Уровень риска зависит от множества факторов, как связанных с деятельностью организации, так и не зависящих от нее. Они характеризуются как особенности конкретного вида деятельности, так и специфические черты неопределенности, в условиях которой эта деятельность осуществляется.
Такие факторы принято называть рискообразующими.
Под рискообразующими факторами обычно понимают сущность процессов или явлений, способствующих возникновению того или иного вида риска и определяющих его характер. В научной литературе, посвященной проблеме управления рисками, основное внимание уделяется формированию групп рискообразующих факторов, оказывающих воздействие на конкректные виды рисков, причем основные усилия исследователей направлены на уточнение списка рискообразующих факторов для конкретных видов риска.
Чаще всего при анализе факторов выделяются те из них, которые воздействуют на «конкретный вид риска» (в литературе они получили название нейтивных (от английского native - присущий) рискообразующих факторов. В то же время существует ряд рискообразующих факторов, одновременно воздействующих на риски нескольких видов, или так называемые интегральные факторы риска.
Неопределенность, непредсказуемость и нестабильность внешней среды обусловливают объективный характер возникновения рискообразующих факторов, усложняющих процесс адаптации предпринимательских структур к происходящим изменениям.
Основными проблемами функционирования предпринимательских структур в сфере информатизации являются высокий динамизм внешней среды и высокие темпы инновационной активности, обусловливающие многообразие источников возникновения рисков.
Основным конечным продуктом предпринимательской деятельности организаций в сфере информационных технологий является интеллектуальная собственность в виде программных продуктов, информационных технологий, систем обслуживания, автоматизированных систем управления и т.д., что сформировало ее отличительные особенности: ориентация на постоянную модернизацию и инновации, быстро изменяющаяся конъюнктура рынка, потребность в высококвалифицированном персонале, неопределенность и нестабильность рынка, риск недополучения доходов, высокий уровень мобильности персонала, необходимость соблюдения авторских прав.
Проекты в области информационных технологий (IT) обладают специфическими характеристиками, в силу которых эффективное управление рисками становится жизненно важным для их успеха. Рыночная конкуренция, эволюция технических стандартов, равно как и другие факторы, могут заставить работающую над проектом группу модифицировать принятые планы и решения в середине проекта. Изменяющиеся требования пользователей, новый инструментарий и новые технологии, растущие угрозы для информационной безопасности, текучесть кадров – все это дополнительные факторы, способные повлечь за собой изменения в IT-проекте и заставить проектную группу принимать решения в условиях неопределенности (риска). Jim McCarthy писал: «Практически на каждой стадии даже самых успешных проектов по разработке программного обеспечения существует большое количество важнейших вещей, о которых ничего не известно” (из книги “Динамика разработки программного обеспечения», 1995, стр. 99)
Оценка рисков в сфере информационно-технологического обслуживания предполагает выделение факторов, представляющих угрозу конкурентоспособности предприятия, ее финансовому состоянию и результатам деятельности, рыночной стоимости предприятия. Некоторые специалисты даже выделяют их в отдельный вид риска - IT-риски. Однако, поскольку мы рассматриваем источники возникновения рисков на предприятии, чья основная производственная деятельность и есть создание IT-продуктов, считаю нецелесообразным выделение IT как отдельный вид риска в данном исследовании, а специфика деятельности предприятия, на мой взгляд, является источником возникновения ряда рискообразующих факторов, отличных для каждой отдельно взятой отрасли и сферы деятельности и связанных с успешностью решения бизнес-задач.
Заместитель генерального директора, директор департамента информационных технологий компании «Аэрофлот — российские авиалинии» Сергей Кирюшин подчеркивает важность рисков, возникающих в работе с IT-системами: «... последствия могут оказать крайне негативное влияние на бизнес...Кроме того, существует риск неуспешного внедрения новой информационной системы, что может привести к потере денег, времени, конкурентных преимуществ на рынке». Причем это справедливо как для компании-заказчика, так и для компании-поставщика IT-продуктов, поскольку ей самой приходится работать с IT-системами (среда разработки, базы-данных и т.д.).
В IT-проектах неблагоприятным событием может быть уменьшение ценности, управляемости, функциональности, качества, увеличение сроков проекта, недополучение прибыли, предполагавшейся по проекту.
