ITIL4 Управление рисками: как не профукать момент

В чем суть Risk Management

Представь, что ты идешь по минному полю. Есть два подхода:

Подход 1 (без Risk Management): Идешь куда глаза глядят, надеясь на авось. Когда наступаешь на мину и удивляешься/кричишь КАК ТАК-ТО?! Позже пришивают ногу или нет.

Подход 2 (с Risk Management): Берешь карту минного поля, отмечаешь где мины, планируешь маршрут, берешь с собой сапера. Если что-то пошло не так и у тебя есть план Б.

Управление рисками это когда ты заранее составляешь список всего, что может пойти не так, оцениваешь насколько это вероятно и больно, а потом решаешь что с этим делать.

Простыми словами:

• Что может сломаться? (идентификация)
• Насколько это вероятно? (оценка)
• Насколько будет больно? (оценка последствий)
• Что будем делать? (план действий)

Это не паранойя. Это профессионализм.

Как это работает?

Матрица рисков: как понять что важно

Как читать:

• Правый верхний угол (красный) → караул, делаем ПРЯМО СЕЙЧАС
• Левый верхний угол (желтый) → маловероятно, но если случится, то капец
• Правый нижний угол (желтый) → часто случается, но не смертельно
• Левый нижний угол (зеленый) → забили

Инструменты: от салфетки до enterprise-монстра

Уровень 1: У нас 3 человека и Excel

Что нужно: Google Sheets или Excel + 30 минут в месяц + Мозг

Как делать:

1. Открываешь табличку
2. Пишешь что может сломаться
3. Ставишь оценки от 1 до 5 (вероятность и последствия)
4. Умножаешь (это приоритет)
5. Сортируешь по приоритету
6. Делаешь что-то с топ-5

Шаблон:

Плюсы: Бесплатно + Просто + Работает

Минусы: Нужно не забывать обновлять + Легко забить

Уровень 2: У нас 10-50 человек, нужно что-то посерьезнее

Инструменты:

Trello / Notion (бесплатно)

• Карточки для каждого риска
• Колонки: Выявлено → Оценено → План готов → Контролируем
• Метки по приоритету
• Чеклисты действий

Битрикс24 (от 1990₽/мес)

• Задачи с меткой Риск
• Автоматические напоминания
• Отчеты для руководства

Miro (бесплатно для малых команд)

• Для воркшопов по рискам
• Визуальная матрица рисков
• Стикеры и голосование

Как делать:

1. Ежемесячная встреча команды (1 час)
2. Каждый называет риски
3. Голосуем за приоритеты
4. Назначаем ответственных
5. Следим в Trello/Битрикс24

Плюсы: Наглядно + Команда вовлечена + Автоматические напоминания

Минусы: Нужна дисциплина + Кто-т о должен вести процесс

Уровень 3: У нас 100+ человек, все серьезно

Инструменты:

1С:Управление рисками

• Полноценная система
• Интеграция с 1С-экосистемой
• Автоматизация всего процесса
• Цена: договорная (дорого)

Comindware

• BPM-платформа с модулем рисков
• Workflow и эскалация
• Российская разработка
• Цена: от 500 000₽

Собственная разработка

• Цена: от 1 000 000₽
• Не лезь сюда, оно тебя сожрёт!!!

🎓 Умные слова, которые нужно знать

PDCA (Plan-Do-Check-Act) или цикл Деминга

Что это: Способ постоянно улучшать процессы. Придумал японец Деминг, когда помогал Toyota не делать говно .

Как это работает для рисков:

Plan (Планируем):

• Выявляем риски
• Оцениваем их
• Придумываем что делать

Do (Делаем):

• Внедряем меры по снижению рисков
• Например: настраиваем бэкапы, пишем документацию

Check (Проверяем):

• Смотрим, сработало ли
• Случился ли риск?
• Помогли ли наши меры?

Act (Улучшаем):

• Если сработало — делаем так дальше
• Если нет — меняем подход
• Обновляем реестр рисков

Когда использовать: Всегда! Это базовый цикл для любого процесса.

Пример:

• Plan: Риск: сервер может упасть. План: настроить мониторинг.
• Do: Настроили Zabbix с алертами в Telegram.
• Check: Сервер начал тормозить, мониторинг предупредил, успели среагировать.
• Act: Работает! Добавляем мониторинг для остальных серверов.

