Процесс управления рисками сам по себе многовариантен, что обусловливает поиск комплексных решений по повышению эффективности управления рисками в проектах. В статье рассмотрены основные параметры и специфика управления рисками в IT-проектах и в проектной деятельности. Проанализированы методологии управления проектами: методологии, основанные на жизненных циклах системы (systems development lifecycle SDLC), и методологии-стандарты. Представлена классификация методологии управления проектами.

В условиях стремительного развития информационных технологий и увеличения их роли в эффективном функционировании каждой организации проекты по разработке и внедрению программного обеспечения приобретают все большее значение.

Термин «IT-проект» в самом широком смысле используют для обозначения деятельности, связанной с использованием или созданием определенной информационной технологии. В связи с этим IT-проекты имеют широкий спектр применения, в частности в разработках программного обеспечения, создании информационных систем, развертывании IT-инфраструктуры и т. п.

Согласно стандарту ISO / IEC 2382: 2015 информационная система — это система обработки информации и человеческие, технические и финансовые ресурсы, которые предоставляют и распределяют информацию. При этом в некоторых источниках приводятся многочисленные примеры выполнения IT-проектов в различных отраслях (предметных областях). Так, принято относить к IT-проектам создание мобильного приложения, разработку беспилотного авто, добавление функционала к внутреннему программному обеспечению финансового департамента компании, совершенствование технологической инфраструктуры учебного заведения для обеспечения беспроводного доступа к интернету и т. д.

В отличие от производственного управления со стандартизированными процессами, управление проектом характеризуется действиями, которые направлены на достижение уникального результата (создание продукта) и желаемого уровня качества при наличии ограничений во времени и ресурсах. Согласно определению международного стандарта ISO / DIS 21500, управление проектом — это применение методов, инструментов, техник и компетенций в проект. При этом несмотря на наличие общих черт, управление IT-проектами имеет особенности по сравнению с управлением проектами, не связанными с информационными технологиями.

Управление IT-проектом направлено на получение нематериального результата, требующего максимальной детализации требований к результату проекта с последующим уточнением и корректировкой. Кроме того, помимо вопросов, характерных для обычных проектов, руководство IT-проекта должно решать уникальные технологические вопросы, связанные с техническими средствами, операционной системой, базами данных и т. п. Таким образом, кроме влияния внешних факторов, при выполнении IT-проекта более очевидна ответственность за результат; выполнение на условиях «аутсорсинга» (передача функций по реализации технического задания проекта специализированной сторонней организации).

Поскольку большинство IT-проектов выполняются на условиях аутсорсинга, значительный объем усилий прилагается при выявлении требований, ожиданий от результатов проекта и формировании технического задания. Для того, чтобы логика бизнес-процессов и разрабатываемого информационного продукта совпадали, исполнитель должен предложить решения с учетом особенностей бизнеса заказчика. В связи с этим при выполнении IT-проекта важным является налаживание эффективной коммуникации, при которой учитываются интересы всех заинтересованных сторон, высокая интенсивность использования человеческих ресурсов.

Учитывая высокую сложность задач и большое количество ролей в проекте (руководитель проекта, бизнес-аналитик, проектировщик, программист, тестировщик и т. д.), в IT-проектах сроки и качество выполнения зависят от непосредственных исполнителей и коммуникации между ними. Кроме того, участники проектной команды могут быть задействованы на нескольких задачах или проектах одновременно, что существенно влияет на формирование графика проекта, быстрое развитие информационных технологий, требования пользователей постоянно повышаются адекватно появлению новых технологий. Компании, которые заказывают IT-проекты, используют информационные технологии для получения конкурентных преимуществ и могут требовать от исполнителей сокращения сроков выполнения с целью быть первыми на рынке с новой технологией, продуктом или сервисом.

В самом широком смысле жизненным циклом является промежуток времени между инициированием проекта и его ликвидацией, который делится на отдельные фазы. Следует отметить, что во многих научных и практических источниках жизненный цикл IT-проектов информационных систем рассматривается совместно с жизненным циклом разработки систем (systems development life cycle — SDLC) как процессом планирования, создания, тестирования и использования информационной системы.

На основе особенностей модель жизненного цикла проекта и модель жизненного цикла разработки программного обеспечения взаимодействуют на протяжении всех фаз жизненного цикла проекта. В зависимости от методологического подхода к управлению IT-проектом его жизненный цикл может быть линейным, итеративным или адаптивным.

По результатам анализа особенностей выполнения IT-проектов предлагается рассматривать управление IT-проектами как ограниченную во времени и ресурсах совокупность взаимосвязанных действий, направленных на достижение интеллектуального нематериального результата в виде информационных систем / технологий в условиях неопределенности относительно технологий разработки, требований заказчика и потребностей потребителей.

