ITIL4 Управление рисками: Как не упустить момент

В чем суть Risk Management

Представь, что ты идешь по минному полю. Есть два подхода:

Подход 1 (без Risk Management): Идешь куда глаза глядят, надеясь на авось. Когда наступаешь на мину и удивляешься/кричишь КАК ТАК-ТО?! Позже пришивают ногу или нет.

Подход 2 (с Risk Management): Берешь карту минного поля, отмечаешь где мины, планируешь маршрут, берешь с собой сапера. Если что-то пошло не так и у тебя есть план Б.

Управление рисками это когда ты заранее составляешь список всего, что может пойти не так, оцениваешь насколько это вероятно и больно, а потом решаешь что с этим делать.

Простыми словами:

• Что может сломаться? (идентификация)
• Насколько это вероятно? (оценка)
• Насколько будет больно? (оценка последствий)
• Что будем делать? (план действий)

Это не паранойя. Это профессионализм.

Как это работает?

Матрица рисков: как понять что важно

Как читать:

• Правый верхний угол (красный) → караул, делаем ПРЯМО СЕЙЧАС
• Левый верхний угол (желтый) → маловероятно, но если случится, то капец
• Правый нижний угол (желтый) → часто случается, но не смертельно
• Левый нижний угол (зеленый) → забили

Инструменты: от салфетки до enterprise-монстра

Уровень 1: У нас 3 человека и Excel

Что нужно: Google Sheets или Excel + 30 минут в месяц + Мозг

Как делать:

1. Открываешь табличку
2. Пишешь что может сломаться
3. Ставишь оценки от 1 до 5 (вероятность и последствия)
4. Умножаешь (это приоритет)
5. Сортируешь по приоритету
6. Делаешь что-то с топ-5

Шаблон:

Плюсы: Бесплатно + Просто + Работает

Минусы: Нужно не забывать обновлять + Легко забить

Уровень 2: У нас 10-50 человек, нужно что-то посерьезнее

Инструменты:

Trello / Notion (бесплатно)

• Карточки для каждого риска
• Колонки: Выявлено → Оценено → План готов → Контролируем
• Метки по приоритету
• Чеклисты действий

Битрикс24 (от 1990₽/мес)

• Задачи с меткой Риск
• Автоматические напоминания
• Отчеты для руководства

Miro (бесплатно для малых команд)

• Для воркшопов по рискам
• Визуальная матрица рисков
• Стикеры и голосование

Как делать:

1. Ежемесячная встреча команды (1 час)
2. Каждый называет риски
3. Голосуем за приоритеты
4. Назначаем ответственных
5. Следим в Trello/Битрикс24

Плюсы: Наглядно + Команда вовлечена + Автоматические напоминания

Минусы: Нужна дисциплина + Кто-т о должен вести процесс

Уровень 3: У нас 100+ человек, все серьезно

Инструменты:

1С:Управление рисками

• Полноценная система
• Интеграция с 1С-экосистемой
• Автоматизация всего процесса
• Цена: договорная (дорого)

Comindware

• BPM-платформа с модулем рисков
• Workflow и эскалация
• Российская разработка
• Цена: от 500 000₽

Собственная разработка

• Цена: от 1 000 000₽
• Не лезь сюда, оно тебя сожрёт!!!

🎓 Умные слова, которые нужно знать

PDCA (Plan-Do-Check-Act) или цикл Деминга

Что это: Способ постоянно улучшать процессы. Придумал японец Деминг, когда помогал Toyota не делать говно .

Как это работает для рисков:

Plan (Планируем):

• Выявляем риски
• Оцениваем их
• Придумываем что делать

Do (Делаем):

• Внедряем меры по снижению рисков
• Например: настраиваем бэкапы, пишем документацию

Check (Проверяем):

• Смотрим, сработало ли
• Случился ли риск?
• Помогли ли наши меры?

Act (Улучшаем):

• Если сработало — делаем так дальше
• Если нет — меняем подход
• Обновляем реестр рисков

Когда использовать: Всегда! Это базовый цикл для любого процесса.

Пример:

• Plan: Риск: сервер может упасть. План: настроить мониторинг.
• Do: Настроили Zabbix с алертами в Telegram.
• Check: Сервер начал тормозить, мониторинг предупредил, успели среагировать.
• Act: Работает! Добавляем мониторинг для остальных серверов.

Модель Три линии защиты

Что это: Способ организовать защиту от рисков на трех уровнях. Придумали в банках, потому что там любят усложнять.

Простыми словами:

Первая линия (операционщики):

• Это разработчики, админы, менеджеры проектов
• Они делают работу и сами управляют своими рисками
• Я вижу риск и я с ним разбираюсь

Вторая линия (риск-менеджеры):

• Это выделенные люди, которые следят за рисками
• Помогают первой линии
• Проверяют, что риски под контролем
• Я слежу, чтобы все управляли рисками правильно

Третья линия (аудиторы):

• Независимые проверяющие
• Проверяют, что первая и вторая линии работают
• Я проверяю, что все делают свою работу

Когда использовать: Когда компания большая (100+ человек) и нужна серьезная система.

