ИТ-проекты и принципы управления рисками

Риск-менеджмент в сфере ИТ-проектов поддерживается методологией MSF

Раздел: Информационные технологии
Автор(ы): Борис Жданов, журнал «ИТМ. Информационные технологии для менеджмента» (№3, 2010)
размещено: 16.04.2010
обращений: 50223

Внедрение современных информационных технологий — будь это при построении ИТ-инфраструктуры, внедрении бизнес-приложений или создании системы информационной безопасности — это процесс подверженный множеству различных рисков. Для уменьшения влияния рисков, можно использовать подходы риск-менеджмента.
ИТ-проекты и принципы управления рисками Риски, область и условия их возникновения настолько разнообразны и индивидуальны, что до настоящего времени не создано панацеи, подходящей для всех случаев. Тем не менее разработаны добротные методики, ориентированные на различные предметные области, и имеется большой опыт организаций-разработчиков этих методик.

Представляет интерес ознакомление с принципами одной из таких методик, имеющих большую практику применения — это управление рисками Microsoft Solutions Framework.

Управление рисками по MSF

В рамках Microsoft Solutions Framework (MSF, методология разработки программного обеспечения от Microsoft) существует раздел управления рисками (risk management). Хотя в основном сама MSF и ее управление рисками родилось в процессе разработки программного обеспечения, принципы, заложенные в управление рисками MSF, имеют более широкое применение. Это обусловлено тем, что Microsoft использовала методологию непрерывного управления рисками, разработанную Software Engineering Institute (SEI), — с одной стороны, а с другой — методология управления рисками MSF нашла свое широкое применение и среди многочисленных партнеров Microsoft при внедрении ИT-проектов. Методология управления рисками MSF (i) обеспечивает учет всех элементов проектов: люди, бизнес-процессы, технологии, (ii) обеспечивает систематический, непрерывный на протяжении всего жизненного цикла проекта, воспроизводимый процесс управления рисками, (iii) обеспечивает обратную связь — непрерывное извлечение уроков из полученного опыта.

Что такое риски

Существует множество определений риска, рожденных в различных ситуационных контекстах и различными особенностями применений. С наиболее распространенной точки зрения, каждый риск в определенном смысле пропорционален как ожидаемым потерям, которые могут быть причинены рисковым событием, так и вероятности этого события. Различия в определениях риска зависят от контекста потерь, их оценки и измерении. Для наших целей можно использовать такое определение: риск — это сочетание вероятности и последствий наступления неблагоприятного события (ущерба, опасности).

В ИТ-проектах неблагоприятным событием может быть уменьшение ценности, управляемости, функциональности, качества, увеличение сроков проекта, недополучение прибыли, предполагавшейся по проекту. Риски в проектах следует понимать широко — как любое событие или условие, которое может оказать позитивное либо негативное влияние на итоги проекта. Такая трактовка присутствует и в финансах, при этом понимается спекулятивный риск, который в условиях неопределенности может привести как к получению прибыли, так и к убыткам. При страховании используется понятие чистого риска, где неопределенности связываются только лишь с потенциальными убытками в будущем.

Риски имеют отношение к будущему, их следует отличать от проблем и трудностей, которые имеют место в настоящее время. Цель управления рисками в MSF — максимизировать положительное их влияние, но при этом минимизировать связанные с ними негативные факторы. Управление рисками помогает достичь компромиссов между опасностями и возможностями. Рыночная конкуренция, развитие ИТ и др. факторы могут заставить работающую над проектом группу изменить планы и решения в середине проекта. Новый инструментарий, новые технологии, изменяющиеся требования пользователей, растущие угрозы для информационной безопасности, текучесть кадров — все это способно повлечь за собой изменения в ИT-проекте и заставить принимать решения в условиях неопределенности.

Нет ИТ-проектов свободных от рисков

Не существует ни одного ИТ-проекта полностью свободного от рисков. С различными проектами может быть связано разное число рисков, но проектов без рисков больших или малых не бывает.

