Планирование управления рисками ИТ-проектов

Автор: Александр Михайлов, эксперт по ИТ-стратегиям, MBA, генеральный директор компании «Консалтинг по управлению ИТ», editor@info-strategy.ru

Материал статьи подготовлен на базе имеющегося у автора этой статьи 20-летнего опыта выполнения проектов по ИТ и разработке ИТ-стратегий:

Типовые риски ИТ-проектов

В процессе реализации ИТ-проектов можно столкнуться со множеством рисков, от технических и финансовых до организационных и правовых. Игнорирование или недооценка этих рисков с высокой долей вероятности приведет к превышению плановых сроков выполнения проектов, перерасходу бюджета компании.

Когда говорят о «рисках», часто смешивают разные типы рисков:

• Риски невыполнения проекта в заранее запланированные сроки и затраты, а также недостаточное качество выполнения работ.
  Это риски для проекта (что проект не завершится в плановые сроки и затраты), а также для компании в целом (что задержки выполнения проекта и/или затраты на него приведут к проблемам для компании в целом;
• Риски, если вообще не выполнить проект. Например, для конкретной компании не выполнить обязательные требования налоговой службы о ежемесячной отчетности легко может привести к закрытию компании. Хотя при этом конкретной компании сами отчеты могут быть вообще не нужны, однако, приходиться их делать.
  Это риски для компании в целом;
• Риски, которые проект может вызвать после своего выполнения. Например, внедрение программного обеспечения стран, введших антироссийские санкции, может привести к утечкам информации, которая в эту систему вводится, а в пределе и к искажению данных во множестве других информационных систем компании, как, впрочем, и аресте руководителя компании при выезде в третьи страны.
  Это риски для компании в целом.

Далее в первую очередь рассмотрены риски невыполнения проекта в заранее запланированные сроки и затраты, а также недостаточное качество выполнения работ.

К основным категориям рисков ИТ-проектов обычно относят:

• Технические риски;
• Организационные риски;
• Правовые риски;
• Финансовые риски;
• Риски безопасности;
• Другие риски: репутационные и т.д.

Группы рисков ИТ-проектов

Управление рисками должно являться неотъемлемой частью любого ИТ-проекта, как, впрочем, и любых проектов. Некоторые люди и компании при планировании проекта даже не анализируют риски, удивляясь потом, что весь проект пошел «наперекосяк».

Идентификация, оценка и планирование управления рисками помогают минимизировать возможные проблемы в процессе разработки, внедрения и эксплуатации программного обеспечения. Риски могут возникать в самых разных областях проекта, включая технические, организационные, правовые, финансовые, риски информационной безопасности и др.

1. Технические риски

Технические риски являются одними из наиболее распространенных для проектов по ИТ и могут существенно повлиять на успешность проектов. Эти риски связаны с техническими проблемами, которые могут возникнуть на различных стадиях проекта, включая разработку, внедрение и эксплуатацию программного обеспечения. Например, могут возникнуть проблемы с совместимостью нового ПО с существующими информационными системами, с отказами компьютеров. Эти проблемы могут привести к задержкам в выполнении проекта и/или потребовать дополнительных затрат на решение возникающих проблем.

Для минимизации технических рисков важно на всех этапах проекта проводить тестирование, интеграцию и мониторинг ПО. Использование проверенных ИТ-технологий и тщательное планирование проекта также помогут снизить вероятность возникновения таких рисков.

2. Организационные риски

Организационные риски связаны с особенностями работы компании (которая выполняет ИТ-проект), её внутренними процессами и отношениями между сотрудниками. Внедрение новой информационной системы с высокой долей вероятности вызовет сопротивление со стороны сотрудников, которые привыкли к старым методам работы. Это сопротивление может замедлить внедрение нового ПО и снизить его эффективность. Кроме того, в проекте могут возникать проблемы с координацией между различными подразделениями компании, что также замедляет процесс.

Для эффективного управления организационными рисками важно вовлекать сотрудников во все этапы проекта, регулярно проводить обучения и оказывать поддержку со стороны руководства.

