риски должны оцениваться используя качественную оценку на основе параметров
Количественная и качественная оценка рисков
Качественный анапиз включает в себя также методологический подход к количественной оценке приемлемого уровня риска.
Количественную оценку риска, т.е. численное определение размеров отдельных рисков и риска портфеля в целом обычно производят на основе методов математической статистики. Сложность их применения заключается в недостаточности и недоступности накопленной статистической информации
Качественная оценка рисков включает ряд последовательных этапов:
1) выявление факторов, увеличивающих и уменьшающих конкретный вид риска при осуществлении определенных финансовых операций. Эти факторы не несут в себе какого-либо конкpeтного расчетного предназначения, а служат исходнои базой для анализа рисков;
2) определение системы оценочных показателей риска, которая должна отвечать требованиям адекватности, комплексности, динамичности, объективности, а также допускать пополнение и развитие;
3) установление потенциальных областей риска, т.е. выявление мероприятий, операций, работ, при выполнении которых может возникнуть неопределенность в получении положительного результата;
4) идентификация всех возможных рисков, т.е. определение возможных рисков в результате данного действия либо бездействия.
На описываемом предварительном этапе организации управления риском важнейшим моментом является его анализ. При этом определяются факторы риска, которые можно классифицировать по различным критериям и признакам, например, по степени влияния, по характеру воздействия на риск, по степени управляемости, по источнику возникновения. Количественная оценка рисков часто сопровождает качественную оценку и также
требует процесс идентификации рисков. Количественная и количественная оценка
рисков могут использоваться по отдельности или вместе, в зависимости от
располагаемого времени и бюджета, необходимости в количественной или
качественной оценке рисков.
Оптимизация рисков
Эффективность решений в данных областях зависит от соотношения величины возможных потерь к величине возможных выгод, связанных с реализацией данных решений.
Появление потерь связано с существованием объективных факторов (угроз, рисков), которые негативно отражаются на данных видах деятельности, например, пожары, кражи, задержки, аварии, сбои в работе систем, увольнения и т.п.
Определение возможных потерь относится к области оценки рисков.
Традиционно выделяется два подхода к оценке рисков: качественный анализ; количественный анализ.
Качественный анализ связан с качественной оценкой вероятности возникновения угроз и величины возможных потерь от реализации угроз.
При количественном анализе, риск может определяться величиной возможных потерь в стоимостном (денежном) выражении. Наиболее часто используемый подход к количественной оценке рисков заключается в расчете математического ожидания потерь как произведения вероятности возникновения угрозы на величину ущерба, в случае если угроза произойдет. Эти математические принципы заложены в основу процесса оптимизации рисков в большинстве существующих продуктов. В то же время анализ существующих методов количественной и качественной оценки рисков показал наличие у них существенных недостатков.
К недостаткам существующих продуктов количественной оценки рисков относится отсутствие комплексного учета следующих факторов:
при учете остаточного риска, как правило, не учитывается остаточный ущерб – ущерб, который может возникнуть, даже если контрмера успешно срабатывает на угрозу. Например, в случае потери информации сервера баз данных и даже при наличии системы резервирования информации, требуется время на восстановление данной информации. Данное время недоступности информации может привести к ущербу, связанному с простоем. При этом срабатывание различных контрмер, в общем случае, приводит к различным уровням остаточного ущерба;
при расчете остаточного ущерба не учитывается, что ущерб в результате реализации угрозы – величина, в общем случае, нелинейная, изменяющаяся с течением времени;
не учитывается взаимосвязи между различными контрмерами, когда результаты функционирования одной контрмеры могут использоваться другими контрмерами;
в упомянутых продуктах учитываются только контрмеры, реализующие стратегию управления рисками «снижение уровня риска», что потенциально может не позволить выбрать оптимальный набор контрмер;
способы, модели, заложенные в основу данных продуктов, ограничены, и предназначены для оптимизации рисков информационным процессам обработки информации, не позволяя комплексно оценить и другие виды деятельности;
постоянное расчетное время риска в 1 год не позволяет корректно оценить эффективность комплекса контрмер – для многих контрмер существенной характеристикой являются ежегодные эксплуатационные расходы, т.е. при увеличении расчетного времени соотношение между стоимостью различных вариантов контрмер может существенно измениться.
