Информатизация бизнеса. Управление рисками

Согласно концепции Института программной инженерии (SEI), «риск сам по себе не плох; риск необходим для прогресса, и неудача – часто ключевой момент для обучения. Но надо научиться соотносить возможные негативные последствия риска с потенциальными выгодами от возможностей, которые с ним связаны».

Обобщение различных точек зрения позволило выявить следующие отличия между понятиями «риск» и «неопределенность»:

• неопределенность существует в тех случаях, когда вероятность последствий определяется субъективно, исходя из ограничений лиц, принимающих решения; риск определяется на основании объективного признания потерь;

• неопределенность связана с отсутствием стохастических данных за предшествующие периоды; риск характерен для экономических систем с массовыми событиями или предсказуемой вероятностью;

• неопределенность связана с незнанием, случайностью, противодействием; причинами риска являются конкуренция, политические и экономические кризисы, социальные конфликты, изменение рыночных условий, нестабильность экономики.

Причинами неопределенности могут являться:

• недостаток информации об условиях реализации проекта (например, из-за ограниченного времени на этапе планирования или сложности получения информации);

• наличие элемента случайности в условиях реализации проекта (например, состояние погоды в конкретный день);

• сознательное противодействие (например, действия конкурентов, принимаемые с учетом хода проекта).

Справедливо говорить о многообразии рисков, возникающих в процессе реализации ИТ-проекта. Основные риски, как правило, характерные для любых ИТ-проектов, заключаются в несоблюдении сроков реализации проекта, превышении стоимости и несоблюдении параметров качества.

Многогранность понятия «риск» обусловлена разнообразием факторов, характеризующих как особенности конкретного вида деятельности, так и специфические черты неопределенности, в условиях которой эта деятельность осуществляется. Эти факторы принято называть рискообразующими, понимая под ними сущность процессов или явлений, способствующих возникновению того или иного вида риска и определяющих его характер.

Существующие риски разнообразны и могут быть разделены на множество категорий. Выявить все рискообразующие факторы достаточно сложно. Во-первых, большинство рисков имеют как общие факторы, так и специфические. Во-вторых, конкретный риск может иметь различные причины возникновения в зависимости от вида деятельности компании. Для ИТ-проекта можно привести следующие примеры влияния тех или иных рискообразующих факторов на соответствующие виды рисков. Например, инфляция существенно влияет на валютные, кредитные и процентные риски в сфере финансирования проекта ИТ, закупки программного обеспечения и дополнительного оборудования, оплаты услуг консультантов, проведения мероприятий по обучению сотрудников и повышения уровня их компетенции. Изменение политической ситуации, в свою очередь, ведет к повышению инвестиционных, политических рисков. Политические риски ведут к рискам административных реформ в компании и смене руководства и заказчиков ИТ-проекта, что приводит к отсутствию заинтересованных сторон и административной поддержки реализации ИТ-проекта. Отсутствие поддержки со стороны высшего руководства – фактор риска, который может привести к риску противодействия сотрудников предстоящим изменениям в области ИТ, нежеланию переходить на новые технологии и процессы использования информационных ресурсов. В процессе исследования рисков ИТ-проекта пристальное внимание также следует уделить учету специфики его деятельности и взаимосвязи с деятельностью третьих сторон (субподрядчиков, партнеров, прочих).

Как правило, все виды рисков взаимосвязаны и оказывают влияние на успех реализации проекта. На конкретный риск может оказывать воздействие значительное количество рискообразующих факторов. При этом изменение одного вида риска может вызывать изменение большинства остальных. Одни из них являются нейтивными факторами, то есть присущими конкретным рискам и не воздействующими на риски других видов данного проекта, другие – интегральными, которые воздействуют одновременно и на другие риски.

Примером нейтивного фактора является возможное изменение цен на программное обеспечение (software), которое оказывает воздействие лишь на рыночные риски и никак не воздействует на организационные и технико-производственные риски.

К интегральным рискообразующим факторам следует относить недобросовестность или профессиональные ошибки партнеров (третьих сторон) и сотрудников компании, ошибки программного обеспечения и технологического процесса, сбои в работе ИТ-служб.

Проекты в специфических предметных областях, таких как ИТ или проекты, осуществляемые с применением узкоспециальных технологий, проекты для вертикальных рынков, а также проекты со специфическим конечным продуктом могут содержать риски, уникальные для своей области. Например, в области информационной безопасности существуют риски, связанные с кражей, потерей или искажением информации в результате злоумышленного действия или случайного события. При работе над проектами в таких областях полезно изучить классификации этих специальных рисков или же расширить имеющиеся классификации рисков общего назначения. Это должно обеспечить надлежащую широту мышления проектной группы при выявлении рисков проекта.

Согласно методологии MSF (Microsoft Solution Framework), существуют четыре основные категории рискообразующих факторов: «люди», «процессы», «технологии», «внешние условия».

К первой категории «люди» MSF рекомендует относить факторы, связанные с заказчиками, конечными пользователями, спонсорами, заинтересованными сторонами, персоналом, организацией, профессиональной квалификацией, политикой и моралью.

