Одним из инструментов для управления рисками является реестр рисков.

Реестр рисков (далее реестр) нужен для выявления, регистрации и отслеживании потенциальных рисков, а также для разработки и планирования различный мероприятий, направленных на снижение и минимизацию последствий при наступлении каждого риска.

В реестр вносятся все потенциальные риски, которые могут повлиять на доступность и непрерывность работы ИТ-сервисов, которые предоставляет ИТ-служба, поэтому в первых столбца реестра указывается информация с самим риском и последствиями при ее наступлении, а также категория, к которой он относится.

Риски разделяются на два типа: угрозы и возможности, т.е. последствия от первых всегда несут негативных характер, а вторые при их наступлении могут позитивно повлиять на наши процессы и результаты. Так как мы говорим про риски связанные с работой ИТ-службы, то редко в этой области удавалось выявлять возможности, они больше присущи рискам, связанным с проектами, поэтому ниже мы будем говорить исключительно про риски с типом угрозы и все связанное только с ними.

Существуют два способа оценки риска — качественная и количественная. Качественная оценка самая простая и распространенная. При таком подходе вы оцениваете вероятность наступления риска и его последствия по шкале, например: очень высокая вероятность, высокая, средняя, низкая и очень низкая. А количественная оценка риска требует уже ввода числовых значений. В этом случае нельзя просто сказать, что последствия будут «серьезные». Вам нужно выразить их в числовой форме.

Я на своей практике использую следующих подход, для каждого риска с учетом накопленной статистки в прошлом или других инструментов оценивается в цифрах от 0 до 1 отдельно для вероятности его наступления и степени влияния. На основе этих данных рассчитывается общий уровень риска, по которому затем все риски разделяются на три группы: высокий уровень риска, средний и низкий. Для рисков из первой группы с высокими показателями в первую очередь должны быть определены стратегии реагирования на риск и выработаны необходимые мероприятия для снижения вероятности их наступления и минимизации возможных последствий от них. По мере возможности компании затем и для рисков из второй группы определяются стратегии и разрабатываются возможные мероприятия с оценкой требуемых бюджетов для их выполнения. Риски из третьей группы с минимальным уровнем риска обычно оставляют в поле зрения и не выделяют для них бюджетов, либо разрабатывают и проводят для них мероприятия, которые не требуют отдельных дополнительных бюджетов.

Среди стратегий реагирования на риски выделяют следующие: уклонение от риска, передача или разделение риска, снижение (смягчение) риска, принятие риска. Стратегия уклонение от риска предполагает полное исключение риска, т.е. мы должны разработать и провести такие мероприятия, которые позволят полностью исключить наступление данного риска. Стратегия передачи и разделения риска перекладывает на другую сторону полностью или частично последствия при наступлении данного риска, чаще для этого используется страхование рисков. Стратегия снижение риска подразумевает уменьшение вероятности и влияния риска, является самой распространенной и может применяться к любому риску, в отличие от других стратегий. Стратегия принятие риска применяется в случае незначительности рисков или превышения необходимого бюджета на предварительные мероприятия над стоимостью последствий от риска, т.е. проще этот риск просто принять. Но эту стратегию еще разделяют на активное и пассивное принятие, в первом случае формируется резерв времени и денег на устранение последствий при материализации риска, а во втором случае предполагается разработка плана Б на случай, если риск материализуется. Из описанных стратегий нужно выбирать наиболее подходящую вам, в моем случае для большинства рисков я используются стратегию снижения риска и его возможных последствий.

В реестре за каждым риском д.б. закреплен ответственный за него, обычно это лицо ответственное за мониторинг и устранение риска и его последствий.

Для рисков всех групп уровней желательно разработать мероприятия, которые необходимо будет выполнить при наступлении риска и определить требуемый бюджет на них. Минимум это нужно сделать для всех рисков из первой группы и оптимально для рисков из первой и второй группы.

Подробнее про форму реестра я рассказываю в видеоролике ниже.