Современные процессы управления проектными рисками на предприятиях IT-сферы

Успешность проектной деятельности организаций во многом зависит от качества и оперативности принятия управленческих решений. Качество принимаемых решений напрямую коррелирует с оперативностью процессов идентификации рисков, качеством планирования управления, своевременностью анализа и оценки рисков, реагирования на них. В настоящее время в отечественной и зарубежной научной среде отсутствует какая-либо единая точка зрения к определению понятия «риск» и единый подход к способу классификации проектных рисков. Это связано как с разными точками зрения самих исследователей, так и со сложной и неоднородной природой самого явления и его специфичностью в разных отраслях экономики. В широком смысле И. В. Багаева с соавт. отмечает, что под рисками проекта понимаются неопределённые события, которые в случае возникновения имеют позитивное или негативное влияние как минимум на один из параметров проекта: содержание, качество, сроки, стоимость [1, с. 764].

Проблема определения единого подхода к классификации проектных рисков является общепризнанной в разных научных сообществах, а актуальность её решения связана с

Колько Яна Александровна - студент высшей школы производственного менеджмента Санкт-Петербургского Политехнического университета Петра Великого

Y. Kolko - student of the Graduate School of Production Management at St. Petersburg Peter the Great Polytechnic University

отрицательным данной проблемы на качество управления рисками в организации. Качественная классификация рисков способствует повышению эффективности риск-менеджмента, благодаря положительному влиянию на процессы идентификации и приоритезации рисков. Неполная, поверхностная классификация проектных рисков может приводить к непоследовательности в разработке стратегии управления рисками, проблемам ресурсного планирования, затруднению мониторинга и контроля рисков, низкой скорости реагирования.

В отечественной и зарубежной литературе описано большое количество подходов к классификации проектных рисков, отличающихся друг от друга принципами классификации, предметной областью проектов, для которых осуществляется классификация рисков, и другими признаками. В классификации рисков, предложенной С.В. Пупенцовой и И.И. Поняевой, авторы предлагают подход, связанный с разделением всех рисков на две основные группы: внутренние и внешние [6, с. 67]. Под внутренними рисками они подразумевают риски, возникающие во внутриорганизационной среде, а внешние – связаны с внешней средой организации. Первая группа рисков, в свою очередь, делится на три подгруппы:

• 1)    коммерческие – риски, связанные с неправильным или неполным проведением маркетинговых исследований;

• 2)    инвестиционные – связаны с риском недополучения запланированных выгод;

• 3)    производственные – связаны с производственным процессом. Включают в себя риски, связанные с квалификацией сотрудников, поставками ресурсов для производства, самим производством [6, с. 68].

Вторая группа включает в себя шесть подгрупп рисков: политические; экономические, связанные с экономической обстановкой; природные – с природными явлениями чрезвычайного характера; отраслевые, устанавливающие фокус на специфику развития отрасли организации; законодательные, связанные со спецификой законодательства; региональные, акцентирующие внимание на особенностях и уровне развития региона, в котором осуществляет свою деятельность и/или зарегистрирована организация [5, с. 77].

Управленческая классификация рисков, сторонниками которой являются Е.А. Мильская с соавт., основывается на принципах разделения рисков по этапам, источникам, управляемости, силе влияния, масштабу, и ряду других признаков, включаемых в классификацию в зависимости от специфики проекта и деятельности организации. Одна из возможных конфигураций классификации данного типа отображена в таблице 1 «Управленческий подход к классификации рисков» [5, с. 102].

Минусом управленческого подхода является отсутствие детальной классификации проектных рисков в зависимости от этапа реализации проекта. Также управленческий подход классификации рисков плохо учитывает специфику рисков в IT-проектах, представляя собой больше общую классификацию рисков в коммерческих организациях.

Существует ещё множество разных подходов к классификации рисков. Но один из подходов к классификации рисков, нельзя считать в полной мере подходящим для классификации рисков в IT-сфере [4, c. 47]. Классификация рисков в области IT должна быть уникальной для каждого конкретного проекта. Этот факт обосновывается необходимостью учёта специфики проекта, его предметной области, регулярно изменяющихся факторов внешней и внутренней среды.

