• Valentin Nikolaenko

Риск-менеджмент как необходимый фактор для успешного завершения ИТ-проектов

Согласно Указам Президента РФ № 203 о стратегии развития информационного общества и № 204 о национальных целях и стратегических задачах развития России, Распоряжению Правительства № 1632-р об утверждении программы «Цифровая экономика» и Постановлению Правительства № 234 о системе управления реализацией национальной программы «Цифровая экономика» развитие сферы информационных технологий является одним из важнейших стратегических направлений развития государства. Так, в рамках национального проекта «Цифровая экономика» планируется реализовать множество крупных ИТ-проектов, таких как автоматизированная система управления транспортным комплексом, ИТ-система обмена знаниями в сфере сельского хозяйства, ИТ-система социального обеспечения, ИТ-система учета отходов, ГИС «Контингент», единый транспортный сервис и др.


Стоит также отметить, что ввиду уникальности процессов и сложности реализации национально значимых ИТ-проектов их успешное завершение может быть под угрозой. Так, например, если обращаться к международному опыту, то, согласно данным The Standish Group International, доля успешно завершенных ИТ-проектов в США и странах Европы, как правило, не превышает 29%. Данное обстоятельство говорит о незрелости управления ИТ-проектами в мире, что, в свою очередь, может быть значительным препятствием на пути развития цифровой экономики в Российской Федерации.


В связи с этим логично предположить, что требуется создание управленческого алгоритма, который мог бы гарантировать успех проектов, разрабатываемых в сфере ИТ. По мнению ряда отечественных и зарубежных ученых, подобным гарантом является риск-ориентированное управление.


Критический анализ международных и национальных стандартов, связанных с риск-ориентированным управлением, в частности ГОСТ Р 31010-2011 «Методы оценки риска», показал, что применение способов и методов, формализованных в данных стандартах, для сферы информационных технологий в их классическом виде затруднено, а подчас невозможно. Данное обстоятельство может быть объяснено особенностями реализации ИТ-проектов, в частности:

  • применением гибких методик управления при разработке программного продукта: EP, Scrum, ADS, Crystal Clear, FDD и др.;

  • использованием нетипичных моделей жизненных циклов: V-model, RAD, спиральная модель Б.В. Боема и др.;

  • преобладанием качественных методов оценки рисков над количественными по причине использования принципов разработки программного обеспечения, таких как KISS и YAGNI;

  • трансформацией интеллектуального капитала в капитал материальный.

Таким образом, целью настоящей статьи является создание алгоритма управления рисками для ИТ-проектов различной длительности (краткосрочные, среднесрочные, долгосрочные), типов (сайт, программное обеспечение, мобильное приложение, портал, ERP-система и др.), с различной численностью проектных коллективов и различными методиками управления проектами.


Исследовательской базой стали международные и отечественные стандарты, труды отечественных и международных ученых, 7 ИТ-организаций и 11 ИТ-проектов.


Для достижения поставленной цели были решены следующие задачи:

  1. проведен анализ и адаптация методов оценки рисков для сферы информационных технологий;

  2. разработан алгоритм управления рисками ИТ-проектов;

  3. осуществлено внедрение созданного алгоритма в субъекты сферу информационных технологий.

Анализ и адаптация методов оценки рисков для сферы ИТ


Анализ методов, представленных в ГОСТе Р 31010-2011, и осмысление особенностей проектов, реализуемых в области ИТ, побудили автора статьи провести адаптацию методов оценки рисков для сферы информационных технологий.


Согласно ГОСТу Р ИСО 31000-2010 оценка рисков включает в себя такие процессы, как идентификация, анализ и оценивание рисков. Однако для результативного и эффективного управления рисками в ИТ-проектах данных процессов недостаточно. В связи с чем автор статьи, помимо выполнения обозначенных выше задач, также адаптировал методы по разработке мер воздействия на риски и подобрал программные продукты, автоматизирующие процедуры мониторинга и контроля над рисками.


Рассмотрим каждый процесс риск-менеджмента подробнее.

Процесс идентификации рисков. По итогам адаптации было отобрано 10 методов идентификации рисков, которые могут быть успешно использованы в сфере информационных технологий.


Разнообразие способов идентификации рисков может быть объяснено тем, что ни один из представленных методов не гарантирует выявления всех внутренних и внешних рисков, актуальных для ИТ-проектов. Исследования показали, что применение одного отдельного метода, как правило, идентифицирует только определенную группу рисков. Следовательно, необходимо применение большого количества разнообразных методов, идентифицирующих риски, в том числе и дублирующих.


Говоря об идентификации рисков, стоит упомянуть рекомендации ученых-исследователей, которые советуют обращаться за помощью к руководителям смежных ИТ-проектов, заказчикам, подрядчикам, независимым экспертам, так как благодаря их взгляду со стороны могут быть выявлены многие скрытие риски.


