Управление рисками в ИТ

Причина вялого управления ИТ-рисками проектов часто кроется в недостаточной конкретизации планируемых эффектов от ИТ-проектов. Отчасти такая политика ИТ-директора связана с позицией CIO, далеко не всегда он берет на себя роль драйвера изменений: кто-то просто не имеет достаточного веса, чтобы предлагать системные изменения, кто-то перестал интересоваться новыми технологиями.

Для того чтобы исправить ситуацию, бизнесу необходимо соблюдать единственное условие – быть готовым к паритету в отношениях с IT. ИТ может стать мощным инструментом оптимизации управления только в случае, если статус руководства будет повышен до равноправного партнера. Готовность бизнеса к партнерству с ИТ имеет несколько аспектов:

• бизнесу необходимо оставить менторский тон в отношениях с ИТ и с уважением принимать точку зрения ИТ-руководителя;

• последовательно двигаться к устранению противоречий между политиками функциональных подразделений и интересами ИТ.

Если у руководства ИТ недостаточно авторитета, задачу по управлению нематериальными активами следует передать сводной команде специалистов, которая будет преодолевать автономию функциональных блоков. Нужно управлять IT не как конфигурационными единицами, а как активами. Должен быть не только проектный офис (Project Management Office), но и офис, который будет управлять ценностью активов (Assets Value Management Office). Его задача — планирование эффектов и наблюдение за достижениями реализации IT-инициатив в течение всего жизненного цикла любого нематериального актива. Таким образом, проектные и предотвращаемые риски ИТ-проектов должны быть задачей офиса управления проектами, а идентификация и оценка привнесенных ИТ-рисков – задачей офиса управления ценностью активов.
 

Кроме того, сфере ИТ, как никакой другой, необходим качественный аудит. Проведение ИТ-аудита позволит оценить информационную инфраструктуру предприятия, в частности, получить информацию о текущем состоянии инфраструктуры, избежать неоправданно высоких затрат на IT и застраховаться от ошибок в лицензировании. 

Классификация рисков

Все виды рисков оказывают влияние на деятельность организации, поэтому для эффективного управления рисками IT-проекта необходимо понимать их природу, в частности, причины и время возникновения, характер последствий и т.д. Риски организации предлагается классифицировать следующим образом:

1. Внешние риски. К ним относятся риски проектов, которые не связаны ни с деятельностью предприятия, ни с деятельностью его контактной аудитории. Влияние на них оказывают внешние факторы (политика, экономика, демография, география и т.д.).  

2. Внутренние риски проектов. Они всегда обусловлены деятельностью самого предприятия и его контактной аудитории, в частности, деловой активностью руководства, маркетинговой стратегией, техническим оснащением и т.д. 

3. Стратегические риски. Связаны со стратегическими решениями (выбор сферы деятельности, позиционирование фирмы или продукта и т.д.). Риски стратегии бывают двух типов: риски отклонения текущих проектов и программ от корпоративной стратегии и риски утраты актуальности самой стратегии. 

4. Операционные риски. Связаны с самим процессом осуществления операций (логистика, бухгалтерия, управление и т.д.). 

5. Предотвратимые риски – это внутренние риски, которые порождаются неизбежным несовершенством процессов внутри организации (неправомочные и ошибочные действия сотрудников, сбои в процессах и т.д.). Управление рисками ИТ-проекта в данном случае может быть формализовано и, как правило, выполняется подразделениями внутреннего контроля в соответствии с классическим циклом управления рисками: идентификация, оценка, управление, мониторинг.

6. Трансформационные риски. Возникают до, во время и после трансформации предприятия. 

7. Предотвращаемые инициативой риски – это такие предотвратимые риски, ослабление или преодоление которых включено в эффекты инициативы по проведению изменений.

8. Преднамеренные (вмененные) риски – это риски, на которые инициатор изменений идет намерено в целях достижения конкретного эффекта реализации проекта, а источником риска является его содержательная часть. Важно, чтобы оценка преднамеренных рисков проекта была ниже предотвращаемых рисков.

9. Проектные/программные риски проектов - такие преднамеренные риски, которые действуют в течение срока реализации инициативы. 

10. Привнесенные инициативой риски – это риски, которые пополняют перечень операционных рисков, они действуют в течение всего жизненного цикла продукта инициативы. 

Для того чтобы управление IT-рисками проектов было максимально эффективным, следует использовать не только внутренний ресурс организации, но при необходимости обращаться к компаниям, предлагающим оказание IT-услуг. Компания IT-Lite оказывает полный комплекс услуг по ИТ-аутсорсингу, включающий в себя облачные технологии, размещение ИТ-оборудования в дата-центрах, серверы в лизинг, техническое обслуживание компьютеров и серверов, поставку компьютерного оборудования и ПО, а также обслуживание АТС.

На рисунке обозначены две области деятельности: справа операции, слева трансформации. Цифрами обозначены степень популярности категорий рисков it проектов. Проектные команды, в основном, сосредоточены на рисках, действующих в течение срока реализации проекта, они самые популярные. Устранение или ослабление предотвращаемых рисков подается в качестве эффекта от реализации инициативы. Однако существуют и риски, которые привносятся в операционную деятельность компании в результате реализации проекта. Зачастую их не знают даже сами инициаторы проекта. Тем не менее, они очень важны, так как привносимые риски пополняют перечень операционных рисков, которые, вероятно, сохранят свою актуальность в течение всего жизненного цикла продукта инициативы. На самом деле, мы и наблюдаем бесконечный процесс.
 

рис. Классификация рисков
 

Заключение

В современной экономике нематериальные активы занимают все более заметную роль. Стоимость бренда компании может превосходить стоимость всех ее материальных активов, однако российская практика управления нематериальными активами носит второстепенный характер и подчинена стереотипам управления в условиях зрелого сметно-нормативного регулирования. Устаревшие подходы к учету и управлению нематериальными активами стоит считать одной из причин низкой капитализации российских компаний.
 

Управление нацелено на реализацию it проектов в согласованный бюджет и заданный срок. Управление эффективностью нематериальных активов требует организации планирования и контроля реального состояния созданных активов на протяжении всего их жизненного цикла. Акт принятых работ по созданию нематериального актива не должен стать конечной точкой в контроле эффективности ИТ-актива. 

При этом ответственность за инвестиции в ИТ должна иметь для ИТ и бизнеса солидарный характер. Необходимо организовать систему, в которой управление ИТ-рисками проектов осуществляется на основе работы междисциплинарной команды, свободной от интересов руководителей конкретных функциональных блоков. Главная задача этой команды — балансировка уровней зрелости ИТ-активов и нематериальных активов организационных практик, в целях адекватной мировой практики капитализации инвестиций в нематериальные активы.