вторник, 20 сентября 2011 г.

Риск - дело благородное?

Риск - дело благородное!
Гусарский девиз

Кто не рискует, тот не выигрывает!
Народная мудрость

Админы делятся на тех, кто делает бэкап и на тех, кто еще не делает.
bash.org.ru

Знаешь, я тоже люблю рисковать. Без риска нет движения вперед. Но риск бывает очень разный. Осмысленный и нет, просчитанный и не очень.

К чему это я? Да вот объяснял тут человеку на днях как можно посчитать риски на пальцах. Причем так, чтобы еще не очень сильно промахнуться. Как водится, по результатам мини-лекции решил и статью написать. А вдруг еще кому пригодится?



Итак, как можно посчитать риски бизнеса в нашей области? Ууу, возможно, ответишь ты, это много знать надо! Но на практике все гораздо проще и даже местами интереснее.

Для начала давай посмотрим, что подразумевается под таким распространенным словом "риск". Как учит нас множество источников, вселенная бесконечна, а потому случиться может все что угодно. Но в нашей ограниченной окрестности обычно события так или иначе предсказуемы. Это называется статистика. Например, все производители серверных дисков пишут вероятность отказа где-нибудь в недрах технических характеристик. Если они могут посчитать, значит, это возможно.

Вероятность наступления любого события в единицу времени имеет конечную вероятность. Иногда больше, иногда меньше, но почти никогда не бывает она нулевой. Даже динозавра можно на улице встретить. Вот только вероятность у этого события поменьше, чем у отказа сервера.

Вероятности одновременного наступления независимых событий перемножаются. Если к результату приводит любое из нескольких событий, вероятности отдельных событий складываются. Например, вероятность отказа 2 дисков в зеркале равна произведению вероятностей отказа каждого из них. А вероятность появления бага в коде равна сумме вероятностей появления бага у каждого разработчика.

Но это все теория - просто чтобы напомнить. За подробностями - к Максу Дорофееву или учебнику математической статистики. У них лучше получается. Главное во всем этом опусе - это постулат, что любую вероятность можно посчитать, ну или хотя бы прикинуть.

Следующий важный момент - это постулат, что слишком малые вероятности можно не рассматривать. Например, если вероятность 10 в -10  степени, ей обычно можно пренебречь. Все равно никогда на практике не вылезет.

Следующий важный момент - сколько будет стоить бизнесу наступление выбранного события. Например, если обесточится дата-центр, работа конторы, скорее всего, встанет. И убытки будут грубо исчисляться оборотом компании за период простоя. Конечно, это некая мажоранта сверху, но для грубого подсчета можно и ее взять.

И подобным образом можно посчитать цену наступления любого другого риска. Вот тебе простая формула: Цена риска = (ценность бизнес-процесса) * (время простоя) * (степень невосполнимости процесса).

Здесь
Ценность процесса - какая часть конторы не будет работать и что не сможет сделать остальная часть.
Время простоя - на сколько времени остановится процесс
Степень невосполнимости процесса - насколько сложно потом восстановить работу. Обычно меньше 1. Чем меньше число, тем лучше.

А теперь давай глянем, какие риски нам нужно закрывать, а какие - и так сойдет. Для этого нам нужно сопоставить 2 числа - произведение вероятности наступления риска на цену риска в синем углу ринга и стоимость устранения риска - в красном. Кто больше, тот и победил.

Например, если у тебя стоит критичный для работы сервер с одним диском и одним блоком питания, вероятность его отказа будет довольно большой. Если ты при этом еще и относишься ко второму типу админов из эпиграфа, а простой этого сервера ведет к остановке работы компании, то можешь смело считать, что рискуешь попасть на несколько дней остановки работы. Если не на прекращение работы вообще. Как минимум, твоей. Слишком уж дорого для бизнеса обойдется пренебрежение таким риском. Особенно с учетом того, что устранить его почти ничего не стоит.

Другой вопрос, если ты начнешь строить в тайге пару дата-центров на случай падения бомбы на Москву. Денег такой проект будет стоить - не унесешь. А вот вероятность наступления подобного события исчезающе мала. Да и кому нужен будет резервный дата-центр в третью мировую? Разве что Скайнету!

Так что риски нужно просчитывать и, вооружившись цифрами, идти к бизнесу за деньгами чтобы закрывать те риски, у которых велика вероятность, помноженная на цену. Чем больше разрыв между этим числом и ценой устранения риска, тем лучше. По крайней мере, денег быстро дадут.

Ну и напоследок, чтобы уж закрыть тему, важно понимать, что риски можно также снижать и продавать. Например, бэкап - это снижение рисков. По крайней мере, меньше информации будет потеряно. А значит, степень невосполнимости процесса станет меньше. А продажа риска - это передача процесса на аутсорс с прописанными SLA и адекватными штрафами. Или же обыкновенное страхование. Или необыкновенное - в виде всяких Service Pack и программ поддержки.

Кстати, один из примеров грубого подсчета есть у меня в статье про продажу бизнесу инвестиций в IT. Если интересно, почитай.

Ну как лекция? Надеюсь, ты дочитал до этого места, не уснул? Ну тогда молодец! Будет тебе хорошо и спать будешь спокойно, не просыпаясь среди ночи в холодном поту ;)

А чтобы запомнилось получше, вот тебе краткое содержание предыдущих серий:

Риск можно посчитать и решить, что с ним делать

  1. Риск можно убрать
  2. Риск можно снизить
  3. Риск можно продать
  4. Риском можно пренебречь

Выбор - за тобой!

Удачи!

3 комментария:

  1. Классика управления рисками ))

    ОтветитьУдалить
  2. Это правда. Но ты даже не представляешь, насколько часто приходится эти азы объяснять :)

    ОтветитьУдалить
  3. Еще можно сказать о постоянно используемых терминах в этой области "риск поставщика" и "риск потребителя".

    Сам я про риски читал например http://www.intuit.ru/department/itmngt/theorymmd/class/08.09.2010/10/4.html

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.

Related Posts Plugin for WordPress, Blogger...