Поскольку невозможно до начала проекта спрогнозировать проект на 100 %, по мере выполнения проекта и обретения лучшего понимания его составляющих рейтинги рисков будут меняться. Не рекомендуется откладывать риски, угроза которых выше определенного порога, если только проектная группа не является абсолютно уверенной в том, что их вероятность и ожидаемая величина останется низкой при любых непредвиденных обстоятельствах.

Далее необходимо определить, стоит ли переходить к количественному анализу рисков или ограничиться полученными качественными оценками.

Количественная оценка рисков – это трансформация идентифицированного списка в основную таблицу рисков на основе количественного анализа характеристик неопределенности (распределения вероятностей, диапазона изменения неопределенных параметров и т. д.). По результатам количественного анализа рисков происходит дальнейшее обновление карты рисков и может быть построена новая версия карты рисков. Количественная оценка позволяет определить числовое выражение вероятности возникновения рисков и их влияние на проект, а также меру риска всего проекта.

Как правило, переходить к количественному анализу имеет смысл, если:

• доступны инструменты количественного анализа рисков;

• количественный анализ стоит затрат времени и средств, потраченных на него;

• приоритет проекта очень высокий или же проект находится в центре внимания руководства;

• отмечается наличие опыта и специалистов для выполнения количественного анализа рисков.

Если проект краткосрочный или малобюджетный и у менеджера проекта недостаточно опыта в управлении рисками, вместо количественного анализа можно переходить сразу к этапу реагирования на риски.

Процесс количественной оценки проекта осуществляется с целью определения вероятности достижения целей проекта, степени воздействия риска на проект, объема резервов, которые могут понадобиться, реалистичных затрат и сроков окончания проекта. Задача количественного анализа также состоит в численном измерении влияния изменений рискованных факторов проекта на поведение критериев эффективности проекта.

Проведение полного количественного анализа рисков не всегда возможно. Наиболее частым ограничением является достаток информации о системе или деятельности, подвергающейся анализу. Менеджер ИТ-проекта часто встречается с отсутствием или недостатком статистических данных – данных об отказах, влиянии человеческого фактора, прочих рисках. Неточность исходных данных и ограничения аналитических методов также могут привести к неточным количественным расчетам. Отсутствие инструментов реализации количественной оценки может привести к затянутым срокам оценки и неэффективному использованию ресурсов, занятых в процессе.

Для реализации процедуры количественной оценки рисков ИТ-проекта предлагается использовать следующие основные методы.

1. Анализ чувствительности – состоит в определении набора рисков, имеющих наибольшее влияние на значение параметров эффективности проекта. При этом рассчитывается влияние значения одного из параметров проекта на один из показателей эффективности, при неизменности остальных параметров системы.

2. Сценарный анализ – предполагает, что развитие ситуации может происходить разными путями, при этом ни один из путей не является предопределенным. В результате анализа различных сценариев можно получить информацию о возможном ущербе и опасности данного риска.

3. Построение дерева решений – для выявления возможных альтернативных вариантов развития проекта и оценки вариации уровня риска и затрат; описывает рассматриваемую ситуацию с учетом каждой из имеющихся возможностей выбора и возможного сценария.

4. Анализ ожидаемой денежной стоимости (ОДС) – производится путем умножения значения каждого возможного денежного результата на вероятность его появления, а затем полученные значения суммируются.

5. Моделирование и имитация – при моделировании проекта используется модель для определения последствий от воздействия подробно описанных неопределенностей на результаты проекта в целом. Моделирование подразумевает построение модели проекта, которая отражает преобразование возможных колебаний параметров задач проекта в их воздействие на весь проект.

Каждый из перечисленных методов имеет свои достоинства и недостатки. Наиболее часто используемыми результатами являются диаграммы частоты в зависимости от последствия, либо совокупная стоимость ущерба, и статистически ожидаемый размер потерь от возникновения аппаратных сбоев, программных ошибок, нарушения безопасности, вирусных атак. Также широко используется распределение риска с соответствующим уровнем ущерба, представленное в виде графика и указывающее уровни равного ущерба.

Решение о применении каждого из методов должно быть основано на уверенности проектной группы в том, что его вклад в процесс приоритезации или планирования окупит дополнительные расходы. Рассмотрим каждый из методов более подробно.

1. Анализ чувствительности. Это стандартный метод количественного анализа, который заключается в изменении значений критических параметров (количество пользователей, объем операций, устойчивость к сбоям, производительность системы, время доступности системы и прочее) и расчете показателей эффективности проекта при каждом таком изменении. Анализ чувствительности можно реализовать как с помощью специальных программных пакетов, так и программы Excel.

Анализ чувствительности позволяет определить риски, имеющие наибольшее влияние на проект, и состоит в определении набора рисков, имеющих наибольшее влияние на значение параметров эффективности проекта. Основная идея метода исследования чувствительности состоит в анализе уязвимости, степени изменяемости коррелируемых показателей по отношению к изменениям параметров моделей: распределение вероятностей, областей изменения тех или иных величин (рис. 14). При этом рассчитывается воздействие изменения одного из входных параметров проекта на один из параметров эффективности. Пример: увеличение затрат на тестирование на 30 % приводит к увеличению стоимости проекта в 2 раза.