- USD ЦБ 03.12 30.8099 -0.0387
- EUR ЦБ 03.12 41.4824 -0.0244
Краснодар:
|
погода |
ГОСТ Р ИСО 17666-2006
Группа Т59
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Менеджмент риска
КОСМИЧЕСКИЕ СИСТЕМЫ
Risk management.
Space systems
ОКС 49.140
Дата введения 2007-01-01
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизации в Российской Федерации. Основные положения"
Сведения о стандарте
1 ПОДГОТОВЛЕН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ОАО "НИЦ КД") и Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков" на основе собственного аутентичного перевода стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением развития, информационного обеспечения и аккредитации Федерального агентства по техническому регулированию и метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 июня 2006 г. N 126-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 17666:2003 "Космические системы. Менеджмент риска" (ISO 17666:2003 "Space systems - Risk management").
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (подраздел 3.5)
5 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
Введение
Риск является угрозой успеху любого проекта, оказывает отрицательное воздействие на стоимость проекта, график выполнения и технические характеристики проекта. Внедрение методов менеджмента риска открывает новые возможности для положительного воздействия на проект.
Целью менеджмента риска проекта в сфере космических систем является идентификация, оценка, снижение, принятие риска и управление им систематическим, действенным, всесторонним способом по возможности экономически эффективными методами, принимая во внимание технические ограничения и ограничения, связанные с программным обеспечением. Менеджмент риска является тем внутренним резервом, который может использоваться в дополнение к обычным ресурсам проекта в области менеджмента. Менеджмент совокупного риска проекта - это итеративный процесс на всех стадиях осуществления жизненного цикла проекта с итерациями, определяемыми движением по стадиям жизненного цикла проекта и изменениями проекта, влияющими на проектные ресурсы.
Менеджмент риска осуществляют на каждом этапе взаимодействия потребитель - поставщик.
Неотъемлемой частью менеджмента риска проекта являются системный и инженерный анализ, анализ безопасности критических элементов, надежности, критических путей и стоимости. Ранжирование видов риска по критичности для проекта позволяет направить внимание на существующие проблемы и является главной целью менеджмента риска.
Лица, задействованные в проекте, договариваются о степени осуществления менеджмента риска в данном проекте в зависимости от основных положений и характеристик проекта.
1 Область применения
Настоящий стандарт устанавливает принципы и требования для интегрированного менеджмента риска для космического проекта*, на основе которых проводят внедрение интегрированной политики предприятия в систему менеджмента риска при выполнении проекта каждым участником проекта на всех уровнях (потребитель, поставщик первого уровня, поставщики низшего уровня).
________________
* Приведенная в настоящем стандарте методология является общей, и поэтому настоящий стандарт применим для анализа рисков других технических систем.
Настоящий стандарт содержит описание общего процесса менеджмента риска, который разделен на четыре основных шага и девять задач. При внедрении следует учитывать особые условия выполнения проекта.
Процесс менеджмента риска требует обмена информацией между всеми областями проекта и обеспечения прослеживаемости риска с ранжированием его критичности для проекта. Мониторинг и управление риском проводят согласно правилам, определенным для соответствующих областей проекта.
Настоящий стандарт распространяется на все стадии космического проекта, установленные в соответствии с [1].
При рассмотрении перспектив выполнения программы по отношению к конкретному проекту требования, установленные настоящим стандартом, должны быть адаптированы в соответствии со спецификой и особенностями программы и проекта.
Примечание - Адаптация - это процесс, в котором индивидуальные требования или технические условия, стандарты и другие необходимые документы оценивают и применяют к программе или проекту путем отбора и в некоторых исключительных случаях модификации и введения дополнительных требований.
2 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
2.1 принятие риска (acceptance of risk): Решение принять риск.
Примечания
1 Риск может быть принят, если его значение менее предела, установленного в политике предприятия в области риска.
2 В менеджменте риска принятие риска подразумевает, что даже если риск не устранен, то его существование и значение признаны допустимыми.
