Управление рисками в проектах внедрения информационных систем управления предприятием

Размещено на http://www.allbest.ru

Управление рисками в проектах внедрения информационных систем управления предприятием

Андрей Слюсаренко

На современном этапе для многих предприятий развитие бизнеса существенно зависит от качественной поддержки со стороны информационных технологий. Но так как развитие и эксплуатация ИТ-систем характеризуются определенными рисками, то управление ИТ-рисками становится неотъемлемой частью процессов глобального управления рисками бизнеса, а оценка и управление ИТ-рисками требуют анализа как специфичных для области ИТ факторов, так и комплексного учета экономических, политических, конкурентных условий работы компании.

ИТ-риски можно условно разделить на две группы: риски, связанные с обеспечением непрерывности бизнеса, и риски реализации новых проектов. Первая группа рисков связана с вопросами эксплуатации ИТ-систем, обеспечения коммуникаций, информационной безопасности, сохранности информации, восстановления после аварий и т.д. Каждый их этих вопросов - тема для отдельного обсуждения. Мы остановимся на второй группе, а именно на вопросах управления рисками, и прежде всего - их идентификации, в проектах внедрения информационных систем управления предприятием класса ERP, CRM, SCM и пр.

Общеизвестным является тот факт, что значительная доля проектов в области ИТ являются неудачными в части соответствия целям, бюджету или срокам - в среднем в мире этот показатель превышает 50%, а в государственном секторе даже 70%. Во многом такие проблемы связаны с недостаточно полным и качественным управлением рисками. Однако необходимо отметить, что при принятии решений о внедрении необходимо корректно и полно анализировать и риски бизнеса для своего рода «нулевого» варианта, когда оценивается ситуация: «а что будет, если не внедрять систему?»

Если говорить о рисках, связанных непосредственно с реализацией проекта, то начать, наверное, стоит с классических определений, например: «Под риском проекта понимают потенциальную, численно измеримую возможность неблагоприятных ситуаций и связанных с ними последствий в виде ущерба, убытков, неблагоприятного изменения основных управляемых параметров проекта. Такие ситуации могут возникать в связи с неопределенностью, то есть со случайными изменениями условий экономической деятельности, неблагоприятными, в том числе форс-мажорными, обстоятельствами, а также в связи с возможностью получения непредсказуемого результата в зависимости от предпринятого или не предпринятого действия». Соответственно, под управлением рисками понимают совокупность методов анализа и нейтрализации факторов риска.

Управление рисками проекта, в целом, включает следующие процессы:

выявление и идентификацию предполагаемых рисков;

анализ и оценку рисков;

выбор методов управления риском; 

применение выбранных методов управления риском;

реагирование на наступление рискового события;

разработку и реализацию мер по снижению рисков;

контроль, анализ и оценку действий по снижению рисков; выработку корректирующих решений.

Управление рисками, естественно, охватывает весь цикл проекта - от подготовки до завершения, но наиболее важным (особенно в контрактах с фиксированными сроками и стоимостью) будет правильная и «честная» оценка будущих рисков на стадии подготовки проекта. Практика показывает, что игнорирование или несерьезное отношение к оценке рисков до начала работ может приводить к серьезным последствиям в ходе выполнения проекта. Заметим, что довольно часто работа по идентификации рисков, их определению в договоре возлагается на руководителя проекта со стороны компании - консультанта по внедрению системы, в то время как Заказчик не уделяет этим аспектам достаточного внимания, полагая, что его ответственность ограничена финансовыми обязательствами по контракту. На самом деле, эта работа должна проводиться совместно и итеративно. В этом плане полезно, если проекту внедрения ERP-системы предшествует этап бизнес-диагностики или разработки ИТ-стратегии, так как уже заранее часть наиболее важных рисков может быть определена и учтена.

В нашей практике при подготовке проекта внедрения системы целесообразно для идентификации рисков использовать следующую классификацию. Прежде всего, риски можно разделить на две категории: внешние (макроэкономические, страновые, отраслевые и пр.) и внутренние.