Таблица 1. Управленческий подход к классификации рисков

Признак	Вид	Значение
1	2	3
1.Природа происхождения	1.Объективный	Связан с факторами возникновения рисковых событий повлиять на которые невозможно или очень тяжело: политические, экономические, отраслевые, региональные, природные.
	2.Субъективный	Связан с личностью предпринимателя и сотрудников, с личной компетентностью и образованностью, профессионализмом, рискованностью и опытностью.
2.Масштаб риска	1.Локальный	Риски уровня интересов организации.
	2.Отраслевой	Риски, связанные со спецификой отрасли.
	3.Региональный	Риски, обусловленные особенностями развития регионального хозяйства.
	4.Национальный	Макроэкономические риски уровня экономики страны.
	5.Международный	Риски, связанные с масштабными мировыми событиями: войны, пандемии, мировые кризисы.
3.По   характеру источника	1.Внешний	Связан с воздействием внешней среды.
	2.Внутренний	Обусловлен действием внутренних факторов.
4.По возможности страхования	1.Страхуемый риск	Риск   можно   оценить   количественно   и застраховаться от его последствий.
	2.Нестрахуемый риск	Риск страхованию не подлежит.
5.Этап деятельности	1.Принятие решения	Неправильное определение первоначального уровня риска, неполнота и неточность исходной информации.
	2.Реализация решения	Изменение и отсутствие учёта изменения условий реализации проекта.
6.По        роду опасности	1.Природные	Вызваны природными катаклизмами.
	2.Техногенные	Вызваны хозяйственной деятельностью человека.
	3.Смешанные	Хозяйственная деятельность человека, повлёкшая возникновение ЧС природного характера.
7.По     степени допустимости	1.Минимальный	Характеризуется небольшим уровнем возможных потерь прибыли (до 10%)
	2.Повышенный	Потери до 25%
	3.Критический	Потери от 25% до 75%
	4.Недопустимый	Потери от 75% до 100%
8.По времени	1.Бессрочный	Действует постоянно, не привязан к времени.
	2.Срочный	Является    одномоментным    или    длится определённое ограниченное время.
9.По возможности детализации	1.Простой	Атомарный риск, не может быть декомпозирован на более мелкие риски.
	2.Комплексный	Сложный комплексный риск, может быть разделён на более мелкие элементы.

Источник: составлено авт.. по данным [5, C 102].

Несмотря на сложность задачи создания уникального подхода к классификации рисков в проектах IT-отрасли, для улучшения качества риск-менеджмента рекомендуется стандартизировать и упорядочить подход к классификации проектных рисков путём описания чёткой последовательности шагов процесса и создания типовых шаблонов. Разработка и внедрение стандартизированных методов и инструкций позволяет создать некий конструктор классификации проектных рисков, обеспечивающий повышение эффективности и упорядоченности управления рисками в IT-проектах [10, c. 47]. Создание формализованного подхода к классификации проектных рисков требует разработки множества инструментов риск-менеджмента, взаимосвязанных друг с другом и создаваемых на различных этапах жизненного цикла проекта в результате реализации процессов управления проектными рисками, которые будут рассмотрены далее.

И. В. Багаева, И. С. Бровко, М. Ю. Гляков и др. в своей работе отмечает, что процесс управления проектными рисками – это систематический и комплексный процесс, методология, направленная на идентификацию, анализ, оценку, управление и мониторинг рисков, влияющих на успешность реализации проекта [3, с. 56]. Этот процесс включает в себя ряд мероприятий – конкретизированных процессов укрупнённого процесса управления проектными рисками, состоящих из ряда шагов и действий, направленных на минимизацию отрицательных последствий рисков и максимизацию возможностей в ходе реализации проекта.

Существуют разные подходы к классификации и систематизации процессов управления проектными рисками. В своих трудах С. В. Пупенцова предлагает осуществлять дифференциацию процессов управления рисками на следующие группы:

• -    идентификация рисков,

• -    анализ,

• -    оценка,

• -    планирование мер реагирования,

• -    реализация планов управления,

• -    мониторинг,

• -    контроль, закрытие рисков [7, с. 57].

Существуют и другие способы систематизации и классификации процесса управления проектными рисками, но большинство из них опираются на общую парадигму и включают в себя практически идентичный набор процессов управления рисками на проекте [11, c. 2049]. Альтернативный состав процессов риск-менеджмента, предлагаемый методологией Project Management of Knowledge, представлен на рисунке 1 «Схема процессов управления проектными рисками».

Рисунок 1. Схема процессов управления проектными рисками

Процесс идентификации рисков предполагает осуществление ряда мероприятий, направленных на выявление потенциальных рисков проекта, возникающих в ходе его реализации. На этом этапе команда проекта собирает информацию о предметной области проекта, проводит анализ и определяет все потенциальные риски. Идентификация рисков осуществляется посредством различных методов принятия решения, а также при помощи использования различных эмпирических, статистических и аналитических методов: мозговой штурм, анализ предшествующего опыта, консультация с экспертами и множество других методов, подходящих для выдвижения гипотез и предположений о возможных рисках инициированного проекта. Результатом осуществления мероприятий в рамках данного процесса по мнению А. Г. Сомова с соавт. является создание такого артефакта проектного управления как реестр типичных и потенциальных рисков с подробным описанием причин возникновения, триггеров, возможных последствий при наступлении [9, с. 64].

В ходе идентификации рисков далеко не все риски возможно сразу явно определить, особенно на начальных этапах реализации проекта. Однако, в проектной деятельности существуют различные инструменты, направленные на увеличение вероятности идентификации рисков. Одним из таких вспомогательных инструментов повышения качества идентификации рисков является, уже ранее рассмотренная, классификация проектных рисков [12, c. 281].