Несмотря на наличие определенных шаблонных действий, IT-проекты выполняются «с нуля» и требуют нестандартных решений и высокой квалификации исполнителей, а также предусматривают высокую степень неопределенности. Данные многочисленных исследований свидетельствуют, что значительная часть IT-проектов терпит неудачу. Результаты исследований указывают на то, что большинство IT-проектов, по сравнению с другими типами проектов, характеризуются превышением сроков исполнения и бюджета.

По данным исследования CHAOS Manifesto, только 39 % крупных IT-проектов были успешными (выполнено вовремя, в пределах бюджета и с требуемым функционалом), 43 % имели проблемы (выполнено не по графику, с превышением бюджета и/или с меньшим функционалом, чем ожидалось), 18 % IT-проектов потерпели неудачу (приостановлено до момента сдачи или выполнено без дальнейшего использования результатов).

Среди наиболее распространенных причин неудач IT-проектов руководители называют отсутствие фокуса (плохо определены цели), а также проблемы при исполнении (нереалистичный график и реактивное планирование), с содержанием (изменения требований, техническая сложность) и квалификацией (несогласованность команды, недостаток умений).

По результатам другого исследования было установлено, что общими причинами неудач IT-проектов являются изменение приоритетов организации (40 % случаев), размытые требования (38 %), изменения целей проекта (35 %), не обнаружены риски и возможности (30 %), неадекватные оценки затрат (29 %) и неточные оценки продолжительности выполнения задач (27 %).

Таким образом, использование сложных технологий и размытые требования к результатам на начальных стадиях обусловливают высокую степень неопределенности и рисков в IT-проектах. Выполнение IT-проектов тесно связано с рисками, характер которых зависит от таких факторов, как предметная область, используемые технологии, количество задействованных разработчиков и др.

Уровню рисков уделяется особое значение, в частности, в классификации проектов. На рискованность проекта влияют такие факторы, как уровень новизны для организации, сложность проекта, его продолжительность, доступность ресурсов, в том числе высококвалифицированных специалистов, и т. п. Кроме того, учитывая необходимость настройки эффективной коммуникации при выполнении IT-проекта, на его рискованность может существенно влиять использование искаженной информации.

Относительно понятия риска существуют 3 основных общепринятых подхода:

·               классический. Представители этого подхода рассматривают риск как возможность возникновения в процессе реализации инвестиций неблагоприятных обстоятельств, которые могут вызвать снижение его расчетного эффекта;

·               неоклассический подход. Представители этого подхода рассматривают риск как возможность отклонения величины фактического инвестиционного дохода (или конкретного условно-денежного потока) от величины ожидаемого; чем изменчивее и шире шкала колебаний возможных доходов (потоков), тем выше риск, и наоборот.

По нашему мнению, более обоснованным является неоклассический подход к определению риска.

С этой точки зрения проблемой методических подходов учета экономических рисков нам представляется тот факт, что, какими бы разнообразными и многочисленными ни были факторы риска конкретных инвестиций (например, скачок цен на сырье, увеличение сроков строительства нового цеха, нарушение технологии производства, появление на рынке серьезного конкурента, потеря группы ключевых специалистов, погодные катаклизмы и др.), все они в конечном итоге оказываются лишь в двух аспектах:

·               фактические положительные условно-денежные потоки окажутся меньше ожидаемых;

·               фактические негативные условно-денежные потоки окажутся больше ожидаемых.

Такая трактовка столь сложного и многогранного понятия, как риск, акцентирует внимание на сути вопроса. Риск — это не абстрактная «неопределенность» или «вероятность неудачи». Традиционно для оценки интервалов изменений случайных величин, выработки гипотез относительно законов их распределения, а также учета и оценки корреляционных связей между этими переменными используются статистическая информация, экспертные оценки, методы имитационного моделирования, а также аналоговые методы. При использовании статистических и аналитических методов специалисты сталкиваются с тем фактом, что рыночная неопределенность не имеет статистической природы. Использование же аналоговых методов не дает нужной четкости полученных данных, а при анализе уникальных инновационных проектов вообще становится невозможным.

Присутствие определенных шаблонных элементов в целом не меняет фундаментальные и уникальные характеристики проектных работ, что, в свою очередь, обусловливает определенную степень неопределенности относительно конечного результата.

Согласно с положениями стандарта P2M, неопределенность является фундаментальной характеристикой проектов. В соответствии с положениями международного стандарта ISO 31000, в самом широком смысле неопределенность следует рассматривать как состояние отсутствия информации относительно понимания или знания события, его последствий или вероятности.