Пример:

Ситуация: Внедрение новой системы оплаты.

Первая линия (разработчики):

• Выявляют технические риски
• Тестируют код
• Делают бэкапы

Вторая линия (риск-менеджер):

• Проверяет, что все риски учтены
• Смотрит, достаточно ли тестов
• Требует дополнительные проверки безопасности

Третья линия (аудит):

• Через месяц проверяет, как прошло внедрение
• Смотрит, были ли нарушения процедур
• Дает рекомендации на будущее

Для малого бизнеса: Можно упростить до двух линий:

• Первая — те, кто делает
• Вторая — руководитель, который проверяет

🚀 Когда начинать и с какой компании

Микробизнес (1-10 человек)

Когда начинать: Прямо сейчас, но по-простому.

Что делать:

• Раз в месяц на планерке: Что может сломаться?
• Записываем топ-5 рисков
• Для каждого простой план "если случится, то..."
• Обновляем раз в месяц

Трудозатраты: 30 минут в месяц

Пример рисков:

• Единственный программист заболел
• Сервер упал
• Клиент не заплатил
• Ноутбук украли

Малый бизнес (10-50 человек)

Когда начинать: Когда появился первый серьезный факап.

Что делать:

• Excel/Trello с реестром рисков
• Ежемесячная встреча команды (1 час)
• Назначаем ответственных за каждый риск
• Проверяем раз в месяц

Трудозатраты: 4-8 часов в месяц

Кто занимается: Тимлид или CTO (совмещение)

Пример рисков:

• Ключевой сотрудник уволится
• База данных упадет
• Бюджет проекта улетит
• Клиент откажется от проекта

Средний бизнес (50-500 человек)

Когда начинать: Когда факапы начали стоить серьезных денег.

Что делать:

• Формализованный реестр рисков
• Комитет по рискам (встречи раз в 2 недели)
• Интеграция с управлением проектами
• Специализированное ПО (Битрикс24, Pyrus)

Трудозатраты: 20-40 часов в месяц

Кто занимается: Выделенный риск-менеджер или старший PM

Пример рисков:

• Массовое увольнение команды
• Потеря крупного клиента
• Кибератака
• Проблемы с поставщиками

Крупный бизнес (500+ человек)

Когда начинать: Вчера.

Что делать:

• Отдел управления рисками
• Chief Risk Officer (CRO)
• Система управления рисками предприятия (ERM)
• Автоматизированный мониторинг
• Интеграция со всеми процессами

Трудозатраты: Выделенная команда

Кто занимается: CRO и его отдел

Пример рисков:

• Изменение законодательства
• Геополитические риски
• Репутационные риски
• Стратегические риски

Пошаговый план внедрения

Этап 1: Пилот (1-2 месяца)

Неделя 1: Подготовка

•  Объясняешь команде зачем это нужно
•  Показываешь примеры факапов
•  Получаешь согласие руководства

Неделя 2: Первый воркшоп

•  Собираешь команду на 1-2 часа
•  Каждый называет риски (без критики!)
•  Записываешь все на доске/в Miro
•  Должно быть 20-30 рисков

Неделя 3-4: Оценка

•  Для каждого риска: вероятность 1-5
•  Для каждого риска: последствия 1-5
•  Считаешь приоритет (умножаешь)
•  Сортируешь по приоритету

Неделя 5-8: Планы действий

•  Берешь топ-10 рисков
•  Для каждого: что будем делать?
•  Назначаешь ответственных
•  Ставишь дедлайны

Пример плана для риска "Сервер упадет":

• Настроить мониторинг (Вася, до 15 числа)
• Настроить автоматические бэкапы (Петя, до 20 числа)
• Проверить процедуру восстановления (Вася, до 25 числа)
• Подготовить резервный сервер (Петя, до конца месяца)

Этап 2: Регулярная работа (постоянно)

Каждую неделю:

•  15 минут на планерке: обзор критических рисков
•  Кто-то что-то сделал? Обновляем статус

Каждый месяц:

•  1 час: полный обзор реестра рисков
•  Что изменилось?
•  Новые риски?
•  Старые риски неактуальны?

Каждый квартал:

•  2-3 часа: воркшоп по новым рискам
•  Оцениваем эффективность: что предотвратили?
•  Обновляем методологию

Этап 3: Масштабирование (6-12 месяцев)

Если пилот сработал:

•  Внедряешь в других проектах/отделах
•  Обучаешь других тимлидов
•  Создаешь общий корпоративный реестр
•  Автоматизируешь (Битрикс24, 1С и т.д.)

Если не сработал:

•  Анализируешь почему
•  Упрощаешь процесс
•  Пробуешь снова

Этап 4: Презднование

Стоит ли оно того?

