Глава 1
Риски и неопределенности при информатизации бизнеса
1.1. Информатизация бизнеса и специфика ИТ-отрасли
В любом бизнесе построение современной системы управления организацией требует внедрения качественных, признанных на международном рынке информационных технологий. Информатизация бизнеса предполагает систематическое использование информации и информационных технологий в бизнесе. Под информационной технологией будем понимать все средства обработки, передачи и использования информации, включая в том числе и компьютерные технологии. Это совокупность аппаратного обеспечения, программного обеспечения, технологий хранения информации, сетевых технологий, обеспечивающих коммуникации и связь компонент системы в единое целое. Информационная система содержит данные о различных объектах, необходимые для конкретной организации. При этом она использует информационные технологии для преобразования набора данных в поток информации, который может быть использован пользователем системы. Получается, что информационные технологии – это прежде всего высокая скорость передачи и обработки информации, а также практически не ограниченные по объему и одновременно компактные хранилища данных.
При информатизации бизнеса, как правило, задействованы колоссальные бюджеты. В крупных компаниях масштабы проектной деятельности в области информационных технологий измеряются миллионами долларов. Большие бюджеты, в свою очередь, подразумевают больший уровень рисков, ответственности и компетенции тех людей, которые управляют информатизацией бизнеса. Естественно, что организацию и управление рисками необходимо осуществлять на основе известных существующих стандартов и методологий разработчиков программных продуктов и информационных технологий, лучших практик ИТ-корпораций, личного опыта менеджеров ИТ-проектов.
Единственного правильного алгоритма управления рисками при информатизации бизнеса и реализации программных проектов просто не существует. Однако проектный характер разработки ПО, а также необходимость управления рисками в связи с высокой степенью уникальности и неопределенности программных проектов обусловили развитие специализированных методов управления рисками, которые описаны в учебном пособии.
Нужно отметить, что принятие решений при информатизации бизнеса характеризуется высокими рисками и требует от руководителя глубоких знаний методики проектного управления и понимания особенностей ее применения в сфере информационных технологий, коммуникационных навыков и умения работать с крупной командой ИТ-специалистов. Большое влияние «человеческого фактора» обусловлено тем, что при информатизации бизнеса должны создаваться определенные условия для взаимодействия сторон, и стороны, участвующие в нем, несут равную ответственность за результаты проекта. То есть здесь нельзя возложить ответственность за успех проекта только на ИТ-специалистов, точно так же, как нельзя говорить, что исключительно бизнес-заказчик виновен в том, что проект не удался.
Управляя деятельностью организации, особенно важно четко спланировать стратегию развития общей информационной инфраструктуры, конкретные этапы реализации этой стратегии и пути минимизации рисков и затрат на каждом из этих этапов. Таким образом, для сокращения издержек и повышения эффективности деятельности современные компании могут использовать автоматизацию основных процедур деятельности и сокращение издержек на ручную обработку и анализ информации либо сокращение сотрудников интеллектуального труда за счет использования компьютеров и вычислительных сетей, более рациональных алгоритмов расчетов, реализованных в виде программного обеспечения.
Можно сформулировать следующие утверждения, которые помогут более полно осознать проблематику информатизации бизнеса и влияние информационных технологий на деятельность предприятия:
1) работа предприятий и их экономическая деятельность находятся в прямой зависимости от работоспособности средств автоматизации и общего уровня ИТ внутри предприятия;
2) качество ИТ определяет оперативность управлением – скорость обмена актуальной информацией, верность расчетов экономических показателей, возможности быстро принимать стратегические и прочие решения под воздействием внешних факторов, влияющих на экономическую систему;
3) требования к предоставляемому уровню безопасности внутри экономической системы могут быть обеспечены только за счет современных информационных технологий и средств защиты информации, шифрования данных и прочего.
Используя информационные технологии, организации могут пересматривать и модернизировать свои бизнес-процессы для повышения скорости и качества представляемых услуг и снижения издержек. Новые информационные системы могут в корне изменить структуру всей организации, оказав влияние на способы функционирования организации или даже направления ее деятельности. Средства анализа, входящие в ИТ-системы, позволяют с высокой скоростью обрабатывать гигантские массивы данных и на основе полученных результатов производить/предлагать корректирующие действия в соответствии со сложившейся ситуацией.
Решение об информатизации бизнеса и переходе на новую информационную технологию должно приниматься на основе эффективности использования ИТ в данной области. В мировой практике затраты на информационные технологии связываются с оборотами компании и оцениваются в пределах 10–30 % от оборота. Естественно, что такой подход не дает ответа на главный вопрос: какие выгоды получит предприятие от использования анализируемых ИТ, – и не освобождает специалистов от необходимости расчета стоимости внедрения.
