ИТ-подразделения в своей работе сталкиваются с различными рисками едва ли не каждый день. Тем не менее управление рисками пока не занимает в большинстве ИТ-служб то видное место, которое следовало бы ему отвести. К счастью, есть и такие, где управлять рисками — дело привычное, обязательное, само собой разумеющееся.
Управление рисками давно уже стало одной из ключевых дисциплин менеджмента. В ряде отраслей развитию культуры управления рисками способствуют требования отечественных и международных регуляторов. Однако во многих других отраслях предприятия приходят к необходимости системно управлять своими рисками, по мере того как достигают определенного уровня организационной зрелости. Похоже, нечто подобное происходит и с российскими ИТ-службами: в большинстве из них управлению рисками сегодня уделяется явно недостаточное внимание, причем даже там, где ИТ-руководитель сам имеет «разряд» (сертификат) по этой дисциплине. Но все же есть и те, где управление рисками уже работает и чьи представители готовы делиться своим опытом.
Напомним, что методы управления рисками, как дисциплина, изложены в стандартах ГОСТ Р 51897-2002 «Менеджмент риска», ИСО 31000:2009 «Менеджмент рисков. Принципы и руководящие указания», ИСО/МЭК 31010:2009 «Менеджмент рисков. Методы оценки рисков» и ряде других.
Риски в проектах
Управление рисками — обязательный элемент грамотно выстроенного проектного управления: прежде чем реализовывать проект или его подпроекты, необходимо идентифицировать и оценить риски, которые могут возникнуть в ходе его осуществления. Даже если риски вроде бы не так уж и велики, их все равно стоит оценить, чтобы они не оказались неприятным сюрпризом в момент, когда их никто не ожидал, и чтобы своевременно принять решение о необходимых действиях, если риски наступили.
Управление проектными рисками — область хорошо изученная, соответствующие рекомендации можно найти и в популярных в России руководствах PMI (в частности, в PMBoK) и IPMA (в России эту организацию представляет «Совнет»), и в относительно недавно вышедших стандартах ГОСТ Р 54869-2011 «Проектный менеджмент. Требования к управлению проектом» и ISO 21500:2012 Guidance on project management («Руководство по управлению проектами»).
«Культура непрерывного процесса управления рисками является, как мне кажется, одним из наиболее весомых конкурентных преимуществ группы компаний, в которой я работаю, — считает Кирилл Карманов, руководитель департамента ИТ компании «Сосьете Женераль Страхование Жизни». — Этот процесс является и частью нашей проектной методологии, и составляющей ежедневных бизнес-процессов». По его словам, риски всех проектов оцениваются по определенной методологии еще на этапе подготовки к запуску проекта при разработке технико-экономического обоснования. Риски ранжируются согласно установленной классификации, после чего назначаются ответственные сотрудники и разрабатываются планы действий по уменьшению потенциального ущерба при их реализации и вероятности их возникновения. «В ходе реализации дальнейших этапов проекта риски периодически переоцениваются. На этапе его завершения остаточные риски должны согласовываться владельцами процессов на предмет их приемлемости для бизнеса», — добавляет Карманов.
«Мы сейчас живем в очень изменчивом мире, и на результаты проекта могут оказывать влияние совершенно непредсказуемые факторы, несущие в себе риски. Даже четкое описание требований и технического задания может не удовлетворить заказчиков проекта после его завершения, — рассказывает Сергей Гроссет, директор департамента ИТ группы компаний «Ренова». — Наши ИТ-проекты не являются масштабными, а именно в больших проектах, на мой взгляд, и проявляются риски. Более четкое разграничение ИТ-проектов позволяет нам не порождать в них риски. Но все равно они возникают». Также Гроссет напоминает, что учет и управление рисками, как и всякое управление, требует определенных затрат. Что касается требований к использованию методик оценки рисков в проектной деятельности, то их определяет у ровень зрелости организации.