Например, к макроэкономическим рискам могут быть отнесены влияние обменных курсов валют, мировых цен на сырье и продукцию, индексов инфляции, налоговой среды и другие. Так, падение мировых цен на нефть существенно повлияет на инвестиционные проекты в нефтегазовой и смежных отраслях. Соответственно, обработка этого риска будет заключаться в принятии решения либо о пренебрежении риском, либо о сокращении сроков внедрения, либо о разделении проекта на этапы, с анализом ситуации после каждого этапа и оценкой целесообразности дальнейших работ.

Риски, связанные с политической и законодательной ситуацией в стране или странах, где работает предприятие, относят к «страновым» рискам. Выделяют также отраслевые риски - технологические и производственные, маркетинговые, реформирование индустрии и др. Например, российские страховщики готовились к использованию системы "Европейский протокол" при урегулировании убытков по ОСАГО, что требует определенных изменений в информационных системах страховых компаний, однако законодатели решили отсрочить введение этой системы на территории России на 2009 год. Это вариант пересечения странового и отраслевого рисков. Другой пример отраслевого риска связан с реформированием в российской энергетике - два года назад еще не было понятно, каким будет этот процесс, и что потребуется предпринять в сфере ИТ-обеспечения бизнеса.

Аналогично можно предварительно оценить и внутренние (проектные) риски: управленческие, организационные, технологические; риски, связанные с контрагентами (в том числе компаниями - партнерами по внедрению), с корпоративной культурой компании и др. Примеры таких рисков и возможные направления действий по снижению их значимости приведены в табл. 1.

Таблица 1. Примеры внутренних проектных рисков и возможные пути их снижения

После первичной идентификации рисков необходимо оценить их относительную важность. Для этого достаточно удобной на практике является оценка таких параметров риска, как вероятность его возникновения (от пренебрежимо малой до значительной) и последствия для проекта (от незначительных - т.е. не приводящих к значимым изменениям в сроках, результатах и бюджете проекта до катастрофических, когда реализация проекта вынужденно прекращается). Каждый из этих параметров оценивается на основании экспертного мнения, например по 5-балльной шкале, а значимость риска прямо пропорциональна величине вероятности и последствиям.

Полученная оценка может быть использована для двух целей. Во-первых, приоритизация позволяет правильно распределить усилия на планирование и последующее выполнение мероприятий, направленных на минимизацию последствий рисков. Во-вторых, при расчете эффекта от проекта целесообразно для получения объективной картины использовать поправки на риск. Так, при расчете ROI методом дисконтированных денежных потоков, рекомендуется (см. [1]) использовать определенные увеличения процента дисконтирования при оценке будущих доходов от проекта в зависимости от величины риска.

Например, при подготовке проекта внедрения некоторой ERP-системы были экспертным путем определены следующие риски:

Таблица 2. Рекомендуемые поправки значений ROI с учетом интегральных рисков ИТ-проекта (согласно [1])

Согласованный участниками проекта и приоритизированный список рисков далее используется в качестве исходных данных для разработки комплекса мероприятий, направленных на снижение влияния рисков, которые имеют значимость выше определенного порога (с некоторыми рисками приходится просто мириться). Здесь опыт консультанта используется для выбора наиболее подходящих решений. Например, часть проектных рисков можно снизить, следуя соответствующим стандартам и методикам выполнения проектов внедрения информационных систем. Так, риски, связанные с несоответствием или недостаточностью функций ИТ-системы требованиям предприятия, можно уменьшить, используя лучшие практики стандартов проектирования ИС ( начиная от ГОСТ 34 и до применения специализированных методологий вендоров) и выполняя процедуры утверждения функциональных требований владельцами процессов. Риск выбора продукта, не соответствующего требованиям, снижается при соблюдении формализованной методологии выбора технологической платформы системы. Риски, связанные с превышением бюджета и сроков выполнения проекта, снижаются применением процедур контроля бюджета и сроков, соблюдением проверенных методик управления проектами. А риск неэффективного использования системы после внедрения можно уменьшить путем обучения пользователей, регламентации работы с системой, ведения актуальной справочной информации для пользователей, а также организацией эффективной поддержки и сопровождения системы (с оговоренными параметрами качества, зафиксированными в SLA).

Ну и, разумеется, важнейшим условием становится постоянный мониторинг рисков (и вызванных ими проблем) на основании регулярных отчетов о состоянии и ходе проекта.

Размещено на Allbest.ru