2.2 коммуникация риска (risk communication): Обмен информацией о риске или совместное использование этой информации между лицом, принимающим решение, и другими причастными сторонами.
Примечание - Информация может касаться существования, природы, формы, вероятности, тяжести, приемлемости, мероприятий или других аспектов риска.
2.3 индекс риска (index risk): Оценка в баллах, характеризующая значимость риска, который является сочетанием вероятности возникновения и тяжести последствий опасного события (степень вероятности и тяжести последствий).
2.4 индивидуальный риск (individual risk): Идентифицированный, оцененный и сниженный риск до уровня отдельного вида риска в проекте.
2.5 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска, выполняемые в соответствии с установленной политикой предприятия в области риска и основанные на систематической итеративной оптимизации проектных ресурсов.
2.6 политика предприятия в области риска (risk management policy): Документ, устанавливающий принципы организации в области риска, менеджмента риска, обработки риска и основные требования к плану менеджмента риска.
2.7 процесс менеджмента риска (risk management process): Действия, направленные на идентификацию, оценку, снижение и принятие риска проекта.
2.8 совокупный риск (overall risk): Результирующий риск проекта в целом, полученный на основе оценки индивидуальных видов риска и их воздействий.
Примечание - Совокупный риск может быть комбинацией качественной и количественной оценок.
2.9 снижение риска (risk reduction): Действия, предпринятые для уменьшения вероятности опасных событий, их последствий или того и другого вместе.
Примечание - Предупреждающие действия направлены на устранение причин возникновения опасной ситуации, а действия по снижению риска направлены на сокращение серьезности последствий или вероятности возникновения опасного события.
2.10 остаточный риск (residual risk): Риск, остающийся после снижения риска.
2.11 устранимый риск (resolved risk): Риск, который может быть снижен до приемлемого уровня.
2.12 риск (risk): Сочетание вероятности события и его последствий.
Примечания
1 Термин "риск" обычно используют, если существует возможность появления негативных последствий.
2 Риск обусловлен неопределенностью, причиной которой являются недостаточная возможность прогнозировать и управлять событиями. Риск присущ любому проекту и может возникнуть в любое время его жизненного цикла. Снижение неопределенности уменьшает риск.
2.13 сценарий риска (risk scenario): Последовательность или комбинация событий от первоначальной причины до нежелательного последствия.
Примечание - Причиной могут быть единичное событие или иные ситуации, активизирующие появление опасной ситуации.
2.14 тренд риска (risk trend): Изменение риска по всему жизненному циклу проекта.
2.15 неустранимый риск (unresolved risk): Риск, для которого попытки снижения риска невыполнимы или снижение риска невозможно проверить (верифицировать). Риск остается непринятым.
3 Принципы менеджмента риска
3.1 Концепция менеджмента риска
Менеджмент риска - систематический итеративный процесс оптимизации ресурсов, направленный на реализацию политики предприятия в области риска для конкретного проекта. Менеджмент риска включает распределение ответственности и полномочий персонала в повседневной деятельности во всех областях проекта. Менеджмент риска помогает руководителям и инженерам сформировать мнение обо всех аспектах жизненного цикла проекта в тех случаях, когда деятельность этих специалистов затрагивает аспекты риска. Наибольший эффект достигается путем использования максимальных преимуществ менеджмента риска в следующих областях:
- проектирование, конструирование, испытания, эксплуатация, техническое обслуживание, и утилизация с учетом их смежных областей;
- контроль последствий опасных событий;
- менеджмент, стоимость и график работ.
Данные этих процессов, как и другие данные менеджмента риска, обрабатываются, сохраняются и подлежат отчетности в установленном порядке.
3.2 Процесс менеджмента риска
Рассматривают полный спектр риска. Выбор проводят среди различных и часто альтернативных целей. Для неблагоприятных событий оценивают тяжесть последствий и вероятность их возникновения. Оценку альтернативных способов снижения риска выполняют методом итераций, а результаты измерений параметров и тренды риска используют для оптимизации.
