективное управление проектом и повышение качества разрабатываемого программного продукта за счет применения специальных методов планирования, уменьшения рисков и оценивания трудоемкости программных проектов.

Основным фактором эффективного управления в настоящее время считается способность гибко из­менять методы планирования, что не всегда приводит к уменьшению рисков в программном проекте, а, наоборот, к возникновению новых, в результате чего и снижается качество самого программного продукта

Риски программных проектов: определение и классификация

Риск проекта (project risk) - всякое событие или условие, которое может оказать позитивное либо негативное влияние на итоги проекта [12].

Риск - возможность возникновения некоторой угрозы, связанной с текущей легальностью компа­нии Также риск - это комбинация вероятности со­бытия и его последствий (ISO 1ЕС 27001:2005). Риск отражает возможные прямые или косвенные финансовые потерн.

Разновидностью риска является информационный риск как возможность наступления случайного события, приводящего к нарушению функционирования и снижению качества информации в информационной системе предприятия, а также к неправильному использованию или распространению информации во внешней среде, в результате которых наносится ущерб предприятию [11].

Риск имеет три основных атрибута: случай, вероятность и воздействие [13].

Случай. Необходимо определять, в каких ситуациях может возникнуть риск. Чтобы оценить вероятность возникновения риска необходимо поменять его природу

Вероятность возникновения риска. Обычно, вероятность измеряется в количественных показателях. Однако, в рамках управления проектами вероятность возникновения риска может быть оценена как в количественных, так и в качественных показателях. Как правило, в управлении рисками ведется вероятностная оценка события в пределах от 0 -100%.

Воздействие риска. Воздействие - измерение того, насколько тяжелы будут последствия, в случае, если риск произойдет. Для облегчения анализа управления рисками принято воздействие риска рассматривать с позиции влияния риска на стоимость, качество и продолжительность выполнения работ.

К примеру, риск потери высококвалифицированного программиста в проекте по разработке программного обеспечения, затрагивает проект с позиции стоимости, качества и продолжительности работ.

Произведение вероятности и воздействия определяет важность риска - его ценность - показатель, который может использоваться в процессе принятия решения и как проектный механизм контроля. Важность риска - полезный проектный индикатор, ак­тивно используемый в управлении проектами.

В соответствии с подходом, изложенным в работе [14] риски делятся на:

- известные те, которые определены, оценены, для которых возможно планирование:

- неизвестные – те, которые не идентифицированы и не могут быть спрогнозированы

Хотя специфические риски и условия их воз­никновения не определены, менеджеры проекта знают, исходя из прошлого опыта, что большую часть рисков можно предвидеть.

Кроме того, в соответствии с [14] выделены три основные группы рисков:

‒ риск проектирования;

‒ технический риск;

‒ бизнес-риск (деловой риск).

Классификационным способом для рисков может служить так же последствия наступления риска. В свя­зи с этим риски подразделяются на три категории [15]:

- допустимый риск - это риск решения, в результате неосуществления которого предприятию грозит потеря прибыли: в пределах этой зоны предпринимательская деятельность сохраняет свою экономическую целесообразность, т.е. потери имеют место, но они не превышают размер ожидаемой прибыли;

- критический риск - это риск, при котором предприятию грозит потеря выручки Иначе говоря, зона критического риска характеризуется опасностью потерь, которые заведомо превышают ожидаемую прибыль и в крайнем случае могут привести к потере всех средств, вложенных предприятием в проект:

- катастрофический риск - риск, при котором возникает неплатежеспособность предприятия: потери могут достигнуть величины, равной имущественному состоянию предприятия. Также к этой группе относят любой риск, связанный с прямой опасностью для жизни людей или возникновением экологических катастроф.

Существует множество классификаций общих рисков проектов по разработке программного обеспечения Хорошо известны и часто используются Ваrrу Boehm, Caper Jones, и SEI Software Risk Taxonomy, описывающие источники таких рисков.

С учетом особенностей, присущих процессам разработки и реализации целесообразно использо­вать комплексный подход к классификации рисков в программных проектах, который дает возможность наиболее точно определить перечень угроз и по­следствий их возникновения

Проблема идентификации рисков программных проектов

Ряски отличаются от проблем и трудностей, так как они имеют отношение к будущим, потенциально возможным негативным результатам и убыткам Проблемы же и трудности представляют собой нетто, имеющее место в настоящее время. Риски могут стать проблемами, ести ими эффективно не управлять. В рамках MSF( Microsoft Solutions Framework) управление рисками рассматривается как процесс их выявления, анализа и эффективной превентивной работы над ними. Эффективный процесс выявления и управления рисками помогает достичь разумных компромиссов между упомянутыми опасностями и открывающимися возможностями

Проекты в области информационных техноло­гий (ІТ) обладают специфическими характеристи­ками, в силу которых эффективное управление рис­ками становится жизненно важным для их успеха.

