Управление рисками в IT-проектах: подходы и инструменты

В различных источниках нет четкого определения термина «IT-проект» (проект в сфере информатизации). При этом в различных источниках приводится множеств примеров реализации проектов в сфере IT в различных предметных областях. Управление проектом – это деятельность, направленная на достижение целей, на создание уникального продукта (продукта). Желаемый уровень качества может быть достигнут только при наличии ограниченных ресурсов и времени. Несмотря на общие черты, управление проектами в сфере информационных технологий имеет свои особенности, по сравнению с управлением другими проектами.

Проекты в сфере IT – это инновационная деятельность, направленная на создание нового интеллектуального продукта. IT-продукт обладает высоким качеством, что обуславливает высокий спрос на него. Уровень неопределенности, связанный с результатом. Из-за ограниченных возможностей планирования проектов, в первую очередь, следует уделить внимание точному планированию. Выбирая методы и модели управления рисками, необходимо учитывать специфику методологии, используемой при разработке программных продуктов. Следует отметить, что процесс управления рисками в сфере IT-проектов является достаточно сложным из-за отставания знаний от технологий, а также нематериальных результатов, которые получают в итоге. Эти ограничения ограничивают в свою очередь возможности планирования, контроля и управления рисками [2, c. 72].

Что касается понятия риска, можно выделить два основных подхода к определению:

• классический. Сторонники этого подхода считают, что риск – это возможность неудачи. В процессе реализации IT-проектов могут возникнуть неблагоприятные обстоятельства, способные снизить расчетный уровень его эффекта;
• неоклассический. В рамках этого подхода риск рассматривается как вероятность отклонения от фактической величины инвестиционного дохода. Условный доход (поток) зависит от ожидаемой величины дохода: чем более изменчива шкала возможных доходов, тем больше риск, и наоборот. Это определение кажется нам более обоснованным. Таким образом, такая трактовка такого сложного понятия как риск, позволяет акцентировать внимание на его сути. Риск – это не «неопределенность» или «возможность неудачи». Неопределенность – это фундаментальная проблема [4, c. 18-28].

В самом широком значении неопределенность можно определить как отсутствие информации относительно чего-либо, понимание или знание того, что произошло, последствия или вероятность этого события. Неопределенность – это то, что может произойти и она порождает риски – события, которые имеют отрицательное влияние. Экономическая неопределенность и риски – это убыток, его вероятность в будущем, соотношение «убыток-прибыль»). В случае с проектами риск – это «воздействие неопределенности». Воздействие в данном контексте рассматривается как фактор влияния. Отклонение от запланированного результата может привести к негативным результатам, может повлечь за собой отрицательные последствия. Успешные результаты не могут быть достигнуты при отсутствии мер по контролю рисков. Этим объясняется необходимость контроля рисков IT-проекта.

Управление рисками проекта заключается в том, чтобы достичь целей проекта, благодаря управлению происходит максимизация потенциально положительных результатов, а риски, соответственно, минимизируются. При грамотном управлении рисками происходит эффективная идентификация, оценка и контроль потенциальных угроз за счет правильной оценки, контроля и контроля рисков.

Управление IT-проектами – это управление влиянием рисков на IT-проект и принятие мер по улучшению контроля над неопределенностью, а также над вероятностью недостижения намеченных целей. Если говорить об управлении рисками в IT, то это искусство и наука идентификации и анализа рисков. Управление рисками – это определение контекста, выявление и анализ рисков, оценка степени риска, модификация риска [6, c. 95-98].