В процессе менеджмента риска вырабатывают и структурируют доступную информацию о риске, способствуя обмену информацией и принятию решений об управлении рисками. Результаты оценки и снижения риска, а также остаточные риски сообщают проектной группе для последующих действий.
3.3 Менеджмент риска проекта
Менеджмент риска требует принятия организацией и ее членами обязательств и установления четкого распределения ответственности и полномочий от высшего руководства до рядовых членов. Руководители проекта несут совокупную ответственность за внедрение менеджмента риска, обеспечивая интегрированный последовательный подход во всех областях проекта.
Менеджмент риска - непрерывный итеративный процесс. Он составляет неотъемлемую часть проектной деятельности и осуществляется в рамках существующих процессов менеджмента. Менеджмент риска в максимально возможной степени использует существующие элементы процессов менеджмента проекта.
3.4 Документация менеджмента риска
Для гарантии того, что политика предприятия в области риска установлена, понята, выполнена и поддерживается в рабочем состоянии, а также для обеспечения прослеживаемости источников и причин всех связанных с риском решений, принятых в течение жизненного цикла проекта, процесс менеджмента риска документируют.
4 Процесс менеджмента риска
4.1 Основные положения процесса менеджмента риска
Процесс менеджмента состоит из четырех итеративных шагов, схема которых приведена на рисунке 1. Схема основных задач, которые выполняют в пределах каждого из этих шагов, приведена на рисунке 2.
Рисунок 1 - Шаги и циклы процесса менеджмента риска
Рисунок 2 - Задачи, соответствующие шагам процесса менеджмента риска
в пределах цикла менеджмента риска
Шаг 1 включает установление политики предприятия в области риска (задача 1) и плана менеджмента риска (задача 2). Выполнение этих двух задач является началом проекта. Процесс менеджмента риска состоит из множества циклов менеджмента риска, выполняемых на протяжении проекта, и включает шаги 2-4, подразделенные на семь задач (задачи 3-9).
"Процесс менеджмента риска", приведенный на рисунке 1, включает все стадии проекта. Если для проекта необходимо выполнение нескольких циклов (на рисунке 1 приведены три цикла), то их частота и необходимые действия зависят от требований и сложности проекта и должны быть установлены при выполнении шага 1. При внесении изменений, например, в график работ, технологию, методы и выполнение базового уровня проекта, требуется проведение внеплановых циклов.
На любой стадии проекта управление риском является частью деятельности по менеджменту проекта.
4.2 Шаги и задачи менеджмента риска
4.2.1 Шаг 1. Установление требований внедрения менеджмента риска
4.2.1.1 Цель
Инициирование процесса менеджмента риска на основе разработки и внедрения политики предприятия в области риска и подготовка плана менеджмента риска проекта.
4.2.1.2 Задача 1. Определение политики предприятия в области риска
В задачу включены следующие действия:
a) идентификация набора ресурсов, воздействующих на риск;
b) идентификация целей проекта и ресурсных ограничений;
c) описание стратегии проекта в области риска, в том числе установление приемлемых уровней риска, и распределение риска между потребителем и поставщиком;
d) определение схемы ранжирования целей в области риска, соответствующих требованиям проекта;
e) установление схем оценок в баллах для определения тяжести последствий и вероятности появления опасных событий с учетом используемых ресурсов (см. рисунки 3 и 4)*;
________________
* В примерах приведена оценка по пятибалльной системе, однако возможно применение большего или меньшего количества баллов.
