ГОСТ Р ИСО 17666-2021
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Менеджмент риска
КОСМИЧЕСКИЕ СИСТЕМЫ
Risk management - Space systems
ОКС 03.100.01
Дата введения 2022-03-01
Предисловие
1 ПОДГОТОВЛЕН Ассоциацией риск-менеджмента "Русское Общество Управления Рисками" (АРМ "РусРиск") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 ноября 2021 г. N 1485-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 17666:2016* "Космические системы - Менеджмент риска" (ISO 17666:2016 "Space systems - Risk management", IDT).
Международный стандарт разработан Техническим комитетом ISO/ТС 20.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5)
5 ВЗАМЕН ГОСТ Р ИСО 17666-2006
6 Некоторые элементы настоящего стандарта могут являться объектами патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Введение
Риски представляют угрозу для успеха проекта, поскольку они оказывают отрицательное воздействие на стоимость проекта, график выполнения и технические характеристики проекта, но надлежащая практика применения мер менеджмента риска также может создавать новые возможности с положительным воздействием.
Цель менеджмента риска проекта состоит в том, чтобы идентифицировать, оценивать, уменьшать, принимать и управлять рисками космического проекта систематическим, упреждающим, всеобъемлющим и экономически эффективным образом с учетом технических и программных ограничений проекта. Риск можно обменять на общепринятые ресурсы менеджмента проекта, как в программной (например, стоимость, график), так в и технической (например, масса, мощность, надежность, безопасность) областях. Менеджмент риска проекта в целом - это итеративный процесс на протяжении всего жизненного цикла проекта, причем итерации определяются ходом проекта на разных этапах проекта и изменениями в заданном базовом уровне проекта, влияющими на ресурсы проекта.
Менеджмент риска осуществляется на каждом уровне сети клиент-поставщик.
Известные проектные практики по менеджменту риска проекта, такие как системный и технический анализ, анализ безопасности, критических элементов, надежности, критического пути и стоимости, являются неотъемлемой частью менеджмента риска проекта. Ранжирование рисков в соответствии с их критичностью для успеха проекта, позволяющее менеджменту сосредоточиться на наиболее существенных вопросах, является основной целью менеджмента риска.
Лица, задействованные в проекте, договариваются о степени менеджмента риска, который будет внедрен в данный проект в зависимости от основных положений и характеристик проекта.
1 Область применения
Настоящий стандарт устанавливает, расширяя требования ISO 14300-1, принципы и требования для интегрированного менеджмента риска в космическом проекте. В нем объясняется, что необходимо для реализации политики в области менеджмента риска, интегрированной в проект, любым субъектом проекта на любом уровне (т.е. клиент, поставщик первого уровня или поставщики более низкого уровня).
Настоящий стандарт содержит краткое изложение общего процесса менеджмента риска, который подразделяется на четыре (4) основных этапа и девять (9) задач. Реализация может быть адаптирована к конкретным условиям проекта.
Процесс менеджмента риска требует обмена информацией между всеми областями проекта и обеспечивает видимость рисков с их ранжированием в соответствии с критичностью для проекта; эти риски отслеживаются и управляются в соответствии с правилами, определенными для областей, к которым они относятся.
Настоящий стандарт распространяется на все стадии космического проекта. Определение этапности проекта дано в ISO 14300-1.
При рассмотрении с точки зрения области применения конкретной программы или проекта, требования, установленные настоящим стандартом, должны быть адаптированы в соответствии со спецификой и особенностями программы или проекта.
Примечание - Адаптация - это процесс, посредством которого отдельные требования или спецификации, стандарты и связанные с ними документы оцениваются и применяют к конкретной программе или проекту путем отбора, а в некоторых исключительных случаях - изменения и дополнения требований в стандартах.
2 Нормативные ссылки
Нормативные ссылки отсутствуют.
3 Термины, определения и сокращения
3.1 Общие положения
В настоящем стандарте применены следующие термины с соответствующими определениями.
ИСО и МЭК поддерживают стандартизованную базу терминов по следующим адресам:
- IEC Electropedia (международный электротехнический словарь) доступен по адресу: http://www.electropedia.org
- платформа Интернет-поиска ИСО доступна по адресу: http://www.iso.org/obp
3.1.1 принятие риска (acceptance of risk): Решение справиться с последствиями в случае реализации сценария риска.