Управление проектом осуществляется в режиме реального времени и имеет нематериальный результат, требующий максимальной детализации требований к результатам проекта с последующей корректировкой и уточнением. Руководители IT-проектов должны уметь решать уникальные технические вопросы. В связи с тем, что большинство проектов выполняются в рамках аутстаффинга, большое внимание уделяется выявлению проблемных мест. Требования к результатам проекта и ожиданиям от них формируют техническое задание. Для того, чтобы понять, как работает бизнес в сфере информационных технологий и информационного продукта, решения должны быть разработаны с учетом специфики бизнеса клиента. При этом, важным является создание эффективной коммуникации между заказчиком и исполнителем. Все заинтересованные стороны имеют одинаковые интересы. В связи с высокой сложностью проекта и большим количеством ролей в нем (глава проекта, менеджер проекта, разработчик, программист и тестировщик) возникает необходимость в большом количестве ролей: руководитель проекта, аналитик, инженер-проектировщик, конструктор и др. Связь между ними должна быть налажена. Помимо этого, проектная команда может быть задействована на нескольких проектах одновременно, что влияет на качество работы, формирование графика проекта.

Управление проектами представляет собой ограниченную в пространстве и во времени систему, и оно имеет интеллектуальный нематериальный результат в виде информационной системы или технологий, которые находятся в состоянии неопределенности. Несмотря на то, что в IT есть определенные шаблонные действия, все проекты в том или ином процессе требуют принятия неординарных решений.

Жизненный цикл – это промежуток между началом и окончанием проекта, который разделяется на несколько фаз. В научной и практической литературе описан жизненный цикл проектов в IT-сфере. Информационные системы рассматриваются совместно с жизненной циклизацией систем (System development Light Click – SSDL) как процесс разработки, планирования, создания, тестирования и управления информационной системой. Модель жизненного цикла проекта, а также модель функционирования программного обеспечения нужны на протяжении всего цикла разработки IT-проекта. Методология управления IT-проектом определяет его жизненный цикл и в соответствии с этим цикл может быть итеративным или адаптивным [3, c. 134].

Наиболее распространенной причиной неудач IT-проектов является отсутствие фокус-группы (или если она недостаточно определена), неправильно поставленные цели и задачи, а также проблемы, с которыми сталкиваются исполнители (нереалистичный график, изменение требований к персоналу, техническое планирование, несоответствие квалификации), несогласованность команды в целом, недостаток знаний (недостаток навыков).

Основной причиной неудач в IT-проектах являются изменения приоритетов (40%) и размытость целей (40%), изменения требований (38%) и цели проекта (35%), неадекватность расчетов затрат (22%), неправильные оценки времени выполнения задачи (29%). На эффективность и рисковость IT-проекта также оказывают влияние такие факторы, как уровень финансирования и объем работ. Кроме этого, учитывая то, что происходит в мире, важно не только построение эффективной коммуникации, но и ее поддержание, очень рискованно использовать искаженную информацию.

Управление рисками – это своего рода форма страхования, которая связана с будущими событиями/рисками в IT-проекте, особенно в проектах по разработке программного обеспечения, точный результат которых всегда неизвестен, и заранее невозможно предсказать, как справиться с этими неопределенностями. К сожалению, немногие разработчики IT-проектов должным образом определяют потенциальные рисковые события и оценивают вероятность наступления рискового события, возможный исход, действительно ли оно произойдет и когда оно может произойти. Рисковые события действительно могут повлиять на время, стоимость, масштаб и качество результатов проекта. Поэтому очень важно внедрить механизм управления рисками, чтобы проектная команда могла минимизировать потенциальные риски при максимальном использовании потенциальных возможностей.

Также важно полностью понимать процесс управления рисками, который состоит из идентификации рисков, анализа рисков, разработки мер реагирования на риски и контроль рисков. Кроме того, проектной команде настоятельно рекомендуется определить источники рисков для IT-проектов и принципы, лежащие в основе управления рисками проекта. Проекты, особенно по разработке программного обеспечения, различаются по размеру и сложности. Чем сложнее проект, тем более рискованные события могут произойти в течение жизненного цикла проекта, которые могут оказать положительное или отрицательное воздействие на цели проекта. Другими словами, рисковые события влияют на время, стоимость, масштаб и качество результатов проекта.