Для грамотного управления любой деятельностью по информатизации бизнеса, связанной с изменением, внедрением и созданием ИТ, следует объединять работы в рамках единого ИТ-проекта. Термин «проект» рассматривается как некая задача с заранее определенными исходными данными, преследующая конкретные цели, подверженные имеющимся у компании ресурсам. Под ИТ-проектом будем рассматривать любые работы в области аппаратного обеспечения, программного обеспечения, технологий хранения информации, сетевых технологий, обеспечивающих коммуникации, и информационных систем.
Необходимость комплексного анализа и расчета эффективности внедряемых ИТ, их значительное влияние на дальнейшую деятельность предприятия заставляют относиться к ИТ-проекту как к самостоятельному инвестиционному проекту. Такой подход означает необходимость экономического обоснования требуемых капитальных вложений, то есть сопоставления предполагаемых затрат и эффектов для принятия решения о его целесообразности.
Успех ИТ-проекта зависит от многих факторов. Но из их числа можно выделить три основных: время, качество, ресурсы. Сбалансировать их между собой всегда трудно, поэтому популярна поговорка «Выбери два из трех». Если во главу угла ставится высокое качество исполнения всех работ по проекту, то это потребует либо много времени, либо большого числа ресурсов. Главная задача руководителя проекта – уложиться в выделенный бюджет и заданные сроки и обеспечить требуемое качество имеющимися трудовыми ресурсами. Любое нарушение этих ограничений чревато различного рода рисками, которые могут также привести как к негативным, так и к позитивным последствиям.
Говоря о качестве ИТ-проектов, необходимо стремиться к достижению высокого уровня даже при специфичных особенностях ИТ-индустрии – возрастающей сложности программных систем, постоянной нехватке ресурсов, часто изменяющихся требованиях, устаревании технологий, высоких темпах разработки и высокой конкуренции поставщиков.
Рынок ИТ подразумевает большую скорость изменений. Быстроизменяющиеся внешние обстоятельства и непредсказуемые нагрузки осложняют задачу соответствия уровню сервиса.
Для поддержки современных бизнес-процессов организации вынуждены расширять и усложнять свои ИТ-инфраструктуры. При этом стоимость управления, как правило, значительно превышает закупочную стоимость инфраструктуры. В добавок управление в ИТ-области усложняется со стороны законодательства, которое ужесточает требования к безопасности, защите информации, возможностям контроля.
Учитывая специфику ИТ-проектов, можно сформулировать основные принципы управления при информатизации бизнеса, которые позволят минимизировать (или избежать) наиболее распространенные риски при внедрении ИТ:
избегать крупных проектов, то есть разбивать крупные проекты на более мелкие (принцип «Дельфины вместо китов»). При этом обязательно должен быть человек (как правило, директор программы), который управляет всеми проектами в целом и нацелен на успех реализации не отдельного проекта, а решения в целом;
привлекать для управления проектами профессионалов в управлении, а не технических специалистов. Технические специалисты видят проект в первую очередь с технической точки зрения и забывают об управленческой составляющей;
привлекать независимых экспертов (не включенных в проектную команду) для оценки рисков. Если все решения по рискам проекта принимаются только людьми, которые мотивированы на успех проекта, многие технические и технологические трудности могут рассматриваться как несущественные;
учитывать риски, связанные с организационной составляющей проекта (согласование документов, обучение пользователей и т. п.), а не только технологические.
Говоря о проектах информатизации бизнеса и внедрении ИТ, нужно отметить, что любые новые технологии реализуются в условиях большой неопределенности и негативного воздействия окружающей среды. Это вызвано тем, что осуществление и реализация большинства проектов внедрения, особенно крупных, происходят в условиях, когда трудно применить стандартные методы управления. Уникальность целей проекта и отсутствие подобных практик в компании порождают неопределенность относительно выбора и внедрения новых технологий, определения методов и средств достижения поставленной цели, принятия той или иной методологии. Менеджеры ИТ-проектов подбирают и анализируют альтернативные решения, зачастую основанные на собственной интуиции и рекомендациях консалтинговых фирм, что связано с приемом на себя значительного риска.
В основном риски ИТ-проектов рассматриваются без стандартизированной методики управления рисками и общей системы управления рисками проекта ИТ.