Примечание 1 - Риск может быть принят, когда его величина меньше заданного порогового значения, определенного в политике в области менеджмента риска.
Примечание 2 - В контексте менеджмента риска принятие может означать, что даже если риск не устранен, его существование и величина признаются и допускаются.
3.1.2 коммуникация риска (risk communication): Вся информация и данные, необходимые для менеджмента риска, предоставляемые лицу, принимающему решение, и соответствующим участникам в рамках иерархии проекта.
3.1.3 индекс риска (risk index): Общая оценка, используемая для измерения вероятности возникновения, величины и существенности риска.
3.1.4 индивидуальный риск (individual risk): Идентифицированный, оцененный и сниженный отдельный риск проекта.
3.1.5 менеджмент риска (risk management): Систематическая и итеративная оптимизация ресурсов проекта, выполняемая в соответствии с установленной политикой в области менеджмента риска проекта.
3.1.6 политика в области менеджмента риска (risk management policy): Отношение организации к рискам, включая то, как она осуществляет менеджмент риска, какие риски она готова принять, и как она определяет основные требования к плану менеджмента риска.
3.1.7 процесс менеджмента риска (risk management process): Вся проектная деятельность, связанная с идентификацией, оцениванием, снижением, принятием рисков, а также подготовкой обратной связи по рискам.
3.1.8 совокупный риск (overall risk): Риск, возникающий в результате оценивания сочетания отдельных рисков и их влияния друг на друга в контексте всего проекта.
Примечание 1 - Совокупный риск может быть выражен как сочетание качественной и количественной оценки.
3.1.9 снижение риска (risk reduction): Реализация мер, приводящих к снижению вероятности или существенности риска.
Примечание 1 - Предупреждающие меры направлены на устранение причины проблемной ситуации, а меры по митигации нацелены на предотвращение перехода причины в последствие или снижения существенности последствий или вероятности возникновения.
3.1.10 остаточный риск (residual risk): Риск, остающийся после реализации мер по снижению риска.
3.1.11 разрешенный риск (resolved risk): Риск, который был признан приемлемым.
3.1.12 риск (risk): Нежелательная ситуация или обстоятельства, которые имеют как вероятность возникновения, так и потенциально негативные последствия для проекта.
Примечание 1 - Риски возникают из-за неопределенности из-за недостаточной предсказуемости или контроля событий. Риски присущи любому проекту и могут возникнуть в любое время в течение жизненного цикла проекта; уменьшение этих неопределенностей снижает риск.
3.1.13 сценарий риска (risk scenario): Последовательность или комбинация событий, ведущих от первоначальной причины к нежелательному последствию.
Примечание 1 - Причиной может быть одно событие или что-то, что приводит в действие неактивную проблему.
3.1.14 тренд риска (risk trend): Изменение рисков на протяжении всего жизненного цикла проекта.
3.1.15 нерешенный риск (unresolved risk): Риск, для которого попытки снижения риска неосуществимы, не могут быть проверены или оказались неудачными.
Примечание 1 - Нерешенный риск также может быть определен как риск, который остается неприемлемым.
4 Сокращения
В настоящем стандарте применены следующие сокращения:
ЕСКС - Европейское сотрудничество по космической стандартизации;
МЭК - Международная электротехническая комиссия.
5 Принципы менеджмента риска
5.1 Концепция менеджмента риска
Менеджмент риска - это систематический и итеративный процесс оптимизации ресурсов в соответствии с политикой в области менеджмента риска проекта. Он интегрируется через определенные роли и обязанности в повседневную деятельность во всех областях проекта. Менеджмент риска помогает менеджерам и инженерам учитывать аспекты риска в управленческих и инженерных практиках и суждениях на протяжении всего жизненного цикла проекта. Это выполняется комплексным, целостным способом, максимизируя общие выгоды в таких областях, как:
- проектирование, строительство, испытания, эксплуатация, техническое обслуживание и утилизация вместе с их интерфейсами,
- контроль за последствиями риска, и
- управление, стоимость и график.