Оценка |
Тяжесть последствий |
Характеристика последствия, |
5 |
Катастрофическая |
Приводит к прекращению работ по проекту |
4 |
Критическая |
Проектная стоимость увеличивается более заданного процента |
3 |
Значительная |
Проектная стоимость увеличивается более заданного процента |
2 |
Существенная |
Проектная стоимость увеличивается менее заданного процента |
1 |
Незначительная |
Минимальное воздействие или его отсутствие |
Рисунок 3 - Пример схемы оценки в баллах тяжести последствий
Оценка |
Вероятность появления опасного события |
Характеристика появления опасного события |
5 |
Максимальная |
Произойдет обязательно, один или более одного раза за проект |
4 |
Высокая |
Будет происходить часто, приблизительно один раз на 10 проектов |
3 |
Средняя |
Будет происходить иногда, приблизительно один раз на 100 проектов |
2 |
Низкая |
Будет происходить редко, приблизительно один раз на 1000 проектов |
1 |
Минимальная |
Почти никогда не будет происходить, один раз на 10000 проектов или реже |
Рисунок 4 - Пример схемы оценки в баллах вероятности появления опасного события
f) установление структуры индексов риска для определения величины риска по различным сценариям риска (см. рисунок 5)*;
________________
* В примере ранжирование риска по цвету ("красный", "желтый", "зеленый") использовано только для иллюстрации. Возможны другие обозначения.
Рисунок 5 - Пример структуры и индекса риска
g) установление критериев для определения действий, которые должны быть предприняты на основе полученных рисков, и связанных с ними решений (см. рисунок 6)*;
________________
* В примере обозначение величины риска приемлемость и предложенные действия использованы только для иллюстрации. Могут существовать различные особенности политики в области риска.
Индекс риска |
Величина риска |
Предложенные действия |
Е4, Е5, D5 |
Очень высокий |
Непринятый риск - необходимо ввести новую команду, участвующую в процессе, или изменить приемлемый уровень (обратить внимание руководителей проекта на соответствующий высокий уровень менеджмента, определенный в плане менеджмента риска) |
Е3, D4, С5 |
Высокий |
Непринятый риск (см. выше) |
Е2, D3, С4, В5 |
Средний |
Непринятый риск - необходимо ввести активное управление, рассмотреть альтернативную команду, управляющую процессом, или изменить приемлемый уровень (обратить внимание руководства на соответствующий уровень менеджмента, определенный в плане менеджмента риска) |
E1, D1, D2, C2, C3, В3, В4, А5 |
Низкий |
Принятый риск - управление, мониторинг (обратить внимание руководства, ответственного за выполнение комплекса работ) |
С1, В1, А1, В2, А2, А3, А4 |
Очень низкий |
Принятый риск (см. выше) |
Рисунок 6 - Пример обозначения величины риска и предложенных действий для индивидуальных рисков
h) определение критериев принятия для индивидуальных видов риска;
Примечание - Приемлемость вероятности появления опасного события и тяжести последствий являются зависимыми. Например, при проведении новых исследований, разработке технологии или менеджмента высока вероятность последствий, которые значительно увеличивают приемлемую стоимость.
i) установление метода для ранжирования и сравнения рисков;
j) установление метода измерения совокупного риска;
k) установление критерия приемки совокупного риска;
I) определение стратегии мониторинга риска и форм, используемых для обмена данными для информирования руководителей, принимающих решения, и всех должностных лиц проекта;
m) описание анализа, решений и выполнения процессов проекта, касающихся всех аспектов менеджмента риска.
4.2.1.3 Задача 2. Подготовка плана менеджмента риска
В плане менеджмента риска обычно указывают следующее:
a) описание организации менеджмента риска проекта, включая распределение полномочий и ответственности;
b) резюме политики предприятия в области риска;
c) риск, связанный с управлением документацией и выработкой последующей концепции;
d) область применения менеджмента риска на всех стадиях проекта.
4.2.2 Шаг 2. Идентификация и оценка риска
4.2.2.1 Цель
Идентификация каждого сценария риска, определение, основанное на выходных данных шага 1, значения каждого индивидуального риска, ранжирование рисков. Могут использоваться данные всех областей деятельности проекта (организационной, программной, технической).
4.2.2.2 Задача 3. Идентификация сценария риска
Задача предусматривает выполнение следующих действий:
a) идентификации сценариев риска, включая причины и последствия в соответствии с политикой предприятия в области риска;
b) идентификации средств раннего предупреждения (обнаружения) появления опасных событий для предупреждения распространения неблагоприятных последствий;
c) идентификации целей проекта в области риска.