На фоне постоянно улучшающихся технологий, создания новых методик разработки ПО рост успешности проектов из года в год незначительный – динамика успешности проектов за последние 14 лет практически не изменилась. Согласно статистике по поводу проектов ИТ и автоматизации предприятий, собранной международным агентством ИТ-услуг The Standish Group. СHAOS Summary 2009 (рис. 3):
• 32 % проектов завершились успешно;
• 44 % испытали различные трудности (превысили бюджет, выпали из сроков и прочее);
• 24 % проектов просто провалились;
• во всех завершенных проектах только 61 % требуемых свойств были реализованы.
Рис. 3. Статистика ИТ-проектов. The Standish Group. СHAOS Summary 2009
Практика западных и отечественных исследований в области автоматизации промышленных предприятий показывает, что риск неудачи проектов ИТ пропорционален его размеру. Очень большие, очень дорогие, сложные и долговременные проекты везде и всегда терпят неудачу чаще, чем даже средние. Риск провала крупного проекта усиливается, поскольку постоянные изменения свойственны ему намного в большей степени. Меняются законы, сдвигаются приоритеты, а следом неизбежно корректируется спецификация ИТ-системы, плывет бюджет и меняются поставщики. Даже очень незначительные политические перемены могут стать причиной серьезных изменений в структуре всего проекта ИТ и его краха.
Причин провала ИТ-проекта может быть множество. Одной из серьезных могут стать неудачная формулировка и планирование проекта на стадии его инициации. Поскольку неудачи закладываются в проект еще на начальной стадии, желательно как можно раньше проследить, чтобы требуемые результаты были описаны с достаточной точностью, проект рассматривался не с точки зрения ИТ, а как часть всего процесса, направленного на достижение поставленных задач. Уже на этапе инициации и планирования необходимо заложить ключевые цели, выполнить четкую формулировку стадий выполнения проекта, расставить контрольные точки для проверки промежуточных результатов, определить критерии оценки успешности проекта. Начальная стадия проекта имеет ключевое значение для его завершения.
Еще одной очевидной причиной неудач в области ИТ-проектов является недостаточное внимание руководства к задаче управления рисками. Плохо выполненные задачи по идентификации и оценке рисков, отсутствие плана управления рисками, плана действий в случае возникновения непредвиденных обстоятельств, ответственных за тот или иной риск – все это негативно сказывается на реализации проекта внедрения информационных технологий.
Зачастую причиной неудач ИТ-проектов являются разные взгляды на успех исполнителя и заказчика. Нередко исполнитель считает проект завершенным при выполнении всех формальных признаков, заложенных в техническом задании. Заказчик, в свою очередь, считает работы выполненными, если систему можно полноценно использовать для решения задач, ради которых и был задуман проект. При этом, с точки зрения заказчика, причина неработоспособности ИТ-системы – это недоработки исполнителя. С позиции исполнителя, причиной неработоспособности системы могут служить недостаточная квалификация персонала, наличие ошибок в учете, отсутствие единой методологии использования системы, то есть те факторы, за которые полностью отвечает заказчик.
В действительности методологические ограничения могут стать еще одной причиной неудач ИТ-проектов. По статистике Standish Group, с нехваткой технических знаний связано не более 10 % проблем в ИТ-проектах, остальные 90 % сводятся к неправильно организованному производственному процессу. К организационным и методологическим ограничениям можно отнести следующие:
• не используются стандарты управления;
• нет общей системы понятий и терминов;
• процессы проектной деятельности не определены;
• нет четких правил распределения ответственности в процессах проектной деятельности;
• опыт проектного управления не обобщается и не сохраняется.
Отсутствие методологической базы и недостаточная квалификация ИТ-руководителей влекут за собой определенные ошибки управления, которых можно легко избежать, используя грамотное управление ИТ-проектом в соответствии с выбранной методологией или на основе предыдущего успешного опыта. К типичным ошибкам управления относятся: нечеткое определение целей проекта, изменение требований и спецификаций, ошибки в планировании сроков и бюджета, неэффективное использование ресурсов, плохое взаимодействие команды проекта.
Также среди распространенных причин неудач ИТ-проектов выделяют недостаточную вовлеченность и нереалистические ожидания заказчиков, конфликты с интересами функциональных подразделений, нехватку ресурсов, недостаточную поддержку высшего руководства, технологическую некомпетентность персонала.