Этот процесс повышает ценность данных, которые регулярно разрабатываются, поддерживаются и представляются.
5.2 Процесс менеджмента риска
Оценивают весь спектр рисков. Сопоставление проводят среди различных и часто альтернативных целей. Нежелательные события оценивают по их существенности и вероятности возникновения. Оценивание альтернатив для снижения рисков повторяют, и полученные в результате показатели эффективности и тренды риска используют для оптимизации ограниченных ресурсов.
В рамках процесса менеджмента риска формируют и структурируют доступную информацию о рисках, способствуя обмену информацией и принятию управленческих решений. Результаты оценивания и снижения рисков, а также остаточные риски, доводят до сведения проектной команды для информации и последующих действий.
5.3 Внедрение менеджмента риска в проект
Менеджмент риска требует корпоративной приверженности в действиях каждого участника и установления четких линий ответственности и подотчетности на корпоративном уровне и ниже. Руководство проекта несет общую ответственность за внедрение менеджмента риска, обеспечивая комплексный, согласованный подход для всех областей проекта.
Менеджмент риска - это непрерывный итеративный процесс. Он является неотъемлемой частью обычной проектной деятельности и встроен в существующие процессы управления. Он в максимально возможной степени использует существующие элементы процессов менеджмента проекта.
5.4 Документирование процесса менеджмента риска
Процесс менеджмента риска документируют, чтобы обеспечить, что политики в области менеджмента риска установлены, поняты, внедрены и поддерживаются, и что их прослеживают к источникам и обоснованию всех связанных с риском решений, принятых в течение жизненного цикла проекта.
6 Процесс менеджмента риска
6.1 Обзор процесса менеджмента риска
Итеративный четырехэтапный процесс менеджмента риска проекта показан на рисунке 1. Задачи, которые должны быть выполнены на каждом из этих этапов, показаны на рисунке 2.
Этап 1 включает разработку политики в области менеджмента риска (Задача 1) и плана менеджмента риска (Задача 2), его выполняют в начале проекта. Внедрение процесса менеджмента риска состоит из ряда "циклов менеджмента риска" на протяжении всего проекта, включающих в себя этапы 2-4, разделенные на семь задач (задачи 3-9).
|
Рисунок 1 - Этапы и циклы в процессе менеджмента риска
|
Рисунок 2 - Задачи, связанные с этапами процесса менеджмента риска в пределах цикла менеджмента риска
Период, обозначенный на рисунке 1 "Процесс менеджмента риска", включает все проектные фазы соответствующего проекта. Частота и проектные события, при которых циклы требуются в проекте (на рисунке 1 показаны только три в целях иллюстрации), зависят от потребностей и сложности проекта и должны быть определены на Этапе 1. При внесении изменений, например, в график работ, технологии, методы и выполнение базового уровня проекта, требуется проведение внеплановых циклов.
Риски на любом этапе проекта контролируют как часть деятельности по менеджменту проекта.
6.2 Этапы и задачи менеджмента риска
6.2.1 Этап 1: Определение требований к внедрению менеджмента риска
6.2.1.1 Цель
Инициировать процесс менеджмента риска путем определения политики в области менеджмента риска проекта и подготовки плана менеджмента риска проекта.
6.2.1.2 Задача 1: Определение политики в области менеджмента риска
В процесс решения этой задачи включены следующие действия:
a) Определение набора ресурсов, влияющих на риски.
b) Определение целей проекта и ресурсных ограничений.
c) Описание стратегии проекта по работе с рисками, например определение границ и распределения риска между заказчиком и поставщиком.
d) Определение схемы ранжирования целей значений риска в соответствии с требованиями проекта.
e) Установление порядка оценивания существенности последствий и вероятности возникновения для соответствующих балансируемых ресурсов, как показано в примерах, приведенных на рисунках 3 и 4.
f) Установление порядка определения индекса риска для обозначения величины риска в различных сценариях рисков, как показано, например, на рисунке 5.
|
Примечание - В примерах пять категорий используются только для иллюстрации; также возможно использование большего или меньшего количества категорий или обозначений.
