Стратегии для угроз
(перенаправлено с «Стратегии работы с угрозами»)
В работе с угрозами имеется пять альтернативных стратегий, которые можно рассмотреть для использования, а именно:
- Эскалация (Escalate). Стратегия эскалации является целесообразной в случаях, когда команда или спонсор проекта согласны, что угроза выходит за рамки проекта или что предлагаемые меры реагирования выходят за рамки полномочий руководителя проекта. Управление эскалацией рисков осуществляется на уровне программы, портфеля или другой подходящей части организации, но не на уровне проекта. Руководитель проекта определяет, кого следует уведомить об угрозе и доводит информацию о ней до сведения этого лица или части организации. Важно, чтобы владение экскалированными угрозами было принято соответствующим лицом или частью организации. В порядке эскалации угрозы обычно передаются на уровень, соответствующий целям проекта, на которые окажет влияние угроза, если она реализуется. После осуществления эскалации команда проекта не ведет мониторинг угрозы, переданной в порядке эскалации, хотя эта угроза может быть внесена в реестр рисков для информации.
- Уклонение (Avoid). Уклонение от риска — это стратегия, когда команда проекта предпринимает меры с целью устранить угрозу или защитить проект от ее воздействия. Она может быть целесообразной в случае высокоприоритетных угроз с большой вероятностью возникновения и серьезным негативным воздействием. Уклонение может быть связано с внесением изменений в тот или иной аспект плана управления проектом или с изменением цели, которая оказалась под угрозой, чтобы устранить угрозу полностью, снизив вероятность ее возникновения до нуля. Владелец риска может также принять меры для ограждения целей проекта от воздействия риска в случае его наступления. В качестве мер уклонения можно назвать: ликвидацию причины угрозы, увеличение сроков расписания, изменение стратегии проекта или сокращение его содержания. От некоторых рисков можно уклониться путем уточнения требований, получения информации, улучшения коммуникаций или приобретения экспертизы.
- Передача (Transfer). Передача состоит в переходе владения угрозой к третьей стороне, которая берет на себя управление риском и несет последствия в случае реализации угрозы. Передача риска во многих случаях влечет выплату премии за риск стороне, принимающей на себя последствия угрозы. Передача может осуществляться путем ряда мер, в числе которых, среди прочего, можно назвать следующие: использование страхования, гарантия исполнения, гарантийные сроки, гарантийные обязательства и т. п. Определенные риски могут передаваться по соглашениям о передаче собственности и ответственности.
- Снижение (Mitigate). Стратегия снижения уровня риска предполагает меры по снижению вероятности наступления и/или воздействия угрозы. Ранние меры по снижению риска во многих случаях оказываются более результативными, чем попытки ликвидации ущерба после реализации угрозы. В качестве примеров действий по снижению рисков можно привести внедрение менее сложных процессов, проведение большего числа испытаний или выбор более надежного продавца. Снижение может быть связано с разработкой прототипа для уменьшения риска разрастания масштабов процесса или продукта по сравнению со стендовой моделью. Если уменьшить вероятность не представляется возможным, действия реагирования по снижению риска могут быть направлены на снижение последствий воздействия риска за счет воздействия на факторы, которые определяют тяжесть воздействия. Например, проектирование резервирования системы может уменьшить тяжесть последствий отказа исходного элемента.
- Принятие (Accept). Принятие риска означает осознание существования угрозы без принятия проактивных мер. Такая стратегия может быть целесообразной в отношении низкоприоритетных угроз; она также может быть принята в тех случаях, когда никакие иные меры против угрозы не представляются возможными или экономически оправданными. Принятие может быть либо активным, либо пассивным. Наиболее распространенной стратегией активного принятия является установление резерва на возможные потери, включая определенные величины времени, денег или ресурсов, необходимые чтобы управлять угрозами в случае их реализации. Пассивное принятие не предполагает проактивных действий, помимо периодического рассмотрения угрозы с целью убедиться в отсутствии существенных изменений в ее состоянии.