К недостаткам методов с качественной оценкой рисков относится:
субъективность – качественные оценки зависят от мнения экспертов, консультантов, которое может быть ошибочным, учитывая сложность оценки всех возможных комбинаций взаимно влияющих угроз и контрмер;
не формальность критериев оценки, что потенциально может привести к двусмысленности, ошибочным оценкам риска;
непрозрачность выгод – качественные методы не позволяют дать конкретную оценку: насколько выгодно применения комплекса контрмер и выгодно ли вообще.
Методы снижения рисков
Сущвствует ряд методов по снижению экономического риска:
• диверсификация вариантов использования средств;
• объединение и группирование рисков;
• сбор информации о возможных вариантах выбора и его результатах.
Диверсификация вариантов использования средств означает действия, направленные на вложения в различные предприятия. Примером может служить вложение денежных средств в приобретение акций различных компаний. Эти акции могут иметь различную степень доходности и риска. Диверсификация может касаться и распределения полученных доходов. Следует заметить, что подобным образом нельзя полностью избавиться от риска, однако можно его существенно сократить.
Тогда за счет цены, уплачиваемой за страховку, предприниматель получит денежный доход независимо от того, произошли фактические потери или нет. Риск в таком случае ложится на страховую компанию. Если фактическая прибыль превысит выплаты по страхованию, то страховая фирма получит прибыль. Если фактическая прибыль окажется ниже выплат по страхованию, то страховая фирма понесет убытки.
Распределение риска предполагает распределение потерь между всеми участниками производственно-сбытовой деятельности. В результате возможные потери каждого из них оказываются относительно небольшими. За счет такого разделения риска крупные финансово-промышленные группы получают возможность финансирования различных проектов и проведения фундаментальных исследований.
Получение большей информации о возможных вариантах и результатах. Если информация доступна и полна, то потребители могут сделать более точный прогноз возможного развития событий и снизить риск.
Методика оценки рисков информационной безопасности
Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.
На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?
Количественный метод
Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.
При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.
Как провести количественную оценку рисков?
1. Определить ценность информационных активов в денежном выражении.
2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.
Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».
3. Определить вероятность реализации каждой из угроз ИБ.
Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).
4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).
Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.
5. Провести анализ полученных данных по ущербу для каждой угрозы.
По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.
Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.
Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.
Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.
В результате количественной оценки рисков должны быть определены:
Количественный анализ рисков информационной безопасности (пример)
Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.
Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.
Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.
Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.
Качественный метод
К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.
При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.
Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.
Как провести качественную оценку рисков:
1. Определить ценность информационных активов.
Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.
2. Определить вероятность реализации угрозы по отношению к информационному активу.
Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).
3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.
Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.
4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.
Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.
5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.
Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.
6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.
Какой метод выбрать?
Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.
Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.
Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.
Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.
Разработайте политику безопасности, проверьте защищенность сети, определите угрозы
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Новый гибкий подход к оценке рисков
Можно выделить два основных подхода к оценке рисков: качественный (заключается в экспертной оценке вероятности наступления рисков и их воздействия на проект. — Авт.) и количественный (предполагает определение более точных количественных показателей вероятности рисков и их влияния на отдельные параметры проекта, а также расчет этих параметров с учетом рисков. — Авт.).
Для проведения качественной оценки обычно разрабатывают единые шкалы оценок вероятности рисков и их влияния на проект.
Шкала вероятности определяется тремя-пятью значениями. Каждому значению соответствует описание (качественная характеристика), оценка (количественная характеристика в виде числа от 0 до 1) и вероятность (качественная характеристика в виде диапазона значений от 0 до 100%).
Шкала влияния также определяется тремя-пятью значениями. Каждому значению соответствует параметр проекта, подверженный влиянию риска, описание (качественная характеристика) и оценка (количественная характеристика в виде числа от 0 до 1).
Эксперты оценивают риски по вероятности и влиянию на проект с использованием разработанных шкал. На основании экспертных оценок для каждого риска вычисляют показатель его меры. Для рисков с мерой, превышающей наибольшее пороговое значение, рекомендуется использовать стратегию избегания, а для рисков, мера которых не превышает наименьшее пороговое значение, — стратегию принятия. Достаточно подробное описание стратегий влияния на риски приведено в руководстве по методу PRINCE2.
Методы количественного анализа (наиболее известной является техника оценки и анализа программ/проектов Evaluation and Review Technique, PERT. — РБК Pro) дают более точные оценки, но при этом обладают рядом ограничений, поэтому на практике применяются реже.
Качественный подход является наиболее распространенным, т.к. позволяет в относительно сжатые сроки оценить риски проекта и начать управлять ими. Но при использовании качественного подхода возникает потребность в получении более достоверных оценок рисков.