В ИТ-проектах всегда существуют неопределенности, связанные как с предметом проекта, так и с внешними условиями, оказывающими влияние на успешное достижение запланированного результата.

Поскольку невозможно полностью избежать рисков, то следует искать разумные компромиссы между рисками и потенциальными возможностями, не следует стремиться к минимизации риска ценой исключения всего остального.

Условия управления рисками

При внедрении методологии управления рисками следует обеспечить определенные условия для ее успешной реализации. Поскольку постоянная возможность изменений — это один из главных источников неопределенности в ИТ-проекте, участникам проекта необходимо понимание, что непрерывные изменения в различных аспектах проекта влекут за собой непрерывные изменения в его рисках. Поэтому одно из важных условий организации управления рисками — это обеспечение осознания участниками группы необходимости гибкости при рассмотрении аспектов ИТ-проекта. Важным условием является также открытость в обсуждении и протоколирование рисков внутри проектной группы и с ключевыми заинтересованными лицами (stakeholders). Условие открытого обмена накопленных знаний между проектными группами поможет при принятии решений в условиях недостатка информации в проектах. Условие персональной ответственности каждого члена проектной группы за выполнение задач управления рисками необходимо для организации отчетности по рискам.

Превентивная работа с рисками

В MSF упор делается на превентивный подход к выявлению, анализу и работе над рисками, вот как это обстоятельство освещается в MSF:

  • Предугадывайте проблемы вместо того, чтобы реагировать на них после их возникновения.
  • Работайте над первопричиной, а не над проявляющимися симптомами.
  • Готовьте планы решения проблем заранее, до того как проблемы возникнут.
  • Используйте понятный, структурированный и воспроизводимый процесс разрешения проблем.
  • Предпринимайте превентивные меры везде, где это возможно.

Спецификация рисков

Ошибки, связанные с обобщенным описанием рисков, могут свести эффективность превентивного подхода на нет или же помешать процессу смягчения последствий возникших проблем. Поскольку управление рисками связано с принятиемрешений в условиях неопределенности, то обобщенные формулировки рисков сохраняют значительную часть этой неопределенности и ведут к неоднозначному пониманию самого риска. Поэтому согласно MSF необходимы четкие описания существующих рисков, помогающие проектной группе:

  • обеспечить однозначное понимание риска всеми членами команды;
  • понять причину (или причины) риска и их взаимоотношение с теми проблемами, которые могут возникнуть;
  • иметь базу для количественного, формального анализа рисков и последующего планирования;
  • дать уверенность заинтересованным в проекте сторонам и его спонсорам (sponsors) в том, что проектная группа в состоянии справиться с риском.

Регулярная переоценка рисков

Поскольку непрерывные изменения в проекте и окружающих обстоятельствах требуют от проектной группы регулярной переоценки известных рисков и модификации планов по профилактике и смягчению последствий возникновения проблем, связанных с этими рисками, то согласно методологии MSF проектные группы должны постоянно следить за появлением новых рисков. Управление рисками следует интегрировать во все этапы проекта, должна существовать возможность внесения необходимых изменений в планы и действия по управлению рисками.

Количество рисков и их значимость

Зачастую участники ИТ-проекта воспринимают каждый риск как негативный фактор. Чтобы правильно оценить влияние рисков, методология управления рисками в MSF предлагает использование структурированного процесса выявления рисков и их анализа с целью предоставления принимающим решения лицам информации не только о наличии рисков, но также и о значимости каждого из них.