Модель Три линии защиты

Что это: Способ организовать защиту от рисков на трех уровнях. Придумали в банках, потому что там любят усложнять.

Простыми словами:

Первая линия (операционщики):

• Это разработчики, админы, менеджеры проектов
• Они делают работу и сами управляют своими рисками
• Я вижу риск и я с ним разбираюсь

Вторая линия (риск-менеджеры):

• Это выделенные люди, которые следят за рисками
• Помогают первой линии
• Проверяют, что риски под контролем
• Я слежу, чтобы все управляли рисками правильно

Третья линия (аудиторы):

• Независимые проверяющие
• Проверяют, что первая и вторая линии работают
• Я проверяю, что все делают свою работу

Когда использовать: Когда компания большая (100+ человек) и нужна серьезная система.

Пример:

Ситуация: Внедрение новой системы оплаты.

Первая линия (разработчики):

• Выявляют технические риски
• Тестируют код
• Делают бэкапы

Вторая линия (риск-менеджер):

• Проверяет, что все риски учтены
• Смотрит, достаточно ли тестов
• Требует дополнительные проверки безопасности

Третья линия (аудит):

• Через месяц проверяет, как прошло внедрение
• Смотрит, были ли нарушения процедур
• Дает рекомендации на будущее

Для малого бизнеса: Можно упростить до двух линий:

• Первая — те, кто делает
• Вторая — руководитель, который проверяет

🚀 Когда начинать и с какой компании

Микробизнес (1-10 человек)

Когда начинать: Прямо сейчас, но по-простому.

Что делать:

• Раз в месяц на планерке: Что может сломаться?
• Записываем топ-5 рисков
• Для каждого простой план «если случится, то…»
• Обновляем раз в месяц

Трудозатраты: 30 минут в месяц

Пример рисков:

• Единственный программист заболел
• Сервер упал
• Клиент не заплатил
• Ноутбук украли

Малый бизнес (10-50 человек)

Когда начинать: Когда появился первый серьезный факап.

Что делать:

• Excel/Trello с реестром рисков
• Ежемесячная встреча команды (1 час)
• Назначаем ответственных за каждый риск
• Проверяем раз в месяц

Трудозатраты: 4-8 часов в месяц

Кто занимается: Тимлид или CTO (совмещение)

Пример рисков:

• Ключевой сотрудник уволится
• База данных упадет
• Бюджет проекта улетит
• Клиент откажется от проекта

Средний бизнес (50-500 человек)

Когда начинать: Когда факапы начали стоить серьезных денег.

Что делать:

• Формализованный реестр рисков
• Комитет по рискам (встречи раз в 2 недели)
• Интеграция с управлением проектами
• Специализированное ПО (Битрикс24, Pyrus)

Трудозатраты: 20-40 часов в месяц

Кто занимается: Выделенный риск-менеджер или старший PM

Пример рисков:

• Массовое увольнение команды
• Потеря крупного клиента
• Кибератака
• Проблемы с поставщиками

Крупный бизнес (500+ человек)

Когда начинать: Вчера.

Что делать:

• Отдел управления рисками
• Chief Risk Officer (CRO)
• Система управления рисками предприятия (ERM)
• Автоматизированный мониторинг
• Интеграция со всеми процессами

Трудозатраты: Выделенная команда

Кто занимается: CRO и его отдел

Пример рисков:

• Изменение законодательства
• Геополитические риски
• Репутационные риски
• Стратегические риски

Пошаговый план внедрения

Этап 1: Пилот (1-2 месяца)

Неделя 1: Подготовка

•  Объясняешь команде зачем это нужно
•  Показываешь примеры факапов
•  Получаешь согласие руководства

Неделя 2: Первый воркшоп

•  Собираешь команду на 1-2 часа
•  Каждый называет риски (без критики!)
•  Записываешь все на доске/в Miro
•  Должно быть 20-30 рисков

Неделя 3-4: Оценка

•  Для каждого риска: вероятность 1-5
•  Для каждого риска: последствия 1-5
•  Считаешь приоритет (умножаешь)
•  Сортируешь по приоритету

