Риск-менеджмент как необходимый фактор для успешного завершения ИТ-проектов, реализуемых в рамках национальной программы «Цифровая экономика» Текст научной статьи по специальности «Экономика и бизнес»

Николаенко В. С.

Риск-менеджмент как необходимый фактор для успешного завершения ИТ-проектов, реализуемых в рамках национальной программы «Цифровая экономика»1

Николаенко Валентин Сергеевич — МВА, старший преподаватель, Томский

политехнический университет, Томск, РФ.

E-mail: nikolaenkovs@tpu.ru, masterrisk@ya.ra

SPIN-код: 9301-1835

ORCID ID: 0000-0002-1990-4443

Аннотация

Статья посвящена исследованию проблем, связанных с применением риск-менеджмента в проектах, реализуемых в сфере информационных технологий (ИТ). Одной из таких проблем является отсутствие методов для идентификации, анализа, оценивания рисков, методов по разработке мер воздействия на риски, которые бы учитывали особенности сферы ИТ. Для решения данной проблемы был проведен критический анализ методов, описанных в PMBOK® Guide, M_o_R®, ERM COSO, PRINCE2® и ГОСТ 31010:2012, и их последующая адаптация для сферы информационных технологий. На основании полученных данных был создан алгоритм управления рисками в ИТ-проектах, работоспособность которого была проверена в 11 ИТ-проектах. Полученные результаты экспериментальной апробации показали, что созданный алгоритм управления рисками экономически эффективен, обеспечивает высокое качество выявления рисковых событий, снижает отклонение длительности от запланированных результатов, увеличивает шансы на успешное завершение ИТ-проектов, а также применим в проектах, реализуемых как по каскадному принципу (waterfall), так и с использованием гибких методик разработки программного обеспечения (agile). Теоретическая и практическая значимость исследования и полученных результатов заключается в возможности их использования в национально значимых ИТ-проектах Российской Федерации, инициированных в рамках Указов Президента РФ № 203 о стратегии развития информационного общества и № 204 о национальных целях и стратегических задачах развития России, Распоряжения Правительства № 1632-р об утверждении программы «Цифровая экономика» и Постановления Правительства № 234 о системе управления реализацией национальной программы «Цифровая экономика»

Ключевые слова

Риск-менеджмент, ИТ-проект, алгоритм управления рисками, методы оценки рисков, цифровая экономика.

DOI: 10.24411/2070-1381-2020-10059

1 Работа выполнена при финансовой поддержке Международного научного фонда экономических исследований академика Н.П. Федоренко. Проект № 2019-125 «Разработка отечественного стандарта управления рисками на базе ГОСТ Р ИСО 31000:2010 — Менеджмент риска».

Введение

Согласно Указам Президента РФ № 2032 о стратегии развития информационного общества и № 204 о национальных целях и стратегических задачах развития России, Распоряжению Правительства № 1632-р об утверждении программы «Цифровая экономика»3 и Постановлению Правительства № 234 о системе управления реализацией национальной программы «Цифровая экономика»4 развитие сферы информационных технологий является одним из важнейших стратегических направлений развития государства. Так, в рамках национального проекта «Цифровая экономика» планируется реализовать множество крупных ИТ-проектов, таких как автоматизированная система управления транспортным комплексом, ИТ-система обмена знаниями в сфере сельского хозяйства, ИТ-система социального обеспечения, ИТ-система учета отходов, ГИС «Контингент», единый транспортный сервис и др.

Сфера информационных технологий, согласно данным Федеральной службы государственной статистики, формирует сравнительно небольшую долю ВВП Российской Федерации, примерно 1,3-3,3% (для сравнения: Южная Корея — 11%, Япония — 6,6%, США — 6-7%), но имеет колоссальный потенциал, способный оказать значительное воздействие на активизацию деятельности в таких сферах, как промышленность, торговля, сельское хозяйство, строительство, финансы, энергетика, государственное управление, транспорт, здравоохранение, наука и образование и др.

Стоит также отметить, что ввиду уникальности процессов и сложности реализации национально значимых ИТ-проектов их успешное завершение может быть под угрозой. Так, например, если обращаться к международному опыту, то, согласно данным The Standish Group International, доля успешно завершенных ИТ-проектов в США и странах Европы, как правило, не превышает 29% [Бешенов и др. 2019; Лакшина

2 Указ Президента РФ от 09.05.2017 N 203 «О Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы» // Судебные и нормативные акты РФ [Электронный ресурс]. URL: https://sudact.ru/law/ukaz-prezidenta-rf-ot-09052017-n-203/strategiia-razvitiia-informatsionnogo-obshchestva-v/ (дата обращения: 07.02.2020); Указ Президента РФ от 7 мая 2018 г. № 204 «О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года» // ГАРАНТ [Электронный ресурс]. URL: https://www.garant.ru/products/ipo/prime/doc/71837200/ (дата обращения: 07.02.2020).

3 Распоряжение Правительства РФ от 28 июля 2017 г. N 1632-р «Об утверждении программы «Цифровая экономика Российской Федерации»» // ГАРАНТ [Электронный ресурс]. URL: https://base.garant.ru/71734878/ (дата обращения: 07.02.2020).

4 Постановление Правительства РФ от 02.03.2019 N 234 (ред. от 07.12.2019) «О системе управления реализацией национальной программы «Цифровая экономика Российской Федерации» (вместе с «Положением о системе управления реализацией национальной программы «Цифровая экономика Российской Федерации») // КонсультантПлюс [Электронный ресурс]. URL: http://www.consultant.ru/document/cons doc LAW 319701/ (дата обращения: 07.02.2020).

2016]5. Данное обстоятельство говорит о незрелости управления ИТ-проектами в мире, что, в свою очередь, может быть значительным препятствием на пути развития цифровой экономики в Российской Федерации.

В связи с этим логично предположить, что требуется создание управленческого алгоритма, который мог бы гарантировать успех проектов, разрабатываемых в сфере ИТ. По мнению ряда отечественных и зарубежных ученых, подобным гарантом является риск-ориентированное управление [Грачева 2014; Де Марко 2005; De Baker et al. 2014].

