Аналізу та управління ризиками (Risk Analysis and Management)

Аналіз та управління ризиками визначає сфери невизначеності, які можуть негативно вплинути на вартість, аналізує та оцінює ці невизначеності, а також розробляє та управляє способами управління ризиками.

Аналізу та управління ризиками (Risk Analysis and Management) це одна з методик BABOK v3 (розділ 10.38)

Опис Аналізу та управління ризиками в BABOK v3 (10.38.2)

Неспроможність ідентифікувати ризики та управляти ними може негативно вплинути на вартість рішення. Аналіз та управління ризиками передбачає виявлення, аналіз та оцінку ризиків. У разі відсутності достатніх засобів контролю бізнес-аналітики розробляють плани уникнення, зменшення або модифікації ризиків, а також, за необхідності, впроваджують ці плани.

Управління ризиками є безперервною діяльністю. Постійні консультації та комунікації із зацікавленими сторонами допомагають як виявляти нові ризики, так і здійснювати моніторинг ідентифікованих ризиків.

Елементи Аналізу та управління ризиками в BABOK v3 (10.38.2)

Ідентифікація ризиків в BABOK v3 (10.38.2.1)

Ризики виявляються та ідентифікуються шляхом поєднання експертних оцінок, інформації від зацікавлених сторін, експериментів, минулого досвіду та історичного аналізу подібних ініціатив та ситуацій.

Мета полягає у визначенні повного набору відповідних ризиків та мінімізації невідомих факторів. Ідентифікація ризиків є безперервною діяльністю. Подія ризику може бути однією подією, кількома подіями або навіть відсутністю події.

Умовою ризику може бути одна умова або комбінація умов. Одна подія або умова може мати декілька наслідків, а один наслідок може бути викликаний декількома різними подіями або умовами.

Кожен ризик може бути описаний в реєстрі ризиків, який підтримує аналіз цих ризиків та плани щодо їх усунення.

Аналіз ризиків в BABOK v3 (10.38.2.2)

Аналіз ризику передбачає розуміння ризику та оцінку рівня ризику. Іноді для управління деякими ризиками вже можуть існувати засоби контролю, і це слід враховувати при аналізі ризику.

Імовірність настання може бути виражена або як ймовірність за числовою шкалою, або такими значеннями, як низький, середній та високий.

Наслідки ризику описуються з точки зору їх впливу на потенційну вартість. Вплив будь-якого ризику може бути описаний з точки зору вартості, тривалості, обсягу рішення, якості рішення або будь-якого іншого фактору, узгодженого зацікавленими сторонами, такого як репутація, дотримання вимог або соціальна відповідальність.

Хоча підприємство може мати стандартну або базову шкалу впливу ризику, такі категорії, як витрати, зусилля та репутація, а також порогові значення можуть бути скориговані для врахування потенційної вартості та рівня ризику, який є прийнятним. Як правило, для опису того, як інтерпретувати потенційний вплив, використовуються три-п'ять широких категорій рівнів.

Рівень певного ризику може бути виражений як функція ймовірності його виникнення та впливу. У багатьох випадках це просте множення ймовірності та впливу. Ризики визначаються пріоритетними по відношенню один до одного відповідно до їх рівня.

Ризики, які можуть виникнути в найближчій перспективі, можуть мати вищий пріоритет, ніж ризики, які, як очікується, виникнуть пізніше. Ризики в деяких категоріях, таких як репутація або комплаєнс, можуть мати вищий пріоритет, ніж інші.

Оцінка ризиків в BABOK v3 (10.38.2.3)

Результати аналізу ризиків порівнюються з потенційною вартістю зміни або рішення, щоб визначити, чи є рівень ризику прийнятним чи ні. Загальний рівень ризику може бути визначений шляхом підсумовування всіх індивідуальних рівнів ризику.

Запобігання ризиків в BABOK v3 (10.38.2.4)

Деякі ризики можуть бути прийнятними, але для інших ризиків може знадобитися вжити заходів для зменшення ризику.

Може розглядатися один або декілька підходів до управління ризиком, і будь-яка комбінація підходів може бути використана для управління ризиком:

  • Уникнення (Avoid): або усувається джерело ризику, або коригуються плани з метою унеможливлення настання ризику.
  • Передача (Transfer): відповідальність за подолання ризику перекладається на третю сторону або розподіляється з нею.
  • Пом'якшення (Mitigate): зменшення ймовірності настання ризику або можливих негативних наслідків у разі настання ризику.
  • Прийняти (Accept): прийняти рішення не робити нічого щодо ризику. Якщо ризик все ж таки виникає, на той час буде розроблено обхідний шлях.
  • Збільшити (Increase): прийняти рішення взяти на себе більший ризик, щоб скористатися можливістю.

Після вибору підходу до управління конкретним ризиком розробляється план реагування на ризик, який закріплюється за власником ризику, який несе відповідальність та має повноваження щодо цього ризику.

У випадку уникнення ризику, власник ризику вживає заходів для того, щоб звести ймовірність або вплив ризику до нуля. Для тих ризиків, які не можуть бути зведені до нуля, власник ризику несе відповідальність за моніторинг ризику, а також за реалізацію плану з мінімізації ризику.

Ризик повторно аналізується для визначення залишкового ризику, який є новою ймовірністю та новим впливом в результаті заходів, вжитих для модифікації ризику.

Може бути проведений аналіз витрат і вигод для визначення того, чи витрати і зусилля, пов'язані із заходами, знижують рівень ризику настільки, щоб зробити їх виправданими. Ризики можуть бути переоцінені з точки зору залишкового ризику.

Зацікавлені сторони повинні бути поінформовані про плани модифікації ризиків.

Вказівки щодо використання аналізу та управління ризиками в BABOK v3 (10.38.4)

Сильні сторони використання аналізу та управління ризиками в BABOK v3 (10.38.4.1)

  • Може застосовуватися до стратегічних ризиків, які впливають на довгострокову вартість підприємства, тактичних ризиків, які впливають на вартість змін, та операційних ризиків, які впливають на вартість рішення після здійснення змін.
  • Організація, як правило, стикається з подібними проблемами під час реалізації багатьох своїх ініціатив. Успішне реагування на ризики в рамках однієї ініціативи може стати корисним досвідом для інших ініціатив.
  • Рівень ризику зміни або рішення може змінюватися з часом. Постійне управління ризиками допомагає розпізнати ці зміни, а також переоцінити ризики та придатність запланованих заходів реагування.

Обмеження використання аналізу та управління ризиками в BABOK v3 (10.38.4.2)

  • Кількість можливих ризиків для більшості ініціатив може легко стати некерованою. Може виявитися можливим управляти лише підмножиною потенційних ризиків.
  • Існує ймовірність того, що значні ризики не будуть виявлені.