О рисках каждый отечественный предприниматель знает не понаслышке. Однако о том, как ими управлять, задумывались далеко не все. В июле 2022 года доцент Томского университета систем управления и радиоэлектроники Валентин НИКОЛАЕНКО (на снимке) одержал победу в номинации «Лучшая работа молодых ученых» конкурса «Лучший риск-менеджмент в России-2022», организованного Русским обществом управления рисками («РусРиск»).
Валентин Николаенко представил на конкурс свою кандидатскую диссертацию «Управление рисками ИТ-проектов в организациях», где в числе прочего впервые описан инструментарий оценки, мониторинга и контроля позитивных рисков. Ранее представители классического риск-менеджмента фокусировались на управлении рисками негативными. Старт этой актуальной и перспективной работе дал Российский фонд фундаментальных исследований (РФФИ). Чтобы подробно разобраться с научным подходом к риск-менеджменту и его особенностями в ИТ-проектах, «Поиск» встретился с Валентином Сергеевичем Николаенко.
— Наверное, стоит пояснить непрофессионалам, что такое риск-менеджмент и в чем состоят его особенности, когда речь идет об ИТ-проектах?
— Классический риск-менеджмент снижает вероятность возникновения неблагоприятных событий и стремится уменьшить возможные потери. Например, чтобы не допустить наступления неблагоприятного события, необходимо заблаговременно продумать способы воздействия на причины его возникновения, локализовать источники опасности, провести диверсификацию или страхование. Допустим, для организации актуальна угроза потери информационных данных, которые хранятся на ее сервере. Логично предположить, что для того, чтобы нивелировать опасность, необходимо систематически осуществлять резервное копирование данных, а также заключить договор страхования серверного оборудования.
Это классическое управление рисками, которое применяется сегодня во всех отраслях экономики. Управление рисками в сфере информационных технологий имеет свои особенности. Во-первых, программы для ЭВМ — это сложный правовой объект, который одновременно является и овеществленным результатом, и результатом интеллектуальной деятельности (РИД). Это означает, что переход права собственности на диск, flash-карту или любой носитель, где хранится программный код, не повлечет перехода исключительного права на сам код. Во-вторых, для отрасли информационных технологий характерна проектная деятельность, что создает целый перечень специальных рисков, связанных с заинтересованными сторонами, субподрядчиками, участниками проекта, оборудованием, технологиями и др. В-третьих, для создания ИТ-продуктов применяются различные модели. Помимо стандартной каскадной концепции производства программ для ЭВМ в сфере информационных технологий широко используется итеративная. Каждая из них таит в себе определенные опасности. Например, для каскадного подхода характерны риски, связанные с изменением норм действующего законодательства, трансформацией бизнес-структуры и интересов заказчика, уходом ключевых работников и так далее. Особенно опасен риск отсутствия спроса на созданный продукт. Итеративная концепция лучше справляется с изменениями пользовательских, функциональных и бизнес-требований. Однако недостаточная проработка технического задания либо полное его отсутствие часто приводят к размытию границ проекта и значительному увеличению его бюджета.
— Давайте подробнее остановимся на проблемах интеллектуальной собственности, которые для России — традиционный камень преткновения.
— Тогда придется немного раскрыть тему классификации рисков. В ИТ-проектах выделяют специальные и универсальные риски. Специальные риски — это вероятные события, которые актуальны для частного ИТ-проекта. Универсальные риски актуальны для любого ИТ-проекта независимо от его масштаба, сложности, длительности, типа, способов управления и численности команды. Мои исследования показали, что в ИТ-проектах могут наступить 105 универсальных рисков. Эти риски распределяются на три группы: коммерческие, проектные (внутренние) и комплаенс-риски. Комплаенс-риски — опасности, которые возникают из-за несоответствия проекта нормативным актам, правилам, стандартам и кодексам поведения. Последствия от наступления этих рисков проявляются в форме юридических санкций со стороны регулирующих и надзорных органов, отраслевых ассоциаций и лиц, чьи права и интересы были нарушены. В составленную мной группу комплаенс-рисков входят 45 рисковых событий, связанных с заказчиками, подрядчиками, субподрядчиками, а также с исключительными правами на результаты интеллектуальной деятельности. В частности, риск нарушения исключительных прав на РИД, риск невозможности признания исключительного права на РИД за автором, риск создания нежелательного производного произведения и др. Для нивелирования вероятности наступления подобных рисков было исследовано 447 томских организаций, занятых разработкой компьютерного программного обеспечения, и изучено 363 решения арбитражных судов. Установлено, что средний материальный ущерб, который причиняет наступление одного комплаенс-риска, превышает 700 тысяч рублей. Единственный способ воздействия на подобные рисковые события — заблаговременное распределение между сторонами сделки действий, направленных на устранение комплаенс-рисков, с обязательной фиксацией договоренностей в условиях контракта. Риски, связанные с исключительными правами на РИД, очень коварны. Как правило, они наступают после того, когда программы для ЭВМ введены в эксплуатацию, что приносит катастрофический материальный ущерб.
— Каким образом вы пришли к такой интересной тематике исследований?
