Аналіз стандартів управління ризиками та їх використання в ІТ-проєктах

Заголовок (англійською): 
Analysis of risk management standards and their application in IT projects
Автор(и): 
Максимов А. Є.
Автор(и) (англ): 
Maksymov Anton
Ключові слова (укр): 
управління ризиками; ІТ-проєкти; стандарти управління ризиками; ISO 31000; ISO 27001; NIST SP 800-53; PMBOK; аналіз ризиків; інформаційні технології
Ключові слова (англ): 
risk management; IT projects; risk management standards; ISO 31000; ISO 27001; NIST SP 800-53; PMBOK; risk analysis; information technology
Анотація (укр): 
Управління ризиками є важливим аспектом успішної реалізації проєктів у сфері інформаційних технологій, оскільки ІТ-проєкти схильні до високого рівня невизначеності та складності. Недостатній рівень управління ризиками може призвести до суттєвих втрат, перевищення бюджету, затримок у термінах реалізації проєктів та зниження якості кінцевого продукту. У зв’язку з цим виникає потреба у застосуванні надійних стандартів, які б забезпечили ефективне виявлення, аналіз і моніторинг ризиків протягом усього життєвого циклу ІТ-проєкту. У дослідженні представлено взаємозв’язок між стандартами, методологіями та методами управління ризиками в проєктах. Також у межах дослідження здійснено порівняння стандартів управління ризиками ISO 31000, ISO 27001, PMBOK, NIST SP 800-53 за ключовими параметрами, такими як: сфера застосування, процеси управління ризиками, підходи до ідентифікації та оцінки ризиків, а також рівень гнучкості та можливість адаптації під конкретні проєкти. Проаналізовано переваги і недоліки сучасних стандартів управління ризиками в ІТ-проєктах, що відображено за допомогою діаграм. У результаті дослідження встановлено, що стандарт ISO 31000 і PMBOK підходять для широкого кола ІТ-проєктів завдяки своїм гнучким підходам до управління ризиками та чітким методологічним рекомендаціям. Водночас стандарт NIST SP 800-53 більше орієнтований на кібербезпеку і детальніше розглядає ризики інформаційної безпеки, що робить його корисним для проєктів у цій галузі. Для ефективного управління ризиками в ІТ-проєктах слід використовувати комплексний підхід, що включає адаптацію елементів різних стандартів. Поєднання гнучких і детальних рекомендацій дає змогу розробити надійну стратегію для зменшення ймовірності та впливу ризиків на проєкт, забезпечуючи, тим самим, його успішну реалізацію. У висновках зазначено, що стандарт ISO 31000 є найбільш адаптивним з проаналізованих стандартів, оскільки на початкових етапах його впровадження він легше інтегрується в наявні системи. Отже, цей стандарт може слугувати основою для подальшого впровадження інших стандартів, які будуть доповнювати один одного завдяки наявності різногалузевих норм у рамках ISO.
Анотація (англ): 
Risk management is a critical aspect of successful project implementation in the field of information technology, as IT projects are often subject to high levels of uncertainty and complexity. Insufficient risk management can lead to significant losses, budget overruns, delays in project timelines, and reduced quality of the final product. Consequently, there is a need for the application of reliable standards to ensure effective identification, analysis, and monitoring of risks throughout the entire lifecycle of an IT project. The objective of this study is to analyze existing risk management standards and explore effective approaches to their use in managing risks in IT projects. The research presents the interrelation between standards, methodologies, and methods for risk management in projects. Additionally, the research compares the risk management standards ISO 31000, ISO 27001, PMBOK, and NIST SP 800-53 based on key parameters, including scope of application, risk management processes, approaches to risk identification and assessment, as well as the level of flexibility and adaptability for specific projects. The advantages and disadvantages of contemporary risk management standards in IT projects are analyzed and visualized using diagrams. The findings indicate that ISO 31000 and PMBOK are suitable for a wide range of IT projects due to their flexible approaches to risk management and clear methodological guidelines. Meanwhile, NIST SP 800-53 focuses more on cybersecurity, providing detailed insights into information security risks, making it particularly useful for projects in this domain. For effective risk management in IT projects, a comprehensive approach is recommended, combining elements of various standards. The integration of flexible and detailed recommendations enables the development of a robust strategy to mitigate the likelihood and impact of risks on a project, thereby ensuring its successful implementation. The conclusions highlight that ISO 31000 is the most adaptable standard among those analyzed, as its initial implementation is relatively easy to integrate into existing systems. This makes it a suitable foundation for the subsequent adoption of complementary standards, leveraging the cross-industry norms provided within the ISO framework.
Публікатор: 
Київський національний університет будівництва і архітектури
Назва журналу, номер, рік випуску (укр): 
Управління розвитком складних систем, номер 61, 2025
Назва журналу, номер, рік випуску (англ): 
Management of Development of Complex Systems, number 61, 2025
Мова статті: 
Українська
Формат документа: 
application/pdf
Документ: 
66-75.pdf
Дата публікації: 
07 Апрель 2025
Номер збірника: 
61
Розділ: 
УПРАВЛІННЯ ПРОЄКТАМИ
Університет автора: 
Черкаський державний технологічний університет, Черкаси
Литература: 

