[[slotProps.postItem.title]]
В современных условиях экономической нестабильности компаниям становится все сложнее достигать целевых показателей. Постоянно меняющееся технологическое окружение вынуждает компании снижать срок вывода новых высокотехнологичных продуктов на рынок и для этого реализовывать новые ИТ-проекты. В таких условиях обеспечить стабильность достижения целевых показателей проектов становится амбициозной задачей, для решения которой понадобится применение практик управления рисками ИТ-проектов.
ИТ-проекты в крупных промышленных компаниях, с точки зрения управления рисками, мало отличаются от других видов проектов. При традиционном подходе к управлению проектами, описанном в стандартах ISO 21500:2012, PMBoK, ГОСТ Р 54869—2011, все начинается с ИТ-инициативы, далее проект выходит с запросом на финансирование, потом на стадию планирования, затем на реализацию и завершение. Существуют как общие инструменты управления рисками на протяжении всего жизненного цикла проекта, так и характерные для определенных инвестиционных фаз ИТ-проекта. Кроме того, состав рисков, присущих различным фазам проекта, также может меняться (больше всего рисков приходится на фазы планирования и реализации)[1].
Основными особенностями в управлении рисками ИТ-проектов являются:
· Централизованная компетенция управления рисками: риск-менеджер проектного офиса как внутренний консультант
· Осознанное применение базовых инструментов риск-менеджмента вместо механистического моделирования
· Большое количество рисков, оказывающих влияние на протяжении всего жизненного цикла проектов
· Высокая частота обновления информации по рискам проекта
· Умеренное вовлечение заинтересованных сторон в управление проектными рисками в силу сложности обоснования экономических эффектов от ИТ-проектов
Рассмотрим ключевые аспекты управления рисками ИТ-проекта на разных фазах.
Инициирование проекта
На этапе разработки ИТ-инициативы инструментарий по управлению рисками ограничен в силу недостаточной детализации подхода к управлению проектом на ранней стадии. Инициатива описывает лишь в кратком виде суть предлагаемого проекта без детального календарно-сетевого графика и финансово-экономической модели. В таких условиях нецелесообразно применять продвинутые инструменты оценки рисков и стоит ограничиться перечислением наиболее явных потенциальных угроз с указанием качественного уровня их значимости.
Более детальная проработка рисков осуществляется при подготовке к заседанию инвестиционного комитета, на котором принимается решение о финансировании проекта в дальнейшем. На этом этапе командой проекта готовится широкий пакет документов, в том числе реестр рисков ИТ-проекта.
Спецификой ИТ-проектов является турбулентная внешняя среда, которая накладывает неопределенность на ход развития проекта. Так, например, результаты ИТ-проекта к моменту его завершения могут оказаться устаревшими. В течение проекта также может поменяться состав ключевых участников. Подобные риски сложно привязывать к конкретным работам, потому что они могут реализоваться в ходе всего проекта.
Лучше практикой считается интеграция мероприятий по управлению рисками в календарно-сетевой график проекта. В дальнейшем данные мероприятия могут быть утверждены на коллегиальном органе как отдельные поручения для ответственных лиц. Как правило, детализация календарно-сетевого планирования на ИТ-проектах менее подробная, чем, например, на проектах капитального строительства (100–200 работ на ИТ-проектах и 500–1000 работ на проектах капитального строительства), что накладывает ограничения на детализацию инструментария по управлению рисками: зрелость управления проектными рисками не может быть выше зрелости управления проектом.
Чтобы наполнение реестра рисков было осознанным и действительно помогало проектной команде обеспечивать стабильность достижения целевых показателей на проекте, используется ряд инструментов: это могут быть опросные листы, чек-листы, базовые перечни рисков (покрывает около 80% рисков проекта), база реализовавшихся рисков на других проектах, статистическая информация по бизнес-процессам в периметре ИТ-проекта.
Также эффективным инструментом управления рисками в начале проекта является расширенная риск-сессия, которая проводится со всеми заинтересованными сторонами на проекте: в первую очередь, это руководитель проекта, представители проектного офиса, заказчик проекта, а также смежные подразделения, вовлеченные в управление проектом, например, ИТ-инфраструктура, ИТ-архитектура, информационная безопасность, руководители сервисных линий смежных проектов, которые могут оказывать влияние на текущий проект.
Индикатором того, что риск-сессия прошла успешно и была полезной для проекта, является не только формальное согласование содержимого реестра рисков, но и обсуждение и решение вопросов, непосредственно связанных с управлением проектом: зоны ответственности (матрица RACI), порядок передачи и предоставления материалов проекта различными участниками, достаточность ресурсов для выполнения работ и необходимых резервов (как временных, так и финансовых).
