Управление рисками при внедрении КИС

12 Июля 2007 Финансовая газета
Финансовая газета
#28-29, июль 2007 г.
Сергей Кошелев. Директор департамента внедрения приложений, Открытые Технологии.

Данная статья может быть полезной, во-первых, тем, кто так или иначе связан с внедрением - предстоящим или текущим - корпоративной информационной системы, во-вторых, тем, кому интересно знать, как и каким способом можно обеспечить достижение результатов такого непростого процесса, как внедрение КИС. Кроме того, как показывает практика, управление рисками проектов внедрения КИС незначительно отличается от управления рисками ИТ-проектов в целом. Следовательно, не исключено, что статья может оказаться полезной всем, кого интересуют вопросы управления проектами, и рисками в частности.

При управлении проектом внедрения корпоративной информационной системы (КИС) его участники понимают, что существуют обстоятельства, которые необходимо планировать, контролировать, писать отчеты, т.е. выполнять действия, необходимые для достижения цели. В большинстве случаев особое внимание уделяется методологии, опыту и квалификации участников проектов, но возможно, что именно по этой причине только 16% всех проектов завершается вовремя и без увеличения бюджета.

Объективное отношение к задаче управления проектом заключается в и выполнении всех необходимых мероприятий, ведущих к достижению цели, в том числе обеспечении готовности к наступлению незапланированных событий, что подразумевает управление рисками. Но без субъективной оценки запланированных и осуществляемых действий управление рисками действительно станет «сухой» наукой, которая будет только мешать оперативному принятию решений.

Неопределенность, вероятность и последствия

Неопределенность представляет собой совокупность неизвестных параметров будущего и, таким образом, подразумевает отсутствие точного знания о вероятных событиях, которые могут быть как благоприятными, так и неблагоприятными. Позитивные результаты таких событий обусловлены благоприятными возможностями, а негативные - рисками.

Как правило, проект внедрения КИС, являющийся в основном результатом благоприятной возможности, всегда сопровождается рисками. Причем, чем значительнее благоприятная возможность, тем выше связанный с нею риск. Риск любого проекта, в том числе внедрения КИС, характеризуется тремя факторами: особенностями неблагоприятного события, вероятностью его наступления и размером возможного ущерба. Как и благоприятная возможность, так и риск наиболее вероятны в начале работы над проектом, если объем ущерба еще незначителен - работы можно остановить, когда фактические затраты и произведенные в ходе проекта изменения невелики. Но по мере реализации проекта и превращения неопределенностей в конкретные факты вероятность риска и благоприятных возможностей снижается, а объем потенциального ущерба увеличивается.

В ряде случаев риски могут быть превращены в благоприятные возможности, если ими управлять. Но если риски проекта игнорируются или пассивно отрабатываются по мере возникновения проблем, то возможность использовать благоприятные ситуации упускается. Таким образом, суть управления рисками проекта заключается в активном ослаблении негативных эффектов от неблагоприятных факторов и превращения их в благоприятные возможности.

Что касается проектов внедрения КИС, то наилучшей защитой от риска является идентификация критериев успеха, с помощью которых и можно будет в конечном счете дать оценку проекта. Одобрение критериев успеха спонсором или основными заинтересованными лицами является одним из исходных элементов планирования будущего проекта внедрения КИС.

Управление рисками традиционно включает идентификацию и анализ возможных незапланированных событий (которые, как было сказано выше, могут носить как неблагоприятный, так и благоприятный характер), а также выработку реакции на их наступление. Цель задачи управления рисками, в том числе и при внедрении КИС, - прогнозирование предпосылок (источников) рисков, влекущих негативные последствия, и путей ослабления их воздействий.

Этапы управления риском

Большинство специалистов в области управления рисками пришли к выводу, что управление риском проекта состоит из четырех основных этапов: идентификация риска, его оценка, разработка мероприятий по реагированию, документирование и контроль. Рассмотрим подробно все этапы управления риском относительно проекта внедрения КИС.