Управление рисками проекта — это страховка, с помощью которой можно вовремя спасти важную составляющую проекта, будь то деньги, время или даже уровень качества продукта. К тому же профилактические меры часто выходят дешевле и быстрее решения возникших проблем.

По результатам анализа были определены следующие основные причины неопределенности: случайность, наличие взаимопротиворечащих тенденций, столкновения интересов, конфликтность ситуаций, неполнота, недостаточность информации об объекте, процессе, явлении, ограниченность материальных, финансовых, трудовых и других ресурсов при принятии и реализации решений, невозможность однозначного познания объекта при существующем уровне и методах научного познания, а также ограниченность сознательной деятельности человека, различия в социально-психологических установках, оценках, поведении.

Как отмечалось ранее, неопределенность является источником рисков для IT-проекта. Основными составляющими категории «риск» в экономике и финансах выступают собственно неопределенность, убытки, вероятность, отклонения от ожидаемого результата, отношение лица к неопределенности, вариативность, соотношение «доход-убытки». В контексте проектного менеджмента риск ассоциируется с событиями, которые имеют определенные последствия для проекта. Так, некоторые авторы отмечают, что риск связан с «идентифицированным событием, которое будет иметь негативные последствия». Согласно определению международного стандарта по риск-менеджменту ISO 31000, который применяется в том числе в управлении проектами, риск — это влияние неопределенности на цели. Влияние рассматривается как отклонение от ожидаемого результата — с положительными или негативными последствиями.

Стандарт P2M указывает на невозможность получения успешных результатов при отсутствии принятия мер по управлению рисками. Кроме того, в стандарте ISO / DIS 21500 риск указан основой для отдельной предметной группы управления проектами.

В рамках предметной области управления проектами общепринятым является мнение о том, что управление проектными рисками заключается в достижении целей проекта путем максимизации потенциально положительных результатов (возможностей) и минимизации потенциально негативных (угроз) за счет корректной идентификации, оценки и контроля рисков.

В стандарте ISO / DIS 21500 «Руководство по управлению проектами» управление рисками включает в себя процессы, которые максимизируют вероятность достижения целей проекта путем активного управления угрозами (рисками, которые могут оказать негативное влияние на проект) и возможностями (риски могут иметь положительное влияние на проект)».

Согласно стандарту PRINCE2, эффективное управление проектами заключается в управлении влиянием риска на проект путем принятия мер по совершенствованию контроля над неопределенностью и снижение вероятности недостижения поставленных целей. Целью управления рисками IT-проекта является минимизация потенциальных негативных рисков и максимизация потенциальных положительных рисков.

Интересным с точки зрения конкретных задач по выполнению IT-проекта является подход, когда на основе анализа методологических подходов к максимизации ценности создаваемых информационных технологий определяют виды деятельности, добавляющие ценность (value-adding activities), и виды деятельности, не добавляющие ценности (nonvalue-adding activities). К первым относят планирование проекта, анализ требований, написание кода, тестирование и т. п. Деятельность не добавляет ценности информационным технологиям, включая исправление технических осложнений, которые не были тщательно проанализированы во время формулировки требований, и планирование проекта, чрезмерную бюрократизацию среды проекта, разработку избыточного или некачественного функционала, выполнение большого количества параллельных задач в проекте и т. д.

Учитывая вышесказанное, предлагается рассматривать риск в контексте управления IT-проектами как угрозу или неиспользование возможности, что может привести к отклонению от целей IT-проекта в виде получения убытков, нарушения сроков исполнения и бюджета, несоблюдения требований к заявленному функционалу и т.п. Соответственно, управление рисками проекта в сфере информационных технологий целесообразно рассматривать как комплекс мер по минимизации влияния потенциальных угроз и усиления влияния возможностей с целью достижения целей IT-проекта.

Такие меры формализованы в виде процессов по управлению рисками. Основные положения риск-менеджмента в целом изложены в стандарте ISO 31000. Стандарт предусматривает следующие составляющие процесса управления рисками: установление контекста для рисков, идентификация, анализ, оценка степени риска, модификация риска, а также мониторинг и анализ риска. В контексте проектного управления стандарт PMBOK (Project Management Body of Knowledge — справочник по управлению проектами) предусматривает шесть процессов управление рисками:

1)         планирование мероприятий по управлению рисками;

2)         выявление (идентификация) рисков;

3)         качественная оценка рисков;

4)         количественное оценивание рисков;

5)         планирование мероприятий по реагированию на риски;

6)         мониторинг и контроль рисков.