Планирование и реализация проекта
В дальнейшем на фазах планирования и реализации осуществляется периодический мониторинг и пересмотр содержимого реестра рисков: эти действия могут быть привязаны к проведению заседаний управляющих и инвестиционных комитетов при классическом подходе к управлению проектами (stage-gate): при этом должен быть предусмотрен механизм выявления рисков на протяжении всего проекта (например, горячая линия либо коммуникация с методологами по управлению рисками в проектном офисе) и включения мероприятий по ним в календарный план работ по проекту.
При необходимости снова проводятся расширенные риск-сессии с привлечением ключевых участников проекта.
При реализации рисков на ИТ-проекте вся информация по ранее идентифицированному риску (риск-факторы, первоначальные оценки, статусы мероприятий, которые уже были запланированы ранее), а также мероприятиям по реагированию, которые осуществляются после реализации риска, документируется в реестре реализовавшихся рисков. Таким образом, прослеживается история работы над реализовавшимся риском, что является серьезным подспорьем для обоснования запроса на изменение срока и бюджета проекта. Также подчеркивается ценность проведения мероприятий по управлению риском, хоть он все равно реализовался, несмотря на большую проделанную работу проектной команды. В среднем на ИТ-проекте в крупной металлургической компании реализуется 2–3 риска с совокупным влиянием на срок 3–6 месяцев и влиянием на бюджет от 5–10%.
Завершение проекта
На фазе завершения проекта осуществляются систематизация всех действий по управлению рисками на проекте и формирование извлеченных уроков, источником которых могут быть как риски, так и в целом интересные кейсы на проекте, позволившие предложить новые управленческие решения, которые помогли обеспечить стабильность достижения срока проекта, его бюджета, показателей NPV и IRR: например, описание лайфхаков по сокращению длительности некоторых процедур на проекте либо, наоборот, планирование дополнительного времени на сложные процедуры.
Информация по идентифицированным, реализовавшимся рискам и извлеченным урокам является источником пополнения базового перечня рисков, который является основой при формировании реестра рисков в самом начале нового проекта.
Роли в управлении рисками ИТ-проектов
Ответственность за управление рисками ИТ-проекта, как и за успешность проекта в целом, несет руководитель проекта. Он является владельцем рисков на проекте, однако за отдельные мероприятия по управлению рисками могут быть ответственны и другие участники проекта: заказчик, руководитель сервисной линии или группы проектов, представители смежных подразделений.
Из-за относительно небольшого масштаба ИТ-проектов и ограниченного состава рабочей группы (зачастую это может быть лишь один руководитель проекта и один администратор проекта) компетенция по управлению рисками необязательно должна присутствовать в виде полного FTE в составе рабочей группы по проекту. Функция риск-менеджмента может быть централизована в проектном офисе как сервис, в который может обращаться руководитель проекта за консультациями по управлению рисками своего ИТ-проекта, как правило, раз в квартал или по необходимости.
В такой ситуации риск-менеджер офиса управления ИТ-проектами обладает тремя основными функциями:
1. Методологическая функция. Риск-менеджер разрабатывает всю необходимую нормативно-методическую документацию, разрабатывает и поддерживает в актуальном состоянии необходимые шаблоны по рискам, ведет базу реализовавшихся рисков, базовый перечень рисков и базу извлеченных уроков, фасилитирует риск-сессии.
2. Просветительская функция. Риск-менеджер регулярно проводит групповые семинары, индивидуальные консультации, занимается информационными рассылками на участников проектной деятельности, при необходимости привлекает внешних консультантов для проведения обучения и оценки компетенций по управлению рисками руководителей проектов, тем самым развивая риск-ориентированную культуру в проектном офисе.
3. Контрольная функция. Риск-менеджер верифицирует и согласует материалы по управлению рисками на ключевых вехах проекта (в среднем раз в квартал).
Реализация ИТ-проекта зависит от многих факторов: это и профессионализм руководителя проекта, и слаженная работа всех вовлеченных в проект лиц, и комфорт работы со смежными подразделениями. Грамотно задуманный и спланированный ИТ-проект обречен на успех, а риск-менеджмент – один из инструментов, позволяющий посмотреть на проект под другим углом и разработать ряд мероприятий, чтобы помочь обеспечить достижение этого успеха.
[1] Николаенко В. С. Негативные и позитивные риски в ИТ-проектах // Вестник Московского университета. Серия 21. Управление (государство и общество). 2018. № 3.
Автор: Дмитрий Зайцев