Идентификация риска. Исходя из критериев оценки проекта в первую очередь необходимо выявить (идентифицировать) все риски, способные в значительной мере повлиять на достижение его цели и успех. Часто именно на этом этапе работа над рисками прекращается. Возможно наибольшим препятствием на пути к управлению рисками является интуитивное ощущение того, что риски проекта КИС слишком многочисленны и разнообразны, поэтому главное - определить, какие риски действительно должны привлекать самое пристальное внимание.

Начать работу по идентификации рисков следует с понимания сути проекта внедрения КИС. Какова реальная цель проекта; какие результаты должны быть получены после завершения проекта; какие существуют временные, финансовые, ресурсные ограничения. Даже если ответы на поставленные вопросы будут содержать большую долю неопределенности, эти вопросы должны быть поставлены в самом начале проекта. Для краткого объяснения проекта внедрения КИС его риски необходимо подразделить на первостепенные и второстепенные, т.е. которые требуют немедленных действий и которые могут быть рассмотрены позже.

Важно сразу же при старте проекта внести в его устав раздел о рисках. Даже если нельзя провести всесторонней идентификации рисков, можно включить в устав четыре существенных риска практически любого проекта, в том числе проекта внедрения КИС:

  • риск низкого качества результатов проекта - выполнение работ с низким уровнем качества и неспособность удовлетворять разумные требования конечных пользователей;
  • риск срыва сроков проекта - невыполнение работ в установленные сроки, зависимость выполнения работ от смежных проектов и мероприятий;
  • риск увеличения затрат - недостаток определенных бюджетом проекта средств, необходимость увеличения бюджета;
  • риск остановки проекта - изменение условий и масштабов проекта.

Данные риски можно признать "универсальными". Если нужно будет анализировать дальнейший ход проекта хотя бы с точки зрения этих рисков, шансы на успех существенно возрастут.

Далее следует определить факторы риска. Фактор риска - это характеристики (события, свойства, факты) проекта, которые существенно влияют на него и качество его результатов. В случае с внедрением КИС наиболее значимыми факторами риска являются:

  • несоответствие фактического статуса проекта в компании;
  • слабый менеджмент проекта;
  • несогласованные или нечеткие формулировки цели и результатов проекта;
  • разрыв проектной деятельности и организационных изменений;
  • недостаточное количество участников проекта;
  • несогласованность действий по обеспечению проекта (инфраструктура, техническая архитектура, обучение);
  • ротация (увольнение, перевод) участников проекта;
  • изменения требований государственных органов к организации и ведению учета и формированию отчетности и т.д.

При выборе факторов риска следует задавать следующие вопросы:

  • какова вероятность успеха или неудачи проекта;
  • какие выгоды даст реализация проекта КИС;
  • какой ущерб может быть получен в случае неудачи;
  • каким образом планируется выполнить проект;
  • насколько оправдан риск с точки зрения получения ожидаемых выгод.

Данные вопросы позволят сконцентрироваться на выявлении действительно значимых факторов и не останавливаться на изучении малозначительных. Однако это не означает, что малозначительные и маловероятные риски не следует рассматривать вовсе. Малозначительные риски в совокупности могут образовать критическую массу, представляющую серьезную угрозу проекту. Точно так же и маловероятные риски в случае возникновения могут завести проект в тупик.

Хорошей практикой может оказаться проведение совещания методом "мозгового штурма" с участием ключевых участников проекта, а также экспертов со стороны заказчика. Сначала каждый из участников называет те риски, которые видит именно он. Составляется общий список рисков, который потом оценивается по степени важности, например по десятибалльной системе. Затем в форме дискуссии каждому участнику следует высказаться о возможных мерах и приоритетах работ по предупреждению рисков. Помимо практического результата такое совещание позволит сплотить проектную группу и сформирует чувство коллективной ответственности за конечный результат.

Оценка риска. Следует отметить, что качество оценки риска находится в прямой зависимости от опыта людей, выполняющих ее. В состав работ по оценке рисков входит их классификация по типам, силе влияния, вероятности возникновения. Для этого должна быть проведена качественная и количественная оценка рисков.

Цель оценки рисков - всесторонний анализ вероятности каждого риска и влияния его последствий на проект и его результаты.