Критический анализ международных и национальных стандартов, связанных с риск-ориентированным управлением, в частности ГОСТ Р 31010-2011 «Методы оценки риска»6, показал, что применение способов и методов, формализованных в данных стандартах, для сферы информационных технологий в их классическом виде затруднено, а подчас невозможно [Николаенко 2016; Назарова и др. 2017]. Данное обстоятельство может быть объяснено особенностями реализации ИТ-проектов, в частности:

- применением гибких методик управления при разработке программного продукта: EP [Бек 2003], Scrum [Кон 2011], ADS, Crystal Clear, FDD и др.;

- использованием нетипичных моделей жизненных циклов: V-model [Balaji и др. 2012], RAD [Бахтизин 2010], спиральная модель Б.В. Боема [Boehm 1981] и др.;

- преобладанием качественных методов оценки рисков над количественными по причине использования принципов разработки программного обеспечения, таких как KISS [Raymond 2003] и YAGNI [Джеффрис и др. 2000];

5 См. также The CHAOS Manifesto. Standish Group International, 2014 // Standish Group [Электронный ресурс]. URL: https://www.standishgroup.com/sample research fíles/CHAOSReport2014.pdf(дата обращения: 07.02.2020).

6 ГОСТ Р 31010-2011 Методы оценки риска. ISO/IEC 31010:2009. Risk management — Risk assessment techniques (IDT) // Техэксперт [Электронный ресурс]. URL: http://docs.cntd.ru/document/gost-r-iso-mek-31010-2011 (дата обращения: 07.02.2020); ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство. ISO 31000:2009. Risk management — Principles and guidelines (IDT) // Техэксперт [Электронный ресурс]. URL: http://docs.cntd.ru/document/1200089640 (дата обращения: 07.02.2020); ISO 31000:2018 Risk management — Guidelines. 2th edition // International Organization for Standardization [Электронный ресурс]. URL: https://www.iso.org/standard/65694.html (дата обращения: 07.02.2020); Project management body of knowledge. Guide 6th edition // Project Management Institute (PMI) [Электронный ресурс]. URL: https://www.pmi.org/pmbok-guide-standards/foundational/pmbok (дата обращения: 07.02.2020); Risk Management Guide for DOD Acquisition. Sixth Edition. Version 1.0 // Docplayer [Электронный ресурс]. URL: https://docplayer.net/284609-Risk-management-guide-for-dod-acquisition.html (дата обращения: 07.02.2020); Management of Risk: Guidance for Practitioners. Norwich: TSO (The Stationary Office), 2010; Managing Successful Projects with PRINCE2. Norwich: TSO, 2017; Enterprise Risk Management. Integrating with Strategy and Performance, 2017 // Committee of Sponsoring Organizations of the Treadway Commission [Электронный ресурс]. URL: https://www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf (дата обращения: 07.02.2020).

- трансформацией интеллектуального капитала в капитал материальный [Мадорская 2011].

Таким образом, целью настоящей статьи является создание алгоритма управления рисками для ИТ-проектов различной длительности (краткосрочные, среднесрочные, долгосрочные), типов (сайт, программное обеспечение, мобильное приложение, портал, ERP-система и др.), с различной численностью проектных коллективов и различными методиками управления проектами.

Исследовательской базой стали международные и отечественные стандарты, труды отечественных и международных ученых, 7 ИТ-организаций и 11 ИТ-проектов.

Для достижения поставленной цели были решены следующие задачи:

1) проведен анализ и адаптация методов оценки рисков для сферы информационных технологий;

2) разработан алгоритм управления рисками ИТ-проектов;

3) осуществлено внедрение созданного алгоритма в субъекты сферу информационных технологий.

Анализ и адаптация методов оценки рисков для сферы ИТ

Анализ методов, представленных в ГОСТе Р 31010-2011, и осмысление особенностей проектов, реализуемых в области ИТ, побудили автора статьи провести адаптацию методов оценки рисков для сферы информационных технологий [Никулина и др. 2018, 198].

Согласно ГОСТу Р ИСО 31000-2010 оценка рисков включает в себя такие процессы, как идентификация, анализ и оценивание рисков. Однако для результативного и эффективного управления рисками в ИТ-проектах данных процессов недостаточно [Николаенко 2018]. В связи с чем автор статьи, помимо выполнения обозначенных выше задач, также адаптировал методы по разработке мер воздействия на риски и подобрал программные продукты, автоматизирующие процедуры мониторинга и контроля над рисками.

Рассмотрим каждый процесс риск-менеджмента подробнее.

Процесс идентификации рисков. По итогам адаптации было отобрано 10 методов идентификации рисков, которые могут быть успешно использованы в сфере информационных технологий. Полный перечень данных методов представлен в Таблице 1.

Таблица 1. Методы, применяемые для идентификации рисков7

№ Название метода (оригинальное название) Название метода (перевод на русский язык) Разработчик метода

1 Retrospective analysis Ретроспективный анализ документации завершенных ИТ-проектов В.А. Никонов [Никонов, 2009], Россия А.А. Поляков и В.О. Ключников [Поляков и др. 2010], Россия

2 Brainstorming Мозговой штурм, мозговая атака А. Осборн, США

3 Delhi Метод Дельфи, дельфийский метод О. Хелмер, Н. Далки и Н. Ресчер, США

4 SWOT matrix (Strengths, Weaknesses, Opportunities, Threats) SWOT-анализ К. Эндрюс, США

5 STEEP matrix/PEST matrix (Social, Technological, Economic, Ecological, political) STEEP-анализ / PEST-анализ М. Портер, Г. Минтзберг, Б. Хендерсон, Г. Хамел, США

6 Hazard and Operability Study, HAZOP Computer Hazard and Operability Analysis, CHAZOP Исследование компьютерной опасности и работоспособности систем Т. Клетз, Великобритания

7 Structured What-If Technique, SWIFT [Card et al. 2012] Структурированный анализ сценариев методом «что, если?» Ф. Лавли, Великобритания

8 Preliminary Hazard Analysis, PHA Предварительный анализ опасностей для систем Э. Дж. Хенкли, Х. Кумамото, США

9 Fault Tree Analysis, FTA Анализ дерева неисправностей Компания «Bell Telephone», Х.А. Уинстон, США

10 Event Tree Analysis, ETA Анализ дерева событий Комиссия по ядерному регулированию, США

Подобное разнообразие способов идентификации рисков может быть объяснено

тем, что ни один из представленных методов не гарантирует выявления всех внутренних и внешних рисков, актуальных для ИТ-проектов. Исследования показали, что применение одного отдельного метода, как правило, идентифицирует только определенную группу рисков. Следовательно, необходимо применение большого количества разнообразных методов, идентифицирующих риски, в том числе и дублирующих.

Говоря об идентификации рисков, стоит упомянуть рекомендации ученых-исследователей, которые советуют обращаться за помощью к руководителям смежных ИТ-проектов, заказчикам, подрядчикам, независимым экспертам, так как благодаря их взгляду со стороны могут быть выявлены многие скрытие риски [Авдошин и др. 2011].

7 Составлено автором по [Никонов 2009; Поляков и др. 2010; Николаенко 2018].