Неделя 5-8: Планы действий

•  Берешь топ-10 рисков
•  Для каждого: что будем делать?
•  Назначаешь ответственных
•  Ставишь дедлайны

Пример плана для риска «Сервер упадет»:

• Настроить мониторинг (Вася, до 15 числа)
• Настроить автоматические бэкапы (Петя, до 20 числа)
• Проверить процедуру восстановления (Вася, до 25 числа)
• Подготовить резервный сервер (Петя, до конца месяца)

Этап 2: Регулярная работа (постоянно)

Каждую неделю:

•  15 минут на планерке: обзор критических рисков
•  Кто-то что-то сделал? Обновляем статус

Каждый месяц:

•  1 час: полный обзор реестра рисков
•  Что изменилось?
•  Новые риски?
•  Старые риски неактуальны?

Каждый квартал:

•  2-3 часа: воркшоп по новым рискам
•  Оцениваем эффективность: что предотвратили?
•  Обновляем методологию

Этап 3: Масштабирование (6-12 месяцев)

Если пилот сработал:

•  Внедряешь в других проектах/отделах
•  Обучаешь других тимлидов
•  Создаешь общий корпоративный реестр
•  Автоматизируешь (Битрикс24, 1С и т.д.)

Если не сработал:

•  Анализируешь почему
•  Упрощаешь процесс
•  Пробуешь снова

Этап 4: Презднование

Стоит ли оно того?

Реальный кейс: что бывает без Risk Management

Компания: Средний интернет-магазин, оборот 100к/год

Что случилось: Единственный системный администратор (зарплата 80к) попросил повышения до 120. СЕО отказал: Незаменимых нет!

Что произошло: Админ уволился и забрал с собой все пароли (не было никакой). Через неделю общий сервер упал, подключение подрядчика (-200к) и восстановление заняло 5 дней (небыло даже доступов, благо админ сжалился и выслал хотя бы доступ к машине).

Потери:

• 5 дней простоя = 1.4кк упущенной выручки
• Восстановление = 200к
• Новый админ (срочный поиск) = 100к/месяц
• Репутационные потери = никто даже не считал количество потерянных клиентов
• Итого: >2 млн

Что нужно было сделать (будь у них Risk Management):

1. Идентификация риска:

• Зависимость от одного человека = критический риск
• Вероятность ухода: высокая (недоплачиваем)
• Последствия: критические

1. Оценка:

• Стоимость удержания: 40 к/месяц × 12 = 480 к/год
• Стоимость реализации риска: >2.4 млн
• ROI удержания: 400%

1. План действий:

• Повысить зарплату до 120к
• Документировать все процессы
• Настроить автоматизацию

Вывод: Директор сэкономил 480к и потерял больше 2.4 млн.

⚠️ Типичные ошибки

Ошибка 1: Формализм ради галочки

Как выглядит: Реестр рисков на 200 позиций. Никто его не читает.

Почему так происходит: Внедрилибез адаптации под реальность.

Как исправить: Фокус на топ-10 рисков и связываем с KPI руководителей

Ошибка 2: Игнорирование людей

Как выглядит: Реестр полон технических рисков. Ноль рисков про людей

Почему так происходит: Люди любят технику, люди это сложно.

Как исправить: Включить в реестр увольнение/выгорание ключевых сотрудников

Ошибка 3: Статичный реестр

Как выглядит:

• Реестр создали год назад
• С тех пор не обновляли
• Половина рисков неактуальны
• Новые риски не добавляются

Почему так происходит:
Нет процесса регулярного пересмотра.

Как исправить:

• Ежемесячный пересмотр (обязательно!)
• Триггеры для внепланового пересмотра:
• Новый проект
• Крупный инцидент
• Изменение законодательства
• Автоматические напоминания в календаре

Ошибка 4: Культура страха

Как выглядит:

• Сотрудники боятся говорить о рисках
• «Кто озвучил проблему — тот и виноват»
• Риски скрывают до последнего
• Потом — внезапная катастрофа

Почему так происходит:
Токсичная культура управления.

Как исправить:

• Поощрять за выявление рисков
• «Риск месяца» — премия 10-20 тыс₽
• Руководство открыто говорит о рисках
• No blame culture — ошибки для обучения, не наказания

Ошибка 5: Паралич анализа

Как выглядит:

• Анализируем риски 3 месяца
• Ничего не делаем
• Риск реализуется
• Удивленное лицо

Почему так происходит:
Перфекционизм и страх ошибиться.

