Управление рисками
Одними из основных показателей, которые определяют и влияют на качество работы ИТ-службы, являются доступность и непрерывность работы ИТ-сервисов, которые она предоставляет. Для поддержания на определенном уровне и повышения этих показателей необходимо управлять рисками, которые на них могут повлиять. Требуется регулярно отслеживать и выявлять все такие риски, анализировать и ранжировать их по вероятности наступления и степени влияния, для них разрабатывать и проводить различные мероприятия, направленные на снижение и минимизацию возможных последствий при их наступлении. Для решения этих задач ниже представлен один из главных инструментов управления рисками.
Реестр рисков
Одним из инструментов для управления рисками является реестр рисков.
Реестр рисков (далее реестр) нужен для выявления, регистрации и отслеживании потенциальных рисков, а также для разработки и планирования различный мероприятий, направленных на снижение и минимизацию последствий при наступлении каждого риска.
В реестр вносятся все потенциальные риски, которые могут повлиять на доступность и непрерывность работы ИТ-сервисов, которые предоставляет ИТ-служба, поэтому в первых столбца реестра указывается информация с самим риском и последствиями при ее наступлении, а также категория, к которой он относится.
Риски разделяются на два типа: угрозы и возможности, т.е. последствия от первых всегда несут негативных характер, а вторые при их наступлении могут позитивно повлиять на наши процессы и результаты. Так как мы говорим про риски связанные с работой ИТ-службы, то редко в этой области удавалось выявлять возможности, они больше присущи рискам, связанным с проектами, поэтому ниже мы будем говорить исключительно про риски с типом угрозы и все связанное только с ними.
Существуют два способа оценки риска — качественная и количественная. Качественная оценка самая простая и распространенная. При таком подходе вы оцениваете вероятность наступления риска и его последствия по шкале, например: очень высокая вероятность, высокая, средняя, низкая и очень низкая. А количественная оценка риска требует уже ввода числовых значений. В этом случае нельзя просто сказать, что последствия будут «серьезные». Вам нужно выразить их в числовой форме.
Я на своей практике использую следующих подход, для каждого риска с учетом накопленной статистки в прошлом или других инструментов оценивается в цифрах от 0 до 1 отдельно для вероятности его наступления и степени влияния. На основе этих данных рассчитывается общий уровень риска, по которому затем все риски разделяются на три группы: высокий уровень риска, средний и низкий. Для рисков из первой группы с высокими показателями в первую очередь должны быть определены стратегии реагирования на риск и выработаны необходимые мероприятия для снижения вероятности их наступления и минимизации возможных последствий от них. По мере возможности компании затем и для рисков из второй группы определяются стратегии и разрабатываются возможные мероприятия с оценкой требуемых бюджетов для их выполнения. Риски из третьей группы с минимальным уровнем риска обычно оставляют в поле зрения и не выделяют для них бюджетов, либо разрабатывают и проводят для них мероприятия, которые не требуют отдельных дополнительных бюджетов.
Среди стратегий реагирования на риски выделяют следующие: уклонение от риска, передача или разделение риска, снижение (смягчение) риска, принятие риска. Стратегия уклонение от риска предполагает полное исключение риска, т.е. мы должны разработать и провести такие мероприятия, которые позволят полностью исключить наступление данного риска. Стратегия передачи и разделения риска перекладывает на другую сторону полностью или частично последствия при наступлении данного риска, чаще для этого используется страхование рисков. Стратегия снижение риска подразумевает уменьшение вероятности и влияния риска, является самой распространенной и может применяться к любому риску, в отличие от других стратегий. Стратегия принятие риска применяется в случае незначительности рисков или превышения необходимого бюджета на предварительные мероприятия над стоимостью последствий от риска, т.е. проще этот риск просто принять. Но эту стратегию еще разделяют на активное и пассивное принятие, в первом случае формируется резерв времени и денег на устранение последствий при материализации риска, а во втором случае предполагается разработка плана Б на случай, если риск материализуется. Из описанных стратегий нужно выбирать наиболее подходящую вам, в моем случае для большинства рисков я используются стратегию снижения риска и его возможных последствий.
В реестре за каждым риском д.б. закреплен ответственный за него, обычно это лицо ответственное за мониторинг и устранение риска и его последствий.
Для рисков всех групп уровней желательно разработать мероприятия, которые необходимо будет выполнить при наступлении риска и определить требуемый бюджет на них. Минимум это нужно сделать для всех рисков из первой группы и оптимально для рисков из первой и второй группы.
Подробнее про форму реестра я рассказываю в видеоролике ниже.
Чтобы получить пакет всех файлов с данного сайта, необходимо нажать эту кнопку