3. Универсальные методологии: ГОСТ 34.X, PMI PMBOK, IPMA ICB, P2M, PRINCE2. ГОСТ 34 является универсальным стандартом в области информационных технологий и объединяет комплекс стандартов на автоматизированные системы. Эти стандарты широко используются государственными предприятиями и зачастую служат основой проектной документации при разработке и использовании ИТ. Масштабность стандарта позволяет разработчикам ПО получить формализованный ответ практически на любой вопрос, который может возникнуть при внедрении. Вопросу управления рисками также уделено внимание, однако из-за масштабности ГОСТа и отсутствия структурированного описания этапов и методов управления рисками могут возникнуть сложности с поиском требуемой информации.

Общие методы анализа рисков в сложных системах регламентированы стандартом ГОСТ Р 51901 – «Управление надежностью. Анализ риска технологических систем». Основной задачей стандарта является обоснование решений, касающихся анализа риска реализации проектов и технологий сложных систем. Хотя стандарт и не направлен исключительно на проекты разработки программного обеспечения, изложенные в нем рекомендации могут быть применены в ИТ-проектах.

Методология PMBoK (Project Management Body of Knowledge), разработанная американским Институтом управления проектами PMI, прекрасно описывает все ключевые области управления проектом: управление коммуникациями, качеством, персоналом и в том числе управление рисками. PMBoK является сводом знаний по управлению проектами и предоставляет детальные инструкции по каждой области управления. Раздел «Управление рисками» содержит подробное описание этапов управления рисками, входной и выходной информации, методов и средств по каждому этапу. Поскольку изначально методология рассчитана на управление универсальными проектами, ее нельзя назвать специфичной в области ИТ и ориентированной на управление рисками ИТ-проектов. Однако стоит отметить, что руководители охотно пользуются данной методологией, учитывая специфику ИТ-проектов и адаптируя методы и средства управления под конкретные нужды ИТ.

4. Методологии внедрения ПО и управления в сфере ИТ: CobiT, SWEEBOK, MSF, RUP, CMM/CMMI (SEI), ORACLE AIM, ITIL, CRAMM, CORAS, OCTAVE. SWEBOK (Software Engineering Body of Knowledge) – это руководство к своду знаний по программной инженерии, в котором собраны основные теоретические и практические знания, накопленные в отрасли программной инженерии. Наравне с идеями общего управления рисками SWEBOK предлагает управлять рисками, уникальными для деятельности в области программной инженерии. Например, тенденция добавлять в получаемый программный продукт функциональные и другие возможности, не определенные на уровне требований, или риски, заложенные в самой природе программного обеспечения, связанные в первую очередь с его сложностью и архитектурно-технологической новизной, присутствующей в той или иной степени в любом программном проекте. В части управления рисками SWEBOK рекомендует проводить идентификацию и анализ рисков, оценку критических рисков и что необходимо сделать, чтобы их избежать, – шаги по смягчению рисков и планированию непредвиденных обстоятельств.

Наиболее признанная методология Microsoft Solutions Framework (MSF) представляет собой пакет руководств по эффективному проектированию, разработке, внедрению, тестированию и сопровождению ИТ-решений ПО. Знания базируются на опыте Microsoft, методология популярна среди разработчиков. Благодаря своей гибкости и отсутствию жестко навязываемых процедур она может быть применена для широкого круга ИТ-проектов.

Управление рисками – одна из ключевых дисциплин MSF, описывает принципы, идеи и рекомендации, подкрепленные мировым опытом компании для успешного управления рисками. Процесс управления рисками, описанный в методологии, включает в себя детальное описание выявления и анализа рисков, реагирования и смягчения возможных последствий, отслеживания состояния рисков и извлечения уроков из обретенного опыта. MSF описывает процесс непрерывного выявления и оценки рисков, их приоритезации и реализации стратегий по превентивному управлению рисками на протяжении всех фаз жизненного цикла проекта.

Процесс управления рисками MSF состоит из шести логических шагов (выявление, анализ, планирование, мониторинг, корректирование и извлечение уроков), которые должны постоянно выполняться проектной группой в течение жизненного цикла проекта. Microsoft возводит процесс управления рисками проектов в ранг стратегической задачи ИТ-предприятия, затрагивающей все фазы проектов. При этом уделяется особое внимание извлечению уроков из опыта предыдущих проектов.

Согласно аннотации, приведенной в методологии: «После прочтения данного документа проектная группа, имеющая опыт применения MSF, должна быть способна превентивно управлять рисками ИТ-проектов. Тем же, кто не знаком с процессом управления рисками в ИТ-проектах, этот документ дает базовое понимание концепций, терминологии и принципов, необходимое для внесения собственного вклада в управление рисками во всем жизненном цикле ИТ-проектов». Огромным преимуществом является доступность методологии на сайте Microsoft, в том числе на русском языке.

Еще одна известная методология Rational Unified Process (RUP) представляет собой целостную модель организации процессов разработки программного обеспечения и успешно применяется в ИТ-проектах любых типов и объемов. Методология опирается на проверенные практикой методы анализа, проектирования и разработки ПО, методы управления проектами. RUP описывает итеративную схему процессов, разработанную в Rational Software. Итеративная разработка является ключевой особенностью методологии, поскольку позволяет быстро реагировать на меняющиеся требования, обнаруживать и устранять риски на ранних стадиях проекта, а также эффективно контролировать качество создаваемого продукта. Сокращение рисков является основной целью методологии RUP.

В методологии даны полезные рекомендации по идентификации списка рисков, определению приоритетов, формированию стратегий по устранению риска. Процессы управления рисками в RUP проходят через все фазы и итерации разработки ПО.

Группа стандартов CMM/CMMI была создана Институтом программной инженерии SEI (Software Engineering Institute), который финансируется за счет Министерства обороны США и является структурной единицей Университета Карнеги-Меллона. Основная идея стандарта состоит в использовании модели CMM/CMMI (Capability Maturity Model / Integrated – модель зрелости возможностей) для приписывания каждой организации определенного уровня, с тем чтобы организации можно было бы сравнивать по уровням. Деление на уровни позволяет последовательно внедрять CMM/CMMI, используя стандарт в качестве руководства, которое может обеспечить постоянное совершенствование процесса разработки. Для достижения стандартов рекомендуется использовать специализированные процессы разработки программного обеспечения: Personal Software Process / Team Software Process. Последовательное применение модели PSP/TSP дает возможность сделать нормой в организации наиболее зрелый (пятый) уровень CMM. Акцент поставлен на непрерывное управление рисками, которое, согласно определению Института программной инженерии, представляет собой инженерно-техническую подготовку программного обеспечения с процессами, методами и средствами для управления рисками в проекте. Согласно методологии, существуют семь принципов, которые обеспечивают основу для эффективного управления рисками: Глобальная перспектива, Обзор вперед, Открытые связи, Комплексное управление, Непрерывный процесс, Коллективное видение продукта, Командная работа.

Помимо стандартов CMM/CMMI, Software Engineering Institute разработал модель управления рисками при разработке программного обеспечения, частично вошедшую в PMBoK Guide 2000, включающую в себя как требования упомянутых стандартов, так и известные «хорошие практики» (best practices) управления рисками. Подготовку управления рисками проекта эта модель рекомендует проводить в следующей последовательности:

• постановка целей управления рисками в соответствии с целями проекта;

• планирование и координация работ по оценке рисков проекта (выделение группы экспертов для оценки рисков, подготовка и планирование интервью с исполнителями с целью выявления рисков в результате их деятельности);