Процесс анализа рисков. Согласно ГОСТу Р ИСО 31000-2010 главной целью анализа рисков является получение информации об источниках рисковых событий и возможных последствий, которые могут наступить в случае их материализации. В связи с чем автором статьи были адаптированы методы, направленные на выявление корневых причин наступления рисков и определение сценариев возможных последствий (Таблица 2).

Таблица 2. Методы, применяемые для анализа рисков8

№ Название (оригинальное название) Название (перевод на русский язык) Разработчик метода

1 Bow-tie [Lewis et al. 2010] Галстук-бабочка (первый этап) Б. Лангминд, США

2 5Why Почему-почему. Пять почему С. Тоеда, Япония

3 Fishbone Diagram, Cause and Effect Diagram [Ishikawa 1986] Диаграмма Исикавы, диаграмма «рыбьей кости» К. Исикава, Япония

Стоит отметить, что анализ рисков в ИТ-проектах может быть значительно упрощен, если ранее идентифицированные риски были распределены по классификационным группам: среда, внешние проектные источники, внутренние проектные источники, цели ИТ-проекта, фазы жизненного цикла ИТ-проекта и др. [Николаенко 2017].

Процесс оценивания рисков. Оценивание рисков направлено на их ранжирование, где посредством определения групп рисков выявляются события, для которых требуется разработать меры превентивного воздействия (меры плана А) и меры достойного принятия (меры плана Б). Проанализировав способы оценивания рисков, предлагаемые PMI, Н.Н. Талебом [Талеб 2015] и Министерством обороны США, автор статьи принял решение использовать способ Т. Мерна и Ф. Ал-Хани [Merna et al. 2008], так как предлагаемое ими решение, по сравнению с остальными, обладает следующим рядом преимуществ: во-первых, оперативно выявляются наиболее опасные риски; во-вторых, распределение рисков относительно друг друга дает возможность судить об общем состоянии проекта в определенный момент времени; в-третьих, опознаются негативные риски, которые не представляют существенной угрозы для проектных целей, следовательно, не требуют дополнительных затрат для разработки мер превентивного воздействия и ресурсов для формирования резервов.

8 Составлено автором по [Lewis et al. 2010; Ishikawa 1986; Николаенко 2018].

Т. Мерна и Ф. Ал-Хани предлагают распределять негативные риски на четыре группы:

- Тигр (tiger) — катастрофический риск — это негативный риск, который имеет высокую степень вероятности наступления и способен оказывать значительное негативное влияние на цели проекта. В своих трудах Т. Мерна и Ф. Ал-Хани отмечают, что материализация одного риска, относящегося к группе «тигр», может привести к полной остановке проектных работ [Merna et al, 2008].

- Аллигатор (alligator) — непредсказуемый риск — это негативное рисковое событие, имеющее низкую степень вероятности наступления, но обладающее способностью оказывать значительное негативное влияние на цели проекта.

- Щеночек (puppy) — часто встречаемый риск. «Щеночком» называют негативный риск, который имеет высокую степень вероятности наступления, но при этом не способен оказывать значительное влияние на цели проекта.

- Котенок (kitten), или несущественный риск, — это негативное рисковое событие, которое имеет низкую степень вероятности наступления и при этом не обладает способностью оказывать какое-либо значительное влияние. По мнению Т. Мерна и Ф. Ал-Хани, рисками данной группы проектный коллектив и руководитель проекта могут пренебречь [Merna et al. 2008].

Процесс воздействия на риски. Разработка мер воздействия на риски является творческим процессом, так как необходимо устранить противоречия, которые часто возникают между проектными целями и предъявляемыми требованиями. Кроме того, стоит отметить, что за разработку мер воздействия на риски ответственны руководители ИТ-проектов, которые, как правило, имеют разное образование, квалификацию и творческие способности. По этой причине для создания мер плана А и мер плана Б необходимо применять различные методы, стимулирующие их творческие способности (Таблица 3).

Таблица 3. Методы, применяемые для создания мер воздействия на риски9

№ Название (оригинальное название) Название (перевод на русский) Разработчики

1 Brainstorming Мозговой штурм, мозговая атака А. Осборн, США

2 Delhi Метод Дельфи, дельфийский метод О. Хелмер, Н. Далки и Н. Ресчер, США

3 Bow-tie Галстук-бабочка (2-й этап) Б. Лангминд, США

4 Method of Walt Disney Метод Уолта Диснея У. Дисней, Р.Б. Дилтс, США

5 Six Hats Method [De Bono 1985] Метод разделения мышления де Боно, методы шести шляп, метод де Боно Эд. Де Боно, Великобритания

6 TRIZ [Альтшуллер 2015] Теория решения изобретательских задач, ТРИЗ Г.С. Альтшуллер, СССР

7 Size Time Cost Оператор РВС (размер, время, стоимость) Г.С. Альтшуллер, СССР

8 Method of little men Метод маленьких человечков Г.С. Альтшуллер, СССР

9 Synectics Метод синектики У.Дж. Гордон, США

10 The Meeting of the Pirates Корабельный совет. Совещание пиратов В. Гильде, К.Д. Штарке, ГДР

11 Mind Map [Бьюзен 2014] Интеллект карты, диаграмма связей, карта мыслей Т. Бьюзен, Великобритания

12 6-3-5 Brainwriting, 635 Method, Method 635 Метод 6-3-5 Б. Рорбах, Германия

В исследованиях, проведенных И. Селиховкиным, было установлено, что для обеспечения более высокого уровня результативности при применении мер воздействия на риски необходимо использовать различные стратегии [Селиховкин, 2010]. Данный факт также подтверждается в своде правил проектного управления PMBOK® Guide, который рекомендует использовать десять стратегий для управления рисками — пять стратегий для управления негативными рисками и пять стратегий для управления позитивными рисками.

В банковской и ипотечной сфере природу риска в основном рассматривают в негативном ключе, что сказывается на стратегиях риск-менеджмента. Так, по мнению В.К. Селюкова и С.Г. Гончарова, для рисков могут быть использованы стратегии хеджирования и диверсификации [Селюков и др. 2011].

Критически проанализировав предлагаемые отечественными и зарубежными учеными стратегии управления рисками, автор статьи рекомендует использовать сферы ИТ-стратегии, представленные в Таблице 4, по следующими причинам: во-первых, представленные стратегии не противоречат универсальным стратегиям проектного управления; во-вторых, стратегии оперируют как негативными, так и позитивными

9 Составлено автором по [De Bono 1985; Бьюзен 2014; Николаенко 2018].

