Подходы к управлению рисками в IT-проектах



В статье рассматриваются особенности управления рисками в проектах, связанных с информационными технологиями (IT-проектах). Проведен анализ существующих подходов к управлению проектами, включая международные стандарты и гибкие методологии, а также систематизированы ключевые виды рисков, характерные для IT-проектов. Особое внимание уделено классификации рисков и оценке их влияния на жизненный цикл проектов. На основе полученных данных разработаны рекомендации по повышению эффективности управления рисками в условиях неопределенности и динамично развивающейся технологической среды. Работа базируется на теоретических и эмпирических данных, включая результаты экспертных оценок, кейс-методы и имитационное моделирование.

Ключевые слова: IT-проекты, управление рисками, методологии управления проектами, жизненный цикл проекта, неопределенность, гибкие методологии.

Введение

В условиях активного развития информационных технологий и увеличения их значимости для эффективного функционирования современных организаций проекты, связанные с разработкой и внедрением программного обеспечения, приобретают ключевую роль.

Согласно последним исследованиям, наблюдается значительный рост мирового рынка информационных технологий. За период с 2008 по 2018 годы ежегодные мировые затраты на ИТ увеличились с 3 до 4 трлн долларов США, из которых на ИТ-услуги было потрачено 1,2 трлн, а на корпоративное программное обеспечение — 500 млрд долларов [1].

Термин «IT-проект» обычно обозначает деятельность, связанную с использованием или созданием информационных технологий [2]. Такие проекты охватывают широкий спектр направлений, включая разработку программного обеспечения, создание информационных систем, развертывание IT-инфраструктуры и т. п. Однако в литературе отсутствует единое определение понятия «IT-проект» (проект в области информационных технологий). При этом эффективность реализации IT-проектов часто ограничивается рисками, связанными с изменениями требований, сложностью технологических решений, а также недостаточной квалификацией команды исполнителей.

Риски, сопровождающие IT-проекты, обусловлены как внешними, так и внутренними факторами, включая быстрое развитие технологий, динамику потребностей пользователей и неопределенность рыночных условий. Значительная часть проектов сталкивается с превышением бюджета и сроков, что подчеркивает необходимость совершенствования методологий управления проектами. Современные подходы к управлению рисками в IT-проектах предполагают интеграцию классических и гибких методов, позволяющих учитывать особенности информационных систем и технологий.

Целью настоящего исследования является анализ существующих подходов к управлению рисками IT-проектов и разработка рекомендаций по повышению их эффективности. Для достижения поставленной цели проведен обзор современных методологий управления проектами, рассмотрены особенности жизненного цикла IT-проектов, а также выявлены ключевые факторы, влияющие на успех их реализации. Научная значимость работы заключается в систематизации подходов к управлению рисками в IT-проектах и определении механизмов их адаптации к изменяющимся условиям технологической среды.

Настоящее исследование направлено на обоснование использования комплексного подхода к управлению рисками, ориентированного на повышение эффективности реализации IT-проектов в условиях неопределенности и высокой динамики внешней среды.

Дж. Смирк, анализируя различные подходы к определению IT-проектов, предложил трактовать их как «проекты, результаты которых принимают форму артефактов информационных систем или технологий» [3]. В соответствии с международным стандартом ISO/IEC 2382:2015 информационная система определяется как «система обработки данных, включающая человеческие, технические и финансовые ресурсы, обеспечивающие доступ и распространение информации» [4]. Примеры IT-проектов включают создание мобильных приложений, разработку беспилотных автомобилей, улучшение функционала корпоративного программного обеспечения, совершенствование технологической инфраструктуры учебных заведений и разработку систем государственного учета [5].

В отличие от производственного управления, где преобладают стандартизированные процессы, управление проектами направлено на достижение уникальных результатов (создание продукта) при соблюдении ограничений по времени и ресурсам. Согласно международному стандарту ISO/DIS 21500, управление проектом представляет собой «применение методов, инструментов, техник и компетенций в рамках проекта» [6]. Тем не менее, управление IT-проектами имеет свои особенности по сравнению с проектами, не связанными с информационными технологиями.