При оценке рисков необходимо понять, какой факт (событие, результат, действие) является риском, какой - предпосылкой риска, а какой - последствием. Так, "увольнение члена проектной команды» может быть предпосылкой риска "недостаточное количество участников проекта", может быть самостоятельным риском, измеряемым, например, затратами на обучение этого сотрудника и стоимостью услуг по поиску нового сотрудника, а может быть и последствием риска "недостаточная мотивация участников проекта".

Существует множество моделей и методов для оценки рисков, но, как показывает практика, в большинстве случаев оценку вероятности неблагоприятного события и степени его влияния делают на основе субъективных суждений. Для обеспечения целей проекта КИС достаточно провести элементарную категоризацию или ранжирование рисков по степени вероятности и последствий по степени серьезности (тяжести последствий). Последующее перемножение этих величин позволит определить статус риска, который может быть минимальным, низким, средним, высоким и чрезвычайно высоким. Такая оценка графически выражается в матрице.

  Тяжесть последствий
  Низкая Средняя Очень высокая

Высокая вероятность наступления

Средняя Высокая Чрезвычайно высокая
Средняя вероятность наступления Низкая Средняя Высокая
Низкая вероятность наступления Минимальная Низкая Средняя

В качестве документа, описывающего результаты работ по оценке рисков, можно использовать таблицу, в которой перечисляются идентифицированные риски, указываются возможные факторы риска и дается оценка вероятности и тяжести последствий.

Риск

Фактор Вероятность Тяжесть последствий
Риск низкого качества результатов Недостаточный опыт исполнителя Средняя Очень серьезная
Слабый контроль над ходом работ Низкая Средняя
Неучастие заказчика в оценке промежуточных рещультатов Средняя Очень серьезная

Оценка рисков, описанная выше, может считаться необходимой. Однако для достаточной оценки следует провести анализ вероятности с помощью специальных методов, например "дерева распределения" вероятностей, диаграмм влияния, распределения вероятности, профилей чувствительности. Эти методы требуют специального подхода, и их использование должно диктоваться условиями конкретного проекта.

Деление рисков на внешние, организационные, управленческие, технические, финансовые и другие группы, рекомендованное, в частности, PMIРМВОК, оправдано в первую очередь для определения ответственного за риск, что уже имеет непосредственное отношение к мероприятиям по реагированию на риски.

Разработка мероприятий по реагированию. Разработка мероприятий по реагированию на риски, как правило, осуществляется на основании стратегии преодоления выявленных рисков. В случае с рисками хорошо, когда есть не одна, а несколько стратегий реагирования на риски. Тогда одна из стратегий принимается как основная, а остальные - как резервные. Если основная стратегия "не сработает" или окажется малоэффективной, то можно быстро приступить к реализации резервной.

Мероприятия должны быть направлены в первую очередь на исключение условия возникновения рисков (предпосылок), т.е. на обеспечение превентивного отношения к ним со стороны проектной организации. Для этого для каждой потенциальной проблемы рассматриваются все возможные решения, включая совершенно новые действия и мероприятия. Работать с рисками следует последовательно, в порядке убывания их вероятности вплоть до достижения приемлемого уровня надежности.

При разработке мероприятий по реагированию на риски эти мероприятия должны стать неотделимой частью проектных работ, включенных в план проекта с определением сроков, результатов и ответственных. Разработка мероприятий по реагированию должна быть направлена на создание:

  • среды, способствующей осознанному стремлению к снижению или устранению вероятности возникновения факторов рисков (см. этап 2);
  • плана защитных мер, призванных ослабить влияние на проект и снизить тяжесть последствий;
  • условий выявления неустановленных и неустраненных рисков;
  • механизма внесения поправок и изменений в проект и характер выполняемых работ;
  • альтернативного ресурса, способного лучше справиться с неблагоприятными событиями и их последствиями.

Методы управления рисками должны основываться на принципе возложения ответственности на тех, кто является источником их возникновения или лучше других может обеспечить контроль над развитием неблагоприятных процессов.

Одним из существенных рисков внедрения КИС является низкое качество первичной информации, которая должна быть введена в информационную систему. Как правило, за основную стратегию, предупреждающую данный риск, принимается реализация методологически рекомендованных мероприятий по организации Миграции на внедренную систему, которым предшествует тестирование системы. В качестве альтернативной стратегии может быть принят подход, который заключается в сокращении объема переносимых данных, привлечении аудиторов, разработке программ конвертации данных и т.п.

