Классификация рисков в ИТ-проектах

 

Для успешного управления всем множеством разнообразных видов рисков необходимо их упорядочивание с помощью разработки систем классификации рисков. В проектах по разработке и внедрению программного обеспечения классификация рисков дает основу для стандартизации терминологии, необходимой для мониторинга и отчетности, и является незаменимой для создания базы знаний о рисках на уровне предприятия или всей индустрии.

Классификация рисков означает систематизацию множества рисков на основании каких-то признаков и критериев, позволяющих объединить подмножества рисков в более общие понятия.

Также под классификацией риска следует понимать распределение риска на конкретные группы по определенным признакам для достижения поставленных целей. Классификационная система рисков включает группу, категории, виды, подвиды и разновидности рисков. Научно обоснованная классификация риска позволяет четко определить место каждого риска в их общей системе. Она создает возможности для эффективного применения соответствующих методов, приемов управления риском. Каждому риску соответствует своя система приемов управления риском.

Целью использования классификаторов являются более удобное использование информации о различных видах рисков, которые отличаются друг от друга местом, временем, причиной возникновения, и применение предусмотренных методов управления рисками в зависимости от их классификации.

В ИТ-проектах классификация рисков дает основу для стандартизации терминологии, необходимой для мониторинга и отчетности, является незаменимой для создания базы знаний. Во время выявления классификации рисков проектная команда упорядочивает одновременную работу с большим числом рисков, предоставляя подходящий способ группирования схожих рисков. Несмотря на многие рекомендации профессиональных ассоциаций и государственных учреждений, до сих пор не существует единой классификации рисков. Причин может быть несколько:

• одни и те же риски могут немного отличаться по содержанию для разных видов деятельности и разных типов проектов;

• на практике существует очень большое число различных проявлений риска, зависящих от специфики конкретного проекта и различных факторов;

• в силу традиций один и тот же вид риска может обозначаться разными терминами в зависимости от принятой терминологии;

• зачастую оказывается весьма сложным разграничить отдельные виды риска и четко сформулировать требования к определению видов риска;

• выбор классификации рисков будет зависеть от профессиональных предпочтений менеджера проекта.

Для гарантированного выявления как можно более полного списка рисков, потенциально оказывающих влияние на успех проекта, а также группирования схожих рисков для дальнейшего анализа представляется целесообразным провести классификацию рисков в соответствии с определенными признаками.

Выделяют следующие признаки при классификации рисков.

1. Функциональные. К функциональной разновидности рисков относятся риски, определяемые функциональной направленностью, – то есть финансовые риски, риски подрядчиков, проектные риски, прочие.

2. По областям проявления. По областям проявления можно выделить политические риски, информационные, стратегические, прочие.

3. Структурные. Структурные риски характеризуются управленческой структурой и этапами ИТ-проекта. На основании анализа структуры проекта можно выделить риски программирования, тестирования, отладки, прочего.

4. По времени возникновения. Временные риски определяются этапами жизненного цикла проекта, который начинается с процесса его подготовки и разработки технико-экономического обоснования и заканчивается этапом его реализации и окончательного завершения. Этапность жизненного цикла ИТ-проекта позволяет говорить о следующих видах временных рисков: риски разработки, согласования, приемки, сопровождения и прочего.

5. По областям управления. За основу берутся наиболее типичные области управления проектом, и выделяются риски, связанные с этой областью: риски интеграции, финансовые риски, временные риски, риски персонала, коммуникационные риски, риски несоответствия качеству, риски поставщиков и прочие.

6. По метрикам качества. Риски, связанные с возможным снижением качественных характеристик ИТ-проекта, такие как риски безопасности, доступности, производительности.

7. По другим специфическим признакам, например:

• по типу источника риска;

• по степени влияния и характеру последствий (критические/допустимые);

• по степени управляемости (контролируемые/частично контролируемые);

• по степени предсказуемости (предсказуемые/непредсказуемые);

• по области происхождения (известные/неизвестные, внешние/внутренние риски).

Выбор признаков классификации рисков будет зависеть от специфики ИТ-проекта и профессиональных предпочтений менеджера проекта. Одни и те же риски могут немного отличаться по содержанию для разных видов деятельности и разных типов проектов. На рис. 4 в качестве признака классификации выбрана степень управляемости рисков.