Примерами рисковых событий являются значительные изменения в объеме работ, сбои в работе продуктов, произведенных в рамках IT-проекта, конкретные задержки в реализации IT-проекта из-за отсутствия рабочей силы, судебные разбирательства против компании, забастовки персонала и т.д. Важным считается наличие надежных механизмов управления рисками. Управление рисками – это своего рода форма страхования; это инвестиция в будущее IT-проекта и самой IT-компании, которая его реализует.

Управление рисками связано с будущими событиями/рисками в IT-проекте и с тем, как заранее можно справиться с этими неопределенностями. Это также искусство и наука планирования, оценки (выявления и анализа), управления рисками, мониторинга и реагирования на них на протяжении всего срока реализации проекта для достижения целей проекта. Управление рисками часто упускается из виду в проектах, но оно может помочь повысить успешность проекта, помогая отбирать хорошие проекты, определять масштаб проекта и разрабатывать реалистичные оценки. Следовательно, существует необходимость понимания потенциальных рисковых событий и того, как они могут помешать успеху IT-проекта.

Процесс упреждающего управления рисками состоит из идентификации рисков, количественной оценки рисков (анализа), разработки мер реагирования на риски и контроля рисков. Идентификация рисков – это понимание того, какие потенциальные неудовлетворительные результаты связаны с конкретным IT-проектом и документирование их характеристик. Существуют два типа рисков: неизвестные риски и известные риски.

Неизвестные риски – это те, которые могут быть выявлены после тщательной оценки плана проекта, деловой и технической среды, в которой разрабатывается IT-проект, и других надежных источников информации (например, нереалистичная дата поставки, отсутствие документированных требований или объема программного обеспечения, плохая среда разработки). Известные риски экстраполируются из прошлого опыта реализации проекта (например, текучесть кадров, плохая коммуникация с заказчиком, ослабление усилий персонала по мере выполнения текущих запросов на техническое обслуживание). Могут возникнуть непредсказуемые риски, но их чрезвычайно трудно определить заранее.

Количественная оценка рисков (анализ) – это процесс оценки рисков для оценки диапазона возможных результатов проекта. Оценка рисков – это процесс оценки вероятности и возможного воздействия каждого выявленного риска для обеспечения того, чтобы они были поняты и могли быть расставлены по приоритетам.

Существует три области рисков, которые могут повлиять на успех IT-проекта: проектные риски, технические риски и бизнес-риски. Контроль реагирования на риски включает в себя выполнение процессов управления рисками и плана управления рисками для реагирования на рисковые события. Распространенными источниками риска являются миссия и цели, факторы, определяющие принятие решений, управление организацией, клиент / конечный пользователь, бюджет, график и многое другое.

Проектное управление в контексте проектной деятельности включает в себя шесть процессов управления рисками:

• планирование мероприятий для управления рисками;
• выявление и идентификация рисков;
• количественная оценка рисков;
• качественный анализ рисков;
• планирование мероприятий, направленных на предотвращение рисков;
• мониторинг рисков и контроль за ними [1, c. 23-30].

Так, в рамках IT-проектов эти модели могут использоваться для наглядного изображения процессов управления рисками и отображения существующих значимых проблем. На то, какие методы и модели управления рисками будут применяться в IT-проекте, существенно влияет используемая методология. Методология управления проектами позволяет эффективно управлять проектом, прочно зафиксировать цели проекта, определить сроки и качество выполнения работ, составить план реализации проекта. Методы управления проектными процессами основаны на жизненном цикле, среди них: Scrum, Kanban и разработка через тестирование (Lean & Test Driven Development (TDD), экстремальное программирование (eXtreme Programming). К методологии относятся PMBAK (справочник управления проектами) и Project Management Workshop (Search for Project Management Workshop) [1, c. 31-33].

Любой IT-проект имеет свои риски, из-за которых он не закончится, может стать менее выгодным, а может даже и вовсе не начаться. Для того, чтобы риски не помешали реализации проекта по разработке и внедрению программного обеспечения, необходимо определить их и свести к минимуму. Поэтому анализ рисков должен быть системным. Существуют разработки, помогающие рассчитать риски. Наиболее дорогостоящими риски становятся во время экономических кризисов, т.к. в нашей стране очень много проблем, связанных с управлением рисками, эта тема сегодня не теряет своей актуальности.