свойствами риска; в-третьих, данные стратегии имеет практическую ценность, заключающуюся в приоритизации их применения.

Таблица 4. Стратегии управления рисками в ИТ-проектах10

Тип риска Стратегия воздействия Описание стратегии воздействия

Нивелирование Выявляются источники риска с их последующей локализацией и ликвидацией

Ослабление Изменяется вероятность наступления риска и/или степень влияния в случае его наступления

Негативный Передача Риск передается третьему лицу

риск Эскалация Риск передается лицу, который выходит за рамки проекта

Наблюдение Активных действий в отношении риска не ведется с целью определения, как он поведет себя в будущем

Принятие Нет активных действий в отношении риска. Однако высвободившиеся ресурсы направляются на резервы

Масштабирование Увеличивается масштаб благоприятных эффектов, а именно порождаются новые позитивные риски, которые ранее в проекте не были идентифицированы

Усиление Изменяется вероятность наступления риска и/или степень влияния в случае его наступления

Позитивный риск Разделение Передача владения благоприятной возможностью третьей стороне таким образом, чтобы она получила право на часть выгоды в случае ее реализации

Эскалация Риск передается лицу, который выходит за рамки проекта

Наблюдение Активных действий в отношении риска не ведется с целью определения, как он поведет себя в будущем

Принятие Нет активных действий в отношении риска

Рассмотренные выше стратегии применяются для создания плана мероприятий

по превентивному воздействию на риски, или плана А (contingency plan), и плана мероприятий по принятию рисков, или плана Б (fallback plan).

План мероприятий по превентивному воздействию на риски — это документ, содержащий детальное описание мер упреждающего управления, который включает в себя следующие данные:

- перечень негативных и позитивных рисков;

- информация о владельцах рисков (risk owner) — лицах, ответственных за мониторинг риска и контроль над ним, а также за выбор и исполнение соответствующей стратегии реагирования на риск;

10 Составлено автором.

- результаты анализа и оценивания рисков;

- стратегии воздействия на риски;

- информация о необходимых ресурсах;

- триггерное условие (trigger condition) — событие или ситуация, указывающая на то, что риск вот-вот наступит, то есть признаки, по которым можно понять, что меры плана А оказались нерезультативным и в ближайшем будущем стоит ждать наступление риска.

План мероприятий по принятию рисков включает в себя резервы, которые используются в случаях, когда превентивные меры не принесли ожидаемого эффекта, и для управления неидентифицированными рисками, то есть возможными событиями, не обнаруженными при выполнении процедуры «идентификация рисков». Так, например, если на этапе реализации проекта триггерное условие негативного риска заблаговременно сообщило, что меры плана А не принесли ожидаемого эффекта, то тогда задействуются резервы плана Б. Кроме того, меры плана Б необходимы для достойного принятия вторичных рисков (рисков, возникающих в результате предпринятых мер реагирования) и рисков-невидимок (скрытых рисков, трансформирующихся сразу в проблемы).

Говоря о резервах плана Б, необходимо упомянуть систему формирования резервов при разработке бюджета проекта. Согласно международному своду правил PMBOK® Guide успех проекта завит от правильно выверенных резервов, в частности:

- резерва на возможные потери (contingency reserve) — время или деньги, выделенные в базовом расписании или базовом плане по стоимости на случай наступления идентифицированных рисков;

- управленческого резерва (management reserve) — сумма в бюджете проекта или временной промежуток в расписании проекта, удерживаемые вне базового плана исполнения для целей управленческого контроля, которые зарезервированы для выполнения непредвиденной работы в рамках проекта.

Процесс мониторинга и контроля над рисками. Мониторинг рисков и контроль над ними не требуют адаптации методов, так как целью данных процессов являются определение неидентифицированных рисков и наблюдение за ранее идентифицированными рисками. Таким образом, в рамках создания алгоритма управления рисками в ИТ-проектах будет достаточно автоматизировать процесс

280

контроля над рисками с помощью специализированных программных продуктов (ШвкОар, ОрепР1апРгоГе88юпа1, ШвкТгаск и др.).

Алгоритм управления рисками ИТ-проектов

На основании критического анализа и адаптированных методов для сферы информационных технологий автором статьи был разработан алгоритм управления рисковыми событиями в ИТ-проектах (Рисунок 1).

Рисунок 1. Алгоритм управления рисками в ИТ-проектах11

Алгоритм управления рисками в ИТ-проектах, представленный на Рисунке 1, включает в себя последовательность действий для двух фаз жизненного цикла — «организация и подготовка» и «выполнение работ», с подробным описанием взаимосвязанных последовательностей действий. Так, например, для фазы жизненного цикла «организация и подготовка» необходимо выявить риск, проанализировать его, провести оценивание, выбрать лучшую стратегию воздействия и разработать меры воздействия. Для фазы жизненного цикла «выполнение работ» последовательность

11 Составлено автором.

работ иная. Так, если выявленный риск наступил, то для минимизации полученного ущерба привлекаются запланированные резервы.

Внедрение алгоритма в субъекты сферы ИТ

Для определения результативности и экономической эффективности разработанного алгоритма управления рисками в ИТ-проектах было отобрано 7 субъектов из сферы информационных технологий и 11 ИТ-проектов (Таблица 5). Выбор данных субъектов и проектов обусловлен целью исследования — создать алгоритм, который мог бы подходить ИТ-проектам различной длительности (краткосрочные, среднесрочные, долгосрочные), типов (сайт, программное обеспечение, мобильное приложение, портал, ERP-система и др.), численности проектных коллективов и методик управления проектами (agile, waterfall).

Таблица 5. ИТ-организации и ИТ-проекты, в которых была проведена экспериментальная апробация разработанного алгоритма управления рисками12

№ Название проекта Тип проекта Методика управления проектом Кол-во человек в проекте Размер 13 проекта13

1 Сайт ТГУ Сайт Waterfall 6 Среднесрочный

2 МирКар Сайт Waterfall 4 Краткосрочный

3 HyperVibe ПО Waterfall 6 Краткосрочный

4 Reading Log ПО Waterfall 4 Краткосрочный

5 CINEMOOD МП Waterfall 7 Краткосрочный

6 Расчет и учет заработной платы ERM-система Agile 9 Среднесрочный

7 Портал логистики Портал Agile 6 Среднесрочный

8 Торговая площадка ERM-система Agile 8 Среднесрочный

9 ТМЦ ERM-система Agile 5 Краткосрочный

10 DigitalTV ПО Agile 10 Среднесрочный

11 ERM-система ERM-система Waterfall 8 Долгосрочный

В ходе проведенного исследования было установлено, что в рассматриваемых субъектах часто сознательно отказываются от риск-менеджмента либо частично используют отдельные процедуры. Низкая популярность управления рисками может объясняться следующими факторами:

12 Составлено автором.

