При принятии решения об использовании пакетного (готового) решения в области управления рисками программных проектов также существуют существенные ограничения. Это и необходимость придерживаться шаблонных процессов, и сложность интеграции с существующими приложениями в случае нестандартной базовой ИТ. Также возможны трудности с самостоятельным выбором подходящего поставщика и формированием объективных критериев. Существует возможность избыточной функциональности и неудобства программного интерфейса. Очень часто необходимо выполнять пользовательские настройки и решать проблемы локализации (для западных продуктов).

Но не надо забывать о преимуществах, к которым относится большой опыт внедрения компаний-поставщиков в подобной отрасли и наличие положительных отзывов от существующих клиентов, соответствие общим тенденциям и требованиям рынка, меньшее число вовлеченных специалистов и отрыв от непосредственных обязанностей сотрудников, контрактные обязательства по выполнению услуг по разработке системы.

При выборе готового решения происходит существенная экономия времени на фазах планирования и дизайна системы, ее тестировании и вводе в эксплуатацию. Вместо этого возможны быстрая настройка системы, запуск и начало эксплуатации. Также пользователю представится возможность использования лучшей практики автоматизации управления рисками и применения широкого спектра статистических и математических методов. При этом стоимость проекта может оказаться гораздо ниже, по сравнению с собственной разработкой или заказной разработкой.

Процесс выбора поставщика программного решения по управлению рисками, как правило, происходит в соответствии с основными этапами: обзор рынка, формирование требований к системе и подготовка информационного запроса поставщикам (при необходимости), рассылка информационного запроса и анализ ответов поставщиков программного обеспечения, выбор системы (рис. 26).

На начальном этапе происходят определение требований к системе управления рисками, согласование требований внутри проектной команды. Далее происходят анализ рынка решений и предварительный просмотр систем, где определяются наличие требуемой функциональности, опыт внедрения, отзывы от предыдущих аналогичных проектов. На основе предварительного просмотра систем происходит выбор сокращенного списка поставщиков. Далее осуществляется более детальный анализ на соответствие функциональным, техническим и прочим требованиям на основе взвешенной модели оценки. Если поставщикам рассылался запрос на предоставление информации (Request for Information – RFI), проводится качественный анализ ответов. Вместе с анализом ответов составляются сценарии показа систем на соответствие требованиям. Демонстрации систем оцениваются с помощью балльной оценки, основанной на анализе сильных и слабых сторон продукта, впечатления от поставщика решения. По окончании анализа поставщиков на соответствие требованиям и демонстрации системы формируется решение по выбору поставщика системы управления рисками. После заключения контракта происходит внедрение выбранного решения.

Рис. 26. Этапы отбора поставщиков ПО

До принятия решения о внедрении той или иной системы управления ИТ-рисками программных проектов следует убедиться, что она достаточно полно учитывает бизнес-потребности компании, ее масштабы, а также соответствует лучшим мировым практикам и имеет достаточно подробное описание процессов и требуемых действий.

В настоящее время существует большое количество систем, так или иначе реализующих функции управления рисками. Некоторые из них представляют собой информационные системы управления проектами, в которых присутствует модуль управления рисками, другие являются приложениями к системам календарного планирования либо самостоятельными программными продуктами по управлению рисками. Третьи специализируются на рисках информационной безопасности, а потому позволяют определить не уровень рисков программных проектов, а степень соответствия тому или иному стандарту (например, ISO17799).

В качестве продукта поддержки процессов управления рисками при реализации программных проектов может использоваться как специализированная система, так и модули управления рисками многофункциональных систем управления проектами (Microsoft Project, Open Plan, Primavera) или же модули системы управления предприятием (Oracle, SAP, Microsoft Axapta и прочие). Как было описано выше, возможно создание собственной разработки в области управления рисками программных проектов.

В зависимости от типов рисков выделяют различные системы управления рисками. Ниже представлена классификация ПО в области управления рисками, содержащая наиболее распространенные в России программные продукты.

1. Управление операционными/банковскими рисками на уровне всего предприятия реализовано в программных продуктах Egar Technology, SAS, IBM, прочих.

2. Поддержка рисков информационной безопасности (с привязкой к существующим стандартам, например ISO 17799) отражена в решениях Cramm, RiskWatch, Кондор+, Cobra, прочих.

3. Для управления рисками проектов (как один из инструментов Project Management Software) используются системы Primavera Project Planning, Spider Project, Open Plan, прочие.

4. Управление рисками программных проектов (на основе методологий разработки ПО) реализовано практически всеми крупными разработчиками программного обеспечения, наиболее известны продукты IBM Rational Portfolio Manager, OCTAVE-S.

Рис. 27. Рейтинг систем управления рисками, Standish Group Report, 2009 (RiskTech100TM)

Помимо перечисленных систем, на российском рынке также присутствуют такие многофункциональные системы в области управления рисками, как: @Risk Professional for Project, Dekker TRAKKER, Enterprise project, ER Project 1000, Intelligent Planner, Mesa/Vista Risk Manager, Risk Track, Open Plan. ERA by Methodware, NetRisk/RiskOps 2.3, Pacemetrics. Обзор наиболее популярных западных систем представлен на рис. 27.