В качестве альтернативы предлагается создать интеллектуальную систему, которая позволит компаниям рассчитать возможные риски и устранить их. Таким образом, это позволит уменьшить или вовсе не допустить неудачи в своих проектах. Идея заключается в накоплении базы знаний о рисках, что позволит с каждым новым проектом накапливать информацию о возможных рисках и проводить расчеты для снижения их уровня. Это решение будет предназначено для автоматизации бизнес-процессов компаний, которые занимаются разработкой и внедрением информационных систем.

Благодаря тому, что все IT-проекты по сути однородны, их можно назвать однообразными. Система автоматизирует работу многих компаний по управлению рисками и не будет требовать от них одних и тех же расчетов. База данных будет содержать все возможные варианты развития событий на каждом этапе жизненного цикла IT-проекта. Также ей будет учтен тот факт, что на протяжении всего цикла риски возрастают. В первую очередь, риски подлежат идентификации, где определяется их принадлежность к определенной категории риска (технические, организационные, финансовые и т.п.). Организационные риски могут быть связаны с нехваткой материалов, дополнительными требованиями потребителей и поставщиков. Финансовые риски включают в себя неуплату налогов, инфляцию и др. [5, c. 88]

Задачей качественного анализа риска является определение причин и факторов, влияющих на вероятность этого риска. Необходимо также проанализировать стоимостную оценку всех возможных последствий (таблица 1):

Таблица 1

Качественная оценка риска

Количественный анализ в свою очередь определяет численную величину каждого риска (таблица 2):

Таблица 2

Вероятность наступления риска

Эти оценки нужны для защиты от возможных потерь и для оценки целесообразности принятия решения. По этим данным строится таблица: степень воздействия и вероятность риска (таблица 3):

Таблица 3

Взаимодействие воздействия и вероятности

После построения данной таблицы можно приступать к планированию минимизации рисков. Существует четыре способа это сделать: избежать, минимизировать, передать и принять риски. Самое главное в управлении рисками – не забывать постоянно заниматься их мониторингом и контролем, так как они могут возникнуть, например, при отклонении от запланированного графика работ. Необходимо отслеживать уже идентифицированные риски, производить идентификацию новых, следить за исполнением планов реагирования на риски и производить оценку эффективности планов реагирования.

При проектировании интеллектуальной системы необходимо построить концептуальную модель, которая определит смысловую структуру рассматриваемой предметной области. Помимо этого, нужно совершить анализ объекта автоматизации (модель «как есть»), создать модель «как будет» и оценить экономическую эффективность данной системы.

Существуют определенные принципы, обеспечивающие эффективное управление рисками, включают глобальную перспективу, перспективный взгляд, открытую коммуникацию, интегрированное управление, непрерывный процесс, общее видение продукта и командную работу.

Настоятельно рекомендуется, чтобы у IT-разработчиков был хорошо спланированный план управления рисками для обеспечения соблюдения процедур управления рисками на протяжении всего проекта. Кроме того, у них также должен быть план действий на случай непредвиденных обстоятельств в виде заранее определенных действий, которые команда проекта предпримет в случае возникновения выявленного рискованного события.

Команда проекта должна быть осведомлена о потенциальных рисковых событиях, которые могут быть угрозами или возможностями, и о том, какие области IT-проекта были затронуты, прежде чем предпринимать какие-либо соответствующие действия для урегулирования ситуации. Проектная команда должна иметь в своем распоряжении тщательный процесс управления рисками, чтобы повысить успех IT-проекта. Этот процесс должен быть доведен до сведения всех сторон, участвующих в данном проекте, в надежде на то, что они смогут достичь целей проекта в рамках выделенного бюджета и времени без ущерба для качества предоставляемого продукта и/или услуги.