Вход
Оценка рисков программных проектов (С.А. Столбов, "Менеджер здравоохранения", N 9, сентябрь 2006 г.)
Оценка рисков программных проектов
"... не достигнув желаемого, они сделали вид,
что желали достигнутого."
М. Монтень
Реализация приоритетного национального проекта "Здоровье" так или иначе связана с внедрением и все более широким использованием в органах управления здравоохранением и лечебно-профилактических учреждениях современных компьютерных технологий. Все чаще руководителю медицинского учреждения приходится слышать об управлении проектами, управлении изменениями, планировании ресурсов и оценке рисков проекта. На смену интуитивному "авось-планированию" приходит строгий анализ и расчет. При этом особенно сложными и проблемными с точки зрения методов оценки требуемых ресурсов являются проекты, связанные с разработкой и внедрением программного обеспечения (ПО-проекты).
По данным исследовательской группы IDC погрешность оценки ресурсов ПО-проектов составляет 25% в 75% случаев [1]. Реализация ПО-проектов в общем случае осуществляется в условиях неопределенности, обусловленной экономическими, техническими, юридическими факторами, а также существующими ресурсными и временными ограничениями. Кроме того, процесс проектирования и программирования практически не поддается жесткому нормированию, поскольку в общем случае имеет творческий, исследовательский характер. В связи с этим большая часть ПО-проектов не достигает изначально поставленных целей. По данным анализа авторитетной исследовательской группы Standish Group International 30 тысяч проектов создания ПО, выполненных в США в период с 1994 по 2000 г., доля успешных проектов в среднем составляет одну четверть от их общего числа [2].
Любой ПО-проект характеризуется вероятностью его успешного завершения, а вероятные потери в случае неудачи проекта выражаются величиной риска, который определяется возможными потерями. При этом под неудачным завершением проекта понимается либо недостижение целей проекта, либо перерасход материальных ресурсов или превышение заданной продолжительности выполнения проекта при достижении его целей.
В приведенной ниже таблице представлена классификация основных рисков ПО-проекта.
Классификация рисков программных проектов
| По виду | финансовые риски, коммерческие риски, технологические риски, организаци- онные риски, риски персонала, риски изменения регламентирующих докумен- тов, субъективно обусловленные риски, юридические риски, риски форс-ма- жорных обстоятельств |
| По объекту | программный проект в целом \ составная часть проекта (подпроект) |
| По субъекту | заказчик, разработчик, пользователь и т.п. |
| По приемлемости | приемлемый риск \ неприемлемый риск |
| По времени возникновения | этапы, фазы, стадии, "вехи" проекта |
| По продолжительности воз- действия |
продолжительное воздействие \ одномоментное (разовое) воздействие |
| По прогнозируемости | риски с высокой неопределенностью, с интервальной неопределенностью, риски с природой нечетких множеств и т.д. |
Рассмотрим перечисленные классификационные группы подробнее.
Вид риска. Вид риска учитывает специфику влияющих на него рискообразующих факторов - источников риска.
Финансовые риски проявляются в сфере экономической деятельности субъектов, участников проекта (главным образом заказчика и разработчика). Финансовые риски связаны с формированием ресурсов, капитала, доходов и финансовых результатов субъектов, и характеризуются возможными денежными потерями в процессе выполнения проекта.
Коммерческие риски возникают в процессе купли-продажи программной продукции. Причинами коммерческих рисков могут быть: снижение объема реализации или объема выполняемых функций программной продукции вследствие изменения конъюнктуры рынка или других обстоятельств, изменения закупочной цены и др.
Технологические риски - это риски потерь, связанных с ошибками при выборе и применении технологий и технологических средств в ходе реализации программного проекта. Технологические риски характеризуют принципиальную возможность создания программной продукции с заданными функциями и характеристиками качества.
Организационные риски обусловлены недостатками в организации программного проекта. Основными факторами для данной группы рисков являются ошибки планирования и проектирования, недостатки координации работ, слабое регулирование, недостаточное ресурсное обеспечение проекта, ошибки в подборе и расстановке кадров.
Риски персонала связаны с возможными ошибками сотрудников, недостаточной квалификацией, неустойчивостью штата организации, мошенничеством, возможностью неблагоприятных изменений в трудовом законодательстве и т.д.
Риски возможного изменения нормативно-методических документов, регламентирующих деятельность субъектов здравоохранения (риски изменения регламентирующих документов). Например, изменение системы финансирования лечебных учреждений, административной подчиненности, внешней отчетности и документооборота и т.п. в процессе реализации ПО-проекта, может существенно повлиять на сроки его завершения, поскольку при этом может потребоваться перепроектирование, "переделка" программных средств, документации и т.д.
Субъективно обусловленные риски. Примерами такого рода рисков являются так называемая "подковерная борьба" за влияние на первое лицо, саботаж персонала (пользователей), связанный с нежеланием внедрения систем персонифицированного учета лекарственных средств и т.п.
Юридические риски представляют собой возможные потери в результате изменений законодательства, налоговой системы и т.п., непосредственно не связанные со спецификой предметной области (в нашем случае - со здравоохранением). Для ПО-проектов наиболее значимыми являются юридические риски, связанные с авторскими правами, патентами, лицензиями, интеллектуальной собственностью и коммерческой тайной.
Риски форс-мажорных обстоятельств - это риски стихийных бедствий (наводнения, землетрясения, штормы и другие природные катастрофы), экологических катастроф, войн, революций, путчей, забастовок и других ситуаций, которые могут помешать выполнению проекта.