Процесс анализа рисков. Согласно ГОСТу Р ИСО 31000-2010 главной целью анализа рисков является получение информации об источниках рисковых событий и возможных последствий, которые могут наступить в случае их материализации. В связи с чем автором статьи были адаптированы методы, направленные на выявление корневых причин наступления рисков и определение сценариев возможных последствий.


Стоит отметить, что анализ рисков в ИТ-проектах может быть значительно упрощен, если ранее идентифицированные риски были распределены по классификационным группам: среда, внешние проектные источники, внутренние проектные источники, цели ИТ-проекта, фазы жизненного цикла ИТ-проекта и др.


Процесс оценивания рисков. Оценивание рисков направлено на их ранжирование, где посредством определения групп рисков выявляются события, для которых требуется разработать меры превентивного воздействия (меры плана А) и меры достойного принятия (меры плана Б). Проанализировав способы оценивания рисков, предлагаемые PMI, Н.Н. Талебом и Министерством обороны США, автор статьи принял решение использовать способ Т. Мерна и Ф. Ал-Хани, так как предлагаемое ими решение, по сравнению с остальными, обладает следующим рядом преимуществ: во-первых, оперативно выявляются наиболее опасные риски; во-вторых, распределение рисков относительно друг друга дает возможность судить об общем состоянии проекта в определенный момент времени; в-третьих, опознаются негативные риски, которые не представляют существенной угрозы для проектных целей, следовательно, не требуют дополнительных затрат для разработки мер превентивного воздействия и ресурсов для формирования резервов.


Т. Мерна и Ф. Ал-Хани предлагают распределять негативные риски на четыре группы:

  • Тигр (tiger) — катастрофический риск — это негативный риск, который имеет высокую степень вероятности наступления и способен оказывать значительное негативное влияние на цели проекта. В своих трудах Т. Мерна и Ф. Ал-Хани отмечают, что материализация одного риска, относящегося к группе «тигр», может привести к полной остановке проектных работ.

  • Аллигатор (alligator) — непредсказуемый риск — это негативное рисковое событие, имеющее низкую степень вероятности наступления, но обладающее способностью оказывать значительное негативное влияние на цели проекта.

  • Щеночек (puppy) — часто встречаемый риск. «Щеночком» называют негативный риск, который имеет высокую степень вероятности наступления, но при этом не способен оказывать значительное влияние на цели проекта.

  • Котенок (kitten), или несущественный риск, — это негативное рисковое событие, которое имеет низкую степень вероятности наступления и при этом не обладает способностью оказывать какое-либо значительное влияние. По мнению Т. Мерна и Ф. Ал-Хани, рисками данной группы проектный коллектив и руководитель проекта могут пренебречь.

Процесс воздействия на риски. Разработка мер воздействия на риски является творческим процессом, так как необходимо устранить противоречия, которые часто возникают между проектными целями и предъявляемыми требованиями. Кроме того, стоит отметить, что за разработку мер воздействия на риски ответственны руководители ИТ-проектов, которые, как правило, имеют разное образование, квалификацию и творческие способности. По этой причине для создания мер плана А и мер плана Б необходимо применять различные методы, стимулирующие их творческие способности.


В исследованиях, проведенных И. Селиховкиным, было установлено, что для обеспечения более высокого уровня результативности при применении мер воздействия на риски необходимо использовать различные стратегии. Данный факт также подтверждается в своде правил проектного управления PMBOK® Guide, который рекомендует использовать десять стратегий для управления рисками — пять стратегий для управления негативными рисками и пять стратегий для управления позитивными рисками.

В банковской и ипотечной сфере природу риска в основном рассматривают в негативном ключе, что сказывается на стратегиях риск-менеджмента. Так, по мнению В.К. Селюкова и С.Г. Гончарова, для рисков могут быть использованы стратегии хеджирования и диверсификации.


Процесс мониторинга и контроля над рисками. Мониторинг рисков и контроль над ними не требуют адаптации методов, так как целью данных процессов являются определение неидентифицированных рисков и наблюдение за ранее идентифицированными рисками. Таким образом, в рамках создания алгоритма управления рисками в ИТ-проектах будет достаточно автоматизировать процесс контроля над рисками с помощью специализированных программных продуктов (RiskGap, OpenPlanProfessional, RiskTrack и др.).


Алгоритм управления рисками ИТ-проектов


На основании критического анализа и адаптированных методов для сферы информационных технологий автором статьи был разработан алгоритм управления рисковыми событиями в ИТ-проектах (Рисунок 1).

Рисунок 1. Алгоритм управления рисками в ИТ-проектах


Алгоритм управления рисками в ИТ-проектах, представленный на Рисунке 1, включает в себя последовательность действий для двух фаз жизненного цикла — «организация и подготовка» и «выполнение работ», с подробным описанием взаимосвязанных последовательностей действий. Так, например, для фазы жизненного цикла «организация и подготовка» необходимо выявить риск, проанализировать его, провести оценивание, выбрать лучшую стратегию воздействия и разработать меры воздействия. Для фазы жизненного цикла «выполнение работ» последовательность работ иная. Так, если выявленный риск наступил, то для минимизации полученного ущерба привлекаются запланированные резервы.