Рыночная конкуренция, эволюция технических стандартов, равно как и другие факторы могут за­ставить работающую над проектом группу модифи­цировать принятые планы и решения в середине проекта. Изменяющиеся требования пользователей, новый инструментарий и новые технологии, расту­щие угрозы для информационной безопасности, текучесть кадров - все это дополнительные факторы, способные повлечь за собой изменения в ІТ -проекте и заставить проектную группу принимать решения в условиях неопределенности (риска) [16]

Целью фазы выявления рисков является созда­ние проектной группой списка имеющихся рисков проекта. Этот список должен в максимально возможной степени охватывать все факторы, влияющие на проект [17].

Исходными данными фазы выявления рисков являются имеющиеся звания как об общих, так и о специфических для данного проекта рисках, связан­ных с бизнесом, технологиями, организациями и внешними условиями Дополнительные факторы, которым должно быть уделено внимание: имею­щийся у команды опыт, применяемые внутри орга­низации подходы к рискам, выраженные в виде пра­вил и инструкций, а также вся информация о проек­те, известная на данный момент, включая его исто­рию и текущее положение дел.

В процессе выявления рисков проектная группа старается четко сформулировать и перечистить все имеющиеся в проекте риски. На начальной стадии проекта может быть организован семинар или моз­говой штурм с целью выявления рисков, возникающих в новых условиях. Как минимум, в результате процесса выявления рисков должны быть получены их четкие, однозначные и согласованные формули­ровки, представленные в виде списка рисков [17].

Эффективное управление рисками не может быть сведено к простому - реагированию на возникающие проблемы. Проектная группа должна работать над заблаговременным выявлением рисков и создавать стратегии и планы по управлению ими. Должны быть разработаны планы по решению про­блем в случае их возникновения. Предвосхищение потенциальных проблем и заблаговременная подготовка четко составленных планов по борьбе с ними сокращает временные затраты в критических ситуациях. Такая деятельность способна ограничить негативный эффект, создаваемый этими проблемами, и даже помочь извлечь из них некоторую пользу.

Определяющими характеристиками превентивного управления рисками являются профилактика рисков (risk mitigation) и сокращение их негативного воздействия. Профилактика может проводиться по отношению к одному специфическому риску и иметь своей целью воздействие на его непосредст­венную причину. Но она может также относиться к исходной первопричине риска, равно как и к любо­му звену цепи причинно-следственных связей, по­рождающей риск Лучшее время для профилактических мер - ранние этапы работы над проектом, ко­гда проектная группа все еще может оказать свое­временное влияние на его результат.

Для предприятия особенно важны обнаружение и ликвидация первопричин рисков, так как соответ­ствующие корректирующие щаги могут дать весьма ощутимый позитивный эффект, выходящий за пре­делы одного отдельно взятого проезда.

Обоснование выбора метода управления рисками программного проекта

Методика управления рисками подразумевает несколько способов действий.

Риск может быть:

- принят т.е пользователь согласен на риск и связанные с ним потери, поэтому работа информационной системы продолжается в обычном режиме;

- снижен - с целью уменьшения величины риска будут приняты определенные меры;

- передан - компенсацию по­тенциального ущерба возложат на страховую ком­панию, либо риск трансформируют в другой риск - с более низким значением - путем внедрения специ­альных механизмов.

Некоторые методики дополнительно преду­сматривают еще один способ управления – «упраздненние». Он подразумевает принятие мер по ликвидации источника риска. При низких значе­ниях риска данный метод трансформируется в метод снижения риска.

В настояшее время существует много общепринятых методов управления рисками Большинство из них, безусловно, эффективны в применении, но требует специальных разработок и материальных затрат, которые могут покрыть выгоды от применения. Поэтому необходимо четко представлять, что ожидается от управления рисками и как данная технология вписывается в процесс управления рисками.

Механизм управления рисками проекта - сово­купность состояний и процессов, из которых скла­дывается управление рисками, и основными состав­ляющими которого являются: система управления рисками, цель и задачи управления рисками, прин­ципы управления рисками, функции управления рисками, методы управления рисками, культура и стиль управления рисками.

Применение специальных методов управления рисками позволяет решить основные задачи выяв­ления возможных негативных ситуаций, оценки ве­роятности их наступления и величины последствий от их проявления. Однако существование большого количества различных методов управления рисками усложняет выполнение поставленных задач.

Наряду с существованием методов, реализован­ных в виде специального программного обеспечения, в настоящее время существует ряд простых методов управления рисками. Они представлены з табл 1.