Рис. 4. Пример классификации рисков ИТ-проекта по степени управляемости

Используя классификаторы, можно выделить риски, которые негативно влияют на реализацию ИТ-проекта, и составить список идентифицированных рисков.

Основные риски, как правило, характерные для любых ИТ-проектов, заключаются в несоблюдении сроков реализации проекта, превышении стоимости и несоблюдении параметров качества. Часто причиной возникновения этих рисков, особенно в ИТ-проектах, является неготовность предприятия к реализации подобных проектов.

Далее опишем риски, характерные практически для всех ИТ-проектов.

Операционные риски. Операционные риски предполагают возможность непредвиденных потерь вследствие технических ошибок при проведении операций, умышленных и неумышленных действий персонала, аварийных ситуаций, сбоев аппаратуры, несанкционированного доступа к информационным системам и т. д.

Технологические риски. Характеризуют способность интегрируемого решения «корректно накладываться» на имеющуюся инфраструктуру и информационные потоки и часто связаны с единоличным принятием менеджером проекта решений по рискам (идентификация, анализ, выбор метода реагирования). Чем больше и сложнее проект, тем выше данный риск, особенно в масштабах промышленной организации. Говоря о минимизации технологических рисков, следует инвестиции делать более «короткими», а проекты дробить на несколько взаимозаменяемых составляющих. Это поможет избежать неприятных последствий при ошибочном инвестировании на одном из этапов.

Финансовые риски. Предполагают ухудшение бизнес-показателей в результате неправильно выбранной ИТ-стратегии, некачественное внедрение может спровоцировать возникновение финансовых рисков. Что касается ответственности за риски инвестиций в ИТ, то большинство экспертов считают, что руководитель ИТ-департамента не должен нести единоличную ответственность за неудачные внедрения.

Технические риски. Практически в любом ИТ-проекте в промышленности существуют риски, связанные с техникой (отказ и сбои в работе оборудования, ошибки в монтаже и т. п.). Технические риски включают в себя риски получения отрицательных результатов внедрения проекта, недостижение запланированных параметров, возникновение различного рода проблем при использовании новых технологий и продуктов, сбой и поломку оборудования.

Риски оценки сроков. Для большинства ИТ-проектов, особенно в проектах по разработке и внедрению программного обеспечения (ПО) крупных промышленных холдингов, характерны ошибки в оценках сроков работ проекта. При этом реальные сроки работ могут отличаться от запланированных в разы.

Интеграционные риски. Всегда высоки, особенно в крупных промышленных организациях, поскольку любое ИТ-решение должно быть интегрировано в существующую инфраструктуру организации, не нарушая при этом беспрерывности операционной деятельности и производства продукции. Наиболее характерны риски перехода к новой системе, которые включают в себя расходы на остановку предприятия или его составляющих во время внедрения ИТ-решений, обучение персонала и т. д.

Риски непринятия продукта проекта пользователями. Внедрение технологических решений без поддержки организационных преобразований. Любой проект, в том числе в сфере ИТ, – это в первую очередь изменение технологии работы. Техническая составляющая любого проекта безусловно важна, но не менее важна организационная часть. Необходимо убедиться, что все будущие пользователи системы в промышленной организации понимают необходимость введения новых технологий, процессов, регламентов взаимодействия и прочее.

Коммерческие риски (или риски третьих сторон). Могут быть определены на основе факторов бизнеса, например надежности поставщиков, платежеспособности заказчиков, опыта соисполнителей в подобных проектах, связаны с выбором технологии и поставщика. Необходимо оценить успешность технологии на рынке, ее актуальность на протяжении жизненного цикла ИТ-проекта, доступность необходимого аппаратного и программного обеспечения, его качество и частоту модернизации и т. д. Также следует оценить надежность поставщика необходимых технологий.

Риски персонала. Риски персонала связаны с квалификацией, профессионализмом и желанием у персонала качественно и в срок выполнять свою работу. Наиболее часто встречаемые сложности при работе с персоналом – это неспособность или неопытность сотрудников, которые участвуют в проекте, применять используемые технологии, недостаточность опыта менеджера проекта, частое и противоречивое изменение требований заказчиком, текучесть кадров.