Основной акцент в управлении IT-проектом делается на детализированное определение требований к результату с возможными уточнениями и корректировками. Помимо задач, характерных для любых проектов, в IT-проектах требуется решение специфических технологических вопросов, таких как выбор технических средств, операционных систем, баз данных и т. д. IT-проекты часто выполняются на условиях аутсорсинга, что увеличивает ответственность за результат и необходимость детального согласования технического задания с внешними исполнителями.

Поскольку большинство IT-проектов реализуется с привлечением сторонних организаций, важным этапом становится выявление требований и ожиданий заказчиков. Для достижения соответствия разрабатываемого продукта бизнес-логике компании заказчика необходимо учитывать специфику её деятельности. В этой связи ключевым становится эффективное взаимодействие с заинтересованными сторонами, что требует интенсивного использования человеческих ресурсов.

Ввиду сложности задач и множества ролей (руководитель проекта, бизнес-аналитик, архитектор, разработчик, тестировщик и др.) успех IT-проектов во многом зависит от взаимодействия внутри команды. Часто участники проектов выполняют несколько задач одновременно, что отражается на сроках и графике реализации. Быстрое развитие технологий и растущие ожидания пользователей вынуждают компании требовать сокращения сроков для достижения конкурентных преимуществ на рынке.

Жизненный цикл IT-проекта охватывает период от его инициации до завершения и включает несколько фаз. Часто жизненный цикл информационных систем рассматривается совместно с жизненным циклом разработки систем (SDLC), который включает планирование, создание, тестирование и эксплуатацию системы [7].

На основе особенностей жизненных циклов проектов Р. Арчибальд выделяет категорию «высокотехнологичных проектов» [8]. Абу-Тае рассматривает жизненный цикл разработки системы (SDLC) как неотъемлемую часть управления IT-проектом [9]. По мнению А. Медведской, модели жизненного цикла проекта и жизненного цикла разработки программного обеспечения тесно связаны и взаимодействуют на всех этапах проекта [10]. Жизненный цикл IT-проекта может принимать линейную, итеративную или адаптивную форму в зависимости от методологии управления.

Анализ особенностей IT-проектов позволяет рассматривать их управление как временную и ограниченную по ресурсам совокупность взаимосвязанных действий, направленных на достижение нематериального результата в виде информационных систем или технологий. При этом проектная деятельность осуществляется в условиях неопределенности, связанной с технологиями разработки, требованиями заказчика и ожиданиями потребителей.

Хотя в IT-проектах присутствуют определенные шаблонные действия, каждый проект требует нестандартных решений и высокой квалификации исполнителей, что связано с высокой степенью неопределенности. Согласно исследованиям, значительная часть IT-проектов сталкивается с трудностями в выполнении. Например, результаты [11–14] показывают, что большинство IT-проектов превышают изначально установленные сроки и бюджеты.

Исследование CHAOS Manifesto за 2018 год указывает, что только 39 % крупных IT-проектов были завершены успешно, т. е. в установленные сроки, в рамках бюджета и с полным функционалом. При этом 43 % проектов испытывали проблемы (задержки, перерасход бюджета или сокращение функционала), а 18 % были полностью провалены (приостановлены до завершения или результаты оказались бесполезными) [14]. В 2016 году средний перерасход бюджета составил 45 %, время выполнения увеличивалось на 7 %, а итоговая ценность продукта была на 56 % ниже ожиданий. Только 64 % проектов достигали своих целей [11].

Среди основных причин неудач IT-проектов называются плохо определённые цели, нереалистичные графики, реактивное планирование, изменения требований, техническая сложность и нехватка квалифицированных кадров [11]. Другое исследование [15] выделяет изменение приоритетов (40 %), размытые требования (38 %), изменения целей проекта (35 %), недостаточный учет рисков (30 %), некорректные оценки затрат (29 %) и времени выполнения (27 %) как наиболее распространённые причины сбоев.

Таким образом, использование сложных технологий и отсутствие четких требований на начальных этапах создают высокий уровень неопределенности и риска для IT-проектов. Характер рисков зависит от предметной области, используемых технологий и состава команды.

