
В очередной раз убеждаюсь, что это весьма и весьма полезно — ходить друг к другу на курсы. Конечно же, я про различные курсы, которые проводит Cleverics. Хотя это довольно дорого для компании — выделять двойные ресурсы под трёх- , а то и пятидневный курс, сложно переоценить объём полезной информации, которую можно получить во время курса. Всё потому, что тренер, с виду притаившийся в углу класса и что-то с упоением записывающий, имеет возможность не только подсмотреть приёмы подачи материала у коллеги и, что называется, со стороны оценить обучающие материалы, но и послушать вопросы участников. А в этих вопросах целый мир.
В этот раз меня заинтересовал довольно неожиданный вопрос. Неожиданность вопроса заключалась в том, что сама его формулировка указывала на наличие специфического понимания охвата некоторых практик в рамках отдельно взятой компании. В частности, прозвучала следующая формулировка: «У нас проблема — это реализовавшийся риск». А сам вопрос, обусловленный предыдущим тезисом, звучал так: «В рамках какой практики согласно ITIL осуществляется управление реализовавшимися рисками?». Мне показалось полезным представить сам вопрос и вариант ответа, который лично у меня напрашивается, на рассмотрение вам, уважаемые читатели блога REALITSM.
Давайте разберёмся. Что есть «реализовавшийся риск»? Если посмотреть на определение риска в ITIL4, то «реализовавшийся риск» — это наступившее (уже не «возможное») негативное событие, наносящее вред или приводящее к потерям и усложняющее достижение целей (обращаю внимание, что данная трактовка является производной от определения риска; в ITIL такой формулировки нет). В рамках какой практики мы устраняем последствия негативных событий в первую очередь? Вроде как в рамках практики управления инцидентами. Итого первая часть ответа на поставленный вопрос у нас есть — это управление инцидентами. Случилось негативное событие, риск наступления которого мы возможно оценили заранее (а может и нет), и теперь мы имеем дело с последствиями в виде прерывания или деградации услуги.
С другой стороны, риски, как мы знаем, бывают очень разной природы, и не все негативные события, ими вызванные, регистрируются в виде инцидентов. Более того, по сути каждая из практик, так или иначе, имеет дело с каким-то своим специфическим набором рисков. И, независимо от наличия или отсутствия зарегистрированного инцидента, в рамках каждой из практик необходимо анализировать реализовавшиеся риски, чтобы извлечь уроки из соответствующих ситуаций и предпринять усилия, направленные на снижение или исключение вероятности реализации этих рисков в дальнейшем. То есть регулярно выполнять упражнение по постоянному совершенствованию. Итого вторая часть ответа, похоже, выглядит так: это собственно практика управления рисками, как таковая, а также все практики, которые обрабатывают какие-то «свои» виды рисков. В частности, в случае реализации какого-либо риска мы, в определённых случаях, можем говорить о наличии проблемы, то есть причины инцидентов.
В итоге получается, что управление реализовавшимися рисками не ограничивается рамками какой-то одной практики. Что думаете, коллеги? Похоже на мир, как его понимаете вы?
Управление событиями. В дальнейшем уже в зависимости от собственно самого события которое реализовалось соответственно управление инцидентами или другой подходящий процесс.
Да, проводя анализ реализовавшихся рисков нужно помнить, что если мы сочли какой то риск маловероятным и потому отказались от его митигации и просто «приняли», а он все таки реализовался — это вовсе не значит что мы тогда приняли неправильное решение. Мы можем выбрать на кубике диапазон от 1 до 5 или выбрать что выпадет 6. Правильный ответ очевиден, но ведь 6 все еще может выпасть...