Как повысить объективность качественных оценок рисков
Процесс управления рисками обычно включает следующие четыре процедуры:
Качественная и количественная оценка рисков
Тема: Управление рисками проекта
Содержание
| Введение………………………………………………………………………. |
| 1. Идентификация рисков……………………………………………………. |
| 2. Качественная и количественная оценка рисков……………….…………. |
| 3. Методы анализа рисков……………………………………………………. |
| 4. Мониторинг и контроль рисков…………………………………………. |
| Заключение……………………………………………………………………. |
| Список использованной литературы………………………………………. |
Введение
Происходящие в мире изменения, такие как глобализация и интернационализация бизнеса, способствуют расширению деловых связей между участниками экономической среды и являются основой для создания единого экономического пространства. В данной статье рассматривается страновой риск, который возникает при осуществлении внешнеэкономической деятельности.
Цель работы заключается в изучении управления рисками проекта.
Для выполнения поставленной цели необходимо решить задачи:
— рассмотреть особенности идентификации рисков;
— описать качественную и количественную оценку рисков;
— охарактеризовать мониторинг и контроль рисков.
Идентификация рисков
Организации принимают во внимание риски в той степени, в какой они соотносятся с угрозами проекта или с благоприятными возможностями, повышающими вероятность успешного выполнения проекта. Риски, представляющие собой угрозу для проекта, могут приниматься в том случае, если риск соразмерен выгоде, которую можно получить, приняв этот риск. Например, принятие расписания, составленного с помощью метода «быстрого прохода», которое может быть нарушено, является риском, предпринятым для более раннего окончания проекта. Риски, представляющие собой благоприятные возможности (например, ускорение работ за счет привлечения дополнительного персонала), могут приниматься для наилучшего достижения целей проекта.
Хотя специфические риски и условия их возникновения чаще всего не определены, опытные менеджеры проекта знают, что достаточно большую часть рисков можно предвидеть.
Выполняя проекты с высокой степенью неопределенности в таких областях как, цели и технологии их достижения, многие компании уделяют внимание разработке и применению корпоративных методов управления рисками проекта. Данные методы учитывают как специфику проектов, так и специфику корпоративных методов управления.
Цель идентификации рисков – составить максимально полный список рисков проекта (в первую очередь – наиболее опасные риски).
Идентификация рисков проекта определяет, какие риски могут влиять на проект. А также документирует параметры этих рисков. Идентификация рисков будет неэффективной, если она будет проводиться нерегулярно. Важнейшим условием успешной работы с рисками является их постоянная идентификация, иначе, менеджер проекта рискует пропустить важные риски, что, в свою очередь, может привести к краху всего проекта [4].
Именно поэтому менеджер проекта, чтобы идентифицировать риски проекта должен привлекать как можно больше участников: команду проекта, заказчиков, пользователей, независимых экспертов.
Идентификация рисков — итерационный процесс. Вначале идентификация рисков может быть выполнена частью менеджеров проекта или группой аналитиков рисков. Далее идентификацией может заниматься основная группа менеджеров проекта. Для формирования объективной оценки в завершающей стадии процесса могут участвовать независимые специалисты. Возможное реагирование может быть определено в течение процесса идентификации рисков.
Исходные данные для выявления и описания характеристик рисков могут браться из разных источников. В первую очередь это база знаний организации. Информация о выполнении прежних проектов может быть доступна в архивах предыдущих проектов. Следует помнить, что проблемы завершенных и выполняемых проектов, это, как правило, риски в новых проектах. Другим источником данных о рисках проекта может служить разнообразная информация из открытых источников, научных работ, маркетинговая аналитика и другие исследовательские работы в данной области. Наконец, многие форумы по программированию могут дать бесценную информацию о возникших ранее проблемах в похожих проектах.
Метод Дельфи во многом похож на метод мозгового штурма. Однако есть важные отличия. Во-первых, при применении этого метода эксперты участвуют в опросе анонимно. Поэтому результат характеризуется меньшей субъективностью, меньшей предвзятостью и меньшим влиянием отдельных экспертов. Во-вторых, опрос экспертов проводится в несколько этапов. На каждом этапе модератор рассылает анкеты, собирает и обрабатывает ответы. Результаты опроса рассылаются экспертам снова для уточнения их мнений и оценок. Такой подход позволяет достичь некоего общего мнения специалистов.
Исходные данные для выявления и описания характеристик рисков могут браться из разных источников.