1.     Сосновська О. О., Деденко Л. В. Ризик-менеджмент як інструмент забезпечення стійкого функціонування підприємства в умовах невизначеності. Європейський науковий журнал Економічних та Фінансових інновацій. 2019. № 1 (3). С. 70–79. DOI: 10.32750/2019-0106.

2.     US Department of Homeland Security. A Guide to the Cost-Effective and Efficient Communication of Needs. 2008. 353. URL: https://www.dhs.gov/xlibrary/assets/Developing_Operational_Requirements_Guides.pdf.

3.     ISO 31000 – Risk management. URL: https://www.iso.org/iso-31000-risk-management.html.

4.     ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements. URL: https://www.iso.org/standard/27001.

5.     National Institute of Standards and Technology Special Publication 800-53. Rev. 5. 2020. 492. DOI: 10.6028/NIST.SP.800-53r5.

6.     Project Management Institute. A Guide to the Project Management Body of Knowledge (PMBOK Guide) (7th ed.). Project Management Institute. 2021. 250. URL: https://www.pmi.org/standards/pmbok.

7.     Microsoft Compliance Offerings. URL: https://learn.microsoft.com/en-us/microsoft-365/compliance/offering-home.

8.     IBM Cloud ISO 31000 compliance. URL: https://www.ibm.com/cloud/compliance/iso-31000.

9.     Internal Audit Services | Deloitte SEA | Risk Advisory. URL: https://www2.deloitte.com/sg/en/pages/risk/ solutions/internal-audit-services.html.

10.  Purdy, G. ISO 31000:2009 – Setting a New Standard for Risk Management. Risk Analysis. 30(6), 2010. P. 881–886. DOI: 10.1111/j.1539-6924.2010.01442.x.

11.  Luko, S. N. Risk Management Principles and Guidelines. Quality Engineering. 25(4), 2013. P. 451–454. DOI: 10.1080/08982112.2013.814508.

12.  Leitch, M. ISO 31000:2009 – The New International Standard on Risk Management. Risk Analysis. 30 (6), 2010. P. 887–892. DOI: 10.1111/j.1539-6924.2010.01397.x.

13.  Calder, A., ISO27001/ISO27002 A Pocket Guide: 2013 Second Edition by IT Governance Publishing (Editor). 2013. 86.

14.  Von Solms, R., & Van Niekerk, J. From information security to cyber security. Computers & Security, 38, 2013. P. 97–102. DOI: 10.1016/j.cose.2013.04.004.

15.  Peltier, T. R. Information Security Policies, Procedures, and Standards: Guidelines for Effective Information Security Management. CRC Press. 2013. 408. DOI: 10.1201/9780203488737.

16.  Morris, P. W. G. Reconstructing Project Management. Wiley-Blackwell. 2013. 319. DOI: 10.1002/9781118536698.

17.  Kerzner, H. Project Management: A Systems Approach to Planning, Scheduling, and Controlling. John Wiley & Sons. 2022. 880.

18.  Fernandes, G., Ward, S., & Araújo, M. Improving and embedding project management practice in organisations – A qualitative study. International Journal of Project Management, 33(5), 2015. P. 1052–1067. DOI: 10.1016/j.ijproman.2015.01.012.