Алексей Петрушов, вице-президент корпорации «Галактика», считает, что культуры управления рисками в России на сегодняшний день нет и ее необходимо зарождать: «Ни одна из методологий для управления рисками ни в близком мне окружении, ни среди компаний-партнеров, ни на известных мне предприятиях не применяется. Другими словами, в области управления рисками российские организации, к сожалению, находятся на одной из самых начальных ступеней, когда управление осуществляется, по сути, интуитивно. Пишутся меморандумы, риски, связанные с несвоевременным запуском проекта, например, могут нивелироваться более детальной проработкой состава работ и ожидаемых на каждом этапе результатов, но никакие методики при этом не применяются. Ни разу за 20 лет моей работы заказчик в ходе предконтрактных переговоров не спросил о риск-менеджменте — то есть о том, что реально могло бы снизить вероятность неуспеха проекта».
По словам Петрушова, риск-менеджмент исполнителю проекта не очень выгоден, поскольку связан со значительными затратами. «Он несет дополнительные затраты на контроль, анализ, аудит, а поскольку там по деньгам и срокам обычно идут очень жесткие переговоры, то на этом всегда пытаются сэкономить. Всем известно, что почти все ИТ-проекты выполняются с опозданием и с расширенным бюджетом. Большую часть работы по снятию всех рисков осуществляет спонсор проекта — тот, кто выделяет на него деньги, это может быть и собственник бизнеса, и наемный менеджер. Люди подобного уровня обладают очень широкими полномочиями».
Петрушов рекомендует проектные риски в первую очередь классифицировать: «Большинство рисков носят коммуникационный характер, на начальном этапе или в процессе проекта коммуникации нередко выстраиваются неправильно. Огрехи в коммуникациях на начальном этапе «обрабатываются» договором, в котором детально все описывается. Коммуникационные риски могут возникнуть в процессе взаимодействия проектных команд, если ИТ-проект сложный и связан не только с развертыванием системы, но и с ее доработками, разработкой новых функций и созданием дополнительных модулей. Часть таких коммуникационных рисков снимает тщательно подготовленный устав проекта — это полезная штука, но на практике ею пользуются не все и нечасто».
Операционные риски ИТ
Помимо проектных рисков, можно выделить также операционные риски ИТ-службы — их тоже, вообще говоря, полезно выявлять, оценивать и контролировать. Рекомендации по управлению рисками в ИТ-сервисах можно найти в ITIL. Специфика управления рисками информационной безопасности отражена в соответствующих стандартах.
«Наша компания как минимум каждый год проводит кампанию по переоценке основных рисков по всем бизнес-процессам, в рамках которой моей непосредственной обязанностью является провести этот процесс по направлениям ИТ и ИБ, — рассказывает Карманов. — Оценка производится на основе серий интервью с ключевыми сотрудниками, экспертных мнений и накопленной статистики по операционным инцидентам за последние пять лет. Результаты оценки рисков в дальнейшем учитываются при формировании ИТ-стратегии компании».
Карманов и его коллеги для оценки рисков ИТ и ИБ используют собственную методологию, созданную на основе компиляции методологии, разработанной в группе компаний, и стандартов ISO: «В рамках методологии мы, в частности, определяем различные критерии измерения рисков, такие как их вероятность, объем и тип потенциального ущерба. Также мы рассматриваем возможные сценарии реализации идентифицированных рисков и анализируем на достаточность примененные нами ранее меры по уменьшению потенциального ущерба. На основе проведенных исследований разрабатываются краткосрочный и долгосрочный планы управления рисками: первый предполагается реализовывать в течение одного квартала, а второй, подразумевающий бюджетирование существенных ресурсов, берется за основу при разработке ИТ-стратегии на следующий период».
«В рамках проводимых в управлении ИТ внутренних и внешних аудитов формируются рекомендации, включаемые в нашу работу. На их основе и ведется управление рисками», — делится опытом Гроссет.
По мнению Петрушова, наиболее эффективно покупать ИТ как услугу — в этом случае предприятие приобретает гарантию снижения своих рисков поломок оборудования и обеспечение работоспособности системы в нужном режиме 7/24/365 как сервис, предоставляемый сторонней организацией, например вендором или интегратором. «Это, на мой взгляд, правильная формула, формула будущего, потому что она позволяет четко обозначить затраты и результаты», — считает он.
Как видим, к управлению рисками весьма серьезно подходят в международных компаниях. Конечно, эти мероприятия требуют определенных затрат, но раз ими западные компании занимаются, значит, игра стоит свеч. Нет сомнений, что российские ИТ-подразделения рано или поздно придут к управлению рисками. Это наверняка произойдет, когда они достигнут определенного уровня организационной зрелости.