4.2.2.3 Задача 4. Оценка риска
Задача включает выполнение следующих действий:
a) определения тяжести последствий для каждого сценария риска;
b) определения вероятности реализации каждого сценария риска;
c) определения индекса риска для каждого сценария риска;
d) использования доступных источников информации и применение пригодных методов для поддержки процесса оценки риска;
e) определения значения риска для каждого сценария риска;
f) определения совокупного риска проекта на основе оценки идентифицированных индивидуальных видов риска, их взаимодействий и анализ его влияния на проект.
4.2.3 Шаг 3. Принятие решений и выполнение последующих действий
4.2.3.1 Цель
Анализ приемлемости риска и вариантов снижения рисков в соответствии с политикой предприятия в области риска и определение соответствующей стратегии снижения риска.
4.2.3.2 Задача 5. Решение о принятии риска
Задача включает выполнение следующих действий:
a) применения критериев принятия риска;
b) идентификации приемлемого риска, риска, который необходимо снизить, и определение руководителя, ответственного за принятие решения;
c) для принятого риска выполняют переход непосредственно к шагу 4, для непринятого риска - переход к задаче 6.
4.2.3.3 Задача 6. Снижение риска
Задача включает выполнение следующих действий:
а) определения предупреждающих и снижающих действий/вариантов для каждого непринятого риска;
b) установления критериев достижения/не достижения и верификации снижения риска;
c) определения возможностей снижения риска в сочетании с оптимизацией основных используемых ресурсов;
d) выбора лучших действий по снижению риска и решения о приоритетах их выполнения на необходимом уровне менеджмента проекта в соответствии с планом менеджмента риска;
e) верификации снижения риска;
f) идентификации рисков, которые не могут быть снижены до приемлемого уровня и представление их руководству для дальнейших распоряжений;
g) идентификации сниженных рисков, для которых невозможна верификация снижения риска;
h) идентификации возможностей снижения совокупного риска;
i) представления руководству документации по успешно сниженным видам риска в списке устранимого риска и неудачному снижению риска в списке неустранимого риска для дальнейших распоряжений.
4.2.3.4 Задача 7. Рекомендации по принятию риска
Задача включает выполнение следующих действий:
a) выбора вариантов решения по принятию риска;
b) одобрения принятых и устранимых видов риска;
c) представления неустранимых видов риска для дальнейших действий.
4.2.4 Шаг 4. Мониторинг, обмен информацией и принятие риска
4.2.4.1 Цель
Обеспечение прослеживаемости, проведение мониторинга, необходимых корректировок и обмена информацией в итеративном режиме и принятие риска.
4.2.4.2 Задача 8. Мониторинг и обмен информацией по риску
Задача включает выполнение следующих действий:
a) периодической оценки и анализа всех идентифицированных видов риска и обновление результатов после каждого шага итерации процесса менеджмента риска;
b) идентификации изменений существующих видов риска и инициирования анализа новых видов риска;
c) верификации снижения риска;
d) графического изображения тренда риска на всех стадиях разработки проекта. Пример изображения тренда технических видов риска, которые являются основными на первом этапе проекта, представлен на рисунке 7*, где S1, S2 и S3 - три сценария риска;
________________
* В примере сценарий S1 показывает, что несмотря на усилия по снижению риска он может ухудшиться перед улучшением.
Рисунок 7 - Пример изображения тренда риска
e) обмена информацией по риску и тренду риска с руководством;
f) внедрения аварийной системы для новых видов риска.
4.2.4.3 Задача 9. Представление риска для принятия
Задача включает выполнение следующих действий:
a) представления риска для официального принятия риска руководством;
b) возвращения к задаче 6 для непринятых видов риска.