Формализация планирования управления рисками

Для планирования управления рисками необходимо разработать формальный документ, описывающий управление рисками данного проекта. В соответствии с MSF в этом документе необходимо дать ответы на следующие вопросы:

  • В рамках каких допущений и ограничений производится управление рисками?
  • Как будет реализовываться процесс управления рисками?
  • Из каких шагов состоит этот процесс?
  • Какие именно действия, роли участников и их обязанности, результаты характеризуют каждый шаг?
  • Кто будет осуществлять действия по управлению рисками?
  • Какие для этого требуются навыки/квалификация?
  • Требуется ли дополнительное обучение?
  • Как управление рисками данного конкретного проекта соотносится с действиями, производимыми на уровне всего предприятия?
  • Какой инструментарий и какие методики будут применены?
  • Какой терминологический аппарат будет использован для классификации и оценки рисков? Какова процедура приоритезации рисков?
  • Как будут строиться планы управления рисками и планы мероприятий по смягчению возможных негативных последствий (contingency plans)?
  • Как деятельность по управлению рисками будет интегрирована в общий план проекта?
  • Какие действия будут предпринимать отдельные члены проектной группы для управления рисками? Как информация о положении дел будет распространяться внутри проектной группы? Среди заинтересованных в проекте сторон (stakeholders)? Каков механизм отчетности?
  • Как будет производиться мониторинг прогресса?
  • Какая инфраструктура (базы данных, программные инструменты, хранилища информации) будет использована для обеспечения процесса управления рисками? Каковы риски процесса управления рисками?
  • Какие ресурсы доступны для управления рисками?
  • Каковы временные ограничения на мероприятиях, связанных с управлением рисками? Кто является спонсором, и какие присутствуют заинтересованные стороны?

Ресурсы для управления рисками

MSF также устанавливает необходимость выделения ресурсов на управление рисками. Планирование управления рисками не должно рассматриваться в отрыве от процесса планирования всего проекта, и деятельность по управлению рисками не должна восприниматься как «дополнительная» нагрузка к той «основной» работе, которую выполняют члены проектной группы. Поскольку риски являются неотъемлемой частью всех фаз всех проектов от начала и до конца, должны быть изначально выделены и должным образом распределены ресурсы, необходимые для эффективного управления рисками. Планирование управления рисками осуществляется проектной группой во время фаз выработки концепции и планирования, и результирующий план управления рисками должен определять конкретные задачи, ответственность за которые возложена на определенных членов проектной группы. Эти задачи должны быть интегрированы в план и в календарный график проекта.

Процесс управления рисками

Методология управления рисками MSF регламентирует непрерывную и активную работу над риском до тех пор, пока он либо исчезает, либо превращается в проблему, с которой необходимо справиться. Процесс управления рисками в MSF (см. рис.) разбит на шесть фаз, посредством которых проектная группа управляет текущими рисками:

  • Выявление
  • Анализ и приоритезация
  • Планирование
  • Мониторинг
  • Корректирование
  • Извлечение уроков.

Процесс управления рисками MSF

Фазы управления рисками

В MSF фазы управления рисками описаны следующим образом.

Выявление рисков (risk identification) — это фаза, позволяющая членам проектной группы вынести на обсуждение всей команды факты наличия рисков. Выявление рисков является начальной стадией процесса управления ими. Оно должно быть осуществлено как можно раньше, и к нему необходимо постоянно возвращаться на протяжении всего жизненного цикла проекта.

Анализ рисков (risk analysis) — это фаза преобразования накопленных во время предыдущего шага оценок и данных в форму, позволяющую осуществить приоритезацию рисков. Приоритезация рисков (risk prioritization) позволяет проектной группе производить управление наиболее важными из них, выделяя для этого необходимые ресурсы.

Планирование рисков (risk planning) производится исходя из информации, полученной на этапе их анализа, и имеет своей целью выработку стратегий, планов и конкретных шагов. Календарное планирование рисков (risk scheduling) интегрирует эти планы в повседневный процесс управления проектом, обеспечивая непрерывность управления рисками. Эта стадия напрямую увязывает планирование рисков с планированием проекта в целом.