Как исправить:

• Правило: если риск критический — действуем СЕЙЧАС
• Лучше сделать что-то, чем ничего
• Можно корректировать по ходу
• «Done is better than perfect»

🎯 Чек-лист: с чего начать прямо сегчас

Сегодня (30 минут)

• [ ] Открой Google Sheets
• [ ] Создай табличку с колонками: Риск | Вероятность | Последствия | Приоритет | Что делаем
• [ ] Напиши 5 вещей, которые могут сломаться в ближайший месяц
• [ ] Оцени каждую от 1 до 5
• [ ] Посчитай приоритет (умножь)

Эта неделя (2 часа)

• [ ] Собери команду на 1 час
• [ ] Попроси каждого назвать 3-5 рисков
• [ ] Запиши все (без критики!)
• [ ] Проголосуйте за топ-10
• [ ] Для каждого из топ-10: кто отвечает?

Этот месяц (4-8 часов)

• [ ] Для топ-3 рисков: детальный план действий
• [ ] Назначь ответственных и дедлайны
• [ ] Поставь напоминание в календарь: «Обзор рисков» (каждый месяц)
• [ ] Начни делать что-то с топ-1 риском

Через 3 месяца (оценка)

• [ ] Сколько рисков реализовалось?
• [ ] Сколько предотвратили?
• [ ] Сколько сэкономили денег?
• [ ] Работает ли процесс?
• [ ] Что нужно улучшить?

🎬 Заключение: риски — это нормально

Вот что важно понять: риски есть всегда. Вопрос не в том, будут ли проблемы. Вопрос в том, будешь ли ты к ним готов.

Управление рисками — это не паранойя. Это профессионализм.

Это разница между:

• «Сервер упал, все в панике» и «Сервер упал, запускаем план Б»
• «Ключевой спец уволился, проект встал» и «Ключевой спец уволился, его замена уже обучена»
• «Бюджет улетел в 3 раза» и «Бюджет превышен на 15%, в пределах резерва»

Три главных мысли:

1. Начни с малого

• Не нужен enterprise-монстр
• Табличка в Excel и 30 минут в месяц — уже огромный шаг
• Главное — начать

1. Делай регулярно

• Разовая акция не работает
• Риски меняются постоянно
• Ежемесячный обзор — обязательно

1. Фокусируйся на действиях

• Реестр рисков — не цель, а инструмент
• Важно не записать риск, а что-то с ним сделать
• Лучше 5 рисков с планами, чем 50 без

И помни:

Час на предотвращение проблемы экономит неделю на её решение.

500 тысяч на Risk Management экономят 5 миллионов на факапах.

Спокойный сон руководителя — бесценен.

P.S. Если после прочтения этой статьи ты все равно не начнешь управлять рисками — ну что ж, удачи тебе. Когда сервер упадет в пятницу вечером, вспомни эту статью и погрусти.

P.P.S. А если начнешь — напиши мне через полгода, сколько факапов предотвратил. Люблю истории со счастливым концом.

Автор: Валентин Панченко, ИТ-директор с 15 летним стажем
Блог: lyucean.com
Telegram: @lyucean

Полезные ссылки:

📚 Шаблоны:

• Шаблон реестра рисков в Google Sheets
• Чек-лист для воркшопа по рискам
• Матрица оценки рисков

🎓 Дальше читать:

• ITIL 4: Risk Management Practice (официальная документация)
• «Черный лебедь» — Нассим Талеб (про непредсказуемые риски)
• «Thinking in Bets» — Annie Duke (про принятие решений в условиях неопределенности)

🛠️ Инструменты:

• Trello — бесплатный канбан
• Notion — база знаний + таск-менеджер
• Miro — для воркшопов
• Битрикс24 — российская CRM с управлением задачами

Теги: #ITIL #RiskManagement #УправлениеРисками #ИТДиректор #ITIL4 #ИТПроцессы #Менеджмент #БезопасностьИТ #УправлениеПроектами

Спасибо, что дочитал до конца! Теперь иди и управляй своими рисками, пока они не начали управлять тобой.