Информатизация бизнеса. Управление рисками
Шрифт:
Планирование управления рисками может включать в себя решения по организации, кадровому обеспечению процедур управления рисками проекта, выбор предпочтительной методологии, источников данных для идентификации рисков, регламент выполнения процедур. Важно спланировать управление рисками, адекватное как уровню неопределенности и риска, так и важности проекта для организации.
По статистике мировой консалтинговой компании IBM, занимающейся реализацией проектов в области ИТ в различных индустриях, на стадии предварительной проработки и планирования внедрения проекта (первые 10 %) закладывается более 90 % его полезности. Именно в это время закладываются наиболее болезненные последствия: срыв сроков, нереальный бюджет, ущербная функциональность.
Целью этапа планирования управления рисками является разработка плана управления рисками, который содержит:
обоснование выбора методологии управления рисками. В зависимости от выбранной методологии могут выполняться определенные этапы, использоваться различные средства управления рисками;
детальные планы управления рисками. Тщательное и подробное планирование управления рисками позволяет выделить достаточное количество времени и ресурсов для выполнения операций по управлению рисками, определить общие основания для оценки рисков, повысить вероятность успешного достижения результатов проекта. Данные о выделенных ресурсах и оценка стоимости мероприятий, необходимых для управления рисками, включаются в базовый план по стоимости проекта. Необходимо предусмотреть обеспечение планов управления рисками посредством их интеграции в общие процессы управления ИТ-проектом;
определение роли и ответственности в процессе управления рисками и обеспечение вовлеченности участников. Помимо распределения ролей и ответственности, необходимо выделить список позиций выполнения, поддержки и управления рисками для каждого вида операций, включенных в план управления рисками, назначение сотрудников на эти позиции и разъяснение их ответственности;
определение подходов, инструментов и источников данных, которые могут использоваться для управления рисками в данном проекте. Организации могут иметь заранее разработанные подходы к управлению рисками, например категории рисков, общие определения понятий и терминов, стандартные шаблоны, схемы распределения ролей и ответственности, а также определенные уровни полномочий для принятия решений, что необходимо прописать в плане управления рисками на этапе планирования;
определение пороговых уровней рисков. Отношение к риску и толерантность к риску организаций и лиц, участвующих в проекте, оказывает влияние на план управления проектом. Оно должно быть зафиксировано в изложении основных принципов и подходов к управлению рисками;
определение методов идентификации и оценки рисков, критериев приоритезации идентифицированных рисков. В зависимости от выбранной методологии происходит определение сроков и частоты выполнения идентификации и оценки рисков на протяжении всего жизненного цикла проекта, а также определение методов по идентификации и оценке рисков;
принципы учета и документирования. На этапе планирования происходят определение частоты и формата отчетности, разработка шаблонов для документирования процесса управления рисками, определяются регламенты и правила написания и оформления документов.
Планирование управления рисками должно быть завершено на ранней стадии планирования проекта, поскольку оно крайне важно для успешного выполнения других процессов. План управления рисками проекта разрабатывается на основе внутренних документов предприятия, а также контрактов с внешними заинтересованными сторонами.
Процедура идентификации рисков должна проводиться регулярно на протяжении
жизненного цикла ИТ-проекта для выявления упущенных и новых образовавшихся потенциальных рисков. Мероприятия по выявлению рисков могут привязываться к временному графику (например, быть ежедневными, еженедельными или ежемесячными) или вехам проекта.После формирования плана управления рисками начинается этап идентификации рисков, на котором определяются риски, способные повлиять на проект, и документируются характеристики этих рисков. Идентификация рисков – это итеративный процесс, который периодически повторяется на всем протяжении проекта, поскольку в рамках его жизненного цикла могут обнаруживаться новые риски. Поэтому процедура идентификации рисков должна проводиться регулярно на протяжении реализации проекта для выявления упущенных и новых образовавшихся потенциальных рисков. В идентификации рисков должно быть задействовано как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов.
В рамках процесса идентификации рисков ИТ-проекта необходимо:
• определить, какие риски могут повлиять на проект;
• обеспечить итеративный процесс выявления рисков;
• организовать методы идентификации и совещания по проекту;
• анализировать все возможные допущения и ограничения;
• анализировать сильные и слабые стороны, угрозы и возможности;
• обеспечить своевременное и полное документирование рисков проекта;
• обеспечить четкие и своевременные коммуникации.
В идентификации рисков должно быть задействовано как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов, – поскольку требуется понимание миссии проекта, его предметной области, целей заказчика, инвестора и других заинтересованных лиц.
Для сбора информации о рисках могут применяться различные подходы. Среди этих подходов наиболее распространены:
1) обзор документации;
2) метод мозгового штурма;
3) метод Дельфи (Delphi);
4) SWOT-анализ;
5) интервью (опросы экспертов);
6) контрольные списки;
7) анализ предположений/сценариев;
8) причинно-следственные диаграммы;
9) структурирование рисков с использованием структурной декомпозиции риска.
Обзор документации. Метод используется для первоначального ознакомления с проектом и предполагает проведение обзора существующих документов группой управления рисками проекта, включает структурированный анализ плана проекта и имеющихся предложений (ограничений) как на уровне всего проекта, так и на уровне отдельных работ.
Исходные данные для выявления и описания характеристик рисков могут браться из разных источников. В первую очередь это база знаний организации. Информация о выполнении прежних проектов может быть доступна в архивах предыдущих проектов. Следует помнить, что проблемы завершенных и выполняемых проектов – это, как правило, риски в новых проектах.
Другим источником данных о рисках проекта может служить разнообразная информация из открытых источников, научных работ, маркетинговая аналитика и другие исследовательские работы в данной области. Наконец, многие форумы по программированию могут дать бесценную информацию о возникших ранее проблемах в похожих проектах (рис. 9).
Среди документов, которые могут быть эффективно использованы с целью идентификации рисков для максимально полного списка рисков, предлагаются следующие документы:
• устав проекта;
• структурная декомпозиция работ;
• описание продукта;
• расписание проекта;
• предполагаемые затраты и сроки;
• ресурсный план;
• план поставок;
• список предположений и ограничений.
Дополнительно может использоваться документация предыдущих проектов и доступная внешняя информация – коммерческие базы данных, учебные пособия, специализированные издания, открытые публикации по похожим проектам и прочее.