5 Применение менеджмента риска
5.1 Общие положения
а) Менеджмент риска осуществляется в рамках менеджмента проекта и гарантирует систематическую идентификацию риска, его оценку и последующие действия, связанные с риском.
b) Менеджмент риска является результатом усилий всей команды, вовлеченной в менеджмент риска проекта. Выполнение поставленных задач и ответственность в рамках менеджмента проекта должны быть распределены по функциональным обязанностям и должностям. Может быть также назначена необходимая экспертиза, связанная с установленным риском.
c) Результаты менеджмента риска учитывают в процессе менеджмента проекта и в решениях, связанных с развитием базового уровня.
d) Менеджмент риска в максимально возможной степени использует существующие документы.
5.2 Ответственность
В плане менеджмента риска устанавливают ответственность по вопросам менеджмента риска в рамках проекта. Применяют следующий подход:
a) руководитель проекта объединяет все функции менеджмента риска во всех аспектах, связанных с проектом; несет совокупную ответственность за общий менеджмент риска по проекту и отчетность о результатах выполнения задач менеджмента риска для следующего более высокого уровня проекта; назначает ответственных за управление риском в соответствующих областях проекта, методы обмена информацией, линии передачи информации и предупреждений об опасной ситуации, а также устанавливает ответственность по всем прочим вопросам менеджмента риска;
b) в каждой сфере проекта (конструирование, программное обеспечение, верификация и график контроля) объектами менеджмента риска являются собственные риски или риски, направленные в данную сферу для анализа под наблюдением руководителя проекта;
c) формальное принятие риска осуществляет следующий руководитель проекта более высокого уровня, ответственный за данные виды риска.
5.3 Стадии жизненного цикла проекта
Действия по менеджменту риска выполняют на всех стадиях жизненного цикла проекта. С менеджментом риска связаны следующие действия:
a) технико-экономический анализ осуществимости проекта и стадий его выполнения (проектирование, производство, безопасность, надежность и управление производством);
b) распределение задач, трудовых и других ресурсов в соответствии с ранжированием видов риска;
c) разработка технической концепции на основе итерационной оценки риска;
d) оценка изменений по воздействию риска;
e) разработка, квалификация и выполнение проекта с использованием оценки риска как инструмента диагностики и разработки корректирующих действий;
f) оценка состояния совокупности риска проекта как часть формального анализа проекта.
5.4 Обзор риска и принятие решения
a) Организация процесса обмена информацией и менеджмента риска проекта обеспечивает высокую степень доступности информации о доминирующем риске. Информация о риске необходима для принятия организационно-технических решений, включая внедрение аварийной системы по новому риску.
b) План действий должен охватывать все элементы, величина риска которых выше уровня, установленного в политике предприятия в области менеджмента риска проекта. Он необходим для увеличения обозримости информации о риске, возможности быстро принимать решения и обеспечения регулярной отчетности о состоянии риска руководству и всем лицам, связанным с последствиями опасного события.
c) Информацию обо всех идентифицированных рисках и их распределении регистрируют и сохраняют в виде записей.
5.5 Документация менеджмента риска
a) Документацию по менеджменту риска следует вести так, чтобы каждый шаг процесса менеджмента риска, ключевые результаты и решения менеджмента риска обладали прослеживаемостью и были защищены.
b) Процесс менеджмента риска в максимально возможной степени должен использовать существующие проектные данные. Документация, специально установленная для менеджмента риска, включает следующую информацию:
- особенности политики предприятия в области риска для проекта;
- цели и область применения;
- план менеджмента риска;
- идентифицированные сценарии;
- вероятности опасных событий;
- результирующие значения риска;
- решения по риску;
- отчетность о снижении риска;
- действия по верификации риска;
- данные тренда риска;
- данные о принятии риска.
c) Данные о последствиях действий по менеджменту риска регистрируют в базе данных менеджмента риска, также сохраняют все данные, необходимые для управления риском, и документы по изменению риска в течение всего проекта. База данных содержит постоянно меняющуюся информацию. Ее следует поддерживать в рабочем состоянии. Извлечения из базы данных используют в рамках проекта на совещаниях, при проведении различных видов анализа, а также в соответствии с планом менеджмента риска. Элементы риска как объекты предполагаемых исследований должны быть идентифицированы в базе данных. База данных должна быть доступна для установленного круга лиц.
d) Примерные формы для регистрации и ранжирования элементов риска представлены в приложении А.
