Риски в повседневной деятельности ИТ
Тема управления рисками пронизывает большое количество разной деятельности, которую мы выполняем, управляя ИТ-услугами. Причем речь идет не об отдельной специализированной практике, а о вполне повседневных управленческих решениях.
Например, при оценке изменений мы анализируем риски, связанные с их реализацией: что может пойти не так, к каким последствиям это приведет, насколько эти последствия допустимы. От этого зависит и само решение о проведении изменения, и набор мер по его подготовке, и глубина тестирования, и требования к откату.
В управлении проблемами, особенно если говорить о проактивной деятельности, нам также приходится работать с рисками. Мы оцениваем вероятность возникновения инцидентов и их потенциальное влияние, чтобы понять, стоит ли инвестировать ресурсы в анализ и устранение причины. Именно через такую оценку часто выстраивается приоритизация: какими проблемами заниматься в первую очередь, а какие могут подождать.
Аналогичная логика применяется и при тестировании новых или дорабатываемых услуг. Провести все возможные проверки невозможно — ни по времени, ни по ресурсам. Поэтому выбор того, какие сценарии тестировать, в какой глубине и с каким приоритетом, неизбежно опирается на понимание рисков: где потенциальные сбои наиболее вероятны и где их последствия будут наиболее значимыми.
И такие примеры можно продолжать: управление доступностью, планирование мощностей, обеспечение непрерывности — везде, где принимаются решения о распределении ресурсов и выборе действий, мы так или иначе опираемся на оценку рисков.
Почему оценки рисков не складываются в систему
Проблематика, однако, возникает следующая.
Либо в организации в принципе не выстроено управление рисками как отдельная практика. Тогда оценка рисков остается на уровне отдельных исполнителей: каждый делает это так, как умеет, опираясь на собственный опыт и представления. Даже в рамках одной команды не возникает согласованности — подходы отличаются от человека к человеку. При этом сама деятельность по оценке рисков редко становится предметом внимания: не оценивается ее качество, не задаются вопросы о том, действительно ли выявляются значимые риски и насколько обоснованы принимаемые решения. В результате одни и те же по сути ситуации могут приводить к разным решениям, часть существенных рисков остается незамеченной, а часть, наоборот, переоценивается — и это напрямую влияет на то, как распределяются ресурсы и какие действия предпринимаются.
Либо подходы к работе с рисками существуют, но формируются внутри отдельных практик и не согласованы между собой. В управлении изменениями — одна логика оценки, в управлении проблемами — другая, в тестировании — третья. Формально везде «риски оцениваются», но эти оценки не сопоставимы и не складываются в целостную картину.
В результате решения, принимаемые в разных частях организации, могут противоречить друг другу. То, что в одной практике считается критичным риском и требует немедленного внимания, в другой может восприниматься иначе. Приоритизация работ, распределение ресурсов и требования к качеству оказываются не связанными между собой.
Как встроить работу с рисками в практики
Чтобы эту картину гармонизировать, необходимо развивать управление рисками как отдельную практику на уровне организации.
При этом важно понимать, что речь не сводится к назначению ответственного за риски и разработке подходов к управлению рисками, включая определение риск-аппетита и допустимого уровня риска. Этого недостаточно. Сами по себе такие договоренности могут дать эффект на уровне руководства: появляется согласованное понимание отношения к рискам и принципов принятия решений. Но если этим ограничиться, работа с рисками в повседневной деятельности не меняется. В командах продолжают использоваться привычные локальные подходы, и оценки рисков остаются несогласованными с общей логикой и стратегией организации.
Чтобы эта логика начала работать, придется приложить усилия и обеспечить использование этих подходов в других практиках Это означает, что в процессах и процедурах должны быть определены конкретные точки работы с рисками и принятия решений: например, когда проводится оценка рисков, как фиксируются результаты и какие действия следуют дальше. В ряде случаев это не единичное действие, а последовательность возвращений к оценке по мере изменения ситуации.
Например, если говорить об управлении изменениями, это означает, что на этапе оценки изменения риски должны не только обсуждаться, а фиксироваться в едином реестре с использованием согласованных критериев оценки вероятности и влияния. Там же определяются меры по их снижению и условия, при которых изменение может быть реализовано.
Далее, в процессе подготовки и реализации изменения, к этим рискам необходимо возвращаться: проверять, не изменились ли их параметры, актуальны ли запланированные меры, не появились ли новые риски. В определенные моменты — например, перед началом внедрения или при возникновении отклонений — такая переоценка становится обязательной частью принятия решений.
После завершения изменения работа с рисками также не заканчивается. В рамках анализа результатов имеет смысл сопоставить ожидаемые и фактические проявления рисков: какие из них реализовались, какие были недооценены или переоценены, насколько эффективными оказались выбранные меры. Эта информация возвращается в общую систему управления рисками и влияет на дальнейшие решения.
Аналогичная логика может быть выстроена и в других практиках: в управлении проблемами, тестировании, управлении доступностью и далее — с учетом их специфики, но с опорой на единые подходы к работе с рисками.
А еще, даже если подходы к управлению рисками описаны и встроены в процессы, они не начинают работать сами по себе. Чтобы обеспечить их использование, сотрудникам требуется понимание базовых принципов управления рисками и того, как применять их в своей ежедневной работе — и это требует целенаправленного обучения. При этом в рамках обучения сотрудников будет полезно разбирать конкретные примеры из их деятельности: какие риски в принципе могут возникать, как можно подойти к их идентификации, на что обращать внимание. Полезно формировать и использовать вспомогательные перечни — своего рода ориентиры с примерами типовых рисков, которые помогают не упускать важные аспекты при оценке.
Постоянное совершенствование управления рисками
И, наконец, важно регулярно возвращаться к самой системе управления рисками.
Это касается и совершенствования подходов: со временем меняются услуги, технологии, требования бизнеса, а вместе с ними и профиль рисков. И значит, нам требуется периодический пересмотр самих подходов: насколько они остаются актуальными, что необходимо скорректировать, а также повторного обучения сотрудников с учетом этих изменений.
Так же важно, как и в любой другой деятельности, получать обратную связь от тех, кто применяет подходы на практике: насколько они помогают принимать решения, где возникают сложности и что требует доработки. Работа с такой обратной связью обеспечит сотрудникам возможность применять согласованные подходы без отторжения из-за избыточной сложности.
И еще одна задача — контроль. Важно убедиться, что деятельность по управлению рисками действительно выполняется регулярно. На практике это может выражаться, например, в проверке того, что риски фиксируются в реестрах, пересматриваются в ключевых точках процессов, по ним определяются и реализуются меры, а также что результаты этой работы используются при принятии решений, а не остаются формальной записью.