Составить даже приблизительную классификацию IT-факторов достаточно проблематично, прежде всего, из-за их разнообразия. Их можно разделить на внешние (природные катаклизмы, техногенные катастрофы или аварии, попытки несанкционированного доступа к информации и т. п.) и внутренние (сбои компьютерного оборудования и программного обеспечения, ошибки персонала), а также по последствиям, к которым они могут привести. По своему характеру они являются интегральными, поскольку существенно влияют не только на процесс производства, но и на коммерческие результаты (коммерческие риски), финансовое состояние предприятия (финансовые риски), его положение на рынке, конкурентоспособность продуктов (маркетинговые риски), скорость внедрения и разработки инноваций (инновационные риски), решения об инвестировании тех или иных проектов (инвестиционные), выбор технологий (технические) и даже представлять источник юридических рисков.
Например, долгое время в нашей стране программное обеспечение в основном получали из незаконных источников. И поэтому компания может попасть в ситуацию, когда ее IT-инфраструктура не сможет работать из-за юридических проблем.
Кроме того, IT-компании часто оказывают консультационные услуги своим заказчикам. Директор по маркетингу Enterprise One (группа компаний Verysell) Ирина Ярославцева подчеркивает, что для компании-консультанта в первую очередь существует риск незапланированного роста объема проекта в ходе его реализации и, как следствие, снижения рентабельности.
Не следует забывать и о такой угрозе, как потеря репутации.
Для сотрудника же главное состоит в том, чтобы прикладные программы работали без перебоев, а что для этого нужно — серверы, операционные системы, телекоммуникации и т.д.
Однако, по мнению многих специалистов в области IT и IT-рисков в частности, что подтверждается и международными исследованиями, на первом месте сейчас стоит человеческий фактор, то есть внутренние проблемы. «Это касается как злонамеренной деятельности, так и просто неумелых действий сотрудников. Техническая составляющая рисков сейчас минимальна» - считает Валентин Крохин, директор по маркетингу Leta IT-company. Такого же мнения придерживается и руководитель отдела внедрения Microsoft CRM компании Softline Solutions Александр Окороков, причем человеческий фактор, по его мнению, представлен не только злым умыслом, но и природной человеческой беспечностью.
В общем виде можно выделить следующие группы факторов риска, присущих компании в сфере IT:
- Технологические, связанные с IT-инфраструктурой, включают в себя оценку влияния на бизнес следующих факторов: выход из строя или частичная потеря работоспособности IT-систем предприятия по причине технических неисправностей или ошибок персонала.
- Потери кадрового потенциала. IT-системы, в связи с растущей степенью их интеграции с бизнесом, становятся уникальными. Это приводит к тому, что для их обслуживания требуются уникальные знания. Если в компании подобные знания надлежащим образом не фиксируются, то при уходе сотрудника — носителя знаний правильная эксплуатация системы становится затруднительной.
- Потеря или утечка информации.
- Социальные — влияние IT на коллектив компании. С развитием IT растут требования к конечным пользователям. Для новых сотрудников требуется больше времени на обучение, а повышение квалификационных требований приводит к необходимости увеличения фонда заработной платы. После внедрения информационной системы может отпасть необходимость в некоторых сотрудниках и придется их либо сократить, либо перепрофилировать.
- Проектные: превышение бюджета, срыв сроков, пересмотр целей проекта.
- Юридические: использование нелицензионного ПО, несоблюдение авторских прав.
- Рыночные: быстрый технологический рост, неустойчивость внешней и внутренней среды. Нахождение на самом острие технологического прогресса не всегда оправдано с точки зрения эффективности затрат. Так, обычный переход на новую версию программного обеспечения означает существенные затраты на лицензии, обновление оборудования, обучение персонала.
Вот лишь некоторые факторы, которые существенным образом влияют на функционирование IT-компании. Реализовавшиеся факторы приводят к увеличению сроков и стоимости реализации проектов, снижению рентабельности IT-продуктов, снижению конкурентоспособности этих продуктов и другим, отрицательным для предприятия явлениям.
Тем не менее, разработаны различные методики, ориентированные на различные предметные области управления рисками в IT.
Например, имеющая большую практику применения — управление рисками Microsoft Solutions Framework.
Управление рисками в рамках Microsoft Solutions Framework (MSF, методология разработки программного обеспечения от Microsoft) существует раздел управления рисками (risk management). Хотя в основном сама MSF и ее управление рисками родилось в процессе разработки программного обеспечения, принципы, заложенные в управление рисками MSF, имеют более широкое применение среди многочисленных партнеров Microsoft при внедрении IT-проектов. Методология управления рисками MSF обеспечивает учет всех элементов проектов: люди, бизнес-процессы, технологии, обеспечивает систематический, непрерывный на протяжении всего жизненного цикла проекта, воспроизводимый процесс управления рисками, обеспечивает обратную связь — непрерывное извлечение уроков из полученного опыта.