Объект риска. Программный проект обычно можно разделить на составные части (подпроекты). В каждом подпроекте может создаваться отдельный компонент или модуль. Поэтому риски программного проекта можно классифицировать по объекту воздействия риска. Риск может воздействовать как на отдельный подпроект, так и на весь программный проект в целом.
Субъект риска. Программный проект характеризуется участием в нем нескольких субъектов: заказчика, разработчика, пользователей и т.д. Ущерб в случае неудачи программного проекта, а, следовательно, и риск для этих субъектов различен. Поэтому риски программного проекта целесообразно классифицировать по субъекту риска.
Приемлемость риска. Риски ПО-проекта характеризуются различной степенью последствий наступления того или иного неблагоприятного события, как для проекта, так и субъектов, участвующих в проекте, поэтому целесообразно использовать для классификации рисков программного проекта такой параметр, как приемлемость, что позволит распределить риски по весомости с точки зрения воздействия на реализацию программного проекта. С точки зрения данной классификации одной из основных задач управления рисками ПО-проекта является ранжирование рисков по степени их допустимости. Основная задача данной классификации заключается в выделении так называемой совокупности катастрофических (критических) рисков, наступление которых недопустимо, так как это однозначно приводит к срыву проекта. Приемлемость риска определяется исходя из интересов соответствующего субъекта проекта. ПО-проект может осуществляться только в том случае, если для каждого субъекта проекта риск приемлем.
Время возникновения риска. Рискообразующие факторы характеризуются разновременностью влияния на программный проект, поэтому для рисков необходимо ввести ссылку на определенную стадию (этап) проекта. Это позволит выработать единую систему управления рисками во временной взаимосвязи действий, а так же оптимально распределить усилия по прогнозированию и принятию превентивных и оперативных мер.
Продолжительность воздействия риска. Рискообразующие факторы характеризуются определенной продолжительностью воздействия последствий соответствующих рисковых событий на программный проект, поэтому предлагается классифицировать риски по продолжительности воздействия на проект. Это позволит определить тяжесть наступления того или иного события с позиции продолжительности воздействия на программный проект.
Прогнозируемость риска. Одной из характеристик риска ПО-проекта является его информационная сложность и многофакторность, связанная с неопределенностью условий его реализации, возможными ошибками при постановке задач и планировании, непредсказуемостью поведения субъектов проекта и т.п. Очевидно, что у разных видов рисков ПО-проекта разная природа и разная возможность прогнозирования, и, соответственно, разная возможность применения того или иного метода идентификации и прогнозирования [3, 4, 5].
Приведенная классификация рисков достаточно условна и относительно примитивна. В тоже время, даже такая грубая классификация рисков методологически полезна, поскольку позволяет систематизировать их анализ, упрощает процесс исследования, выявление рискообразующих факторов и оценку рисков. Правильное выявление и адекватная оценка факторов риска проекта позволят снизить возможный ущерб в случае его неудачи, а также затраты на удержание или снижение риска.
В заключение следует заметить, что проблема оценки рисков программных проектов пока еще не имеет общего решения и чрезвычайно актуальна как с точки зрения практических потребностей, так и в методологическом аспекте. В известной степени именно этим объясняется то, что значительная часть ПО-проектов оказывается не до конца реализованной, а затраченные средства нерационально израсходованными. Поэтому все вышесказанное следует рассматривать не как абсолютную истину, а скорее, как "информацию к размышлению", приглашение к исследованию и обсуждению на страницах журнала.
Литература
1. http://www.idc.com/russia/rus/about/press/rus_pr160305.
2. The Standish Group International, Extreme Chaos, The Standish Group International, Inc., 2000.
3. Липаев В.В. Анализ и сокращение рисков проектов сложных программных средств. - М.: СИНТЕГ, 2005. - 224 с. (Серия "Управление качеством").
4. Рискология (управление рисками): Учебное пособие. 2-е изд., испр. и доп. / В.П. Буянов, К.А. Кирсанов, Л.М. Михайлов. - М.: Издательство "Экзамен", 2003. - 384 с.
5. Седов И.А. Формализация финансового управления рисками предприятия / http://www.cis2000.ru/publish/books/book_71/ch1_2.shtml.
С.А. Столбов,
центральный НИИ МО, г. Москва
"Менеджер здравоохранения", N 9, сентябрь 2006 г.
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Журнал "Менеджер здравоохранения"
Издатель: ООО Издательский дом "Менеджер здравоохранения"
Свидетельство о регистрации СМИ: N 77-15481 от 20 мая 2003 г.
Издается с 2004 г.
Периодичность: ежемесячный
Главный редактор: академик РАМН, профессор В.И. Стародубов
Информационная концепция: Административная реформа в здравоохранении.
Новые финансово-экономические механизмы и организационно-правовые формы медицинской организации. Анализ и прогноз рынка медицинских услуг. Программы переподготовки руководителей здравоохранения. Актуальные интервью. Репортажи о заметных событиях
Подписные индексы по каталогу "Газеты и журналы" агентства "Роспечать":
20102 - годовая подписка;
82614 - подписка на полгода.
Адрес редакции: г. Москва, ул. Добролюбова, 11, оф. 234
Телефоны редакции: (495) 618-07-92
факс (495) 618-07-92
Справки о подписке через редакцию по тел/факс (495) 618-07-92, 639-92-45
Адрес электронной почты idmz@mednet.ru
Сайт: www.idmz.ru