3. Правовые риски

Правовые риски могут проявляться в различных аспектах ИТ-проекта. Например, нарушение законодательства о защите персональных данных может повлечь за собой крупные штрафы и репутационные потери. Нарушение авторских прав и интеллектуальной собственности также является важной юридической проблемой, так как практически во всех проектов по ИТ используется программное обеспечение, принадлежащие другим компаниям.

Одним из очень часто встречающихся правовых рисков является нарушение договорных обязательств с подрядчиками или партнерами, что может привести к судебным разбирательствам и потерям для компании.

Для предотвращения правовых рисков важно заключать юридически обоснованные контракты, соблюдать все законодательные требования, включая защиту персональных данных, а также получать консультации у юристов для соблюдения всех норм и стандартов. Регулярное обновление знаний о законодательных изменениях также поможет избежать юридических проблем.

4. Финансовые риски

Финансовые риски заключаются в возможности превышения затрат на проект. Это может происходить по множеству причин, включая непредсказуемые изменения в стоимости работ сотрудников ИТ, программного обеспечения, технических средств. Антироссийские санкции также дополнительно серьезно повысили стоимость технических и программных средств.

Для эффективного управления финансовыми рисками необходимо правильно оценить бюджет проекта на начальной стадии и предусмотреть резервные средства на случай непредвиденных расходов. Регулярный контроль затрат поможет избежать финансовых трудностей для компании и проблем с премией участников проекта.

5. Риски информационной безопасности

Риски информационной безопасности связаны с кибератаками, утечками данных и несанкционированным доступом к информации. При внедрении нового ПО может возникнуть угроза появления уязвимостей, которые могут быть использованы злоумышленниками для кражи данных или нанесения ущерба компании.

Для минимизации рисков информационной безопасности необходимо внедрить системы защиты данных, регулярно обновлять программное обеспечение, а также обучать сотрудников правильному обращению с конфиденциальной информацией. Также важно проводить регулярные аудиты и тесты на проникновение для выявления возможных уязвимостей.

6. Другие риски

К другим рискам можно отнести репутационные риски, связанные с негативным восприятием проекта внешними пользователями, партнерами или клиентами. Например, сбои в работе информационных систем или утечки данных могут нанести значительный ущерб репутации компании.

Для минимизации репутационных рисков важно регулярно коммуницировать с клиентами и партнерами.

Методика оценки рисков

Управление рисками проектов рассмотрено в методике PMBOK^[1], а также в целом ряде российских ГОСТов:

• ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство»
  В настоящем стандарте содержатся руководящие указания по менеджменту рисков, которым подвержены организации. Эти руководящие указания могут быть адаптированы для любой организации вне зависимости от рода ее деятельности. Настоящий стандарт обеспечивает общий подход к менеджменту любых типов риска и не ограничивается конкретной отраслью или видом деятельности^[2];
• ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска».
  Настоящий стандарт является руководством по выбору и применению технологий оценки риска в широком спектре задач. Технологии используются для оказания помощи и содействия в принятии решений в случаях неопределенности, предоставления информации о конкретных рисках и в рамках процесса управления рисками^[3];
• ГОСТ Р ИСО/МЭК 16085-2007 «Менеджмент риска. Применение в процессах жизненного цикла систем и программного обеспечения».
  Настоящий стандарт устанавливает процесс менеджмента риска при заказе, поставке, разработке, эксплуатации и сопровождении программного обеспечения^[4].

• Идентификация рисков: необходимо выявить основные возможные риски, которые могут повлиять на проект. Это включает как внутренние, так и внешние факторы, такие как технические риски, организационные проблемы, изменения в законодательстве, финансовые трудности, проблемы с информационной безопасностью;
• Оценка вероятности и влияния: каждый риск следует оценить по двум критериям:
  • Вероятность возникновения (Probability) — насколько вероятно, что риск произойдет;
  • Влияние на проект (Impact) — насколько серьезное влияние риск (если он сбудется) окажет на проект.

Автор этого текста много лет работал в компании IBM и однажды прошел недельное обучение на курсе «Trouble project management», который в России назывался «Управление проектов в российских условиях» (хотя дословный перевод «Управление проблемными проектами»). Сразу после обучения меня послали руководить реально проблемным проектом, который ценой огромных усилий удалось более-менее успешно выполнить. Хотя по большинству проектов, которыми я руководил, заказчики были очень довольны.