13 К краткосрочным ИТ-проектам относятся проекты, трудозатраты которых составляют менее 700 человеко-часов, к среднесрочным — 700-2500 человеко-часов, долгосрочным — более 2500 человеко-часов.

- управление рисками не приносит ощутимой пользы. Так, например, создав план управления рисками, руководители ИТ-проектов не используют данный документ в процессе реализации проектов, предпочитая работать с текущими проблемами. Руководители комментируют данную ситуацию так: «Часто события в проектах развиваются не так, как было запланировано. Это приводит к пересмотру ключевых позиций проекта, и многие проектные документы, в том числе и план управления рисками, теряют свою актуальность»;

- сознательный отказ от управления рисками по причине возможного нарушения бизнес-процессов управления организации. Опрос представителей управленческого аппарата исследуемых организаций выявил большие опасения касательно данного вопроса;

- существующие методы по идентификации, анализу, оцениванию и воздействию на риски не учитывают специфических особенностей сферы информационных технологий, поэтому не могут эффективно использоваться руководителями ИТ-проектов;

- отсутствие корпоративной культуры ведения реестра рисков побуждает руководителей ИТ-проектов отказываться от использования риск-менеджмента;

- использование риск-менеджмента в ИТ-проектах является неактуальным, так как возникающие проблемы не могут оказывать значительного влияния на успешные исходы проектов и на деятельность организаций в целом. Необходимо отметить, что данное утверждение является ошибочным. Анализ деятельности выбранных организаций показал, что 3 исследуемых субъекта выступали истцами в арбитражном суде. Иными словами, в данных организациях наступили «правовые риски», которые могли бы быть нивелированы при использовании риск-менеджмента.

На основании проведенного исследования причин низкой популярности риск-менеджмента в субъектах сферы ИТ были сформулированы требования, которым должно отвечать современное риск-ориентированное управление в ИТ-проектах. В частности, алгоритм управления рисками в ИТ-проектах должен:

гармонично взаимодействовать с существующими методиками управления проектами (agile, waterfall);

- учитывать специфику сферы ИТ;

- быстро интегрироваться в любой ИТ-проект независимо от действующей фазы жизненного цикла;

- выявлять специфические и скрытые негативные риски;

- быть экономически эффективным.

В результате апробации было установлено, что временной период, необходимый для применения алгоритма, составляет от 8 до 14 ч. Данная информация имеет большую практическую ценность, так как может служить нормировочным критерием во время исполнения руководителями ИТ-проектов функции планирования.

Эмпирически доказано, что созданный алгоритм выявляет специфические и скрытые негативные риски. Данный факт подтверждается расчетом оценки качества идентификации рисков по Формуле 1, где k — показатель качества идентификации рисков; n — число наступивших неидентифицированных рисков; n2 — число наступивших идентифицированных рисков. Полученные результаты представлены в Таблице 6.

k =-—, (1)

n+n2

Таблица 6. Наступившие негативные риски в исследуемых ИТ-проектах14

Негативные риски

Название проекта П, шт. и2, шт. k

1 Сайт ТГУ 0 4 1,0

2 МирКар 0 6 1,0

3 HyperVibe 0 4 1,0

4 Reading Log 0 2 1,0

5 CINEMOOD 0 3 1,0

6 Расчет и учет заработной платы 0 9 1,0

7 Портал логистики 0 4 1,0

8 Торговая площадка 0 4 1,0

9 ТМЦ 0 1 1,0

10 DigitalTV 0 21 1,0

11 ERM-система 15 1 0,1

14 Составлено автором.

Анализ данных, представленных в Таблице 6, показал, что процесс идентификации рисков на основе разработанного алгоритма управления рисками ИТ-проектов обеспечивает высокое качество выявления негативных рисков. Стоит также отметить, что в долгосрочных ИТ-проектах возможно наступление неидентифицированных негативных рисков, в связи с чем ИТ-организациям, руководителям ИТ-проектов и проектным коллективам рекомендуется систематически повторять процесс выявления рисков с привлечением сторонних экспертов на более поздние фазы жизненного цикла проекта (выполнение работ, завершение проекта).

Далее был определен экономический эффект от использования созданного алгоритма управления рисками ИТ-проектов. Для оценки экономической эффективности применялся затратный метод (Формулы 2, 3 и 4, где £ — экономический эффект от

использования риск-менеджмента; С — затраты на риск-менеджмент; ^ —

фактические убытки от наступления I -го идентифицированного риска; на —

фактические расходы на обработку 1 -го идентифицированного риска; —

фактические убытки от наступления у -го неиндентифицированного риска; На —

фактические расходы на обработку у -го неидентифицированного риска; N — количество идентифицированных рисков; К — количество неидентифицированных рисков, я — результат управления рисками; м0 — вероятные потери от наступления

1 -го идентифицированного риска без проведения мер плана А и плана Б; м —

вероятные потери от наступления I -го идентифицированного риска после проведения мероприятий плана А и плана Б). В Таблице 7 представлены результаты расчетов.

Е = Я - С , (2)

р р р

С N N \

Г

СР =

£ ^на1 + ^ 4, +£ на<

V ;=1 1=1 J

(3)

V м м

N N

яр = £ М -£ м (4)

\ =1 1=1

К

К

Таблица 7. Оценка экономического эффекта от использования созданного алгоритма управления рисками ИТ-проектов15

Название проекта Cp, дней Rp,дней Ep, дней

1 Сайт ТГУ 64,5 189 124,5

2 МирКар 6 18 12

3 HyperVibe 3,1 53 49,9

4 Reading Log 12,1 67 54,9

5 CINEMOOD 1,1 63 61,9

6 Расчет и учет заработной 43,2 336 292,8

7 Портал логистики 10 135 125

8 Торговая площадка 25,2 255 229,8

9 ТМЦ 5 67 62

10 DigitalTV 34,4 153 118,6

11 ERM-система 38,6 452 413,4

В ходе анализа данных (Таблица 7) было установлено, что разработанный алгоритм управления рисками ИТ-проектов показал наилучший результат для долгосрочного проекта «ЕЯМ-система» и среднесрочных проектов «Торговая площадка», «Расчет и учет заработной платы», «Портал логистики», «DigitalTV», «Сайт ТГУ». Самые низкие показатели экономической эффективности наблюдались в краткосрочных ИТ-проектах, что может быть объяснено низкой стоимостью данных проектов и непродолжительным периодом разработки. В связи с этим можно заключить, что созданный алгоритм в большей степени актуален для среднесрочных и долгосрочных ИТ-проектов, что подтверждают результаты отклонений фактических длительностей проектов от запланированных (Таблица 8).