1.2. Риски в ИТ: термины и определения
На сегодняшний день использование информационных технологий рассматривается как обязательное условие для эффективного управления промышленным предприятием и повышения его конкурентоспособности на рынке. В связи со стремительным развитием информационных технологий, которое отмечают большинство российских компаний в области ИТ, и желанием компаний не потерять место на рынке можно говорить о стремлении компаний автоматизировать свою деятельность, идти в ногу со временем и тратить драгоценное время не на решение рутинных вопросов, а на новые стратегические планы и их реализацию. Автоматизация деятельности предприятия всегда подразумевает создание новой системы управления и новых бизнес-процессов в компании, переход на другой качественный уровень работы с информацией и внедрение информационных систем (ИС), что представляет собой достаточно трудоемкий и болезненный процесс, сопровождающийся множеством рисков и непредвиденных ситуаций.
Процесс управления рисками можно определенно назвать актуальным и необходимым для реализации успешных ИТ-проектов. В условиях развивающегося рынка и спроса на ИТ-услуги их поставщики должны бороться за качество услуг, которое они могут контролировать, только учитывая и анализируя все возможные риски. Кроме того, в числе рисков можно отметить непонимание акционерами роли и места информационных технологий, сомнения в окупаемости ИТ-проектов, низкую степень готовности персонала к использованию новых технологий вообще и информационных в частности, слабую материально-техническую базу многих предприятий, которая препятствует созданию фундамента для развития ИТ.
Понятие «риск» известно с давних времен. В отечественной экономике исследование вопросов теории риска было в определенной степени востребовано лишь до конца 20-х годов XX века. В дальнейшем по мере становления социалистической системы хозяйствования усиливалась роль командно-административных методов управления. Все это в соединении с устранением рыночной мотивации экономики привело к отрицанию проблемы хозяйственного и социального риска. Отдельные же разработки по вопросам производственных, хозяйственных рисков не могли претендовать на право считаться научным направлением.
На сегодняшний день существует множество определений риска. Наиболее часто риск понимается в нескольких различных аспектах: риск как возможность, риск как опасность или угроза, риск как неопределенность. Так, в частности:
• риск как возможность – концепция существования взаимосвязи между риском и доходностью. Чем выше риск, тем выше потенциальный доход, но также выше и вероятные убытки;
• риск как опасность или угроза – концепция, которая рассматривает негативные события, такие как финансовые потери, мошенничество, хищения, угроза репутации, ущерб или банкротство, участие в судебных процессах и т. д. С точки зрения риска, мы имеем в виду некоторое негативное событие, которое может повлиять на успешное выполнение нашего проекта. Мы не уверены заранее в том, что это событие произойдет, но твердо знаем, что его возникновение скажется на стоимости, сроках или качестве проекта, то есть снизятся качество управления и надежность проекта. Цель управления – распределение ресурсов для сокращения вероятности нежелательных событий;
• риск как неопределенность – концепция, связанная с возможностью возникновения в ходе реализации проекта неблагоприятных ситуаций и последствий, которые зависят от вероятностных распределений возможных исходов. Цель управления – сокращение разрывов между принятым и действительным исходом.
Согласно стандарту (PMBoK) Института управления проектами США, определением риска является неопределенное событие или условие, наступление которого может иметь как положительное, так и отрицательное влияние на проект, что представляет собой комбинацию вышеперечисленных концепций.
Говоря о риске, мы имеем в виду некоторое негативное событие, которое может повлиять на успешное выполнение нашего проекта. Зачастую позитивная составляющая риска отбрасывается, и тогда рассмотрению и управлению подвергается оставшаяся часть. Мы не уверены заранее в том, что это событие произойдет, но твердо знаем, что его возникновение скажется на стоимости, сроках или качестве проекта, то есть снизятся качество управления и надежность проекта. Однако принятие риска может принести проекту определенную выгоду. Например, решение об ускорении темпа выполнения работ по проекту довольно рискованно, но в случае успеха сроки реализации проекта будут существенно сокращены.
В различных источниках можно встретить несколько определений риска, так, например:
риск – потенциальная, численно измеримая возможность неблагоприятных ситуаций и связанных с ними последствий в виде какого-либо ущерба, связанная с неопределенностью;
риск – это вероятностное событие, связанное с неопределенностью, которое негативно влияет на проект;
риск – это взвешенная линейная комбинация вариации и ожидаемой величины (математического ожидания) распределения всех возможных исходов;
риск – это действие, выполняемое в условиях выбора, когда в случае неудачи существует возможность оказаться в худшем положении, чем до выбора;
риск – это как вероятная опасность, действие наудачу в надежде на счастливый исход (словарь Ожегова) и др.
На основе анализа многих определений риска для ИТ-риска наиболее подходит следующее: «Риск – это вероятность наступления события, которое может привести к опасности или негативным последствиям, таким как недополучение прибыли, снижение эффективности процессов и качества деятельности, угрозы безопасности, возникновение потерь, убытков».