Внедрение алгоритма в субъекты сферы ИТ


Для определения результативности и экономической эффективности разработанного алгоритма управления рисками в ИТ-проектах было отобрано 7 субъектов из сферы информационных технологий и 11 ИТ-проектов. Выбор данных субъектов и проектов обусловлен целью исследования — создать алгоритм, который мог бы подходить ИТ-проектам различной длительности (краткосрочные, среднесрочные, долгосрочные), типов (сайт, программное обеспечение, мобильное приложение, портал, ERP-система и др.), численности проектных коллективов и методик управления проектами (agile, waterfall).


В ходе проведенного исследования было установлено, что в рассматриваемых субъектах часто сознательно отказываются от риск-менеджмента либо частично используют отдельные процедуры. Низкая популярность управления рисками может объясняться следующими факторами:

  • управление рисками не приносит ощутимой пользы. Так, например, создав план управления рисками, руководители ИТ-проектов не используют данный документ в процессе реализации проектов, предпочитая работать с текущими проблемами. Руководители комментируют данную ситуацию так: «Часто события в проектах развиваются не так, как было запланировано. Это приводит к пересмотру ключевых позиций проекта, и многие проектные документы, в том числе и план управления рисками, теряют свою актуальность»;

  • сознательный отказ от управления рисками по причине возможного нарушения бизнес-процессов управления организации. Опрос представителей управленческого аппарата исследуемых организаций выявил большие опасения касательно данного вопроса;

  • существующие методы по идентификации, анализу, оцениванию и воздействию на риски не учитывают специфических особенностей сферы информационных технологий, поэтому не могут эффективно использоваться руководителями ИТ-проектов;

  • отсутствие корпоративной культуры ведения реестра рисков побуждает руководителей ИТ-проектов отказываться от использования риск-менеджмента;

  • использование риск-менеджмента в ИТ-проектах является неактуальным, так как возникающие проблемы не могут оказывать значительного влияния на успешные исходы проектов и на деятельность организаций в целом. Необходимо отметить, что данное утверждение является ошибочным. Анализ деятельности выбранных организаций показал, что 3 исследуемых субъекта выступали истцами в арбитражном суде. Иными словами, в данных организациях наступили «правовые риски», которые могли бы быть нивелированы при использовании риск-менеджмента.

На основании проведенного исследования причин низкой популярности риск-менеджмента в субъектах сферы ИТ были сформулированы требования, которым должно отвечать современное риск-ориентированное управление в ИТ-проектах. В частности, алгоритм управления рисками в ИТ-проектах должен:

  • гармонично взаимодействовать с существующими методиками управления проектами (agile, waterfall);

  • учитывать специфику сферы ИТ;

  • быстро интегрироваться в любой ИТ-проект независимо от действующей фазы жизненного цикла;

  • выявлять специфические и скрытые негативные риски;

  • быть экономически эффективным.

В результате апробации было установлено, что временной период, необходимый для применения алгоритма, составляет от 8 до 14 ч. Данная информация имеет большую практическую ценность, так как может служить нормировочным критерием во время исполнения руководителями ИТ-проектов функции планирования.

Эмпирически доказано, что созданный алгоритм выявляет специфические и скрытые негативные риски.


Результаты исследования представлены в статье:

Николаенко В.С. Риск-менеджмент как необходимый фактор для успешного завершения ИТ-проектов, реализуемых в рамках национальной программы «Цифровая экономика» // Государственное управление. Электронный вестник, 2020. - №79. – С.271-295. DOI: 10.24411/2070-1381-2019-10059. – URL: http://e-journal.spa.msu.ru/vestnik/item/79_2020nikolaenko.htm


Риск-менеджмент – необходимый фактор
. Ни
Download НИ • 988KB

Risk Management as a Factor of Success f
Download • 988KB

Заключение


На основании полученных данных можно заключить, что созданный алгоритм управления рисками может быть использован в любом субъекте сферы ИТ, в том числе и национальных ИТ-проектах, таких как автоматизированная система управления транспортным комплексом, ИТ-система обмена знаниями в сфере сельского хозяйства, единый транспортный сервис и др., а также в других проектах, инициированных в рамках Указов Президента РФ № 203 о стратегии развития информационного общества и № 204 о национальных целях и стратегических задачах развития России, Распоряжения Правительства № 1632-р об утверждении программы «Цифровая экономика» и Постановления Правительства № 234 о системе управления реализацией национальной программы «Цифровая экономика».

Карта сайта

Справка о постановке на учет физического лица в качестве налогоплательщика налога на профессиональный доход за 2020 г. №1965729 от 08.08.2020 г.

здесь учат управлять

  • Vkontakte - серый круг
  • Facebook
  • YouTube

БЕЗРИСКОВЫХ

ВАМ ПРОЕКТОВ!

2018 - 2020

Николаенко Валентин Сергеевич ©