15 Составлено автором.

Таблица 8. Результаты отклонений фактических длительностей проектов от

запланированной длительности16

Название проекта Отклонение фактической длительности проекта от запланированной длительности, день Отклонение фактической длительности проекта от запланированной длительности, %

1 Сайт ТГУ 63 33,3

2 МирКар 5 27,8

3 HyperVibe 2 3,8

4 Reading Log 11 16,4

5 CINEMOOD 0 0,0

6 Расчет и учет заработной 42 12,5

7 Портал логистики 9 6,7

8 Торговая площадка 24 9,4

9 ТМЦ 4 6,0

10 DigitalTV 33 21,6

11 ERM-система 36 8,0

Следующим этапом оценки разработанного алгоритма управления рисками ИТ-проектов является сопоставление результатов, полученных в ходе апробации, с результатами предшественников, в частности с данными международной научно -консультационной организации The Standish Group International17. В 2014 г. экспертами данной организации было проведено крупномасштабное исследование, в котором анализировались отчеты более 50 000 ИТ-проектов. В результате анализа было установлено, насколько фактические сроки ИТ-проектов превышают запланированные, определены доли успешных и незавершенных ИТ-проектов, а также найдена зависимость между успешными исходами и используемыми методиками управления проектами (agile, waterfall).

Результаты сопоставления данных The Standish Group International и данных, полученных автором статьи, относительно отклонения от запланированных длительностей представлены в Таблице 9.

16 Составлено автором.

17 The CHAOS Manifesto. Standish Group International, 2014 // Standish Group [Электронный ресурс]. URL: https://www.standishgroup.com/sample research files/CHAOSReport2014.pdf (дата обращения: 07.02.2020).

Таблица 9. Отклонение от запланированных длительностей18

Отклонение от запланированных длительностей Данные, полученные Standish Group International, % Эмпирические данные, %

1 менее 20% 13,9 80

2 21-50% 18,3 20

3 51-100% 20,0 0

4 101-200% 35,5 0

5 201-400% 11,2 0

6 более 401% 1,1 0

На основании анализа полученных данных (Таблица 9) был сделан вывод, что большинство ИТ-проектов, исследованных экспертами The Standish Group International, имеют отклонение на 101-200%, что, в свою очередь, говорит о низких шансах завершать ИТ-проекты успешно. Данные же, полученные автором статьи, в сравнении с данными The Standish Group International, показали лучший результат. Так, в исследуемых ИТ-проектах в большинстве случаев отклонение не превысило 20%. Следовательно, логично предположить, что созданный алгоритм управления рисками в ИТ-проектах позволяет значительно снизить величину отклонения от запланированных длительностей.

Далее проведем сопоставление данных о количестве успешно завершенных проектов (successful), проектов, в которых были зафиксированы проблемы (challenged), и проваленных проектов (failed). Согласно нормам проектного управления проект признается успешным только тогда, когда запланированные цели совпадают с фактическими результатами. Если присутствует отклонение от запланированных сроков, бюджетов, качества или содержания, тогда проект считается проблемным. Проваленный проект — это остановленный и более не возобновленный проект.

Из анализа Таблицы 10 можно заключить, что доля успешных ИТ-проектов, по данным The Standish Group International, составила 29%. По данным, полученными автором статьи, данная доля равна 54%. Подобное различие может быть объяснено применением разработанного алгоритма управления рисками, который снизил вероятность наступления негативных рисков и их возможное влияние на проектные цели.

18 Составлено автором по The CHAOS Manifesto. Standish Group International, 2014 // Standish Group [Электронный ресурс]. URL: https://www.standishgroup.com/sample research files/CHAOSReport2014.pdf (дата обращения: 07.02.2020).

Таблица 10. Данные об успешно завершенных, проблемных и незавершенных ИТ-

проектах19

№ Статус проекта Данные, полученные Standish Group International, % Эмпирические данные, %

1 Успешные проекты 29 54

2 Незавершенные проекты 19 0

3 Проблемные проекты 52 46

В аналитических отчетах The Standish Group International представлена информация о связи между методикой управления проектами и вероятностью успешного достижения проектных целей. Как видно из Таблицы 11 и 12, шансы на успех проекта выше, если он реализуется согласно каскадному («водопадному») принципу. Критически проанализировав полученные результаты, можно заключить, что разработанный алгоритм управления рисками в ИТ-проектах может быть применен как в проектах, реализуемых согласно каскадному принципу, так и в проектах, разрабатываемых с использованием гибких методологий agile.

Таблица 11. Данные об успешно завершенных, проблемных и незавершенных ИТ-

проектах, разрабатываемых по agile20

№ Статус проекта Данные, полученные Standish Group International, % Эмпирические данные, %

1 Успешные проекты 46 40

2 Незавершенные проекты 6 0

3 Проблемные проекты 47 60

19 Составлено автором по: The CHAOS Manifesto. Standish Group International, 2014 // Standish Group [Электронный ресурс]. URL: https://www.standishgroup.com/sample research files/CHAOSReport2014.pdf (дата обращения: 07.02.2020).

20 Составлено автором по: The CHAOS Manifesto. Standish Group International, 2014 // Standish Group [Электронный ресурс]. URL: https://www.standishgroup.com/sample research files/CHA0SReport2014.pdf (дата обращения: 07.02.2020).

Таблица 12. Данные об успешно завершенных, проблемных и незавершенных ИТ-

проектах, разрабатываемых по waterfall21

№ Статус проекта Данные, полученные Standish Group International, % Эмпирические данные, %

1 Успешные проекты 49 50

2 Незавершенные проекты 8 0

3 Проблемные проекты 43 50

На основании информации о качестве процесса идентификации, данных об экономической эффективности разработанного алгоритма управления рисками в ИТ -проектах, а также данных, полученных путем сопоставления результатов международной научно-консультационной организацией The Standish Group International, и эмпирических данных можно сделать вывод, что разработанный алгоритм управления рисками в ИТ-проектах:

- обеспечивает высокое качество выявления негативных рисков;

- показывает лучшие результаты в среднесрочных и долгосрочных ИТ-проектах;

- снижает отклонение длительности от запланированных результатов;

- увеличивает шансы на успешное завершение ИТ-проектов;

- может быть применен в ИТ-проектах, реализуемых как по каскадному принципу (waterfall), так и посредством применения гибких методологий agile.