В первую очередь это база знаний организации. Информация о выполнении прежних проектов может быть доступна в архивах предыдущих проектов. Следует помнить, что проблемы завершенных и выполняемых проектов, это, как правило, риски в новых проектах.
Другим источником данных о рисках проекта может служить разнообразная информация из открытых источников, научных работ, маркетинговая аналитика и другие исследовательские работы в данной области. Наконец, многие форумы по программированию могут дать бесценную информацию о возникших ранее проблемах в похожих проектах.
Каждый проект задумывается и разрабатывается на основании ряда гипотез, сценариев и допущений. Как правило, в описании содержания проекта перечисляются принятые допущения — факторы, которые для целей планирования считаются верными, реальными или определенными без привлечения доказательств. Неопределенность в допущениях проекта следует также обязательно рассматривать в качестве потенциального источника возникновения рисков проекта. Анализ допущения позволяет идентифицировать риски проекта, происходящие от неточности, несовместимости или неполноты допущений.
Результатом идентификации рисков должен стать список рисков с описанием их основных характеристик: причины, условия, последствий и ущерба.
Качественная и количественная оценка рисков
Качественная оценка рисков — процесс качественного анализа выявленных рисков и определения рисков, требующих особого внимания или быстрого реагирования. Качественная оценка рисков определяет степень важности риска и выбирает способ реагирования. Доступность сопровождающей информации помогает легче расставить приоритеты для разных категорий рисков [9].
Качественная оценка рисков помогает выявить условия, при которых возникают отдельные риски проекта, а также оценить степень влияния рисков на проект. Использование этого метода помогает частично избежать неопределенности, которые часто встречаются в проекте. Риски проекта необходимо переоценивать в течение всего жизненного цикла проекта.
Количественная оценка рисков необходима для определения вероятности возникновения рисков, а также влияния последствий рисков на проект. Этот процесс является очень важным, т.к. помогает команде управления проектом верно принимать решения и избегать неопределенностей.
Количественная оценка рисков проекта позволяет определять [1]:
· Вероятность успешности проекта;
· Влияние риска на проект и объем дополнительных затрат, которые необходимы для работы с рисками;
· Критические риски проекта, требующие срочного реагирования со стороны команды проекта;
· Дополнительные затраты всего проекта, связанные с работой с рисками, а также прогноз сроков завершения проекта.
Количественная оценка рисков обычно сопровождает качественную оценку рисков, более того, оба эти процесса, для эффективного их использования, требуют процесс идентификации рисков.
Количественная и количественная оценка рисков могут использоваться как отдельности, так и вместе, все зависит от опыта команды управления проектом, доступного бюджета и времени.
Анализ проектных рисков можно подразделить на два взаимно дополняющих друг друга вида: качественный и количественный.
Качественный анализ подразумевает выявление рисков, присущих проекту, их описание и группировку. Обычно выявляются специфические риски, непосредственно связанные с реализацией проекта (проектные), а также форс-мажорные, управленческие, юридические. Для удобства дальнейшего отслеживания проектные риски стоит учитывать по стадиям: начальной (прединвестиционной), инвестиционной (строительной) и эксплуатационной. Итогом этапа качественного анализа рисков должна стать карта рисков проекта.
Описание рисков на этапе качественного анализа не предоставляет информации о возможных потерях или их вероятности, оно служит основой для количественного анализа рисков.
Существуют следующие методы качественного анализа рисков [10]:
Процесс количественного анализа риска включает стадии [5]:
— создание прогнозной модели;
— определение переменных риска;
— определение вероятностного распределения отобранных переменных и определение диапазона возможных значений для каждой из них;
— установление наличия или отсутствия корреляционных связей среди рисковых переменных;
— прогоны моделей (определение характеристик результативных величин как случайных величин);
— анализ результатов (построение уровней риска).
Например, малое отклонение в закупочной цене определенного вида оборудования в год X имеет очень большое значение для дохода от проекта, но вероятность этого отклонения может быть мала, если поставщик связан определенными условиями контракта. Следовательно, риск, обусловленный этой переменной, незначителен.
Принятые допущения в определенной степени спорны и не всегда справедливы для всех видов рисков, но в целом достаточно верно отражают наиболее общие закономерности изменения проектного риска и дают возможность построить кривую распределения вероятностей потерь прибыли, которую называют кривой риска.
Методы анализа рисков
В настоящее время наиболее распространенными являются следующие методы анализа рисков [3]:
2) экспертных оценок;
3) анализ чувствительности;
4) оценки финансовой устойчивости и платежеспособности;
5) оценки целесообразности затрат;
6) анализ последствий накоплений риска;
7) метод использования аналогов;
8) комбинированный метод.