Для практической оценки рисков автор этого текста предлагает использовать следующую диаграмму сравнения рисков:

Рис. 1. Диаграмма сравнения рисков

Для того, чтобы оценить шкалу «Низкая/средняя/высокая вероятность возникновения рисков» в процентах, можно использовать следующие стандартные диапазоны, которые применяются в широко используемой методике управления проектами PMBOK (Project Management Body of Knowledge)^[5]:

В соответствии с диаграммой оценки рисков (Рис. 1) можно предложить следующие оценки уровней рисков:

Низкий риск	зеленый цвет	— Вероятность: возникновение риска крайне маловероятно — Воздействие: даже если риск возникнет, его влияние на проект будет минимальным и легко устранимо	Пример: незначительные задержки в поставке материалов, которые не влияют на общие сроки
Низкий риск	светло-зеленый	— Вероятность: низкая вероятность возникновения — Воздействие: небольшое влияние на проект, возможно незначительное увеличение затрат или сроков	Пример: частичное несоответствие требованиям, требующее минимальных корректировок
Средний риск	желтый	— Вероятность: средняя вероятность возникновения — Воздействие: влияет на проект в умеренной степени, возможно увеличение затрат или сроков	Пример: проблемы с выделением финансирования, что может задержать выполнение проекта
Высокий риск	оранжевый	— Вероятность: высокая вероятность возникновения — Воздействие: существенно влияет на сроки, бюджет или качество проекта, может потребоваться пересмотр плана	Пример: уход ведущего разработчика, что может существенно задержать проект
Высокий риск	красный	— Вероятность: возникновение практически гарантировано — Воздействие: критическое влияние на успех проекта; возможны существенное превышение затрат, срыв сроков	Пример: полное прекращение финансирования проекта

Оценка уровня риска позволяет руководителям проектов своевременно планировать мероприятия по снижению негативных последствий рисков и принимать управленческие решения. Разделение рисков на уровни помогает определить приоритеты реагирования и сконцентрировать усилия, в первую очередь, на высоких рисках.

Планирование управления рисками

Рассмотрим типовые рекомендации по управлению рисками:

1. Избежание риска (Risk Avoidance)

Этот подход предполагает принятие таких мер, которые исключают возможность возникновения риска, т.е. уклонение от риска. Это может включать в себя изменение плана проекта или частичную корректировку целей проекта.

Например, отказ от использования ИТ-технологии стран, которые ввели антироссийские санкции, которая может вызвать проблемы, и переход к российскому решению;

2. Снижение риска (Risk Mitigation)

Снижение риска подразумевает принятие мер для уменьшения вероятности возникновения риска или его влияния на проект. В данном случае цель — не избежать риска, а уменьшить его возможные последствия.

Например, использование резервных копий данных или введение дополнительных тестов для устранения возможных ошибок в ПО;

3. Передача риска (Risk Transfer)

Передача риска предполагает перенесение части или всего риска на другую компанию или страхование риска. Этот подход часто используется для снижения финансовых потерь в случае возникновения нежелательного события.

Например, заключение страхового контракта для покрытия рисков, связанных с оборудованием, или передача части задач подрядчику с условием ответственности за их выполнение.

У неопытных руководителей проектов возникает иллюзия, что при этом риск исчезает, на самом деле делается попытка перераспределить ответственность за последствия этого риска. Эта попытка может как увенчаться успехом, так и нет, например, страховая компания может как выплатить компенсацию, так и не выплатить, или выплатить частично, а компания подрядчика может просто обанкротиться;

4. Принятие риска (Risk Acceptance)

Принятие риска предполагает, что руководитель проекта осознает вероятность возникновения риска, но решает не предпринимать активных действий для его снижения, потому что риск либо маловероятен, либо его последствия не являются критичными для проекта (и для компании в целом). Например, принятие риска задержки выполнения проекта из-за внешних факторов, таких как ограничение поставок оборудования из-за санкций, которые трудно контролировать.