Рисунок 3 - Пример порядка оценивания существенности последствий
|
Примечание - В примерах пять категорий используются только для иллюстрации; также возможно использование большего или меньшего количества категорий или обозначений.
Рисунок 4 - Пример порядка оценивания вероятности
g) Установление критериев для определения действий, которые необходимо предпринять в отношении рисков различного уровня и соответствующие уровни принятия решений по риску в структуре проекта (как показано в примере на рисунке 6).
h) Определение критериев приемлемости риска для отдельных рисков.
Примечание - Приемлемость вероятности возникновения и серьезность последствий являются программно-зависимыми.
Например, когда в рамках программы проводят новые исследования, разработки технологий или подходы к управлению, может быть приемлемой высокая вероятность последствий, которые значительно увеличивают стоимость проекта.
i) Определение метода ранжирования и сравнения рисков.
j) Определение метода для измерения совокупного риска.
k) Установление критериев приемлемости для совокупного риска.
I) Определение стратегии мониторинга рисков и форматов, которые будут использоваться для коммуникации данных о рисках лицам, принимающих решения, и всем соответствующим участникам в рамках иерархии проекта.
m) Описание последовательности анализа, принятия решений и их внедрения в рамках проекта в отношении всех вопросов менеджмента риска.
|
Примечание - В данном примере классификация по величине риска ("Красный", "Желтый", "Зеленый") используется только для иллюстрации. Также возможны другие обозначения.
Рисунок 5 - Пример порядка определения индекса риска и его величины
|
Примечание - В этом примере обозначение величины риска, приемлемость и предлагаемые действия используются только для иллюстрации. Подходы конкретных политик могут отличаться в зависимости от проекта.
Рисунок 6 - Пример обозначения величины риска и предлагаемых действий для отдельных рисков
6.2.1.3 Задача 2: Подготовка плана менеджмента риска
План менеджмента риска содержит следующие типичные данные (см. информационное приложение B).
a) Описание организации менеджмента риска проекта, включая его роли и ответственности.
b) Краткое изложение политики в области менеджмента риска.
c) Документация по менеджменту риска и подход к последующим действиям.
d) Охват менеджмента риска на протяжении всего проекта.
6.2.2 Этап 2: Идентификация и оценивание рисков
6.2.2.1 Цель
Определить каждый из сценариев риска, затем определить, основываясь на результатах Этапа 1, величину отдельных рисков и, наконец, проранжировать их. Используются данные из всех областей проекта (управленческие, программные и технические).
6.2.2.2 Задача 3: Выявление сценариев риска
В процесс решения этой задачи включены следующие действия:
a) Определение сценариев риска, включая причины и последствия, в соответствии с политикой в области менеджмента риска.
b) Определение средств раннего предупреждения (обнаружения) о наступлении нежелательного события, для предотвращения распространения последствий.
c) Определение целей проекта под риском.
6.2.2.3 Задача 4: Оценивание рисков
В процесс решения этой задачи включены следующие действия:
a) Определение существенности последствий каждого сценария риска.
b) Определение вероятности каждого сценария риска.
c) Определение индекса риска для каждого сценария риска.
d) Использование доступных источников информации и применение приемлемых методов для поддержки процесса оценивания.
e) Определение величины риска каждого сценария риска.
f) Определение совокупного риска проекта посредством оценивания выявленных индивидуальных рисков, их величины и взаимодействия и результирующего влияния на проект.
6.2.3 Этап 3: Принятие решения и последующие действия
6.2.3.1 Цель
Проанализировать приемлемость рисков и варианты снижения рисков в соответствии с политикой в области менеджмента риска и определить соответствующую стратегию снижения риска.
6.2.3.2 Задача 5: Определение возможности принятия рисков
В процесс решения этой задачи включены следующие действия:
а) Применение критериев принятия рисков к рискам.
б) Определение приемлемых рисков, рисков, которые будут снижаться, и определение уровня принятия решения.
с) Для принятых рисков перейдите непосредственно к Этапу 4 (6.2.4); для неприемлемых рисков перейдите к Задаче 6 (6.2.3.3).