6 Требования к менеджменту риска
6.1 Общие положения
В настоящем разделе приведены основные требования к менеджменту риска. Каждое требование состоит из формулировки требования, употребляемого в узком значении, дополняющего общие требования (цель), а также выходных данных (ожидаемый выход).
6.2 Требования к процессу менеджмента риска
6.2.1 Основой менеджмента риска должен быть процесс, состоящий из четырех шагов и девяти задач (см. рисунки 1 и 2). Началом работы по менеджменту риска является разработка политики предприятия в области риска.
ЦЕЛЬ. Установление предназначенной для проекта политики предприятия в области риска, учитывающей:
- удовлетворение требований потребителя;
- охват всех сфер проекта, таких как менеджмент, конструирование, производство, график выполнения работ и стоимость;
- ресурсы, отпущенные на проект, например сроки, предусмотренные графиком выполнения работ, стоимость, характеристики и возможности производства;
- установление оценки в баллах и критериев ранжирования риска, позволяющих совершать действия и принимать решения относительно обработки индивидуального и совокупного риска;
- установление требований к менеджменту риска.
ОЖИДАЕМЫЙ ВЫХОД. Политика предприятия в области риска, методы и формы регистрации, как часть плана менеджмента риска.
6.2.2 Каждый поставщик должен составить план менеджмента риска.
ЦЕЛЬ. Объединение в отдельный документ всех элементов, необходимых для применения менеджмента риска в соответствии с особенностями организации и проекта для удовлетворения требований потребителя.
ОЖИДАЕМЫЙ ВЫХОД. План менеджмента риска.
6.2.3 Необходимо идентифицировать сценарии риска.
ЦЕЛЬ. Структурированная идентификация сценариев риска для всех стадий проекта (менеджмент, конструирование, программное обеспечение, испытания и производство) с использованием доступных источников информации, таких как:
- предыдущие виды анализа проекта, проводимые исследования и исторические данные;
- экспертный анализ и данные экспериментов;
- экстраполяция данных;
- данные испытаний, моделирования и используемые модели;
- анализ надежности и безопасности [2];
- анализ структуры и уровней декомпозиции объекта;
- сравнение целей и планов;
- анализ ресурсов;
- анализ поставщиков;
- анализ предложенных изменений;
- результаты испытаний;
- отчеты о несоответствиях;
- исследование сроков исполнения работ.
ОЖИДАЕМЫЙ ВЫХОД. Перечень сценариев риска.
6.2.4 Необходимо оценить сценарии риска.
ЦЕЛЬ. Упростить понимание и сравнение идентифицированных сценариев риска на основе использования количественных оценок и схем, определенных в политике предприятия в области риска.
ОЖИДАЕМЫЙ ВЫХОД. Критические оценки в баллах для каждого сценария риска и анализ совокупного риска.
6.2.5 Сценарии риска должны быть проанализированы с целью их принятия.
Примечание - В контексте менеджмента риска принятие подразумевает, что хотя риск не устранен, его значение и последствия признают допустимыми.
ЦЕЛЬ. Идентификация принятых видов риска, которые не могут далее быть объектами снижения риска и непринятых видов риска.
ОЖИДАЕМЫЙ ВЫХОД. Перечни идентифицированных принятых и непринятых видов риска.
6.2.6 Риски должны быть снижены в соответствии с политикой предприятия в области риска.
ЦЕЛЬ. Снизить непринятые риски до уровня допустимого риска, применяя методы, направленные на снижение вероятности опасного события или тяжести последствий ошибок в сценариях риска или на повышение достоверных данных о риске применением следующих мер:
- изменения требований или условий контракта;
- изменения проекта, базового уровня или структуры проекта;
- применения методов отказоустойчивости;
- привлечения дополнительных ресурсов или перераспределения ресурсов;
- увеличения количества испытаний или исследований.
ОЖИДАЕМЫЙ ВЫХОД. Список устранимых видов риска, список неустранимых видов риска.