Материалы и методы

В ходе исследования был применён комплекс методов, направленных на системное изучение управления рисками в IT-проектах. Методологической основой работы стали теоретические и эмпирические подходы, которые позволили провести всесторонний анализ ключевых аспектов темы. Теоретический анализ включал изучение современных подходов к управлению IT-проектами, что охватывало использование международных стандартов, таких как ISO 31000, ISO/DIS 21500, PMBOK и PRINCE2, а также гибких методологий, включая Scrum, Kanban и экстремальное программирование. Были систематизированы риски IT-проектов, классифицированы их виды и влияние на жизненный цикл проектов. Кроме того, был проведён синтез существующих подходов к управлению рисками, что позволило выделить их особенности в контексте IT-проектов.

Эмпирическая часть исследования включала опросы и интервью с экспертами в области управления проектами, которые позволили выявить ключевые риски и факторы, влияющие на успешность их управления. Метод имитационного моделирования был использован для оценки вероятности и последствий рисков на разных этапах жизненного цикла IT-проекта, а также для изучения сценариев их минимизации. Также был проведён анализ успешных и неуспешных проектов на основе кейс-метода, что позволило детально изучить применяемые подходы и методологии.

Материальной базой исследования стали данные, полученные из международных стандартов и фреймворков, таких как ISO 31000, PMBOK и PRINCE2, а также из научных публикаций ведущих исследователей в области управления проектами. Кроме того, были использованы отчёты компании Standish Group, включая CHAOS Manifesto 2018, а также материалы PricewaterhouseCoopers. Практическая значимость данных была дополнена статистикой, предоставленной организациями, участвующими в опросах, и специализированным программным обеспечением, таким как MS Excel, для анализа и моделирования рисков.

Комплексный подход к использованию методов и данных обеспечил проведение всестороннего анализа управления рисками IT-проектов, что позволило выработать обоснованные рекомендации для повышения эффективности их реализации в условиях неопределенности и высокой динамики внешней среды.

Особое внимание уделяется классификации проектов с учетом уровня риска [14; 15; 16]. Факторами, влияющими на риск проекта, являются его новизна, сложность, продолжительность, доступность ресурсов, включая квалифицированных специалистов [17]. Эффективная коммуникация играет ключевую роль, однако искаженная информация может существенно увеличивать риск.

Подходы к определению риска делятся на два основных направления:

1. Классический подход, который определяет риск как вероятность неблагоприятных событий, приводящих к снижению ожидаемого эффекта инвестиций.
2. Неоклассический подход, трактующий риск как возможность отклонения фактических доходов от ожидаемых. Чем больше разброс возможных результатов, тем выше уровень риска.

Неоклассический подход представляется более обоснованным, так как акцентирует внимание на изменчивости денежных потоков.

Для оценки экономических рисков применяются статистические данные, экспертные оценки, методы имитационного моделирования и аналоговые подходы. Однако рыночная неопределенность, как правило, не поддается точному анализу из-за отсутствия статистической природы. При этом уникальность инновационных проектов делает применение аналоговых методов еще менее точным.

Неопределенность является ключевой характеристикой проектов, включая IT-проекты, и выступает источником рисков. Согласно международному стандарту ISO 31000:2009, неопределенность определяется как «отсутствие достаточной информации для понимания или прогнозирования событий, их последствий или вероятностей» [18]. Б. Перрот подчеркивает, что неопределенность создает условия как для рисков, так и для возможностей, оказывая как положительное, так и отрицательное влияние на проект [19].

Результаты и обсуждение

По итогам анализа [20; 21; 22], основные причины неопределенности включают случайные события, противоречивые тенденции, конфликтность ситуаций, недостаток информации, ограниченность ресурсов и различия в социально-психологических установках участников.

Риски для IT-проектов имеют различные источники. Например, С. А. Борисов и А. Ф. Плеханова определяют, что ключевыми составляющими понятия «риск» являются неопределенность, убытки, вероятность отклонений от ожидаемого результата и вариативность [23]. Международный стандарт ISO 31000 трактует риск как «влияние неопределенности на цели», что охватывает как положительные, так и отрицательные последствия [19].

Стандарт P2M подчеркивает необходимость принятия мер по управлению рисками для достижения успешных результатов [25]. Аналогично, в стандарте ISO/DIS 21500 управление рисками выделяется как одна из ключевых областей проектного управления [6]. В научной литературе также широко отражена значимость управления проектными рисками для достижения целей проектов [5; 8; 10; 18].