В классических работах по управлению проектами понятия «неопределенность» и «риск» отождествляются. Однако в ряде западных современных работ в этой области различают понятия риска («Risk»), неопределенности («Uncertainty») и неизвестности («Ignorance»).
Согласно концепции Института программной инженерии (SEI), «риск сам по себе не плох; риск необходим для прогресса, и неудача – часто ключевой момент для обучения. Но надо научиться соотносить возможные негативные последствия риска с потенциальными выгодами от возможностей, которые с ним связаны».
Обобщение различных точек зрения позволило выявить следующие отличия между понятиями «риск» и «неопределенность»:
• неопределенность существует в тех случаях, когда вероятность последствий определяется субъективно, исходя из ограничений лиц, принимающих решения; риск определяется на основании объективного признания потерь;
• неопределенность связана с отсутствием стохастических данных за предшествующие периоды; риск характерен для экономических систем с массовыми событиями или предсказуемой вероятностью;
• неопределенность связана с незнанием, случайностью, противодействием; причинами риска являются конкуренция, политические и экономические кризисы, социальные конфликты, изменение рыночных условий, нестабильность экономики.
Причинами неопределенности могут являться:
• недостаток информации об условиях реализации проекта (например, из-за ограниченного времени на этапе планирования или сложности получения информации);
• наличие элемента случайности в условиях реализации проекта (например, состояние погоды в конкретный день);
• сознательное противодействие (например, действия конкурентов, принимаемые с учетом хода проекта).
Справедливо говорить о многообразии рисков, возникающих в процессе реализации ИТ-проекта. Основные риски, как правило, характерные для любых ИТ-проектов, заключаются в несоблюдении сроков реализации проекта, превышении стоимости и несоблюдении параметров качества.
Многогранность понятия «риск» обусловлена разнообразием факторов, характеризующих как особенности конкретного вида деятельности, так и специфические черты неопределенности, в условиях которой эта деятельность осуществляется. Эти факторы принято называть рискообразующими, понимая под ними сущность процессов или явлений, способствующих возникновению того или иного вида риска и определяющих его характер.
Существующие риски разнообразны и могут быть разделены на множество категорий. Выявить все рискообразующие факторы достаточно сложно. Во-первых, большинство рисков имеют как общие факторы, так и специфические. Во-вторых, конкретный риск может иметь различные причины возникновения в зависимости от вида деятельности компании. Для ИТ-проекта можно привести следующие примеры влияния тех или иных рискообразующих факторов на соответствующие виды рисков. Например, инфляция существенно влияет на валютные, кредитные и процентные риски в сфере финансирования проекта ИТ, закупки программного обеспечения и дополнительного оборудования, оплаты услуг консультантов, проведения мероприятий по обучению сотрудников и повышения уровня их компетенции. Изменение политической ситуации, в свою очередь, ведет к повышению инвестиционных, политических рисков. Политические риски ведут к рискам административных реформ в компании и смене руководства и заказчиков ИТ-проекта, что приводит к отсутствию заинтересованных сторон и административной поддержки реализации ИТ-проекта. Отсутствие поддержки со стороны высшего руководства – фактор риска, который может привести к риску противодействия сотрудников предстоящим изменениям в области ИТ, нежеланию переходить на новые технологии и процессы использования информационных ресурсов. В процессе исследования рисков ИТ-проекта пристальное внимание также следует уделить учету специфики его деятельности и взаимосвязи с деятельностью третьих сторон (субподрядчиков, партнеров, прочих).
Как правило, все виды рисков взаимосвязаны и оказывают влияние на успех реализации проекта. На конкретный риск может оказывать воздействие значительное количество рискообразующих факторов. При этом изменение одного вида риска может вызывать изменение большинства остальных. Одни из них являются нейтивными факторами, то есть присущими конкретным рискам и не воздействующими на риски других видов данного проекта, другие – интегральными, которые воздействуют одновременно и на другие риски.
Примером нейтивного фактора является возможное изменение цен на программное обеспечение (software), которое оказывает воздействие лишь на рыночные риски и никак не воздействует на организационные и технико-производственные риски.
К интегральным рискообразующим факторам следует относить недобросовестность или профессиональные ошибки партнеров (третьих сторон) и сотрудников компании, ошибки программного обеспечения и технологического процесса, сбои в работе ИТ-служб.