Заключение

На основании полученных данных можно заключить, что созданный алгоритм управления рисками может быть использован в любом субъекте сферы ИТ, в том числе и национальных ИТ-проектах, таких как автоматизированная система управления транспортным комплексом, ИТ-система обмена знаниями в сфере сельского хозяйства, единый транспортный сервис и др., а также в других проектах, инициированных в рамках Указов Президента РФ № 203 о стратегии развития информационного общества и № 204 о национальных целях и стратегических задачах развития России, Распоряжения Правительства № 1632-р об утверждении программы «Цифровая экономика» и Постановления Правительства № 234 о системе управления реализацией национальной программы «Цифровая экономика».

21 Составлено автором по: The CHAOS Manifesto. Standish Group International, 2014 // Standish Group [Электронный ресурс]. URL: https://www.standishgroup.com/sample research files/CHAOSReport2014.pdf (дата обращения: 07.02.2020).

Список литературы:

Авдошин С.М., Песоцкая Е.Ю. Информатизация бизнеса. Управление рисками. М.: ДМК Пресс, 2011.

Альтшуллер Г.С. Найти идею: Введение в ТРИЗ — теорию решения изобретательских задач. М.: Альпина Паблишер, 2015.

Бахтизин В.В. Технология разработки программного обеспечения. Минск: БГУИР, 2010. Бек К. Экстремальное программирование: разработка через тестирование. СПб.: Питер, 2003.

Бешенов С.В., Лапшин В.А. Параметрическая иммунизация процентного риска на основе моделей срочной структуры процентных ставок // Экономический журнал ВШЭ. 2019. Т. 23. № 1. С. 9-31.

Бьюзен Т. Супермышление. Минск: Попурри, 2014.

Грачева М.В., Ляпина С.Ю. Управление рисками в инновационной деятельности. М.: ЮНИТИ-ДАНА, 2014.

ДеМарко Т. Вальсируя с медведями: управление рисками в проектах по разработке

программного обеспечения. М.: Компания p.m.Office, 2005.

Кон М. Scrum. Гибкая разработка ПО. М.: Вильямс Издательский дом, 2011.

Лапшина В.В. Динамическое хеджирование с учетом степени неприятия риска //

Экономический журнал ВШЭ. 2016. Т. 20. № 1. С. 156-174.

Мадорская Ю.М. Повышение точности и сокращение времени планирования в процессах управления проектами по разработке программного обеспечения // Международная техническая конференция «Технические науки: проблемы и перспективы». Санкт-Петербург: Реноме, 2011. С. 92-99.

Назарова В.В., Левичев И.П. Разработка повышения эффективности управления инвестиционным портфелем // Экономический журнал ВШЭ. 2017. Т. 21. № 3. С. 451-481.

Николаенко В.С. Внедрение риск-менеджмента в ИТ-проектах // Государственное управление. Электронный вестник. 2016. № 54. С. 63-88. DOI: 10.24411/2070-1381-201600003.

Николаенко В.С. Негативные и позитивные риски в ИТ-проектах // Вестник московского университета. Серия 21: Управление (государство и общество). 2018. № 3. С. 91-124. Николаенко В.С. Разработка подходов классификации рисков в ИТ-проектах // Государственное управление. Электронный вестник. 2017. № 61. С. 36-54. DOI: 10.24411/2070-1381-2017-00018.

Никонов В.А. Управление рисками. Как больше зарабатывать и меньше тратить. М.: Альпина Паблишерз, 2009.

Никулина И.Е., Николаенко В.С. Становление и развитие концепций управления проектами и риск-менеджмента // Государственное управление. Электронный вестник. 2018. № 68. С. 195-210.

Поляков А.А., Ключников В.О. Опционный метод управления рисками в инвестиционных ИТ проектах // Вестник Московского университета. Серия 21: Управление (государство и общество). 2010. № 1. С. 69-78.

Селиховкин И. Управление ИТ-проектом. Эффективная система «с нуля» в любой организации. СПб., 2010. URL: http://pmlead.ru/content/book/IT-PM-Selikhovkin.pdf (дата обращения: 07.02.2020).

Селюков В.К., Гончаров С.Г. Управление рисками. Ипотечная сфера. М.: Изд-во МГТУ им. Н.Э. Баумана, 2001.

Талеб Н.Н. Черный лебедь. Под знаком непредсказуемости. М.: КоЛибри, Азбука-Аттикус, 2015.

Balaji S., Sundararajan Murugaiyan M. Waterfall Vs V-Model Vs Agile: A Comparative on SDLC // International Journal of Information Technology and Business Management. 2012. Vol. 2. No. 1. P. 26-30.

Boehm B.W. Software Engineering Economics. New Jersey : Prentice-Hall, 1981.

Card A., Ward J., Clarkson P. Beyond FMEA: The Structured What-If Technique (SWIFT) //

Healthcare Risk Manage. 2012. Vol. 31. P. 23-29.

De Bakker K., Boonstra A., Wortmann H. The Communicative Effect of Risk Identification on Project Success // International Journal of Project Organisation and Management. 2014. Vol. 6. No. /. P. 138-156.

De Bono E. Six Thinking Hats. Boston, New York, London: Little, Brown Book Group Limited, 1985.

Ishikawa K. Guide to Quality Control. Tokyo: Asian Productivity Organization, 1986. Jeffries R., Anderson E., Hendrickson C. Extreme Programming Installed. Boston: Addison-Wesley Professional, 2000.

Lewis S., Smith K. Lessons Learned from Real World Application of the Bow-tie Method // 6th Global Congress on Process Safety, San Antonio, Texas. March 22-24, 2010. URL: https://www.risktec.tuv.com/wp-content/uploads/2018/10/bow-tie-lessons-learned-aiche.pdf (дата обращения: 07.02.2020).

Merna T., Al-Thani F. Corporate Risk Management. 2nd ed. Chichester: John Wiley & Sons, Ltd., 2008.

RaymondE. The Art of Unix Programming. Boston: Addison-Wesley, 2003. Дата поступления: 24.02.2020

Nikolaenko V.S.

Risk Management as a Factor of Success for IT-Projects in the National

Program "Digital Economy"

Valentin S. Nikolaenko — MBA, Senior Teacher, Tomsk Polytechnic University, Tomsk, Russian Federation.

E-mail: nikolaenkovs@tpu.ru, masterrisk@ya.ru ORCID ID: 0000-0002-1990-4443

Abstract

The article is devoted to problems of risk management in IT-projects. The IT-sector doesn't have methods of risk assessment that take into account the specifics IT-projects. In the article critical analysis of methods which are described in PMBOK® Guide, M_o_R®, ERM COSO, PRINCE2® and ГОСТ 31010:2012 was held. As a result, an algorithm for managing risks in IT-projects was created. This algorithm has been tested in real 11 IT-projects. Experimental test showed that the algorithm is cost-effective, and shows high quality detection of risk events, reduces deviation from the planned results, increases chances of successful IT-projects completion, implemented both on the waterfall principle and agile principle. The theoretical and practical significance of the study and the results obtained lies in the possibility of using the created algorithm in significant IT-projects implemented within the framework of the national project of the Russian Federation "Digital economy".