Процесс анализа рисков предполагает анализ идентифицированных рисков с точки зрения вероятности их возникновения и потенциального воздействия на проект. Анализ позволяет определить: насколько критичны определенные риски для успешного завершения проекта, позволяют подобрать лучшую стратегию реагирования на них. Ключевым артефактом данного процесса, также является реестр рисков. В процессе анализа рисков происходит их уточнение и дополнение реестра информацией. Дополнение и уточнение реестра рисков в ходе реализации мероприятий данного процесса по мнению С. В. Пупенцовой достигается благодаря использованию таких инструментов-артефактов как: дерево Исикавы, диаграммы вероятности и воздействия, а также матрицы качественного анализа – для приоритезации и ранжирования рисков [7, с. 98].

Процесс оценки рисков является логическим продолжением процесса анализа рисков и делится на два аспекта: качественная и количественная оценка. Качественная оценка – представляет собой сбор и оценку экспертных мнений и взглядов на возможную вероятность наступления риска и возможные неблагоприятные последствия. Предоставляет возможность сформировать перечень рисков, сгруппированных по приоритету, и получить комплексную оценку, сформированную на основе мнений специалистов разных профилей. Количественная оценка проектных рисков направлена на получение приближенных к точным оценкам вероятности наступления риска. Количественный анализ более трудоемкий, требует высокого качества входных данных, использования математических моделей и более высокого уровня знаний и навыков. Количественный анализ позволяет проанализировать расходы и сроки реализации проекта, вероятность достижения конечной цели, вероятность наступления риска. Результатом реализации процесса оценки рисков является создание диаграммы дерева решений или её аналогов, формирование подробной документации, содержащей анализ и расчеты вероятности наступления рисков, прогностические модели и их описание.

Процесс планирования реагирования на риски предполагает разработку плана действий для управления каждым идентифицированным риском, а также критических, ранее не идентифицированных рисков. Основными артефактами риск-менеджмента данного процесса являются планы управления рисками, представляющие собой описание подходов и стратегий управления рисками на каждой из стадий жизненного цикла проекта. В ходе данного этапа для каждого риска осуществляется определение стратегии управления и реагирования:

• 1)    избегание риска – корректировка плана реализации проекта, выраженная возможностью избежать наступление риска или максимально минимизировать негативные последствия от его наступления;

• 2)    снижение риска – комплекс мероприятий, направленный на снижение вероятности наступления негативных событий или последствий их наступления;

• 3)    передача риска – передача риска другому, третьему лицу, например: заключение договора страхования, предусмотренные в договоре санкции и неустойки;

• 4)    принятие риска – подготовка к худшему сценарию, подготовительные мероприятия к ликвидации последствий наступления риска [7, с. 56].

Процесс реализации планов предполагает внедрение элементов плана по управлению рисками на практике. Данный процесс выражается в выполнение ряда мероприятий, необходимых для минимизации вероятности наступления риска, его предупреждения, а также на основании выбранного варианта реагирования предпринимаются соответствующие дальнейшие действия, направленные на управление проявившимся риском и ликвидации негативных последствий. Результатом процесса реализации планов по управлению рисками является создание документов, подтверждающих выполнение планов реагирования на риски, а также журналы изменений, в которых происходит фиксирование всех изменений в целях сохранения истории развития проекта.

Процесс мониторинга и контроля предполагает постоянное отслеживание рисков на проекте и характер их воздействия на ход его развития. Данный процесс предполагает постоянный анализ внутренней и внешней среды на предмет наличия триггеров, сигнализирующих о приближении риска. В случае срабатывания риска осуществляются мероприятия его контроля и локализации, выраженные в его оценке, анализе и подготовке заключения для дальнейшей реализации мер реагирования и противодействия в соответствии с заранее разработанными планами. Инструменты данной группы процессов – инструменты отслеживания прогресса управления рисками (матрица управления рисками), отчеты о текущем статусе рисков, записи решений, принятых на встречах и обсуждениях по управлению рисками [2, с. 103].

Процесс закрытия рисков предполагает, что по мере завершения проекта или снижения степени риска, связанного с определенными аспектами проекта, реализуются меры по закрытию рисков. Это может включать в себя завершение мониторинга конкретного риска, начало процесса анализа эффективности мер по управлению рисками, документирование опыта, перераспределение ресурсов, которые были ранее зарезервированы под другие риски. Основным документом, разрабатываемым в ходе реализации данного процесса, являются отчёты о закрытии рисков – документы, описывающие результаты завершения работ по управлению рисками и степень достижения поставленных целей.

Таким образом, можно заключить, что эффективность системы управления проектными рисками в организации требует соблюдение систематического и комплексного подхода к реализации мероприятий и процессов, направленных на идентификацию, мониторинг, контроль предупреждение и управление проектными рисками. В ходе исследования, были определены группы процессов управления проектными рисками и связанные с ними мероприятия и инструменты реализации управляющего воздействия. Обоснована актуальность рассматриваемой проблемы, выраженная в необходимости повышения процента успешно реализованных IT-проектов при помощи совершенствования процессов риск-менеджмента. Рассмотрена роль и влияние классификации, систематизации и приоритезации на процессы идентификации и управления рисками.