Как работать с рисками в IT | Опыт Evercode Lab

Риски в IT возникают постоянно, и предсказать их полностью невозможно. Зато можно научиться правильно с ними работать, минимизируя последствия и повышая устойчивость систем. 

В этой статье мы расскажем, почему управление рисками критично для IT-компаний, и как грамотно определять проблему и формулировать приоритеты. А ещё посоветуем несколько книг.

Почему важно научиться работать с рисками

IT-компании часто работают с высоконагруженными сервисами, где 24/7 наблюдается высокая активность. Такие системы подвержены рискам, которые невозможно контролировать на каждом шагу. Например, могут быть проблемы с сетью, увеличение нагрузки, перегрев оборудования, а ещё провайдер может внезапно отключить.

Чтобы поддерживать высокое качество работы сервиса, важно использовать подход, при котором менеджер всегда задаётся вопросом: «Что мой сервис сделал неправильно в этот раз? Что нужно изменить, чтобы при повторении проблемы она не оказала на нас серьёзного влияния?».

Менеджеры с небольшим опытом часто разводят руками в таких ситуациях и говорят: «Я ничего не мог сделать, это вне моей зоны контроля». Но управление рисками — это навык, которому можно и нужно учиться. Хороший менеджер не списывает всё на внешние обстоятельства. Он берёт паузу, анализирует проблему и ищет способы предотвращения её последствий в будущем.

Вот в чём суть работы с рисками. Это не про избегание проблем — их не избежать, IT-реальность слишком сложна. Это про то, чтобы извлекать уроки и становиться сильнее после каждой ошибки.

Типы и виды рисков

Риски бывают: 

• внешние (например, пандемия COVID-19) и внутренние; 
• контролируемые и неконтролируемые; 

Есть несколько источников риска:

1. Человеческий фактор 

Риски, связанные с действиями людей:

• Нарушение NDA;
• Внезапное увольнение сотрудника без передачи дел;
• Подрыв атмосферы в коллективе;
• Ошибки менеджмента или контроля доступов.

2. Технический фактор 

•  Ошибки в работе сервисов;
• Неправильные настройки систем;
• Уязвимости в безопасности (недостаточно защищённый код или сервер).

3. На стороне провайдеров 

Неожиданные сбои или проблемы у провайдера, которые влияют на сервисы IT-компании.

4. Внешнеполитические или юридические 

Риски, связанные с изменениями в законодательстве или международной политической ситуацией.

5. Операционные риски 

Возникают при нарушении внутренних регламентов. Например, когда доступ к конфиденциальной информации выдается людям вне регламента.

Риски по последствиям:  

1. Репутационные риски 

Любые события, способные повлиять на имидж компании:

• Аварии или сбои;
• Некорректное общение с клиентами или внутри команды;
• Неподобающие публикации в блоге, на сайте или в социальных сетях.

2. Финансовые риски

Риски, связанные с потерей средств:

• Убытки;
• Необходимость возврата денег;
• Затраты на устранение ошибок.

3. Безопасность данных 

Сюда относится безопасность данных на серверов, риск разглашения внутренней информации, риск взлома и т.д.

Как формулировать проблемы и определять приоритеты

Правильная формулировка проблем и грамотная расстановка приоритетов – ключ к эффективной работе над продуктом. Любую проблему можно классифицировать по одному из трех направлений:

I. Риск потери денег. 

Сюда относятся любые ситуации, которые могут привести к убыткам: уязвимости в безопасности, уход клиентов, возможность взлома, сбои в платежных системах или юридические риски.  

II. Прибыль.

Это новые фичи и возможности, которые способны приносить доход, например, функционал, который привлечет больше пользователей или увеличит их лояльность.  

III. Недополученная прибыль. 

Это те места, где ты потенциально можешь зарабатывать больше. Это может быть нестабильный функционал, проблемы с монетизацией или неиспользованные потенциальные возможности.  

В IT-компании Evercode Lab приоритет определяется исходя из наших прикидок по влиянию на профит проекта. Все делается ради результата, и это нужно держать в фокусе.  

Важно понимать, что проблемы не нужно выдумывать. Их лучше выявлять на основе реальных данных. Для этого нужно:  

• Регулярно собирать вопросы и жалобы пользователей из службы поддержки.  
• Анализировать обратную связь от корпоративных клиентов.  
• Учитывать комментарии команды продаж.  
• Сравнивать себя с лучшими на рынке, даже если это компании из других отраслей.  

Каждый раз, ставя задачу в план, или выполняя какую-либо задачу, задай себе вопрос «ЗАЧЕМ Я ЭТО ДЕЛАЮ». 