6.2.7 Определение совокупного риска после оценки снижения риска.
ЦЕЛЬ. Понимание последствий действий по снижению риска возможных опасных событий.
ОЖИДАЕМЫЙ ВЫХОД. Потенциальный совокупный риск, оставшийся после произведенных действий по снижению риска.
6.2.8 Следует определить варианты для принятия решения о соответствии устранимого, приемлемого и совокупного рисков, представления их руководству для дальнейшего распределения в соответствии с планом менеджмента риска.
ЦЕЛЬ. Варианты приемлемости риска.
ОЖИДАЕМЫЙ ВЫХОД. Варианты для принятия риска.
6.2.9 Неустранимые риски должны быть представлены для дальнейшего распределения необходимому уровню руководства в соответствии с планом менеджмента риска.
ЦЕЛЬ. Дальнейшее распределение неустранимого риска руководителями соответствующего уровня, полномочия которых определены планом менеджмента риска.
ОЖИДАЕМЫЙ ВЫХОД. Запись о распределении риска.
6.2.10 Следует проводить мониторинг риска и обмен информацией. Их результаты должны быть зарегистрированы.
ЦЕЛЬ. Обеспечение полного и систематического контроля применения действий по менеджменту риска.
ОЖИДАЕМЫЙ ВЫХОД. Графики тренда риска, перечни риска, записи данных о риске, файлы менеджмента риска и аварийная система на случай возникновения соответствующего опасного события.
6.2.11 Информация о значениях остаточного риска на конечных стадиях жизненного цикла менеджмента риска должна быть представлена для принятия руководству в соответствии с планом менеджмента риска.
ЦЕЛЬ. Официальное принятие остаточного риска руководством.
ОЖИДАЕМЫЙ ВЫХОД. Запись о принятии остаточного риска.
6.3 Требования к применению менеджмента риска
6.3.1 Менеджмент риска необходимо применять на каждом уровне цепи отношений потребитель - поставщик.
ЦЕЛЬ. Последовательное применение менеджмента риска на протяжении цепи отношений потребитель - поставщик.
ОЖИДАЕМЫЙ ВЫХОД. Применение менеджмента риска на всех уровнях цепи потребитель - поставщик.
6.3.2 Менеджмент риска следует осуществлять экономически эффективным методом, используя в максимально возможной степени существующие формы управления проектом.
ЦЕЛЬ. Установление последовательной структуры менеджмента риска, интегрированной в систему управления проектом, ориентированной на получение дохода, превышающего стоимость применения менеджмента риска.
ОЖИДАЕМЫЙ ВЫХОД. Установление системы менеджмента риска проекта, схемы и процедуры менеджмента риска.
6.3.3 Следует проводить мониторинг процесса менеджмента риска.
ЦЕЛЬ. Обеспечение прослеживаемости процесса менеджмента риска в организации.
ОЖИДАЕМЫЙ ВЫХОД. Наличие непрерывной информации о процессе менеджмента риска.
6.3.4 В организации следует применять опыт, полученный в процессе менеджмента риска.
ЦЕЛЬ. Постоянное улучшение процесса менеджмента риска.
ОЖИДАЕМЫЙ ВЫХОД. Информация обратной связи относительно положительного и отрицательного опыта применения процесса менеджмента риска.
6.3.5 При продвижении проекта необходимо применять признанные улучшения процесса менеджмента риска.
ЦЕЛЬ. Улучшение процесса менеджмента риска.
ОЖИДАЕМЫЙ ВЫХОД. Постоянно улучшаемый процесс менеджмента риска.
Приложение А
(справочное)
Пример форм регистрации и ранжирования риска
Форма регистрации риска
Журнал регистрации ранжирования риска
Библиография
[1] ИСО 14300-1:2001 Космические системы. Управление программами. Часть 1. Структурирование программы
[2] ИСО 14620-1:2002 Космические системы. Требования безопасности. Часть 1. Безопасность системы
Текст документа сверен по:
официальное издание
М.: Стандартинформ, 2006