Вторая категория «процессы» содержит такие рискообразующие факторы, как цели и задачи проекта, процесс принятия решений, характеристики проекта (бюджет, затраты, сроки, требования) и ключевые этапы проекта (проектирование, реализация, тестирование).

К третьей категории «технологии» относятся безопасность разработки, среда разработки и тестирования, инструментарий, операционная среда и прочее.

В последнюю, четвертую категорию попадают внешние условия: законодательство, индустриальные стандарты, конкуренция, экономические условия, бизнес-условия.

1.3. Классификация рисков в ИТ-проектах

Для успешного управления всем множеством разнообразных видов рисков необходимо их упорядочивание с помощью разработки систем классификации рисков. В проектах по разработке и внедрению программного обеспечения классификация рисков дает основу для стандартизации терминологии, необходимой для мониторинга и отчетности, и является незаменимой для создания базы знаний о рисках на уровне предприятия или всей индустрии.

Классификация рисков означает систематизацию множества рисков на основании каких-то признаков и критериев, позволяющих объединить подмножества рисков в более общие понятия.

Также под классификацией риска следует понимать распределение риска на конкретные группы по определенным признакам для достижения поставленных целей. Классификационная система рисков включает группу, категории, виды, подвиды и разновидности рисков. Научно обоснованная классификация риска позволяет четко определить место каждого риска в их общей системе. Она создает возможности для эффективного применения соответствующих методов, приемов управления риском. Каждому риску соответствует своя система приемов управления риском.

Целью использования классификаторов являются более удобное использование информации о различных видах рисков, которые отличаются друг от друга местом, временем, причиной возникновения, и применение предусмотренных методов управления рисками в зависимости от их классификации.

В ИТ-проектах классификация рисков дает основу для стандартизации терминологии, необходимой для мониторинга и отчетности, является незаменимой для создания базы знаний. Во время выявления классификации рисков проектная команда упорядочивает одновременную работу с большим числом рисков, предоставляя подходящий способ группирования схожих рисков. Несмотря на многие рекомендации профессиональных ассоциаций и государственных учреждений, до сих пор не существует единой классификации рисков. Причин может быть несколько:

• одни и те же риски могут немного отличаться по содержанию для разных видов деятельности и разных типов проектов;

• на практике существует очень большое число различных проявлений риска, зависящих от специфики конкретного проекта и различных факторов;

• в силу традиций один и тот же вид риска может обозначаться разными терминами в зависимости от принятой терминологии;

• зачастую оказывается весьма сложным разграничить отдельные виды риска и четко сформулировать требования к определению видов риска;

• выбор классификации рисков будет зависеть от профессиональных предпочтений менеджера проекта.

Для гарантированного выявления как можно более полного списка рисков, потенциально оказывающих влияние на успех проекта, а также группирования схожих рисков для дальнейшего анализа представляется целесообразным провести классификацию рисков в соответствии с определенными признаками.

Выделяют следующие признаки при классификации рисков.

1. Функциональные. К функциональной разновидности рисков относятся риски, определяемые функциональной направленностью, – то есть финансовые риски, риски подрядчиков, проектные риски, прочие.

2. По областям проявления. По областям проявления можно выделить политические риски, информационные, стратегические, прочие.

3. Структурные. Структурные риски характеризуются управленческой структурой и этапами ИТ-проекта. На основании анализа структуры проекта можно выделить риски программирования, тестирования, отладки, прочего.

4. По времени возникновения. Временные риски определяются этапами жизненного цикла проекта, который начинается с процесса его подготовки и разработки технико-экономического обоснования и заканчивается этапом его реализации и окончательного завершения. Этапность жизненного цикла ИТ-проекта позволяет говорить о следующих видах временных рисков: риски разработки, согласования, приемки, сопровождения и прочего.

5. По областям управления. За основу берутся наиболее типичные области управления проектом, и выделяются риски, связанные с этой областью: риски интеграции, финансовые риски, временные риски, риски персонала, коммуникационные риски, риски несоответствия качеству, риски поставщиков и прочие.

6. По метрикам качества. Риски, связанные с возможным снижением качественных характеристик ИТ-проекта, такие как риски безопасности, доступности, производительности.

7. По другим специфическим признакам, например:

• по типу источника риска;

• по степени влияния и характеру последствий (критические/допустимые);

• по степени управляемости (контролируемые/частично контролируемые);

• по степени предсказуемости (предсказуемые/непредсказуемые);

• по области происхождения (известные/неизвестные, внешние/внутренние риски).

Выбор признаков классификации рисков будет зависеть от специфики ИТ-проекта и профессиональных предпочтений менеджера проекта. Одни и те же риски могут немного отличаться по содержанию для разных видов деятельности и разных типов проектов. На рис. 4 в качестве признака классификации выбрана степень управляемости рисков.

Рис. 4. Пример классификации рисков ИТ-проекта по степени управляемости

Используя классификаторы, можно выделить риски, которые негативно влияют на реализацию ИТ-проекта, и составить список идентифицированных рисков.

Основные риски, как правило, характерные для любых ИТ-проектов, заключаются в несоблюдении сроков реализации проекта, превышении стоимости и несоблюдении параметров качества. Часто причиной возникновения этих рисков, особенно в ИТ-проектах, является неготовность предприятия к реализации подобных проектов.