Специалисты по айсбергам: кто управляет рисками в IT и сколько за это платят
Пока все кодят
По статистике большинство специалистов других сфер, решивших переключиться на IT-технологии, представляют себе работу в этой области как что-то непосредственно связанное с разработкой программных продуктов или взаимодействием с массивами данных различной сложности и объема. Иначе сложно объяснить такой повальный интерес к соответствующим специальностям: по данным Нетологии, еще в марте этого года число студентов на курсе системного администрирования подскочило в 5,4 раза, на курсе Data-аналитика — в 4,7 раза, а потенциальных тестировщиков и Python-разработчиков стало в 4,5 и 3,8 раза больше соответственно.
Действительно, спрос на таких специалистов в России растет, и во многом это связано как с релокацией части компаний и их разработчиков, так и с потребностью в импортозамещении программных продуктов от иностранных вендоров, покинувших российский рынок.
Но вместе с тем, учитывая, что IT-отрасль в принципе становится критически важной для всей экономики страны (не зря на нее практически проливным дождем падают все возможные меры господдержки), а в нынешних геополитических условиях весь такой бизнес находится в условиях постоянной неопределенности, растет значимость специальности, не связанной с разработкой ПО напрямую — это управление рисками в IT.
В каком-то смысле проработка рисковых сценариев напрямую не является тем, чем по идее должны заниматься IT-компании — как, например, организацией собственных сервисных команд по обслуживанию оборудования, задействованного в разработке конечных программных продуктов. Но дело в том, что как раз риск-менеджмент на всех его уровнях компаниям ни в коем случае нельзя отдавать на аутсорс, хотя крупнейшие консалтинговые компании и предоставляют такие услуги. В зависимости от уровня специалистов они, безусловно, могут проанализировать существующие отраслевые риски и показать, как с ними работать. Однако, риск-ориентированная деятельность компании является именно операционной, что означает регулярную оценку различных факторов, вслед за которой должны приниматься соответствующие решения. И если в штате компании нет персонала, который на постоянной основе занимается именно этим — фундаментальная основа, заложенная даже самыми крутыми внешними спецами, быстро развалится.
Своя специфика
В целом даже внутри специальности управления рисками есть люди, которые решают отдельные задачи и уровень ответственности у них, соответственно, тоже отличается. Среди них есть те, кто организует сам процесс управления, есть те, кто принимает решения, те, кто отвечает за планирование рисков и так далее. Сами риски в IT-отрасли в некотором смысле можно считать специфическими просто потому, что речь идет о технологиях, запрос к которым очень быстро меняется — из-за этого сфера IT во многом и считается одной из самых быстрорастущих.
Но в целом подходы к управлению рисками в IT такие же, как и в других сферах: они регулируются как национальными стандартами вроде ГОСТ Р ИСО 31000–2019 и 31010–2011, так и международными COSO ERM, Cobit 5 for Risk. Хорошим примером слияния классического риск-менеджмента и аналогичной деятельности в IT является финансовая сфера: все банки работают с набором правил, в основе которых лежат принципы корпоративного управления Базельского комитет по банковскому надзору.
Поэтому, на наш взгляд, самые лучшие рисковики вырастают именно из специалистов, которые уже работали в отрасли на других должностях: благодаря тому, что большинство бизнес-процессов знакомы им изнутри, переобучение таких сотрудников по сути предполагает привитие им определенных управленческих и аналитических навыков. Напротив, готовым рисковикам из других сфер придется с нуля погружаться во все внутренние процессы, свойственные именно IT-компаниям.
Что касается именно обучения, изучить базовые методы риск-менеджмента любой айтишник может самостоятельно, воспользовавшись профессиональной литературой. Благо, на рынке ее достаточно, и в целом такое самообразование является серьезным подспорьем для тех же миддлов, сеньоров и тимлидов, ответственных за реализацию проектов — эти знания помогают предотвращать реализацию многих рисковых сценариев на этапе разработки. Но путь к более серьезным управленческим должностям в этой области открывает уже профессиональное обучение: в нашем Учебном центре в том числе есть такие курсы, и их можно проходить без отрыва от основной работы. Их длительность зависит от того, в очной или заочной форме проходит обучение, в среднем на прохождение группы курсов и освоение материала уходит от 6 месяцев. После прохождения таких курсов сертифицированный специалист по управлению рисками может претендовать на зарплату в диапазоне 150–200 тыс. рублей, либо более высокую, если человек обладает какими-то дополнительными редкими компетенциями.
Чек-лист начинающего IT-рисковика
- Хорошо изучите все стандарты в области управления рисками, и тогда вам не придется изобретать велосипед, организуя постоянную операционную работу с постоянно поступающими в ваше распоряжение вводными данными;
- Развивайте в себе навыки организатора: хороший рисковик должен уметь составлять команду из таких же специалистов, отлаживать ее работу и взаимодействовать с другими подразделениями внутри компании;
- Прорабатывайте различные механизмы управления рисками, но старайтесь при этом сузить число тех сотрудников, которые занимаются сбором критически важной для принятия решений информации;
- Помните, что управление рисками — не отдельная деятельность, она должна быть интегрирована в корпоративное управление, приносить ценность бизнесу;
- Следите за тем, чтобы сотрудникам вне вашей команды рисковиков было понятно, для чего вы принимаете те или иные управленческие решения, объясняйте, в чем их важность и доносите до людей, что изменения не являются самоцелью, а призваны избавить всю компанию от тупиковых ситуаций в процессе разработки новых цифровых продуктов;
- Проходите сертификацию — специалисты с подтвержденным уровнем компетенций наиболее востребованы на рынке и имеют шансы значительно повысить размер компенсации за свои услуги.
