Computerworld, США

Нельзя управлять тем, что невозможно измерить, поэтому метрики риска должны стать частью инструментария для управления ИТ-проектом
Без точных метрик риска вы можете оказаться не в состоянии смягчить последствия неблагоприятных событий, и вам останется лишь наблюдать за тем, как проект терпит неудачу

Каким бы хорошим менеджером вы ни были, вам не удастся полностью устранить риски в ИТ-проекте, которым вы управляете. Но поскольку нельзя управлять тем, что невозможно измерить, хорошие метрики риска должны стать частью инструментария для управления проектом. Без точных метрик риска вы можете оказаться не в состоянии смягчить последствия неблагоприятных событий, и вам останется лишь наблюдать за тем, как проект терпит неудачу. С другой стороны, вы можете напрасно растратить огромные усилия в попытках уменьшить риски, которые не представляют большой угрозы или вообще никогда не возникнут. Как же справиться рисками в программном проекте?

Начинайте заблаговременно. «Ключевая проблема заключается в том, что риски ИТ-проекта обычно вообще не рассматриваются до тех пор, пока не превратятся в прямую угрозу, — говорит Крис Тэтчер, консультант по корпоративной безопасности в компании Dimension Data North America. — Хорошей практикой считается проведение оценки риска каждого конкретного начинания в области ИТ еще до того, как он получит одобрение».

Идентифицируйте риски. На начальных этапах проекта вы должны иметь достаточно информации, чтобы получить представление о самых крупных рисках, таких как недофинансирование, отсутствие убедительного экономического обоснования или неправильное руководство проектом, полагает Ричард Хантер, аналитик компании Gartner: «Закрытие проектов, над которыми подобные риски нависают в первый же день, сэкономило бы большинству ИТ-департаментов 50% средств, которые они тратят на неудавшиеся проекты».

Составьте список рисков. При правильном планировании проекта уделяется пристальное внимание таким потенциально связанным с риском областям, как подбор кадров, финансирование и технологии, говорит Роберт Тэйлор, ИТ-директор администрации графства Фултон в штате Джорджия (США). Однако есть и другие риски, специфические для каждого отдельного проекта. Вы можете идентифицировать эти риски, если спросите себя, что с наибольшей вероятностью приведет к неудаче тот или иной продукт, модуль или процесс проекта, а затем отыщете первопричины каждой неудачи. Ответы будут подводить вас все ближе к главному риску.

Сопоставьте свой список со стандартным профилем рисков, говорит Том Демарко, главный аналитик консорциума Cutter Consortium, один из авторов книги Waltzing With Bears: Managing Risk on Software Projects (Dorset House Publishing Co., 2003). Возможно, вы идентифицировали больше рисков, чем приводится в стандартном списке, тем не менее проверьте, не упустили ли вы чего-нибудь.

Далее изучите типы выявленных рисков, предлагает Демарко. По каждому из них спросите себя, является ли риск бинарным (неблагоприятное событие либо случается, либо нет) или непрерывным (степень неблагоприятности события и его последствий может меняться).

Измерьте степень риска. Исследуйте каждый риск, отмечая его вероятность и возможные последствия. «Оценивая последствия, мы подсчитываем предполагаемый финансовый ущерб и рассматриваем их негативное влияние на репутацию торговой марки», — говорит Джеральд Шилдс, ИТ-директор компании Aflac.

«Этот анализ вам понадобится, чтобы определить, сколько вы готовы потратить для смягчения риска», — добавляет он, поскольку нет смысла тратить больше, чем вы рискуете потерять.

Изучите реальную вероятность неблагоприятного события. «Корпорации могут дойти до крайности, тратя миллионы долларов на то, чтобы избавиться от минимальных и отдаленных рисков», — отмечает Шилдс. Полноту и последовательность оценки определяют метрики, утверждает Тэйлор: «Ключ — в последовательном представлении метрик и последовательной интерпретации результатов». Только убедившись в том, что все заинтересованные лица одинаково понимают и интерпретируют метрики, вы сможете должным образом справиться с рисками.

«Очень важно договориться о том, что считать низкой, средней и высокой вероятностью, и затем контролировать установленные пороговые значения, чтобы гарантировать их неизменность в ходе выполнения проекта», — говорит Тэйлор.

Расставьте приоритеты. Таблица с информацией о вероятностях наступления рисков и последствиях поможет вам лучше понять, как упорядочить риски по приоритетам.

Главный риск обычно зависит от сферы деятельности предприятия. «Мы медицинская компания, а потому события, подвергающие опасности наших пациентов, имеют наивысший приоритет, — говорит Майк Блэйк, финансовый директор Kaiser Permanente IT. — Есть вещи, которые я бы назвал неприкосновенными. Скажем, при пиковой нагрузке в отделении скорой помощи мы не можем отключать серверы».

Убедитесь, что вы в состоянии снизить риск. Идентифицировав, измерив и расположив риски по приоритетам, вы можете предпринять шаги к смягчению их последствий. Но это еще не все. Вы должны проверить, что такие шаги действительно предприняты, — эта задача довольно проста, если вы сделали свою работу должным образом.

Накапливайте опыт. Следите за рисками, реально имевшими место в вашем текущем проекте, чтобы лучше осознать их вероятность в следующем.

Изучать методы и инструменты управления рисками следует постоянно, и ваши возможности будут расти по мере совершенствования метрик рисков.


Идентификация рисков

Главный аналитик компании Cutter Consortium Том Демарко предлагает шесть шагов для идентификации рисков в ИТ-проекте

  1. Создайте обстановку, в которой люди смогут свободно обсуждать возможность неблагоприятного развития событий.
  2. Устройте «перепись» рисков. Организуйте мозговой штурм, чтобы суммировать худшие опасения членов группы за судьбу проекта.
  3. Проверьте результаты переписи. Вы должны иметь не просто оценку, а точное число рисков. В современных проектах их бывает от 20 до 50.
  4. Определите тип каждого риска. Является ли риск двоичным (неблагоприятное событие либо случается, либо нет) или непрерывным (степень неблагоприятности события и его последствий может меняться).
  5. Оцените возможные последствия хотя бы на уровне предположений.
  6. Сверьтесь с реальностью. Сравните свои риски со стандартным профилем рисков и удостоверьтесь, что стандартные риски присутствуют в вашем списке.