Мониторинг рисков (risk tracking) производится для наблюдения за конкретными рисками и прогрессомв осуществлении составленных планов. Мониторингу должны быть подвергнуты сделанные оценки вероятности (probability) риска, его угрозы (impact), ожидаемая величина риска (exposure) и прочие факторы, способные повлиять на приоритет рисков. Наблюдению подвергаются также составленные планы, имеющиеся ресурсы и принятый календарный график. Мониторинг рисков обеспечивает прозрачность процесса управления рисками проекта на различных уровнях в дополнение к стандартному процессу управления проектом, отслеживающему степень завершенности проектных задач. Отчетность о рисках (risk reporting) обеспечивает информирование проектной группы, спонсоров и других заинтересованных сторон о состоянии рисков проекта и планов по управлению ими.

Корректирование ситуации (risk control) представляет собой процесс исполнения принятых в отношении рисков планов и контроля за ходом их исполнения. Этот процесс также включает в себя инициирование изменений всего проекта (project change control requests), если изменения в состоянии рисков либо в соответствующих планах влияют на прогнозируемый объем работы, требуемые ресурсы или сроки.

Извлечение уроков (risk learning) формализует процесс усвоения накопленного за время работы над проектом опыта в форме, доступной для использования как внутри проектной группы, так и на уровне всего предприятия.

Фазы являются логическими шагами и они не обязательно для каждого из рисков должны следовать друг за другом в строгом хронологическом порядке. Проектные группы могут циклически повторять шаги выявления-анализа-планирования по мере обнаружения дополнительных факторов, влияющих на проект. При этом извлечение уроков может производиться лишь время от времени на уровне всего предприятия. Далеко не все риски проходят циклически через все приведенные выше шаги.

Управление рисками — успех ИТ-проекта

Как видно из принципов методологии управления рисками Microsoft Solutions Framework ее «встроенность» в ИТ-проект, превентивность, ориентирование участников проекта на активную борьбу с рисками существенно повышает шансы проекта на успех. А акцент управления рисками MSF на адаптивность и учет обратных связей позволяют использовать ее и в сложных технологических проектах ИТ-инфраструктуры, и в меняющихся бизнес-условиях внедрения системы автоматизации управления предприятием, и при создании системы информационной безопасности, защищающей компанию от разнонаправленных угроз ее информационным ресурсам.



ЧИТАЙТЕ ТАКЖЕ:
КНИГИ ПО ТЕМЕ:
Внедрение искусственного интеллекта в бизнес-практику. Преимущества и сложностиВнедрение искусственного интеллекта в бизнес-практику. Преимущества и сложности
Искусственный интеллект: перезагрузка. Как создать машинный разум, которому действительно можно доверятьИскусственный интеллект: перезагрузка. Как создать машинный разум, которому действительно можно доверять
Карьера менеджера IT-проекта. Как устроиться на работу в ведущую технологическую компаниюКарьера менеджера IT-проекта. Как устроиться на работу в ведущую технологическую компанию



МЕТОДОЛОГИЯ: Стратегия, Маркетинг, Изменения, Финансы, Персонал, Качество, ИТ
АКТУАЛЬНО: Новости, События, Тренды, Инсайты, Интервью, Бизнес-обучение, Рецензии, Консалтинг
СЕРВИСЫ: Бизнес-книги, Работа, Форумы, Глоссарий, Цитаты, Рейтинги, Статьи партнеров
ПРОЕКТЫ: Блог, Видео, Визия, Визионеры, Бизнес-проза, Бизнес-юмор

Страница Management.com.ua в Facebook    Менеджмент.Книги: телеграм-канал для управленцев    Management Digest в LinkedIn    Отслеживать нас в Twitter    Подписаться на RSS    Почтовая рассылка


Copyright © 2001-2024, Management.com.ua

Подписка на Менеджмент.Дайджест

Получайте самые новые материалы на свой e-mail (1 раз в неделю)



Спасибо, я уже подписан(-а)