В отдельных случаях целесообразно применять техникуструктурирования рисков с использованием структурной декомпозиции риска (Risk Breakdown Structure, RBS), сформированной по аналогии, группирующей риски по источникам появления и служащей для определения суммарного воздействия рисков.

Учитывая различные способы внедрения информационных систем, автором предложено рассмотреть в табл. 1 более детально риски для каждого вида внедрения.

Таблица 1.

Классификация рисков в зависимости от типов внедрения

Для более эффективной работы и избегания двусмысленных трактовок риска желательно на начальном этапе продумать четкую формулировку риска. Естественно, что одни и те же риски могут иметь разные формулировки у разных менеджеров проекта в зависимости от используемой терминологии. И наоборот, одна и та же формулировка риска может немного отличаться для разных видов деятельности и разных типов проектов.

Формулировка риска[4] – это «выражение на естественном языке причинно-следственной связи между реально существующим фактором проекта (текущим положением дел) и потенциально возможным, еще не случившимся событием или ситуацией».

Первая часть формулировки риска называется условием и содержит описание существующего фактора или особенности проекта, которые, по мнению проектной группы, могут сделать результат проекта убыточным либо сократить получаемую от проекта прибыль.

Вторая часть формулировки риска называется следствием и описывает ту нежелательную ситуацию, которой следует избежать. Первая и вторая части формулировки описывают не жесткую, но возможную, с вероятностью меньше единицы, причинно-следственную связь (рис. 5).

Рис. 5. Формулировка риска, согласно методологии MSF

Зачастую оказывается весьма сложным придерживаться заданной формулировки риска на протяжении всего проекта. Однако подробная форма описания риска удобна тем, что на ранних этапах процесса управления рисками она увязывает последствие риска с видимым (и потенциально контролируемым) его условием. Использование альтернативного подхода, при котором проектная группа не концентрируется на описании условий на фазе выявления рисков, ведет к тому, что на более позднем этапе (при разработке стратегий управления) приходится восстанавливать условия и причины рисков.

Формулировки рисков не являются предложениями в форме «если – то». В действительности они представляют собой факты наличия возможных, но еще не случившихся зависимостей. Рассмотрение гипотетических причинно-следственных связей «если – то» может оказать помощь при выработке планов с использованием деревьев альтернатив на этапе анализа и планирования. Однако на этапе выявления рисков задача состоит в обнаружении максимально возможного их числа. Поэтому анализ причинно-следственных связей должен быть отложен до фазы планирования. На раннем этапе работы над проектом можно встретить огромное количество таких формулировок рисков, которые указывают на недостаточную информированность проектной группы. По мере развития проекта формулировки риска могут немного меняться, дополняться комментариями и более расширенными описаниями.

В результате процесса выявления рисков должны быть получены четкие, однозначные и согласованные формулировки, представленные в виде списка рисков для последующего анализа. Корректная формулировка рисков обычно предоставляет значительный объем дополнительной полезной информации, включая обнаружение первопричин рисков, затрагиваемые стороны и прочее.

Эффективность управления зависит от правильного и полного понимания тех рисков, с которыми сталкивается проектная группа.

Осознание многообразия возможных проблем и уровня потенциальных убытков может навести уныние на сотрудников. Как следствие проектная группа будет смотреть на выявление рисков как на негативную деятельность.

Знание о существовании рисков – необходимое условие эффективной работы над ними. Следовательно, перспективы успеха проектной группы от проведения работы по выявлению рисков лишь увеличиваются.

Открытое протоколируемое обсуждение рисков приводит к четкому разъяснению ролей и ответственности членов проектной группы как во время плановых мероприятий по профилактике рисков, так и при разрешении проблем, которые могут возникнуть. Это освобождает от дополнительных трудозатрат и позволяет проектной группе непосредственно сосредоточиться на своей работе.

Члены проектной группы и в особенности ее руководители должны всегда трактовать выявление рисков как позитивный фактор. Это дает возможность получить максимально полную информацию о возникающих рисках. Негативное восприятие рисков мешает проектной группе обсуждать данную тему.