6.2.3.3 Задача 6: Снижение рисков
В процесс решения этой задачи включены следующие действия:
a) Определение предупреждающих и митигирующих мер/вариантов для каждого неприемлемого риска.
b) Определение критериев успешного и неуспешного снижения риска и их подтверждения.
c) Определение потенциала снижения риска каждой меры в сочетании с оптимизацией балансируемых ресурсов.
d) Выбор наилучших мер по снижению риска и принятие решения о приоритетах их реализации на соответствующем уровне принятия решений в проекте в соответствии с планом менеджмента риска.
e) Проверка снижения риска.
f) Определение рисков, которые нельзя снизить до приемлемого уровня, и их представление на соответствующий уровень управления для принятия решений.
g) Идентификация сниженных рисков, снижение риска которых невозможно проверить.
h) Определение потенциала всех усилий по снижению риска в отношении снижения совокупного риска.
i) Документирование успешно сниженных рисков в списке разрешенных рисков; и неудачно сниженных рисков в списке нерешенных рисков: представление последних на соответствующий уровень управления для принятия решений.
6.2.3.4 Задача 7: Рекомендации по принятию рисков
В процесс решения этой задачи включены следующие действия:
a) Варианты решения по принятию рисков.
b) Утверждение приемлемых и разрешенных рисков.
c) Представление нерешенных рисков для дальнейших действий.
6.2.4 Этап 4. Мониторинг, информирование и принятие рисков
6.2.4.1 Цель
Отслеживать, осуществлять мониторинг, обновлять, повторять итерации, информировать и, наконец, принимать риски.
6.2.4.2 Задача 8. Осуществление мониторинга и информирование о рисках
В процесс решения этой задачи включены следующие действия:
a) Периодическое оценивание и пересмотр всех выявленных рисков и обновление результатов после каждой итерации процесса менеджмента риска.
b) Выявление изменений существующих рисков и запуск нового анализа рисков, необходимого для уменьшения неопределенности.
c) Проверка выполнения и эффекта от соответствующего снижения риска.
d) Визуализация тренда риска в ходе реализации проекта путем определения того, как величины риска изменились за время проекта. Пример тренда технических рисков, которые являются основной проблемной зоной на первом этапе проекта, представлен на рисунке 7. S1, S2 и S3 представляют собой три сценария риска.
e) Информирование о рисках и тренде риска на соответствующем уровне управления.
f) Внедрение системы оповещения о новых рисках.
|
Примечание - В примере изменение S1 показывает, что, несмотря на усилия по снижению риска, тренд риска может ухудшиться перед улучшением.
Рисунок 7 - Пример тренда риска
6.2.4.3 Задача 9: Представление рисков для принятия
В процесс решения этой задачи включены следующие действия:
а) Представление рисков для формального принятия риска на соответствующий уровень управления.
б) Возврат к Задаче 6, если риски не приняты.
7 Внедрение менеджмента риска
7.1 Общие положения
а) Менеджмент риска осуществляют в рамках обычной структуры менеджмента проекта, обеспечивая систематическую идентификацию и оценивание риска, а также выполнение последующих действий.
b) Менеджмент риска является результатом усилий всей команды, с закреплением в рамках организации проекта соответствующих задач и обязанностей за функциями и отдельными лицами с наиболее профильным опытом в областях, связанных с данным риском.
c) Результаты менеджмента риска учитывают в рутинном процессе менеджмента проекта и в решениях, связанных с развитием базового уровня.
d) Менеджмент риска максимально опирают на существующую документацию.
7.2 Ответственность
Ответственность за вопросы менеджмента риска в рамках организации проекта описана в плане менеджмента риска. Применяется следующий подход:
а) Руководитель проекта выступает в качестве интегратора функции менеджмента риска для всех причастных областей проекта. Менеджер проекта несет общую ответственность за интегрированный менеджмент риска в рамках проекта и сообщает о результатах задач менеджмента риска следующему более высокому уровню в иерархии проекта. Менеджер проекта определяет, кто в проекте отвечает за мероприятия по менеджменту риска в соответствующих областях проекта, а также их линии коммуникации, информирования и отчетности, и ответственность за вопросы менеджмента риска.
б) Ответственные в рамках каждой области проекта (например, проектирование, программное обеспечение, проверка и управление расписанием) осуществляют менеджмент риска, присущего данной области, или риска, закрепленного за данной областью для его обработки, под надзором менеджера проекта.