В рамках проектного управления управление рисками определяется как процесс достижения целей проекта посредством максимизации положительных результатов (возможностей) и минимизации отрицательных (угроз) через идентификацию, оценку и контроль рисков. Согласно ISO/DIS 21500, управление рисками включает процессы, которые направлены на повышение вероятности достижения целей проекта за счет активного контроля над угрозами (негативными рисками) и возможностями (позитивными рисками) [6].

Стандарт PRINCE2 рассматривает управление рисками как меры по улучшению контроля над неопределенностью и снижению вероятности недостижения целей проекта [26]. В контексте IT-проектов К. Швальбе определяет управление рисками как «науку и искусство идентификации, анализа и реагирования на риски в течение жизненного цикла проекта для достижения его целей». Основная цель управления рисками, по мнению Швальбе, заключается в «минимизации потенциальных негативных рисков и максимизации положительных» [5].

Р. Лорен в своих исследованиях предлагает разделение видов деятельности в IT-проектах на добавляющие ценность (value-adding activities) и не добавляющие ценность (nonvalue-adding activities). К первым относятся такие процессы, как планирование, анализ требований, программирование и тестирование. К не добавляющим ценность процессам относятся исправление недостатков, вызванных слабой аналитикой на этапе формулирования требований, чрезмерная бюрократия, избыточный функционал и выполнение множества параллельных задач [27].

На основе вышеизложенного, риски в управлении IT-проектами целесообразно рассматривать как угрозы или неиспользованные возможности, которые могут привести к отклонению от целей проекта, выражающемуся в убытках, нарушении сроков и бюджета или несоответствии заявленному функционалу. Управление рисками в IT-проектах направлено на минимизацию влияния угроз и максимизацию возможностей для достижения целей.

Основы риск-менеджмента изложены в стандарте ISO 31000, где процесс управления рисками включает установление контекста, идентификацию, анализ, оценку, модификацию, а также мониторинг и контроль рисков [19]. В стандарте PMBOK 5 управление рисками делится на шесть ключевых процессов:

1. Планирование управления рисками.
2. Идентификация рисков.
3. Качественная оценка рисков.
4. Количественная оценка рисков.
5. Планирование реагирования на риски.
6. Мониторинг и контроль рисков [28].

Моделирование в контексте IT-проектов может использоваться для визуализации процессов управления рисками, анализа параметров проекта и оценки влияния внешних и внутренних факторов. Однако частые превышения сроков и бюджета в IT-проектах указывают на необходимость совершенствования методов и моделей управления рисками.

Методы и модели управления рисками зависят от используемой методологии разработки программного обеспечения. Методология проектного управления определяется как «система практик, методов, процедур и правил, используемая для выполнения проектов» [23]. Применение методологий способствует постановке целей, определению временных и качественных параметров, а также созданию реалистичного плана выполнения проекта.

Согласно исследованию PricewaterhouseCoopers, организации, которые применяют методологические подходы, достигают большей эффективности по сравнению с теми, кто их не использует (Таблица 1) [28].

Таблица 1

Сравнение эффективности организаций, использующие или не использующие методологии управления проектами

Критерии успешности проектноориентированных организаций	Методология
	Используется	Не используется
Исполнение бюджета	38 %	31 %
Исполнение графика	28 %	21 %
Исполнение требований к содержанию	71 %	61 %
Соответствие стандартам качества	68 %	60 %
Достижение поставленных целей	60 %	51 %

Составлено автором на основе [28]

Анализ современных подходов к классификации методологий управления проектами [29; 30; 31] позволил выделить две основные группы: методологии, основанные на жизненных циклах системы (Systems Development Lifecycle — SDLC), и методологии-стандарты (рис. 1).

Рис. 1. Классификация методологии управления проектами [29; 30; 31]

Методологии, опирающиеся на жизненные циклы систем, включают гибкие подходы, такие как Scrum, Kanban и экстремальное программирование (Extreme Programming), а также каскадные методологии, такие как метод критического пути (Critical Path Method — CPM) и метод критической цепи (Critical Chain Project Management — CCPM). Методологии-стандарты включают такие фреймворки, как PMBOK (Project Management Body of Knowledge), PRINCE2, P2M и ISO 21500.