— Мои научные исследования начались еще со студенческой скамьи, но апробировать разработки в 2016-2017 годах мне помог грант РФФИ для молодых ученых (16-36-00031 мол_а). Пользуясь случаем, хочу поблагодарить моего научного руководителя доктора экономических наук, профессора Ирину Евгеньевну Никулину, заведовавшую кафедрой менеджмента Томского политехнического университета, где я тогда трудился. Ее консультации мне очень помогли. В рамках гранта были проведены исследования в ИТ-организациях Томска, Кемерово, Новосибирска и Москвы, которые предоставили мне доступ к своим проектам. В исследовательскую базу я включил различные типы ИТ-проектов, в рамках которых создавались мобильные приложения, программное обеспечение, сайты и порталы, ERP-системы и др. Это был достаточно трудоемкий и кропотливый процесс. Нужно было договориться с каждой организацией и буквально внедриться в проект, чтобы выявить риски, наступающие в процессе создания программ для ЭВМ, а также определить наиболее эффективные и результативные меры воздействия на них.
В результате был составлен перечень, состоящий из 105 универсальных рисков, сформирован рейтинг наиболее опасных рисковых событий и разработан инструментарий управления рисками в ИТ-проектах. Стоит отметить, что во время исследования природы и структуры риска было сделано неожиданное открытие. Исследование позволило установить, что в зависимости от наступивших последствий риски могут быть и позитивными. Негативный риск может привести к наступлению проблемных последствий, а позитивный риск — это вероятное событие, которое может привести к благоприятному для проекта развороту. Наглядный пример влияния наступивших позитивных рисков — привлечение в ИТ-проект программистов более высокого квалификационного уровня либо проведение дополнительного аудита спецификаций требований. Эмпирические данные показывают, что проведение аудита по обнаружению и исправлению дефектов в спецификации обходится ИТ-организациям примерно в 10 000 рублей. А исправление дефектов, которые будут обнаружены конечными пользователями в созданной без такого аудита программе, может обойтись уже в 250 000 рублей.
— Насколько я знаю, этот успешный старт позволил вам развить исследования, и нынешняя победа во всероссийском конкурсе уже не первая.
— Да, в 2020 году я уже побеждал в конкурсе, организованном «РусРиском», в номинации «Надежда года в области риск-менеджмента в России». Тогда на конкурс были представлены мои образовательные симуляторы «Черный лебедь», «Предел риска» и «Мастер-риск». Стоит отметить, что их создание также связано с грантом РФФИ. В рамках исследования было установлено, что во многих ИТ-проектах управление рисками реализовано не полностью или вовсе отсутствует. Это вызвало определенные трудности, т. к. требовался инструмент, который мог бы наглядно демонстрировать базовые принципы и процессы риск-менеджмента, а также оперативно формировать необходимые профессиональные компетенции у участников проектов. Оказалось, что образовательные симуляторы — лучший способ, который за короткое время демонстрирует участникам проектов, зачем нужно управлять рисками и как это делать.
Среди основных дидактических эффектов от использования симуляторов можно отметить быстроту овладения соответствующими компетенциями, оперативность формирования практических навыков, кросс-коммуникацию, а также возможность отработки различных стратегий управления рисками, поскольку за пару часов участники обучения проходят полный жизненный цикл проекта. Симуляторы приобрели определенную популярность в ИТ-сообществе и университетской среде, благодаря чему в 2018 году на Всероссийском конкурсе молодых преподавателей вузов, организованном Министерством образования и науки РФ и Московским государственным университетом, «Черный лебедь», «Предел риска» и «Мастер-риск» были признаны лучшими преподавательскими практиками, а в 2020 году за внедрение их в образовательный процесс мне удалось одержать победу в конкурсе «Золотые имена высшей школы».
— В последние месяцы внешние обстоятельства для ИТ-отрасли кардинально изменились. С точки зрения риск-менеджмента это должно повлечь за собой новые подходы к управлению?
— Сегодня в ИТ-отрасли наблюдаются серьезные изменения. Кибератаки на критические информационные инфраструктуры, уход с российского рынка крупных поставщиков программного обеспечения, таких как Cisco, Oracle, Microsoft и SAP, трансформация законодательства и меры государственной поддержки оказывают значительное влияние на отечественные ИТ-проекты. Подобные экстремальные условия формируют потребность в инструментах, гарантирующих безопасность, устойчивость и успешное достижение запланированных целей. Управление рисками удовлетворяет всем вышеперечисленным требованиям, поэтому, учитывая сложившиеся обстоятельства, новые вызовы, которые стоят перед страной, а также интенсивную частоту наступлений «черных лебедей», считаю, что внедрение риск-ориентированного управления необходимо не только в сфере информационных технологий, но и во всех отраслях народного хозяйства.
Подчеркну, что разработанный инструментарий управления рисками успешно применяется в проектах государственного управления, энергетики, медицины, нефтегазовой отрасли и других сферах. Например, в 2018 году этот инструментальный аппарат внедрили в Томском политехническом университете. И было обнаружено, что возможный благоприятный эффект от наступления всего двух позитивных рисков перекрывает возможный суммарный ущерб от сорока двух негативных.
Беседовала Ольга Колесова
Нет комментариев