с) Риски формально принимаются на следующем уровне ответственности внутри иерархии проекта.
7.3 Особенности жизненного цикла проекта
Деятельность по менеджменту риска осуществляют на всех этапах проекта. Следующие мероприятия по проекту связаны с менеджментом риска:
a) Технико-экономическое обоснование проекта, сделки и анализ (такие как проектирование, производство, безопасность, надежность и операции).
b) Распределение задач, рабочей силы и ресурсов в соответствии с ранжированием рисков.
c) Развитие технической концепции посредством итерационного оценивания риска.
d) Оценивание изменений влияния риска.
e) Разработка, квалификация, принятие и эксплуатация проекта с использованием оценивания риска в качестве инструмента диагностики и поиска корректирующих действий; и
f) Оценивание совокупного статуса риска проектов в рамках всех официальных проверок проектов.
7.4 Прозрачность риска и принятие решений
a) Процессы управления и информационный поток в рамках организации проекта обеспечивают высокую степень прозрачности преобладающего риска. Информацию о рисках представляют для поддержки принятия управленческих решений, включая систему оповещения о новых рисках.
b) Готовят планы действий, охватывающие все риски, величина которых выше установленного в политике в области менеджмента риска проекта уровня, для повышения их видимости, чтобы позволить быстрое принятие решений и обеспечить регулярное доведение их статуса соответствующему уровню управления и всем участникам, затронутым последствиями риска.
c) Информацию обо всех идентифицированных рисках и принятых по ним решениях регистрируют.
7.5 Документация менеджмента риска
a) Документы по менеджменту риска следует вести таким образом, чтобы каждый этап процесса менеджмента риска и ключевые результаты и решения по менеджменту риска могли прослеживаться и быть защищены.
b) Процесс менеджмента риска опирается на существующие данные проекта в максимально возможной степени. Документация, формируемая отдельно в рамках менеджмента риска, включает информацию о конкретной для данного проекта политике в области менеджмента риска, цели и область применения, план менеджмента риска, выявленные сценарии, вероятность событий, результаты риска, решения о риске, записи о действиях по снижению риска и их проверке, данные о тренде риска и данные о принятии риска.
c) Данные, полученные в результате деятельности по менеджменту риска, заносят в базу данных менеджмента риска, содержащую все данные, необходимые для менеджмента риска и документирования изменения рисков по ходу проекта. База данных является живым документом, который поддерживают в актуальном состоянии. Выдержки из базы данных представляют на совещаниях, проверках и ключевых точках проекта в соответствии стребованиями плана менеджмента риска. Определяют риски для возможного анализа "извлеченных уроков". База данных доступна для установленного круга лиц.
d) Примеры форм для регистрации и ранжирования/ведения отдельных рисков представлены в приложении A.
8 Требования к менеджменту риска
8.1 Общие положения
Требования в этом разделе пронумерованы. Каждое пронумерованное требование состоит из формулировки самого требования и сопровождается пояснительным текстом, приложенным к общему требованию (AIM), и ожидаемым результатом.
8.2 Требования к процессу менеджмента риска
8.2.1 Основой для менеджмента риска должен быть четырехэтапный процесс и девять задач, проиллюстрированных на рисунках 1 и 2. Отправной точкой для менеджмента риска должна стать формулировка политики в области менеджмента риска в начале проекта.
ЦЕЛЬ: Определить политику в области менеджмента риска для соответствующего проекта, учитывающую:
- выполнение требований клиента;
- все области проекта, такие как управление, проектирование, производительность, график и стоимость;
- ресурсы проекта, таких как наценки в графике, стоимость, производительность и мощность;
- установление критериев оценивания и ранжирования рисков, позволяющих принимать меры и принимать решения относительно обработки индивидуальных и совокупных риски; и
- определение требований к менеджменту риска.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Политика в области менеджмента риска, методы и форматы как часть плана менеджмента риска.
8.2.2 План менеджмента риска определяется каждым поставщиком.