Каждая из этих рекомендаций по управлению рисками — избежание, снижение, передача и принятие — является частью стандартных подходов по управлению рисками в международных методиках, таких как PMBOK^[6], ISO 31000 (российский аналог ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство»^[7]). Эти методики помогают компаниям анализировать риски и принимать взвешенные решения на каждом этапе проекта, исходя из вероятности возникновения рисков, их воздействия, а также возможностей по управлению рисками.

Типовые риски проектов по ИТ, оценки их влияния на проект и возможные меры по снижению рисков

В Табл. 2 рассмотрены основные группы рисков, способных повлиять на ход ИТ-проекта, а также представлены типовые риски для каждой группы:

Группа рисков	Типовые риски
Технические риски	— Несоответствие технологий требованиям проекта — Недостаточная квалификация разработчиков — Проблемы с интеграцией с существующими информационными системами и данными — Ошибки в программах
Организационные риски	— Недостаточная поддержка со стороны руководства — Плохая координация между подразделениями — Неправильное определение приоритетов
Правовые риски	— Несоответствие проекта требованиям законодательства — Нарушение лицензионных соглашений — Нарушение прав на интеллектуальную собственность — Ошибки в договорах с контрагентами — Регуляторные санкции
Управленческие риски	— Нечеткое определение требований — Частые изменения требований — Неправильная оценка сроков и ресурсов
Финансовые риски	— Превышение бюджета — Изменение стоимости лицензий и оборудования — Финансовая нестабильность компании
Риски, связанные с персоналом	— Текучесть кадров — Недостаток квалифицированных специалистов — Конфликты в команде
Внешние риски	— Изменения в законодательстве — Политические и экономические факторы — Действия конкурентов
Риски информационной безопасности	— Утечка данных — Кибератаки — Нарушение требований по защите информации

Каждая из групп рисков имеет свои примерные вероятности возникновения, влияние на проект и методы управления (см. Табл. 3):

Группа рисков	Вероятность возникновения (%)	Влияние на проект	Рекомендации по управлению рисками	Меры по снижению рисков
Технические риски	средняя	Возможны задержки, доработка или провал	Проведение технического анализа перед стартом проекта	Выбор проверенных технологий, обучение разработчиков
Организационные риски	средняя	Снижение эффективности, конфликты	Улучшение взаимодействия подразделений	Регулярные встречи, формализация процессов
Правовые риски	средняя или высокая	Судебные разбирательства, штрафы, запрет деятельности проекта	Юридическая экспертиза документов и договоров, консультации с юристами, мониторинг изменений законодательства	Включение юридического аудита в процесс разработки, соблюдение требований ФЗ-152 и иных нормативных актов, грамотное оформление интеллектуальной собственности
Управленческие риски	средняя или высокая	Срыв сроков, перерасход бюджета	Четкое определение требований, контроль изменений	Введение строгой методологии управления
Финансовые риски	средняя	Недостаток средств, остановка проекта	Регулярный финансовый мониторинг	Резервирование бюджета, гибкое планирование затрат
Риски, связанные с персоналом	средняя	Потеря ключевых специалистов, снижение темпов	Создание системы мотивации, обучение персонала	Развитие корпоративной культуры, программы удержания
Внешние риски	средняя	Изменение требований, новые угрозы	Анализ внешней среды, адаптация стратегии	Гибкость в управлении, мониторинг законодательства
Риски информационной безопасности	средняя или высокая	Утечки данных, нарушения законодательства	Разработка стратегии безопасности	Внедрение систем защиты, обучение персонала

Эффективное управление рисками в ИТ-проектах требует комплексного подхода: от предварительного анализа и оценки возможных угроз до внедрения хорошо проработанных мер по снижению рисков и постоянного мониторинга ситуации.

При планировании и выполнении ИТ-проектов важно не только определить и классифицировать потенциальные риски, но и регулярно пересматривать их оценку, так как внешние условия и внутренние факторы проекта могут меняться в ходе работ. Эффективное управление рисками предполагает:

• Предварительный анализ: определение возможных рисков и оценка их критичности;
• Выбор рекомендаций по реагированию: избежание, снижение, передача или принятие риска;
• Регулярный мониторинг: отслеживание ситуации и при необходимости корректировка ранее принятых решений.

