Практика управления рисками существенно опережает теорию.

Сергей Кошелев директор
департамента корпоративных
информационных систем
компании «Открытые Технологии»

Утверждение, вынесенное в заголовок настоящей заметки, не следует воспринимать как шутку. В нашей стране и вправду замечено непонимание теоретических аспектов управления рисками как раздела теории управления проектами, что, в свою очередь, отражается на практике. Как сказал один руководитель проекта со стороны заказчика: «О каком анализе и оценке вы хотите с нами говорить, если мало кто понимает, что такое риск».

К сожалению, среди заказчиков бытует мнение, что высокая цена ИТ-проектов покрывает любые риски. При этом заказчик стремится сократить стоимость проекта. А исполнитель зачастую вынужден соглашаться с назначенной ценой и сокращать перечень «нематериальных» услуг, к которым в первую очередь относится управление рисками. Услуги сокращаются, но риски-то остаются. Таким образом, ответственность за управление рисками берут на себя руководители проектов, и их деятельность, как правило, уже сводится к «практической работе» по реагированию на проблемы, но не к анализу и оценке рисков.

Но не все так безнадежно. Чем больше, серьезнее и длительнее проект, тем более серьезным становится и отношение к управлению рисками. Этот факт подтверждает проект внедрения ERP на базе Oracle e-Business Suite в группе компаний «Связьинвест», где данный вопрос был поднят с самого начала работы. В уставе проекта отражены ключевые риски и стратегия реагирования. Для управления рисками в проекте внедрения ERP в «Связьинвесте» была создана отдельная группа в составе координационного центра, которая называлась группой управления проблемами и рисками.

Еще один вопрос — как российские компании определяют вероятность возникновения того или иного риска. На практике обычно используется самостоятельный прогноз, основанный на собственном опыте. Например, в ходе проекта внедрения ERP на базе Oracle e-Business Suite в группе компаний «Связьинвест» рассматривался риск, что после внедрения аудиторы не подтвердят данные, полученные из новой системы. Этот риск был поднят исходя из опыта сотрудников заказчика. Оценка его вероятности была объективна: внедрение ERP-системы сопровождалось существенным пересмотром принципов учета. Исполнитель же со своей стороны в ответ на этот риск предложил серию циклов тестирования, предшествующих переходу к новой системе. Возможно, накопленный практический опыт и позволит в будущем говорить о наличии экспертов и экспертизы, к которым можно обратиться для оценки вероятности рисков. Но в настоящее время таких экспертов в стране немного.

Естественно, что в зависимости от вида ИТ-проекта актуальность и вероятность рисков может существенно изменяться. Например, если речь идет о внедрении ERP, то на риски существенно влияют такие показатели, как число пользователей, объем внедряемого функционала и сроки проекта. При реализации проектов внедрения технических решений влияние человеческого фактора на риски существенно снижается, но повышаются риски, связанные с преемственностью и планированием работ: проектирование — поставка — пусконаладка — тестирование. Что касается рисков, характерных для проектов внедрения бизнес-приложений, то наиболее существенным является риск, обусловленный нечетко поставленной целью проекта. Все перечисленные риски тесно связаны между собой и зачастую являются предпосылками других рисков. Так, неверно сформулированная цель проекта внедрения с высокой степенью вероятности породит необходимость пересмотра требований, что в свою очередь приведет к увеличению сроков и бюджета проекта, а в конечном итоге — к неудовлетворительному результату.

В заключение хотелось бы сказать, что риски носят не только негативный характер, но бывают и позитивными, то есть риск как неопределенное событие может и положительно повлиять на результаты и цели проекта. Но это не означает, что позитивными рисками не нужно управлять.