Таблица 1 – Классификация методов управления рисками

Группа Метод Характеристика
Методы получения информации Оценка рисков независимыми экспертами Методы интервьюирования или анкетирования опытных специалистов по управлению риска-ми, которые выступают в роли экспертов и яв-ляются участниками реализации оцениваемых систем
Методы про-гнозирования Имитационное моделирование Моделирование и анализ неопределенности в оценках основных показателей проекта
Творческие методы «Мозговая атака» Дискуссии, на которых специалистами по управлению рисками с использованием методических пособий обсуждаются все аспекты данного механизма, и осуществляется планирование, идентификация рисков, оценка рисков, обработка рисков, контроль и документирование
Методы анализа Контрольные списки источников риска Структурированные списки источников риска, в основе которых лежит историческая информация об инцидентах, произошедших при реализации предыдущих систем
Методы оценки Калькуляция вероятных потерь Методы, основанные на расчете математического ожидания убытка для каждого риска в отдельности и в целом по проекту

 

 

В настоящее время на практике широко исполь­зуется достаточно много методов оценки и управления рисками программных проектов. Oдним из таких методов является OCTAVE. Разработанный в универ­ситете Карнеги-Мелон для внутреннего применения з организации OCTAVE - Оценка критических угроз, активов и уязвимостей (Operationally Critical Threat. Asset and Vulnerability Evaluation) имеет ряд модификаций, рассчитанных на организации разного раз­мера и области деятельности. Сущность этого метода заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренние семинаров (workshops). Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятии, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы [18].

Метод опенки рисков CRAMM (the UK Goverment Risk Analysis and Managment Method) разработан, по заказу британского правительства В CRAMM основной способ опенки рисков - это тщательно спланированные интервью, в которых используются подробнейшие опросники. СRAMM используется в тысячах организаций по всем миру.

В отличие от метода OCTAVE, в CRAMM используется несколько иная последовательность дей­ствий и методы определения величины рисков. Сна­чала определяется целесообразность опенки рисков вообще и если информационная система организации недостаточно критична, то к ней применятся стандартный набор механизмов контроля описанный в международных стандартах и содержащиеся в базе знаний CRAMM [18]

На основе требований ISO 17999 к качественным методикам управления рисками относятся методики COBRA (CoQsultanve Objective and Bi- Functional Risk Analysis) и RA Software Tool.

Во второй половине 90x годов компания С & A Systems Secunty Ltd разработала одноименные методику и соответствующий инструментарий для анализа и управления информационными рисками под названием COBRA. Эта методика позволяет выполнить в автоматизированном режиме простейший вариант оценивания информационные рисков любой компании. Для этого предлагается использовать спепиальные электронные базы знаний и про­цедуры логического вывода, ориентированные на требования ISO 17799. Существенно, что при желании перечень учитываемых требований можно дополнить различными требованиями отечественных нормативно-регулирующих органов, например, тре­бованиями руководящих документов [19].

Методика COBRA представляет требования стандарта ISO 17799 в виде тематических вопросни­ков (cteck list's), на которые следует ответить з ходе оценки рисков информационных активов и элек­тронные бизнестранзакций компании. Далее вве­денные ответы автоматически обрабатываются, и с помощью соответствующих правил логического вывода формируется итоговый отчет с текущими оценками информационных рисков компании и ре­комендациями по их управлению [19].

Методика и одноименное инструментальное средство RA Software Tool основаны на требованиях международных стандартов ISO 17999 и ISO 13335 (части 3 и 4), а также на требованиях некоторых руководств Британского национального института стандартов (BSI), например, PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту в соответствии с BS 7799), PD 3005 (Руководство по выбору системы защиты) и пр. Эта методика позволяет выполнять оценку информационных рисков (модули 4 и 5) в соответствии с требованиями ISO 17799. а при же­лании в соответствии с более детальными специфи­кациями руководства PD 3002 Британского институ­та стандартов [19]

Приведенные выше соображения позволяют утверждать, что метод CRAMM наиболее пригоден для управления рисками в программных проектах. Однако при использовании данного метода требует­ся: специальная подготовка и высокая квалификация аудитора; метод СRAMM больше подходит для аудита уже существующих ИС (информационных систем), находящихся на стадии эксплуатации, нежели для ИС, находящихся на стадии разработки; аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать несколько месяцев непрерывной работы аудитора.

На данном этапе актуальной является про­блема стандартизации качества и рисков в про­граммной инженерии, поскольку определение каче­ства программных проектов, содержащиеся в боль­шинстве стандартов, не гармонизировано.

Качество программного проекта - это ком­плексное понятие, которое включает в себя внут­ренние атрибуты качества, внешние атрибуты каче­ства. атрибуты «качества в использовании», что влечет за собой необходимость комплексного ис­пользования методик.

При решении задач идентификации рисков программных проектов основной фазой является фаза профилактики рисков и. следовательно, сокра­щение их негативного воздействия.

Для классификации методов управления рисками рациональной является классификация, основанная на группировке методов.


ТЕМА 6. ПОНЯТТЯ ВИГІД ТА ВИТРАТ ПРОЕКТУ

⇐ Предыдущая6789101112131415Следующая ⇒






©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.