Keywords

Risk management, IT-project, algorithm of risk management, assessment risk, digital economy. DOI: 10.24411/2070-1381-2020-10059

References:

Altschuller G.S. (2015) Nayti ideyu: Vvedeniye v TRIZ — teoriyu resheniya izobretatel'skikh zadach [Find an idea: An Introduction to the TRIZ theory of inventive problem solving]. Moscow: Alpina Publisher.

Avdoshin S.M., Pesotskaya E.Yu. (2011) Informatizatsiya biznesa. Upravleniye riskami [Computerization of business. Risk management]. Moscow: DMK Press. Bakhtizin V.V. (2010) Tekhnologiya razrabotki programmnogo obespecheniya [The technology of software development]. Minsk: BGUIR.

Balaji S., Sundararajan Murugaiyan M. (2012) Waterfall Vs V-Model Vs Agile: A Comparative on SDLC. International Journal of Information Technology and Business Management. Vol. 2. No. 1. P. 26-30.

Beck K. (2003) Ekstremal'noyeprogrammirovaniye: razrabotka cherez testirovaniye [Extreme programming: development through testing]. St. Petersburg: Peter.

Beshenov S.V., Lapshin V.A. (2019) Parametric Immunization of Interest Rate Risk via Term

Structure Models. Ekonomicheskiy zhurnal VSHE. No. 1. P. 9-31.

Boehm B.W. (1981) Software Engineering Economics. New Jersey: Prentice-Hall.

Buzen T. (2014) Supermyshleniye [Super thinking]. Minsk: Medley.

Card A., Ward J., Clarkson P. (2012) Beyond FMEA: The Structured What-If Technique (SWIFT). Healthcare Risk Manage. Vol. 31. P. 23-29.

De Bakker K., Boonstra A., Wortmann H. (2014) The Communicative Effect of Risk Identification on Project Success. International Journal of Project Organisation and Management. Vol. 6. No. lA. P. 138-156.

De Bono E. (1985) Six thinking hats. Boston, New York, London: Little, Brown Book Group Limited.

DeMarco T. (2005) Val'siruya s medvedyami: upravleniye riskami vproyektakhpo razrabotke programmnogo obespecheniya [Waltzing with bears: risk management in software development projects]. Moscow: p.m. Office Company.

Gracheva M.V., Lyapina S.Yu. (2014) Upravleniye riskami v innovatsionnoy deyatel'nosti [Risk management in innovation]. Moscow: UNITY-DANA.

Ishikawa K. (1986) Guide to quality control. Tokyo: Asian Productivity Organization. Jeffries R., Anderson E., Hendrickson C. (2000) Extreme Programming Installed. Boston: Addison-Wesley Professional.

Kon M. (2011) Gibkaya razrabotka PO [Scrum. Flexible Software Development]. Moscow: Williams Publishing house.

Lapshina V.V. (2016) Dynamic Hedging Considering the Degree of Risk Aversion. Ekonomicheskiy zhurnal VSHE. No. 1. P. 156-174.

Lewis S., Smith K. (2010) Lessons Learned from Real World Application of the Bow-tie Method // 6th Global Congress on Process Safety, San Antonio, Texas. March 22-24, 2010. Available: https://www.risktec.tuv.com/wp-content/uploads/2018/10/bow-tie-lessons-learned-aiche.pdf (accessed: 07.02.2020).

Madorskaya Yu.M. (2011) Improving Accuracy and Reducing Planning Time in Project Management Processes for Software Development. International technical conference «Technical Sciences: problems and prospects». St. Petersburg: Renome P. 92-99. Merna T., Al-Thani F. (2008) Corporate risk management. 2nd ed. Chichester: John Wiley & Sons, Ltd.

Nazarova V.V., Levichev I.P. (2017) Development of the Model of Improving the Effectiveness of Investment Portfolio. Ekonomicheskiy zhurnal VSHE. No. 3. P. 451-481. Nikolaenko V.S. (2016) Introduction of Risk Management in IT-Projects. Gosudarstvennoye upravleniye. Elektronnyy vestnik. No. 54. P. 63-88. DOI: 10.24411/2070-1381-2016-00003. Nikolaenko V.S. (2017) The Development of Approaches for the Classification of Risks in IT-Projects. Gosudarstvennoye upravleniye. Elektronnyy vestnik. No. 61. P. 36-54. DOI: 10.24411/2070-1381-2017-00018.

Nikolaenko V.S. (2018) Negative and Positive Risks in IT-Projects. Vestnik moskovskogo universiteta. Seriya 21: Upravleniye (gosudarstvo i obshchestvo). No. 3. P. 91-124. Nikonov V.A. (2009) Upravleniye riskami: Kak bol'she zarabatyvat' i men'she tratit' [Risk management: how to earn more and spend less]. Moscow: Alpina Publishers. Nikulina I.E., Nikolaenko V.S. (2018) Formation and Development of Concepts of Project Management and Risk Management. Gosudarstvennoye upravleniye. Elektronnyy vestnik. No. 68. P. 195-210.

Polyakov A.A., Klyuchnikov V.O. (2010) Optsionnyy metod upravleniya riskami v investitsionnykh IT proyektakh [Option method of risk management in investment IT-projects]. Vestnik moskovskogo universiteta. Seriya 21: Upravleniye (gosudarstvo i obshchestvo). No. 1. P. 69-78.

Raymond E. (2003) The Art of Unix Programming. Boston: Addison-Wesley.

Selikhovkin I. (2010) Upravleniye IT-proyektom. Effektivnaya sistema «s nulya» v lyuboy

organizatsii [IT-project management. Effective system «from scratch» in any organization].

St. Petersburg. Available : http://pmlead.ru/content/book/IT-PM-Selikhovkin.pdf (accessed:

07.02.2020).

Selyukov V.K., Goncharov S.G. (2001) Upravleniye riskami. Ipotechnaya sfera [Risk management. Mortgage sphere]. Moscow: Izd-vo MGTU im. N.E. Baumana. Taleb N.N. (2015) Chernyy lebed'. Pod znakom nepredskazuyemosti [Black swan. Under the sign of unpredictability]. Moscow: Kolibri, Azbuka-Atticus.

Received: 24.02.2020