При проведении качественной оценки рисков проектная группа может использовать как собственный опыт, так и «внешние» источники информации. В качестве таковых могут выступать правила и рекомендации, действующие в организации, базы данных рисков индустрии, имитационные и аналитические модели, а также управленческое звено организации, эксперты предметной области проекта и др.

По ходу работы над проектом и при изменении внешних обстоятельств шаги выявления и анализа рисков должны повторяться, и главная таблица рисков должна обновляться. В ней могут появляться новые риски и исчезать старые, не оказывающие более на проект существенного влияния.

Качественная оценка рисков трансформирует имеющиеся данные о рисках в форму, облегчающую принятие решений. Приоритезация рисков указывает, какие из них являются наиболее важными, и, как следствие, работа над ними должна быть проведена прежде всего.

По результатам качественной оценки рисков:

1) фиксируются результаты оценки вероятности возникновения и влияния рисков;

2) производится ранжирование рисков;

3) составляется перечень приоритетных рисков;

4) распределяется ответственность по наиболее ответственным рискам;

5) определяется перечень рисков, которые требуют дополнительного анализа, оценки и управления.

Процесс качественной оценки рисков состоит из нескольких последовательных этапов, которые мы рассмотрим более подробно.

Этап 1. Выбор ответственного/владельца риска. Обычно все идентифицированные риски распределяются между ответственными. За риск, как правило, отвечает тот, кто идентифицировал данный риск. Владельцы рисков (risk owners) наблюдают за признаками наступления риска, а также управляют ответными процедурами в случае возникновения данного риска. Сотрудники становятся владельцами рисков в силу специфических экспертных знаний или в связи с тем, что они обладают определенным контролем над специфическим риском. Обычно чем раньше в процесс управления рисками вводится владелец риска, тем лучше.

Этап 2. Анализ допущений. Анализ допущений (assumption testing), которые были сделаны в процессе идентификации рисков, необходимо выполнить, прежде чем непосредственно переходить к качественному и количественному анализам рисков.

Отсутствие информации делает данные еще более рискованными. Если допущения оказываются ложными, степень риска проекта существенно увеличивается. Поэтому необходимо проанализировать стабильность каждого сделанного допущения, а также последствий, если допущение неверно.

Этап 3. Выбор шкал для экспертной оценки. После завершения работы с погрешностью данных необходимо понять, какие шкалы степени воздействия рисков будут использованы и какие методики качественного анализа могут применяться.

Наиболее простая и удобная в использовании методика оценки заключается в выработке проектной группой коллективных оценок двух общепризнанных параметров каждого из рисков – вероятности возникновения (risk probability) и степени влияния риска (risk impact).

Поскольку качественная оценка проводится на основе опроса мнения экспертов и анкетирования (балльная, рейтинговая оценка), то для формирования оценок следует определиться со шкалой измерения, исходя из полноты, рациональности использования, минимальной размерности шкалы.

Шкалы представляют собой определенные наборы степеней воздействия рисков на проект в целом. На данном шаге шкала воздействия определяется субъективно. Можно использовать существующие шкалы степени воздействия тех или иных рисков либо можно построить и свои шкалы. Шкала оценки вероятности возникновения риска может различаться в зависимости от принятой в организации стратегии и от чувствительности организации к конкретному виду воздействий. Шкала может быть относительной (значения представлены в описательном виде) и числовой. Оценка влияния, как правило, производится по разработанной заранее матрице, в которой потенциальный эффект, который может оказать риск на стоимость, сроки, качество и содержание проекта, ставится в соответствие определенному значению (описательному или числовому).

Существуют следующие шкалы измерения:

• номинальные: допустимое/недопустимое значение;

• качественные: вероятность очень мала/значительна/велика;

• количественные (0–1).

ИТ-риски можно оценивать по объективным или субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования за определенный промежуток времени. Примером субъективного критерия является оценка владельцем информационного ресурса риска выхода из строя этого оборудования. Для этого обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровни.

Наиболее распространены субъективные критерии, измеряемые в качественных шкалах, поскольку оценка должна отражать субъективную точку зрения владельца информационных ресурсов, а также должны быть учтены различные аспекты, не только технические, но и организационные, психологические и т. д.

Для построения функциональных соответствий между нечеткими лингвистическими описаниями (типа «высокий», «теплый» и т. д.) и специальными функциями, выражающими степень принадлежности значений измеряемых параметров, была реализована в первоначальном замысле математическая теория нечетких множеств.