19.  ДСТУ IEC/ISO 31010:2013 Керування ризиком. Методи загального оцінювання ризику (IEC/ISO 31010:2009, IDT). [Чинний від 2014-07-01]. Вид. офіц. Київ : Мінекономрозвитку України, 2015. 80 с.

20.  ДСТУ ISO 31000:2018 Менеджмент ризиків. Принципи та настанови (ISO 31000:2018 Risk Management – Principles and guidelines on implementation, IDT) [Чинний від 2019-01-01]. Вид. офіц. Київ : Мінекономрозвитку України, 2018. 23 с.

References: 

1.     Sosnovska, O., Dedenko, L. (2019). Risk management as an instrument for providing the stable functioning of the enterprise in understanding condition. European scientific journal of Economic and Financial innovation, 1 (3), 70–79. DOI: 10.32750/2019-0106.

2.     US Department of Homeland Security. A Guide to the Cost-Effective and Efficient Communication of Needs. 2008. 353. URL: https://www.dhs.gov/xlibrary/assets/Developing_Operational_Requirements_Guides.pdf.

3.     ISO 31000 – Risk management. URL: https://www.iso.org/iso-31000-risk-management.html.

4.     ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements. URL: https://www.iso.org/standard/27001.

5.     National Institute of Standards and Technology Special Publication 800-53 (2020). Rev. 5. 492. DOI: 10.6028/NIST.SP.800-53r5.

6.     Project Management Institute. (2021). A Guide to the Project Management Body of Knowledge (PMBOK Guide) (7th ed.). Project Management Institute. URL: https://www.pmi.org/standards/pmbok.

7.     Microsoft Compliance Offerings. URL: https://learn.microsoft.com/en-us/microsoft-365/compliance/offering-home.

8.     IBM Cloud ISO 31000 compliance. URL: https://www.ibm.com/cloud/compliance/iso-31000.

9.     Internal Audit Services | Deloitte SEA | Risk Advisory. URL: https://www2.deloitte.com/sg/en/pages/risk/ solutions/internal-audit-services.html.

10.  Purdy, G. (2010). ISO 31000:2009 – Setting a New Standard for Risk Management. Risk Analysis, 30 (6), 881–886. DOI: 10.1111/j.1539-6924.2010.01442.x.

11.  Luko, S. N. (2013). Risk Management Principles and Guidelines. Quality Engineering, 25(4), 451–454. DOI: 10.1080/08982112.2013.814508.

12.  Leitch, M. (2010). ISO 31000:2009 – The New International Standard on Risk Management. Risk Analysis, 30 (6), 887–892. DOI: 10.1111/j.1539-6924.2010.01397.x.

13.  Calder, A. (2013). ISO27001/ISO27002 A Pocket Guide: 2013 Second Edition by IT Governance Publishing (Editor). 86.

14.  Von Solms, R., & Van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97–102. DOI: 10.1016/j.cose.2013.04.004.

15.  Peltier, T. R. (2013). Information Security Policies, Procedures, and Standards: Guidelines for Effective Information Security Management. CRC Press. 408. DOI: 10.1201/9780203488737.

16.  Morris, P. W. G. (2013). Reconstructing Project Management. Wiley-Blackwell. DOI: 10.1002/9781118536698.

17.  Kerzner, H. (2022). Project Management: A Systems Approach to Planning, Scheduling, and Controlling. John Wiley & Sons, 880.

18.  Fernandes, G., Ward, S., & Araújo, M. (2015). Improving and embedding project management practice in organisations – A qualitative study. International Journal of Project Management, 33(5), 1052-1067. DOI: 10.1016/j.ijproman.2015.01.012.

19.  DSTU IEC/ISO 31010:2013 Risk Management. (2015). Methods of Risk Assessment (IEC/ISO 31010:2009, IDT). [Effective from 2014-07-01]. Official publication. Kyiv: Ministry of Economic Development of Ukraine, 80.

20.  DSTU ISO 31000:2018 Risk Management. (2018). Principles and Guidelines (ISO 31000:2018 Risk Management – Principles and Guidelines on Implementation, IDT). [Effective from 2019-01-01]. Official publication. Kyiv: Ministry of Economic Development of Ukraine, 23.