Проекты в специфических предметных областях, таких как ИТ или проекты, осуществляемые с применением узкоспециальных технологий, проекты для вертикальных рынков, а также проекты со специфическим конечным продуктом могут содержать риски, уникальные для своей области. Например, в области информационной безопасности существуют риски, связанные с кражей, потерей или искажением информации в результате злоумышленного действия или случайного события. При работе над проектами в таких областях полезно изучить классификации этих специальных рисков или же расширить имеющиеся классификации рисков общего назначения. Это должно обеспечить надлежащую широту мышления проектной группы при выявлении рисков проекта.
Согласно методологии MSF (Microsoft Solution Framework), существуют четыре основные категории рискообразующих факторов: «люди», «процессы», «технологии», «внешние условия».
К первой категории «люди» MSF рекомендует относить факторы, связанные с заказчиками, конечными пользователями, спонсорами, заинтересованными сторонами, персоналом, организацией, профессиональной квалификацией, политикой и моралью.
Вторая категория «процессы» содержит такие рискообразующие факторы, как цели и задачи проекта, процесс принятия решений, характеристики проекта (бюджет, затраты, сроки, требования) и ключевые этапы проекта (проектирование, реализация, тестирование).
К третьей категории «технологии» относятся безопасность разработки, среда разработки и тестирования, инструментарий, операционная среда и прочее.
В последнюю, четвертую категорию попадают внешние условия: законодательство, индустриальные стандарты, конкуренция, экономические условия, бизнес-условия.
1.3. Классификация рисков в ИТ-проектах
Для успешного управления всем множеством разнообразных видов рисков необходимо их упорядочивание с помощью разработки систем классификации рисков. В проектах по разработке и внедрению программного обеспечения классификация рисков дает основу для стандартизации терминологии, необходимой для мониторинга и отчетности, и является незаменимой для создания базы знаний о рисках на уровне предприятия или всей индустрии.
Классификация рисков означает систематизацию множества рисков на основании каких-то признаков и критериев, позволяющих объединить подмножества рисков в более общие понятия.
Также под классификацией риска следует понимать распределение риска на конкретные группы по определенным признакам для достижения поставленных целей. Классификационная система рисков включает группу, категории, виды, подвиды и разновидности рисков. Научно обоснованная классификация риска позволяет четко определить место каждого риска в их общей системе. Она создает возможности для эффективного применения соответствующих методов, приемов управления риском. Каждому риску соответствует своя система приемов управления риском.
Целью использования классификаторов являются более удобное использование информации о различных видах рисков, которые отличаются друг от друга местом, временем, причиной возникновения, и применение предусмотренных методов управления рисками в зависимости от их классификации.
В ИТ-проектах классификация рисков дает основу для стандартизации терминологии, необходимой для мониторинга и отчетности, является незаменимой для создания базы знаний. Во время выявления классификации рисков проектная команда упорядочивает одновременную работу с большим числом рисков, предоставляя подходящий способ группирования схожих рисков. Несмотря на многие рекомендации профессиональных ассоциаций и государственных учреждений, до сих пор не существует единой классификации рисков. Причин может быть несколько:
• одни и те же риски могут немного отличаться по содержанию для разных видов деятельности и разных типов проектов;
• на практике существует очень большое число различных проявлений риска, зависящих от специфики конкретного проекта и различных факторов;
• в силу традиций один и тот же вид риска может обозначаться разными терминами в зависимости от принятой терминологии;
• зачастую оказывается весьма сложным разграничить отдельные виды риска и четко сформулировать требования к определению видов риска;
• выбор классификации рисков будет зависеть от профессиональных предпочтений менеджера проекта.
Для гарантированного выявления как можно более полного списка рисков, потенциально оказывающих влияние на успех проекта, а также группирования схожих рисков для дальнейшего анализа представляется целесообразным провести классификацию рисков в соответствии с определенными признаками.
Выделяют следующие признаки при классификации рисков.
1. Функциональные. К функциональной разновидности рисков относятся риски, определяемые функциональной направленностью, – то есть финансовые риски, риски подрядчиков, проектные риски, прочие.
2. По областям проявления. По областям проявления можно выделить политические риски, информационные, стратегические, прочие.
3. Структурные. Структурные риски характеризуются управленческой структурой и этапами ИТ-проекта. На основании анализа структуры проекта можно выделить риски программирования, тестирования, отладки, прочего.
4. По времени возникновения. Временные риски определяются этапами жизненного цикла проекта, который начинается с процесса его подготовки и разработки технико-экономического обоснования и заканчивается этапом его реализации и окончательного завершения. Этапность жизненного цикла ИТ-проекта позволяет говорить о следующих видах временных рисков: риски разработки, согласования, приемки, сопровождения и прочего.