Реальный кейс: что бывает без Risk Management

Компания: Средний интернет-магазин, оборот 100к/год

Что случилось: Единственный системный администратор (зарплата 80к) попросил повышения до 120. СЕО отказал: Незаменимых нет!

Что произошло: Админ уволился и забрал с собой все пароли (не было никакой). Через неделю общий сервер упал, подключение подрядчика (-200к) и восстановление заняло 5 дней (небыло даже доступов, благо админ сжалился и выслал хотя бы доступ к машине).

Потери:

• 5 дней простоя = 1.4кк упущенной выручки
• Восстановление = 200к
• Новый админ (срочный поиск) = 100к/месяц
• Репутационные потери = никто даже не считал количество потерянных клиентов
• Итого: >2 млн

Что нужно было сделать (будь у них Risk Management):

1. Идентификация риска:

• Зависимость от одного человека = критический риск
• Вероятность ухода: высокая (недоплачиваем)
• Последствия: критические

1. Оценка:

• Стоимость удержания: 40 к/месяц × 12 = 480 к/год
• Стоимость реализации риска: >2.4 млн
• ROI удержания: 400%

1. План действий:

• Повысить зарплату до 120к
• Документировать все процессы
• Настроить автоматизацию

Вывод: Директор сэкономил 480к и потерял больше 2.4 млн.

⚠️ Типичные ошибки

Ошибка 1: Формализм ради галочки

Как выглядит: Реестр рисков на 200 позиций. Никто его не читает.
Почему так происходит: Внедрилибез адаптации под реальность.
Как исправить: Фокус на топ-10 рисков и связываем с KPI руководителей

Ошибка 2: Игнорирование людей

Как выглядит: Реестр полон технических рисков. Ноль рисков про людей
Почему так происходит: Люди любят технику, люди это сложно.
Как исправить: Включить в реестр увольнение/выгорание ключевых сотрудников

Ошибка 3: Статичный реестр

Как выглядит: Реестр создали год назад и с тех пор не обновляли
Почему так происходит: Нет процесса регулярного пересмотра.
Как исправить: Ежемесячный пересмотр (обязательно!) или завести триггеры для внепланового пересмотра: Новый проект / Крупный инцидент / Изменение законодательства / Напоминания в календаре

Ошибка 4: Культура страха

Как выглядит: Сотрудники боятся говорить о рисках. Кто озвучил проблему = тот и виноват.

Почему так происходит: Токсичная культура управления.

Как исправить: Поощрять за выявление рисков. Риск месяца = премия 1-2к. No blame culture ( ошибки для обучения, не наказания)

Ошибка 5: Паралич анализа

Как выглядит: Анализируем риски 3 месяца и ничего не делаем.
Почему так происходит: Перфекционизм и страх ошибиться.
Как исправить: Правило: если риск критический = действуем СЕЙЧАС. Лучше сделать что-то, чем ничего, можно нужно корректировать по ходу

Чек-лист: с чего начать?

Сегодня (30 минут)

• Открой Google Sheets (Шаблон реестра рисков в Google Sheets)
• Создай табличку с колонками: Риск | Вероятность | Последствия | Приоритет | Что делаем
• Напиши 5 вещей, которые могут сломаться в ближайший месяц
• Оцени каждую от 1 до 5
• Посчитай приоритет (умножь)

Эта неделя (2 часа)

• Собери команду на 1 час
• Попроси каждого назвать 3-5 рисков
• Запиши все (без критики!)
• Проголосуйте за топ-10
• Для каждого из топ-10: кто отвечает?

Этот месяц (4-8 часов)

• Для топ-3 рисков: детальный план действий
• Назначь ответственных и дедлайны
• Поставь напоминание в календарь: "Обзор рисков" (каждый месяц)
• Начни делать что-то с топ-1 риском

Через 3 месяца (оценка)

• Сколько рисков реализовалось?
• Сколько предотвратили?
• Сколько сэкономили денег?
• Работает ли процесс?
• Что нужно улучшить?

И заключительное

Вот что важно понять: риски есть всегда. Вопрос не в том, будут ли проблемы. Вопрос в том, будешь ли ты к ним готов. Управление рисками и есть твой профессионализм.

Сравни:

• "Сервер упал, все в панике" и "Сервер упал, запускаем план Б"
• "Ключевой спец уволился, проект встал" и "Ключевой спец уволился, его замена уже обучена"
• "Бюджет улетел в 3 раза" и "Бюджет превышен на 15%, в пределах резерва"

Помни:

• Час на предотвращение проблемы экономит неделю на её решение.
• 500к на Risk Management экономят 5 миллионов на факапах.
• Спокойный сон руководителя = бесценен.

P.S. Если после прочтения этой статьи ты все равно не начнешь управлять рисками, ну что ж, удачи тебе. Когда сервер упадет в пятницу вечером, вспомни эту статью и погрусти.

P.S.S. Черный лебедь от Нассима Талеба (про непредсказуемые риски), рекомендую