Как менеджер в IT-компании работает с рисками

Хороший менеджер должен знать слабые технические места своего проекта и постоянно работать с мониторингами ключевых точек. Это могут быть мониторинги серверов, чтобы убедиться, что все серверы работают стабильно; сайта и приложений — чтобы они корректно функционировали и открывались; ключевых кнопок и других важных элементов. В IT-компании ключевой бизнес-функционал обязательно покрыт мониторингами, за которыми следят как менеджеры, так и команда саппорта.

Мы уже рассказывали, что менеджер всегда должен знать, чем занимается его команда. Поэтому он также осведомлён о слабых местах внутри команды, которые могут повысить риски. Например, если кто-то из сотрудников заболел, менеджер должен оперативно найти подходящего человека на замену.

Способы контроля рисков

I. Роадмап

Продуктовый роадмап проекта — это список ключевых эпиков, запланированных на ближайший месяц и следующие 6 месяцев. Он актуализируется ежемесячно.

В Evercode Lab один из способов контроля рисков — роадмапы. Их мы составляем ежемесячно. Помимо самих задач, мы всегда указываем, для чего они нужны: например, стабильность, бизнес-функционал, снижение риска и т.п.

II. KPI

Другой способ — составление еженедельных KPI. Мы не только фиксируем значения, но и описываем их. Если какое-то из них попадает в красную или зелёную зону (т.е. изменяется в худшую или лучшую сторону), это позволяет быстрее заметить, что что-то идёт не так.

III. Инцидент репорт

Если авария всё же произошла, инструмент, который помогает избежать её повторения, — это инцидент-репорт (ИР). Это документ, в котором обычно содержится описание проблемы, таймлайн событий, а также список мер с указанием исполнителей и ссылками на задачи.

Всегда прописывается ряд задач, нацеленных на то, чтобы улучшить сервис и не попасть в такую же авария. Это могут быть технические доработки, доработки регламентов и т.д.

Книги 

В Evercode Lab огромная библиотека полезных книг и материалов по самым разным сферам, включая риск-менеджер. Делимся подборкой книг по риск-менеджменту от Николаса Талеба, которые необходимо прочитать каждому. 

Рискуя собственной шкурой. 

«Рискуя собственной шкурой» – часть цикла Incerto («Неопределенность») Нассима Николаса Талеба. Автор разбирает, когда стоит рисковать ради целей, исследует баланс между словами и действиями, теорией и практикой, а также показывает, как принцип «шкуры на кону» помогает принимать осознанные решения.

Книга предлагает практические советы по рационализации жизни, принятию рисков и достижению гармонии между личной ответственностью и профессиональным успехом. Это руководство для тех, кто стремится глубже понять мир и действовать честно.

Одураченные случайностью. О скрытой роли шанса в бизнесе и в жизни

Случайность, удача, неопределенность, риск и ошибки — эти неизбежные элементы жизни исследует Нассим Николас Талеб. Вероятность — это не расчет шансов, а способ жить с недостатком знаний, находя решения в условиях неопределенности. 

Эта книга учит мыслить глубже, видеть природу случайности и принимать решения в условиях неопределенности, меняя взгляд на жизнь и её сложности.

Черный лебедь. Под знаком непредсказуемости.

Книга посвящена редким, неожиданным событиям — так называемым «черным лебедям» — которые оказывают колоссальное влияние на нашу жизнь, бизнес и историю, но которые мы практически никогда не предугадываем.

Талеб объясняет, почему мы так часто недооцениваем вероятность таких событий и как наше восприятие реальности мешает подготовиться к ним. 

Антихрупкость. Как извлечь выгоду из хаоса

Автор вводит понятие «антихрупкости» — способности систем, идей и людей становиться сильнее под воздействием стресса, хаоса и изменений.

«Антихрупкость» выделяется среди других книг Талеба акцентом на активном использовании хаоса и неопределенности как источника роста, а не просто адаптации к ним. Если «Черный лебедь» и другие работы сосредоточены на понимании редких и неожиданных событий, их влияния и наших ошибок в оценке неопределенности, то «Антихрупкость» идёт дальше, предлагая не просто готовиться к хаосу, но и извлекать из него выгоду.

Больше полезных статей и о принципах работы Evercode Lab читай в нашем блоге.

А ещё подписывайся на наш Telegram-канал и группу в ВК, там мы публикуем горячие вакансии каждую неделю, анонсируем бесплатные обучения и стажировки, а еще рассказываем о жизни компании.