Величина, или степень риска, измеряется двумя показателями: средним ожидаемым значением и колеблемостью (изменчивостью) возможного результата. Среднее ожидаемое значение связано с неопределенностью ситуации. Оно выражается в виде средневзвешенной величины всех возможных результатов Е(х), где вероятность каждого результата А используется в качестве частоты, или веса, соответствующего значения х.
Вероятностная оценка риска математически достаточно разработана, но опираться только на математические расчеты при анализе проектных рисков не всегда бывает достаточным, так как точность расчетов во многом зависит от исходной информации.
3. Анализ чувствительности проекта состоит из следующих шагов:
— выбор ключевого показателя, относительно которого и производится оценка чувствительности (чистый приведенный доход NPV, внутренняя норма доходности IRR и т.п.);
— выбор факторов (уровень инфляции, состояние экономики и др.);
— расчет значений ключевого показателя на разных этапах осуществления проекта (закупка сырья, производство, реализация, транспортировка, капитальное строительство и т.п.);
Анализ чувствительности основан на последовательно-единичном изменении проверяемых на рискованность переменных. На каждом шаге только одна из переменных меняет свое значение на прогнозное число процентов (±5%, ±10%, ±15% и т.д.), что приводит к пересчету итоговых значений по проекту. Сформированные таким образом последовательности затрат и поступлений финансовых ресурсов дают возможность определить потоки фондов денежных средств для каждого момента (или отрезка времени), т.е. определить показатели эффективности.
Строятся диаграммы, отражающие зависимость выбранных результирующих показателей от величины исходных параметров. Сопоставляя между собой полученные диаграммы, можно определить так называемые ключевые показатели, в наибольшей степени влияющие на оценку доходности проекта.
Анализ чувствительности предусматривает проведение следующих процедур [2]:
а) Формируют модель обоснования проекта в виде набора бюджетов, используя MS Excel, Project Expert любо другое специализированное программное обеспечение.
г) Вычисляют относительные темпы прироста полученных значений чистой приведенной стоимости по отношению к NPV базового варианта.
д) Сопоставляют полученные значения удельного прироста NPV с удельным приростом переменного параметра.
е) Процедуру, изложенную в пп. 3-5, повторяют для других исходных параметров, приняв в качестве переменных каждый из них по отдельности и зафиксировав другие.
Одним из недостатков анализа чувствительности является предпосылка того, что каждый исходный параметр изменяется, независимо от других. Исправить подобную ситуацию помогает анализ сценариев, когда изменяется сразу группа взаимозависящих показателей.
4. Метод аналогий. При анализе риска нового проекта весьма полезными могут оказаться данные о последствиях воздействия неблагоприятных факторов риска на другие проекты. При использовании аналогов применяются базы данных о риске аналогичных проектов, исследовательских работ проектно-изыскательских учреждений, опросов менеджеров проектов. Полученные таким образом данные обрабатываются для выявления зависимостей в законченных проектах с целью учета потенциального риска при реализации новых проектов.
При использовании метода аналогий следует соблюдать определенную осторожность. Даже в самых правильных и известных случаях неудачного завершения проектов очень трудно создать предпосылки для будущего анализа, т.е. подготовить исчерпывающий и реалистический набор возможных сценариев срывов проектов. Дело в том, что для большинства отрицательных последствий характерны определенные особенности.
Его достоинством является возможность анализировать и оценивать различные «сценарии» реализации проекта и учитывать разные факторы рисков в рамках одного подхода. Разные типы проектов имеют разную уязвимость со стороны рисков, что выясняется при моделировании.
Эти параметры используют в имитационном моделировании, алгоритм которого может быть представлен в виде изложенной ниже последовательности шагов:
а) Как и в предыдущем случае, формируется модель обоснования проекта в виде набора бюджетов, используя Project Expert либо другое специализированное программное обеспечение.
б) Аналогично соответствующему шагу в алгоритме анализа чувствительности при имитационном моделировании также рассматривается такая модель, как «черный ящик», систему, на вход которой подаются исходные данные проекта (например, цена продукта, объем предполагаемых продаж, процентная ставка дисконтирования, ставка по кредитам, предполагаемый уровень инфляции и т.д.). На выходе черного ящика «снимается» только один параметр. Чаще всего им служит значение NPV, которое генерирует проект с такими исходными данными.
