Информатизация бизнеса. Управление рисками
Шрифт:
Как уже было описано выше, особенность проектов автоматизации – это наличие подрядчика по внедрению. Действия двух организаций на одном проекте всегда являются источником риска, которым следует грамотно управлять.
При выборе риск-менеджера всегда встает вопрос: внешнего или внутреннего риск-менеджера лучше привлечь? С одной стороны, выбрав риск-менеджера из специалистов функциональных подразделений либо ИТ-службы, можно надеяться на большую лояльность и качество оценки рисков. Но это не всегда так, поскольку риск-менеджер должен обладать существенным опытом и специфичными знаниями, а также методологической базой для качественного управления рисками.
Внешний риск-менеджер может не обладать всеми знаниями специфики отрасли или внутреннего бизнеса компании, однако его преимущества по сравнению с внутренним сотрудником очевидны. Во-первых, внешний риск-менеджер не связан обязательствами с подрядчиком, поскольку не является заказчиком услуг. Он более независим, чем внутренний сотрудник заказчика, и проще работает с «непопулярными» решениями. К тому же риск-менеджер не осуществляет текущего управления проектной командой, поэтому озабочен будущими вопросами, работает «на перспективу», обладает большим специализированным опытом, чем представитель заказчика. Конечно, смысл привлекать внешнего риск-менеджера, который будет заниматься только управлением рисками (без совмещения функций), имеет только при крупном проекте внедрения.
В зависимости от размера организации и объема работы, связанной с оценкой всевозможных рисков, функции риск-менеджера могут быть возложены на одного специалиста или на отдельное подразделение. В случаях, когда, например, в компании одновременно ведутся несколько проектов внедрения, создается специализированное подразделение управления рисками. Оно обеспечивает централизацию и координацию управления рисками, внедрение интегрированного подхода к процессу управления рисками, улучшение информированности руководства о рисках в области ИТ. При небольшом проекте можно совмещать функции управления рисками с разработкой и ведением отчетности, функциями проектного офиса и другими областями. При этом требования к идентификации, оценке и мониторингу рисков остаются в рамках компетенции сотрудника, отвечающего за управление рисками.
Многие полагают, что вопрос управления рисками, связанными с функционированием ИТ-инфраструктуры, приложений, находится в зоне ответственности ИТ-подразделения, но это не верно. Обязанности управления рисками не входят в прямые компетенции ИТ-подразделения.
Конечно, сбои в ИТ-инфраструктуре нарушают непрерывность бизнес-процессов и влекут за собой финансовые потери. Но величина этих потерь несоизмерима с уровнем финансовой ответственности специалистов ИТ-служб.
Для управления ИТ-рисками необходимо владеть знаниями и методологией, в то время как ИТ-специалисты имеют техническое образование и не обладают соответствующими компетенциями и знаниями для организации процесса управления рисками.
Сотрудники и руководители служб и подразделений ИТ на предприятии должны быть профессионалами в области информационных технологий и иметь знания информационных технологий и перспектив их развития, базовые навыки в управлении проектами, понимание места и роли ИТ на предприятии, передовых принципов организации и управления ИТ. Это люди, обладающие знаниями и квалификацией, необходимыми для управления проектами и операциями в области ИТ, но не владеющие специальными навыками в области управления рисками.
Рассмотрим более подробно функции и обязанности риск-менеджера. В первую очередь риск-менеджер выполняет экономическую оценку рисков, возникающих во время проекта, занимается снижением рисков, используя современные финансовые методики и инструменты, информирует руководство о наличии непокрытых рисков, а также их стоимости. Немаловажной функцией менеджера, занимающегося расчетами рисков, является проверка наличия и выполнения процедур управления – уменьшения, избежания, переноса рисков. Кроме того, профессиональный риск-менеджер учитывает особенности психологической реакции на риск.
В задачи риск-менеджера входит постоянное наблюдение за организацией работы ИТ-проекта. Риск-менеджер идентифицирует рабочие процессы, устанавливает последовательность и взаимодействие, определяет критерии оценки и методы контроля деятельности, анализирует ход работ и проектные документы в целях идентификации рисков.
Основные функции управления рисками риск-менеджера (подразделения УР):
• разработка политики по управлению рисками;
• разработка, тестирование методов и моделей оценки рисков;
• разработка и/или выбор методологии;
• координация процесса управления рисками;
• взаимодействие с внутренними службами;
• управление портфелем рисков и оценка совокупного риска ИТ;
• создание и ведение базы данных и информационное обеспечение;
• доведение результатов оценки и управления рисками до высшего руководства компании.
Для риск-менеджера важно быть хорошим аналитиком, уметь быстро и правильно разобраться в ситуации, доверять своей интуиции и брать на себя ответственность за предложенное решение или действие.
Наличие риск-менеджера не исключает участия всех участников проекта в управлении рисками. Фактически каждый участник ИТ-проекта управляет рисками, связанными с ИТ. Риск-менеджер координирует и объединяет их усилия.
Так, руководство (управляющий комитет) обеспечивает создание контрольной среды и регулярную проверку статуса работ, осуществляет постановку целей, задание контрольных параметров, выполняет контроль наиболее важных рисков и общий контроль за эффективностью системы управления рисками. Усилия функциональных подразделений в процессе риск-менеджмента направлены на управление бизнес-рисками в своей области и следование общей методологии. Основные компетенции участников ИТ-проекта в области управления рисками – это реализация поставленных руководством целей, поддержание рисков в заданных рамках, участие в организации системы управления рисками, обеспечение руководства и заинтересованных лиц информацией по проекту. Внутренний аудитор выполняет оценку эффективности системы и формирует важные рекомендации по усовершенствованию системы.
На специалиста в области управления рисками возлагается ответственность за каждодневную реализацию программы управления рисками и повышение уровня осознания важности вопросов риск-менеджмента внутри проекта. Он должен осуществлять не только ежедневный мониторинг состояния дел, но и обмениваться опытом и суждением с другими структурными подразделениями.
Наиболее важными квалификационными составляющими для занятия должности риск-менеджера в ИТ-проекте являются такие качества, как способность управлять большим объемом информации, умение формализовать и структурировать данные, знание финансовых инструментов, математики и статистики, образование в области риск-менеджмента, аналитические способности, знание предметной области и связанных с ИТ рисков. К ключевым личным характеристикам можно отнести коммуникабельность, инициативность, уверенность в себе, умение убеждать, ясно выражать свои мысли, активность, энергичность, умение общаться, вести посредничество, объединять усилия, широкий кругозор, способность к обобщению, способность выявлять проблемы и принимать решения.
При выборе риск-менеджера нужно понимать, что управление рисками в ИТ несильно отличается от управления рисками в любой другой отрасли, поскольку законы менеджмента универсальны. Однако управление рисками в ИТ требует некоторых специфичных для ИТ знаний, навыков и опыта, без которых эффективное руководство и управление рисками невозможно, даже при наличии грамотного менеджера проекта, отлично владеющего ИТ-областью.
Если компания сделала свой выбор в пользу внутреннего риск-менеджера, можно посоветовать ориентироваться на международные стандарты и сборники методик в области управления рисками, на международные сертификационные программы, использовать их с учетом потребностей и возможностей.