Согласно исследованию PricewaterhouseCoopers, 41 % организаций используют PMBOK, 26 % применяют собственные методологии, и 9 % ориентируются на IT-методологии, включая гибкие и каскадные подходы. Среди гибких методологий наиболее популярными оказались Scrum (43 %), разработка через тестирование (Lean & Test Driven Development — TDD) — 11 % и экстремальное программирование — 10 % [28].

Для выбора методов и моделей в управлении рисками IT-проектов ключевым аспектом любой методологии является определение критериев успешного выполнения проекта. Согласно опросу [28], основные критерии успеха включают удовлетворение потребностей стейкхолдеров, выполнение проекта в установленные сроки и в рамках бюджета.

Заключение

Анализ характеристик IT-проектов выявил ряд особенностей, влияющих на использование методов и моделей управления рисками в этой сфере по сравнению с другими типами проектов:

1. IT-проекты направлены на создание уникальных интеллектуальноемких продуктов, что затрудняет точное планирование. Рекомендуется применять методы, предусматривающие формирование резервов времени и бюджета для учета неблагоприятных событий.
2. Создание нематериального продукта усложняет формулирование требований и предполагает их постоянное уточнение. Важно учитывать необходимость периодического контроля рисков и оперативного реагирования посредством постоянной коммуникации между участниками проекта и анализа накопленных данных о рисках.
3. Постоянное развитие технологий и изменчивость ожиданий пользователей требуют своевременного выполнения IT-проектов. Это накладывает дополнительные требования на выбор методов управления рисками, позволяющих учитывать подобные изменения.
4. Методология разработки программного обеспечения определяет особенности управления рисками в IT-проектах. При выборе методов и моделей необходимо учитывать специфику используемой методологии.

Процесс управления рисками в IT-проектах требует многовариантного подхода, ориентированного на поиск комплексных решений для повышения эффективности. Это особенно актуально из-за быстрого развития технологий, ограничений начального планирования и сложности контроля нематериальных результатов.

Для разработки комплексного подхода к управлению рисками IT-проектов целесообразно провести анализ существующих методологий разработки программного обеспечения с точки зрения их применения в управлении проектными рисками. Такой анализ позволит выявить возможности интеграции методов и моделей для повышения эффективности управления рисками.

Литература:

1. Statista. Worldwide Information Technology (IT) spending forecast from 2005 to 2018 [Электронный ресурс]. URL: http://www.statista.com/statistics/203935/overall-it-spending-worldwide/ (дата обращения: ноябрь 2024).
2. Юрлова Н. С., Скачок И. В. Управление рисками // Вестник НГИЭИ. 2014. № 3 (34). С. 95–98.
3. Smyrk J. What does the term «IT project» actually mean?: a challenge to the IT profession [Электронный ресурс]. URL: http://philica.com/display_observation.php?observation_id=36 (дата обращения: ноябрь 2024).
4. ISO/IEC 2382:2015. Information technology — Vocabulary [Электронный ресурс]. URL: https://www.iso.org/obp/ui/#iso:std:63598:en (дата обращения: ноябрь 2024).
5. Schwalbe K. Information technology project management. Cengage Learning, 2018. 675 p.
6. Zandhuis A., Stelingwerf R. ISO 21500 Guidance on project management. A Pocket Guide. Van Heren Publishing, 2013. 50 p.
7. Centers for Medicare & Medicaid Services et al. Selecting a development approach. Centers for Medicare & Medicaid Services, 2008. P. 1–10.
8. Арчибальд Р. Управление высокотехнологичными программами и проектами / пер. с англ. Мамонтова Е. В.; под ред. Баженова А. Д., Арефьева А. О. 3-е изд., перераб. и доп. М.: Компания АйТи; ДМК Пресс, 2015. 464 с.
9. Evon M. O. Abu-Taieh. Information Technology Projects System Development Life Cycles: Comparative Study [Электронный ресурс]. URL: http://www.irma-international.org/viewtitle/21630/ (дата обращения: ноябрь 2024).
10. Medvedska O., Berzisa S. Selection of Software Development Project Lifecycle Model in Government Institution // Information Technology and Management Science. 2015. Т. 18. № 1. P. 5–11.
11. Project management institute. Pulse of the Profession 2016: Capturing the Value of Project Management 2016 [Электронный ресурс]. URL: http://www.pmi.org/~/media/PDF/learning/pulse-of-the-profession-2016.ashx (дата обращения: ноябрь 2024).
12. McKinsey&Company. Delivering large-scale IT projects on time, on budget, and on value [Электронный ресурс]. URL: http://www.mckinsey.com/insights/business_technology/delivering_largescale_it_projects_on_time_on_budget_and_on_value (дата обращения: 15.11.2024).
13. Harvard Business Review. Why Your IT Project May Be Riskier Than You Think [Электронный ресурс]. URL: http://hbr.org/2011/09/why-your-itproject-may-be-riskier-than-you-think/ (15.11.2024).
14. Chaos manifesto 2018 [Электронный ресурс]. URL: http://www.versionone.com/assets/img/files/CHAOSManifesto2018.pdf (дата обращения: 15.11.2024).
15. Software Education Group. Project Classification Software [Электронный ресурс]. URL: http://www.softed.com/assets/Uploads/Resources/Business-Analysis/Projectclassification.pdf (15.11.2024).
16. Machac J. Risk Management in Early Product Lifecycle Phases // International Review of Management and Business Research. 2017. Т. 4. № 4. С. 2262–2270.
17. Steiner F. Risk Management in Early Product Lifecycle Phases // International Review of Management and Business Research. 2014. Т. 3. № 2. С. 1151–1162.
18. Локк Д. Основы управления проектами. М.: HIPPO, 2004. 253 с.
19. ISO 31000:2009. Risk management — Principles and guidelines. International Organization for Standardization, Geneva, Switzerland, 2009.
20. Perrott B. E. A strategic risk approach to knowledge management // Business Horizons. 2007. Т. 50. № 6. С. 523–533.
21. Sicotte H., Bourgault M. Dimensions of uncertainty and their moderating effect on new product development project performance // R&D Management. 2008. Т. 38. № 5. С. 468–479.
22. Whitten J. L., Barlow V. M., Bentley L. Systems analysis and design methods. McGraw-Hill Professional, 1997. 896 p.
23. Борисов С. А., Плеханова А. Ф. Особенности управления проектами в области информационных систем // Фундаментальные исследования. 2014. № 9–3.
24. Sicotte H., Bourgault M. Dimensions of uncertainty and their moderating effect on new product development project performance // R&D Management. 2008. Т. 38. № 5. С. 468–479.
25. Ohara S. P2M: a guidebook of project & program management. Project Management Association of Japan, 2005.
26. Department for business innovation and skills. Guidelines for managing projects [Электронный ресурс]. URL: https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/31979/10–1257-guidelines-for-managing-projects.pdf (дата обращения: 17.11.2024).
27. Laurent Renard. Essential Frameworks and Methodologies to Maximize the Value of IT [Электронный ресурс]. URL: http://www.isaca.org/Journal/archives/2016/volume-2/Pages/essential-frameworks-and-methodologies-to-maximize-the-value-of-it.aspx (дата обращения: 18.11.2024).
28. Разумное управление рисками в ходе цифровой трансформации. Исследование из серии «Взгляд на риски» за 2019 год [Электронный ресурс]. URL: https://www.pwc.com/us/en/services/risk-assurance/library/assets/pwc-2019-risk-study.pdf (дата обращения: 18.11.2024).
29. The Top Project Management Methodologies [Электронный ресурс]. URL: https://www.wrike.com/project-management-guide/methodologies/ (дата обращения: 18.11.2024).
30. Alexander M. How to pick a project management methodology [Электронный ресурс]. URL: http://www.cio.com/article/2950579/project-manager/how-to-pick-a-project-management-methodology.html (дата обращения: 18.11.2024).
31. Victorian Government CIO Council. Selecting a project management methodology [Электронный ресурс]. URL: https://ofti.org/wpcontent/uploads/2013/08/PM-GUIDE-01-Project-management-methodology-selection-guideline.pdf (дата обращения: 18.11.2024).