5. По областям управления. За основу берутся наиболее типичные области управления проектом, и выделяются риски, связанные с этой областью: риски интеграции, финансовые риски, временные риски, риски персонала, коммуникационные риски, риски несоответствия качеству, риски поставщиков и прочие.
6. По метрикам качества. Риски, связанные с возможным снижением качественных характеристик ИТ-проекта, такие как риски безопасности, доступности, производительности.
7. По другим специфическим признакам, например:
• по типу источника риска;
• по степени влияния и характеру последствий (критические/допустимые);
• по степени управляемости (контролируемые/частично контролируемые);
• по степени предсказуемости (предсказуемые/непредсказуемые);
• по области происхождения (известные/неизвестные, внешние/внутренние риски).
Выбор признаков классификации рисков будет зависеть от специфики ИТ-проекта и профессиональных предпочтений менеджера проекта. Одни и те же риски могут немного отличаться по содержанию для разных видов деятельности и разных типов проектов. На рис. 4 в качестве признака классификации выбрана степень управляемости рисков.
Рис. 4. Пример классификации рисков ИТ-проекта по степени управляемости
Используя классификаторы, можно выделить риски, которые негативно влияют на реализацию ИТ-проекта, и составить список идентифицированных рисков.
Основные риски, как правило, характерные для любых ИТ-проектов, заключаются в несоблюдении сроков реализации проекта, превышении стоимости и несоблюдении параметров качества. Часто причиной возникновения этих рисков, особенно в ИТ-проектах, является неготовность предприятия к реализации подобных проектов.
Далее опишем риски, характерные практически для всех ИТ-проектов.
Операционные риски. Операционные риски предполагают возможность непредвиденных потерь вследствие технических ошибок при проведении операций, умышленных и неумышленных действий персонала, аварийных ситуаций, сбоев аппаратуры, несанкционированного доступа к информационным системам и т. д.
Технологические риски. Характеризуют способность интегрируемого решения «корректно накладываться» на имеющуюся инфраструктуру и информационные потоки и часто связаны с единоличным принятием менеджером проекта решений по рискам (идентификация, анализ, выбор метода реагирования). Чем больше и сложнее проект, тем выше данный риск, особенно в масштабах промышленной организации. Говоря о минимизации технологических рисков, следует инвестиции делать более «короткими», а проекты дробить на несколько взаимозаменяемых составляющих. Это поможет избежать неприятных последствий при ошибочном инвестировании на одном из этапов.
Финансовые риски. Предполагают ухудшение бизнес-показателей в результате неправильно выбранной ИТ-стратегии, некачественное внедрение может спровоцировать возникновение финансовых рисков. Что касается ответственности за риски инвестиций в ИТ, то большинство экспертов считают, что руководитель ИТ-департамента не должен нести единоличную ответственность за неудачные внедрения.
Технические риски. Практически в любом ИТ-проекте в промышленности существуют риски, связанные с техникой (отказ и сбои в работе оборудования, ошибки в монтаже и т. п.). Технические риски включают в себя риски получения отрицательных результатов внедрения проекта, недостижение запланированных параметров, возникновение различного рода проблем при использовании новых технологий и продуктов, сбой и поломку оборудования.
Риски оценки сроков. Для большинства ИТ-проектов, особенно в проектах по разработке и внедрению программного обеспечения (ПО) крупных промышленных холдингов, характерны ошибки в оценках сроков работ проекта. При этом реальные сроки работ могут отличаться от запланированных в разы.
Интеграционные риски. Всегда высоки, особенно в крупных промышленных организациях, поскольку любое ИТ-решение должно быть интегрировано в существующую инфраструктуру организации, не нарушая при этом беспрерывности операционной деятельности и производства продукции. Наиболее характерны риски перехода к новой системе, которые включают в себя расходы на остановку предприятия или его составляющих во время внедрения ИТ-решений, обучение персонала и т. д.
Риски непринятия продукта проекта пользователями. Внедрение технологических решений без поддержки организационных преобразований. Любой проект, в том числе в сфере ИТ, – это в первую очередь изменение технологии работы. Техническая составляющая любого проекта безусловно важна, но не менее важна организационная часть. Необходимо убедиться, что все будущие пользователи системы в промышленной организации понимают необходимость введения новых технологий, процессов, регламентов взаимодействия и прочее.
Коммерческие риски (или риски третьих сторон). Могут быть определены на основе факторов бизнеса, например надежности поставщиков, платежеспособности заказчиков, опыта соисполнителей в подобных проектах, связаны с выбором технологии и поставщика. Необходимо оценить успешность технологии на рынке, ее актуальность на протяжении жизненного цикла ИТ-проекта, доступность необходимого аппаратного и программного обеспечения, его качество и частоту модернизации и т. д. Также следует оценить надежность поставщика необходимых технологий.