Таким образом, грамотная система управления рисками обеспечивает более высокую вероятность достижения целей ИТ-проекта, снижает непредвиденные расходы и способствует выполнению работ в рамках установленных сроков и бюджета.

Риски ИТ-проектов по разработке и внедрению ПО

Риски ИТ-проектов по разработке и внедрению ПО можно поделить на международные (применимые в том числе и для России) и специфичные именно для России.

Международные риски ИТ-проектов:

2. Технологические изменения и быстрое устаревание технических и программных средств. ИТ-технологии развиваются быстрыми темпами, что приводит к их быстрому устареванию. Важно учитывать эти изменения на протяжении всего проекта, чтобы не оказаться с устаревшими технологиями в конце его реализации;

3. Проблемы с интеграцией и совместимостью с уже внедренными информационными системами. Интеграция новых решений с существующими системами может быть сложной задачей. Часто возникают проблемы с совместимостью, что может затруднить или задержать внедрение;

4. Недостаток квалифицированных специалистов. Это одна из основных причин, по которой ИТ-проекты сталкиваются с трудностями. Без нужных специалистов, проект может столкнуться с проблемами на этапе разработки и внедрения;

5. Сложности с соблюдением законодательства. Различия в законодательных нормах разных стран могут стать препятствием для реализации проекта, особенно если проект работает в нескольких юрисдикциях. Это может включать требования по защите данных, интеллектуальной собственности и налогообложению.

Российские риски ИТ-проектов:

2. Недостаточная инфраструктура ИТ в некоторых регионах России. В некоторых регионах отсутствует надежный и высокоскоростной выход в Интернет. Это может стать серьезным препятствием для реализации ИТ-проектов, особенно в горных и северных районах

3. Нестабильный курс рубля. Колебания курса рубля могут оказать значительное негативное влияние на стоимость ИТ-решений, особенно если проект зависит от импорта оборудования или ПО. Это может привести к дополнительным финансовым рискам и необходимости пересмотра бюджета проекта.

Риски ИТ-проектов, как международные, так и локальные, могут существенно повлиять на успешность проекта. Для эффективного управления рисками необходимо заранее их выявлять, оценивать вероятность возникновения и влияние на проект, а затем разрабатывать план их минимизации.

Нормативные правовые акты и иные официальные документы

1. Руководство к своду знаний по управлению проектами. Руководство PMBOK, 6-е изд., — М.: Олимп-Бизнес, 2020. — 974 с. ↑

2. ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство» (утв. и введен в действие Приказом Росстандарта от 10.12.2019 N 1379-ст). М.: Стандартинформ, 2020. ↑

3. ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска» (утв. и введен в действие Приказом Росстандарта от 17.12.2019 N 1405-ст). М.: Стандартинформ, 2020. ↑

4. ГОСТ Р ИСО/МЭК 16085-2007 «Менеджмент риска. Применение в процессах жизненного цикла систем и программного обеспечения» (утв. и введен в действие Приказом Ростехрегулирования от 27.12.2007 N 568-ст). М.: Стандартинформ, 2008. ↑

5. Руководство к своду знаний по управлению проектами. Руководство PMBOK, 6-е изд., — М.: Олимп-Бизнес, 2020. — 974 с. ↑

6. Руководство к своду знаний по управлению проектами. Руководство PMBOK, 6-е изд., — М.: Олимп-Бизнес, 2020. — 974 с. ↑

7. ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство» (утв. и введен в действие Приказом Росстандарта от 10.12.2019 N 1379-ст). М.: Стандартинформ, 2020 ↑

Помощь в разработке ИТ-стратегии

а) Книги А. Михайлова

• «ИТ-стратегия и стратегия ЦТ», получить по подписке
• 15 мини-книг и 50 статей

б) Обучение и совместная с консультантами разработка

• корпоративное обучение
• в группе ИТ-менеджеров малых компаний
• совместная с консультантами разработка ИТ-стратегии 

в) Консалтинг

• Консалтинг
• Аудит ИТ-стратегии
• Поддержка ИТ-стратегии

Консультация по ИТ-стратегии и помощь в выборе варианта ее разработки