в) Выбирается переменный фактор и, при необходимости, фиксируются остальные, но в отличие от предыдущего метода расчеты половины модели ведутся следующим образом. Модель «бомбардируется» случайными числами с законом распределения, характерным для поведения исходного переменного параметра при остальных зафиксированных значениях. Серии случайных чисел могут составлять последовательности, состоящие из нескольких тысяч и даже десятков тысяч значений, имитирующих изменение переменного параметра, в то время как при проведении анализа чувствительности такая серия состояла только из пяти значений.
г) Обрабатываются полученные значения результирующего параметра (например, NPV) для того, чтобы определить характеристики поведения результирующей величины. Определяется асимметрия и эксцесс результирующего параметра.
д) Сопоставляются соответствующие законы поведения исходных параметров с законом поведения результирующей величины. Изменения в параметрах распределения результирующего параметра по отношению к параметрам поведения исходного фактора будут указывать на значимость, уровень риска и тенденцию к изменению результирующего параметра проекта.
е) Делаются соответствующие выводы и составляется план управления фактора риска.
Недостатком данного метода является то, что в нем для оценок и выводов используются вероятностные характеристики, что не очень удобно для непосредственного применения и не удовлетворяет менеджеров проекта. Однако, несмотря на указанные недостатки, этот метод дает возможность выявить риск, сопряженный с теми проектами, в отношении которых принятое решение не претерпит изменений.
6. Сценарный метод. Сценарные методы включают в себя этапы:
— описание всего множества возможных условий реализации проекта в форме соответствующих сценариев или моделей, учитывающих систему ограничений на значения основных технических, экономических и т.п. параметров проекта;
— преобразование исходной информации о факторах неопределенности в информацию о вероятностях отдельных условий реализации и соответствующих показателях эффективности или об интервалах их изменения;
— определение показателей эффективности проекта в целом с учетом неопределенности условий его реализации.
В результате проведения анализа сценариев определяется воздействие на показатели экономической эффективности инвестиционного проекта одновременного изменения всех остальных переменных проекта, характеризующих его денежные потоки. Преимуществом этого метода является то, что отклонения параметров рассчитываются с учетом их взаимозависимостей (корреляции).
При построении моделей необходимо активно заниматься сбором и формализацией экспертных оценок, особенно в отношении производственных и технологических рисков. Основное преимущество применения экспертных оценок заключается в возможности использования опыта экспертов в процессе анализа проекта и учета влияния разнообразных качественных факторов.
В итоге целесообразно построить, как минимум, три сценария: пессимистический, оптимистический и наиболее вероятный. Главной проблемой практического использования сценарного подхода является необходимость построения модели инвестиционного проекта и выявление связи между переменными. К недостаткам сценарного подхода относят [6]:
— необходимость значительного качественного исследования модели проекта, т.е. создания нескольких моделей, соответствующих каждому сценарию, включающих объемные подготовительные работы по отбору и аналитической обработке информации;
— недостаточную неопределенность, размытость границ сценариев. Правильность их построения зависит от качества построения модели и исходной информации, что значительно снижает их прогностическую ценность. При построении оценок значений переменных для каждого сценария допускается некий волюнтаризм;
— эффект ограниченного числа возможных комбинаций переменных, заключенных в том, что количество сценариев, подлежащих детальной проработке, ограничено, так же как и число переменных, подлежащих варьированию, в противном случае возможно получение чрезмерно большого объема информации, прогностическая сила и практическая ценность которой сильно снижается.
Сценарный метод экспертизы проектных рисков обладает следующими особенностями, которые можно рассматривать в качестве его преимуществ:
— учет взаимосвязи между переменными и влияния этой зависимости на значения интегральных показателей;
— построение различных вариантов осуществления проекта;
— содержательность процесса разработки сценариев и построения моделей, позволяющих эксперту получить более четкое представление о проекте и возможностях его будущего осуществления, выявить как узкие места проект, так и его позитивные стороны.
В заключение следует отметить, что выбор конкретных методов оценки рисков реального инвестирования определяется рядом факторов:
1. Видом инвестиционного риска.
2. Полнотой и достоверностью информационной базы, сформированной для оценки уровня вероятности различных инвестиционных рисков.
3. Уровнем квалификации инвестиционных менеджеров, осуществляющих оценку.
4. Технической и программной оснащенностью инвестиционных менеджеров, возможностью использования современных компьютерных технологий проведения такой оценки.
5. Возможностью привлечения к оценке сложных инвестиционных рисков квалифицированных экспертов и др.