Важно понимать, что заказчик проекта внедрения КИС должен максимально обеспечить неизменность условий, в которых выполняется проект. В частности, он должен предусмотреть свою ответственность перед исполнителем за возникновение крайне неблагоприятных, но маловероятных событий, связанных, например, с вмешательством государства или нехваткой трудовых или финансовых ресурсов.

Следует не забывать, что статус риска может изменяться в ходе проекта. Риски могут расти или снижаться в широких пределах при изменении масштабов и методов работы, поэтому нужно постоянно вести наблюдение за ситуацией и выполнять необходимые корректировки. Для этого требуются контроль и документирование.

Документирование и контроль. Цель этапа контроля - создание источника данных и информации, которые позволят качественно и оперативно оценивать риски и противодействовать неблагоприятным событиям. Тщательная подготовка к наступлению неблагоприятного события обеспечит существенное снижение вероятности его возникновения.

Для многих проектов внедрения КИС, особенно тех, которые находятся в стадии планирования, необходимые данные о рисках могут быть получены в результате знакомства с опытом аналогичных проектов, а также опроса руководителей проектов и экспертов, обладающих необходимыми знаниями. Природа этих знаний субъективна, но, собранные надлежащим образом, они обеспечат надежную основу для управления рисками в ходе проекта.

Чтобы не оказаться в состоянии, когда решение задачи контроля над рисками становится основной задачей проекта, следует ввести в состав регулярных работ по управлению проектом оценку рисков, описание неблагоприятных событий и факторов и предпринимаемых мер.

Контроль риска может подразумевать правильное понимание рисков, достигаемое за счет оперативной оценки состава и объема работ, требований к качеству, срокам и бюджету или ко всем пяти показателям одновременно. Часто проект внедрения КИС сопровождается заявлениями, что «внедрение корпоративной информационной системы позволит существенно улучшить управляемость компании». Подобное нереалистичное определение качества проектного результата порождает высокие риски превышения сметы расходов и сроков окончания работ. В то же время даже ограниченный учет возможных неблагоприятных событий способствует заметному снижению вероятности выхода за рамки бюджетных ограничений. Другими словами, чем четче будут сформулированы цели, содержание и объем работ, тем выше вероятность отклонения от согласованных решений. Но затраты, связанные с наступлением таких изменений, будут минимальными. И наоборот, если цели сформулированы плохо и нечетко, то достичь их без увеличения затрат будет крайне сложно.

Кроме того, следует иметь в виду, что в ходе проекта внедрения КИС могут возникнуть неожиданные риски и непредвиденные проблемы. Основная трудность заключается в определении различий между неожиданными проблемами, которые могут и должны быть предвидены заранее, и теми, которые не могут быть предвидены ни при каких условиях. К первой группе относятся факты, являющиеся результатом слабых исходных предположений, например:

  • ошибки или неточность исходных предположений;
  • отсутствие знаний и навыков у участников проекта;
  • нарушения хода работ, вызванные межличностными конфликтами;
  • рост усталости и снижение активности членов проектной группы;
  • снижение контроля над ходом проекта.

В практике проектов внедрения КИС непредвиденные проблемы не носят повторяющегося характера. В большинстве случаев они связаны с условиями финансирования и пересмотром цели (результатов проекта). В основе таких событий лежит отсутствие важной информации, используемой при планировании проекта. Не следует к непредвиденным проблемам относить события форс-мажорного характера. В качестве их примера можно привести следующие проблемы: смена собственника компании, банкротство поставщика решения, на котором базируется КИС. Такие изменения могут подразумевать существенное изменение масштаба и качества работ, увеличение сроков и бюджета. Однако, если ситуация с проектом продолжает развиваться в неблагоприятном направлении, то необходимо как можно быстрее подготовить вопрос о разрешении на остановку проекта, чтобы минимизировать напрасные затраты времени и средств.




Предыдущая новость:
Подходы и решения в области ИБ финансовых организаций
Следующая новость:
Объять необъятное