Таким образом, в контексте IT-проектов моделирование может использоваться для схематического изображения процессов по управлению рисками, отображения существенных параметров проекта и определения влияния внешних и внутренних факторов на достижение целей IT-проекта. При этом, как отмечалось ранее, для IT-проектов характерно превышение конечных сроков и бюджета, что свидетельствует о недостаточно эффективном управлении рисками. В связи с этим актуальной научно-прикладной задачей является совершенствование методов и моделей, которые используются в управлении рисками проектов в сфере информационных технологий. Для выполнения этой задачи целесообразно в первую очередь определить особенности применения методов и моделей в управлении рисками IT-проектов.

На применение тех или иных методов и моделей в управлении рисками IT-проекта существенно влияет методология, используемая при разработке программного обеспечения. В контексте проектного менеджмента методология — это система практик, методов, процедур и правил, которая используются в пределах определенной дисциплины. Применение методологии в управлении проектом позволяет зафиксировать его цели и результаты, определить временные, стоимостные и качественные параметры проекта, а также создать реалистичный план его выполнения.

По данным исследования Pricewaterhouse Coopers, организации, использующие ту или иную методологию, являются более эффективными по сравнению с организациями, которые ее не имеют (табл.).

Т а б л и ц а

Сравнение эффективности организаций, использующих или не использующих методологии управления проектами

В результате анализа современных подходов к классификации методологий управления проектом было выделено две группы методологий: методологии, основанные на жизненных циклах системы (systems development lifecycle — SDLC), и методологии-стандарты (рисунок).

Методологии управления проектами, основанные на жизненных циклах систем, включают гибкие методологии Скрам (Scrum), Канбан (Kanban) и экстремальное программирование (Extreme Programming), а также каскадные методологии управления проектами по методу критического пути (critical path method — CPM ) и управления проектами по методу критической цепи (critical chain project management — CCPM). К методологиям-стандартам принадлежат PMBOK, PRINCE, P2M и ISO 21500.

Согласно результатам исследования Pricewaterhouse Coopers 41 % организаций использует PMBOK, 26 % используют методологию, а 9 % выполняют проекты по IT-методологиям, к которым были отнесены гибкие и каскадные методологии. Среди гибких методологий наиболее популярными были Scrum — 43 %, разработка через тестирование (Lean & Test Driven Development (TDD) — 11 % и экстремальное программирование (Extreme Programming) — 10 %.

Следует отметить, что для выбора методов и моделей в управлении рисками IT-проектов важным аспектом любой методологии являются критерии успешного выполнения проекта, от которых зависят соответствующие целевые показатели. По результатам опроса было установлено, что успешность выполнения проекта чаще всего определяется по таким критериям, как удовлетворение потребностей заинтересованных сторон (стейкхолдеров), выполнение в пределах отведенного времени и выполнение в пределах бюджета.

Рисунок. Классификация методологии управления проектами

В результате анализа основных характеристик IT-проектов определены такие особенности применения методов и моделей в управлении рисками IT-проектов по сравнению с проектами в других областях:

·               выполнение IT-проектов является инновационной деятельностью, направленной на создание уникального интеллектуалоемкого продукта, и обусловливает высокий уровень неопределенности к конечным результатам. В связи с ограниченными возможностями относительно точного планирования IT-проектов целесообразно использовать методы, которые предусматривают формирование резервов времени и средств в случае неблагоприятных событий, и учитывать их при моделировании;

·               выполнение IT-проекта направлено на создание нематериального продукта, что в свою очередь затрудняет формулировку требований и предполагает их постоянное уточнение. В связи с этим использование методов и моделей в управлении рисками IT-проекта должно учитывать возможность периодического контроля рисков и оперативного реагирования на них путем постоянной коммуникации между заинтересованными сторонами проекта, а также анализа информации и накопления знаний о рисках;

·               IT-проекты выполняются в условиях постоянного развития технологий, быстро устаревают и перестают соответствовать ожиданиям пользователей. В связи с этим важным аспектом является принятие мер для обеспечения своевременного выполнения IT-проекта и учета таких мероприятий при использовании методов и моделей в управлении рисками;

·               процесс выполнения IT-проекта зависит от жизненного цикла разработки систем (методологии, используемой при разработке программного обеспечения). В связи с этим при выборе методов и моделей в управлении рисками IT-проектов необходимо учитывать особенности методологий, которые используются при разработке программного обеспечения. Следует отметить, что процесс управления рисками сам по себе многовариантен, что обусловливает поиск комплексных решений по повышению эффективности управления рисками в проектах. Что касается IT-проектов, то для них указанная проблема является особенно актуальной в связи с отставанием накопленных знаний от развития технологий и нематериальными результатами, которые ограничивают возможности начального планирования и контроля рисков.

С целью формирования комплексного подхода к управлению рисками IT-проектов целесообразно проанализировать имеющиеся методологии, используемые при разработке программного обеспечения, на предмет возможностей использования методов и моделей в управлении проектными рисками.