Риски персонала. Риски персонала связаны с квалификацией, профессионализмом и желанием у персонала качественно и в срок выполнять свою работу. Наиболее часто встречаемые сложности при работе с персоналом – это неспособность или неопытность сотрудников, которые участвуют в проекте, применять используемые технологии, недостаточность опыта менеджера проекта, частое и противоречивое изменение требований заказчиком, текучесть кадров.
В отдельных случаях целесообразно применять технику структурирования рисков с использованием структурной декомпозиции риска (Risk Breakdown Structure, RBS), сформированной по аналогии, группирующей риски по источникам появления и служащей для определения суммарного воздействия рисков.
Учитывая различные способы внедрения информационных систем, автором предложено рассмотреть в табл. 1 более детально риски для каждого вида внедрения.
Таблица 1.
Классификация рисков в зависимости от типов внедрения
Для более эффективной работы и избегания двусмысленных трактовок риска желательно на начальном этапе продумать четкую формулировку риска. Естественно, что одни и те же риски могут иметь разные формулировки у разных менеджеров проекта в зависимости от используемой терминологии. И наоборот, одна и та же формулировка риска может немного отличаться для разных видов деятельности и разных типов проектов.
Формулировка риска[4] – это «выражение на естественном языке причинно-следственной связи между реально существующим фактором проекта (текущим положением дел) и потенциально возможным, еще не случившимся событием или ситуацией».
Первая часть формулировки риска называется условием и содержит описание существующего фактора или особенности проекта, которые, по мнению проектной группы, могут сделать результат проекта убыточным либо сократить получаемую от проекта прибыль.
Вторая часть формулировки риска называется следствием и описывает ту нежелательную ситуацию, которой следует избежать. Первая и вторая части формулировки описывают не жесткую, но возможную, с вероятностью меньше единицы, причинно-следственную связь (рис. 5).
Рис. 5. Формулировка риска, согласно методологии MSF
Зачастую оказывается весьма сложным придерживаться заданной формулировки риска на протяжении всего проекта. Однако подробная форма описания риска удобна тем, что на ранних этапах процесса управления рисками она увязывает последствие риска с видимым (и потенциально контролируемым) его условием. Использование альтернативного подхода, при котором проектная группа не концентрируется на описании условий на фазе выявления рисков, ведет к тому, что на более позднем этапе (при разработке стратегий управления) приходится восстанавливать условия и причины рисков.
Формулировки рисков не являются предложениями в форме «если – то». В действительности они представляют собой факты наличия возможных, но еще не случившихся зависимостей. Рассмотрение гипотетических причинно-следственных связей «если – то» может оказать помощь при выработке планов с использованием деревьев альтернатив на этапе анализа и планирования. Однако на этапе выявления рисков задача состоит в обнаружении максимально возможного их числа. Поэтому анализ причинно-следственных связей должен быть отложен до фазы планирования. На раннем этапе работы над проектом можно встретить огромное количество таких формулировок рисков, которые указывают на недостаточную информированность проектной группы. По мере развития проекта формулировки риска могут немного меняться, дополняться комментариями и более расширенными описаниями.
В результате процесса выявления рисков должны быть получены четкие, однозначные и согласованные формулировки, представленные в виде списка рисков для последующего анализа. Корректная формулировка рисков обычно предоставляет значительный объем дополнительной полезной информации, включая обнаружение первопричин рисков, затрагиваемые стороны и прочее.
Эффективность управления зависит от правильного и полного понимания тех рисков, с которыми сталкивается проектная группа.
Осознание многообразия возможных проблем и уровня потенциальных убытков может навести уныние на сотрудников. Как следствие проектная группа будет смотреть на выявление рисков как на негативную деятельность.
Знание о существовании рисков – необходимое условие эффективной работы над ними. Следовательно, перспективы успеха проектной группы от проведения работы по выявлению рисков лишь увеличиваются.
Открытое протоколируемое обсуждение рисков приводит к четкому разъяснению ролей и ответственности членов проектной группы как во время плановых мероприятий по профилактике рисков, так и при разрешении проблем, которые могут возникнуть. Это освобождает от дополнительных трудозатрат и позволяет проектной группе непосредственно сосредоточиться на своей работе.
Члены проектной группы и в особенности ее руководители должны всегда трактовать выявление рисков как позитивный фактор. Это дает возможность получить максимально полную информацию о возникающих рисках. Негативное восприятие рисков мешает проектной группе обсуждать данную тему.