ЦЕЛЬ: Собрать в одном документе все элементы, необходимые для обеспечения реализации менеджмента риска, соразмерного с областями проекта, организацией и управлением, а также с учетом требований клиента.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: План менеджмента риска.
8.2.3 Определяют сценарии риска.
ЦЕЛЬ: Идентифицировать сценарии риска структурированным образом для всех областей (таких как управление, проектирование, программное обеспечение, тестирование и операции), используя доступные источники информации, такие как:
- предыдущий анализ, извлеченные уроки и исторические данные;
- экспертные интервью и опытные данные;
- экстраполяция данных;
- симуляции, тестовые данные и модели,
- подробный анализ безопасности (см. ISO 14620-1) и анализ надежности;
- анализ всех структур и уровней распределения работы;
- сравнение целей и планов;
- анализ ресурсов;
- анализ поставщиков;
- анализ предлагаемых изменений;
- результаты испытаний;
- отчеты о несоответствии; и
- сроки рассмотрения.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Список сценариев риска.
8.2.4 Оценивают сценарии риска.
ЦЕЛЬ: Облегчить понимание и сравнение выявленных сценариев риска путем применения метода и схемы оценивания, определенных в политике в области менеджмента риска.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: оценка существенности для каждого сценария риска и общий обзор рисков.
8.2.5 Сценарии риска анализируют на предмет их приемлемости.
Примечание - В контексте менеджмента риска принятие может означать, что даже если риск не устранен, его существование и величина признаются и допускаются.
ЦЕЛЬ: определить приемлемые риски, которые не подлежат уменьшению, и неприемлемые риски, подлежащие снижению.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Перечни приемлемых и неприемлемых рисков.
8.2.6 Риски снижают в соответствии с политикой в области менеджмента риска.
ЦЕЛЬ: Снизить неприемлемые риски до приемлемого уровня, применяя методы, направленные на уменьшение вероятности или существенности сценариев риска, или уменьшение неопределенности в данных о рисках, применяя такие меры, как
- изменение требований или договора;
- изменение дизайна, базового уровня или структуры проекта;
- введение отказоустойчивости;
- приобретение дополнительных ресурсов или перераспределение ресурсов, и
- увеличение количества испытаний или исследований.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Перечень разрешенных рисков; перечень нерешенных рисков.
8.2.7 Определяют совокупный риск после учета действий по снижению риска.
ЦЕЛЬ: Получить представление о воздействии возможных действий по снижению риска.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Потенциальный остающийся совокупный риск после действий по снижению риска.
8.2.8 Варианты принятия разрешенных, приемлемых и совокупных рисков определяют там, где это необходимо, и представляют на соответствующий уровень управления, как определено в плане менеджмента риска, для принятия решений.
ЦЕЛЬ: Определение и реализация соответствующих вариантов разрешения рисков.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Варианты принятия рисков.
8.2.9 Нерешенные риски представляют на соответствующий уровень управления, как определено в плане менеджмента риска, для принятия решений.
ЦЕЛЬ: Выработка решений по нерешенным рискам на уровне управления, определенном в плане менеджмента риска.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Соответствующие записи принятия решений.
8.2.10 По рискам осуществляют мониторинг и информирование, результаты доводят до сведения.
ЦЕЛЬ: Обеспечить полный и систематический контроль за осуществлением деятельности по менеджменту риска.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Графики трендов риска, списки и записи рисков, файл менеджмента риска и система оповещения о рисках.
8.2.11 Остаточные риски в конце цикла менеджмента риска представляют на соответствующий уровень управления, как определено в плане менеджмента риска, для принятия.
ЦЕЛЬ: Официальное принятие остаточных рисков на соответствующем уровне управления.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Соответствующие записи принятия решений.
8.3 Требования к внедрению менеджмента риска
8.3.1 Менеджмент риска осуществляют на каждом уровне сети клиент-поставщик.
ЦЕЛЬ: Обеспечить согласованный менеджмент риска в сети клиент-поставщик.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Менеджмент риска осуществляют на всех уровнях сети клиент-поставщик.
8.3.2 Менеджмент риска осуществляют экономически эффективным образом, максимально используя существующую организацию проекта.
ЦЕЛЬ: Создать целостную структуру менеджмента риска, интегрированную в организацию проекта, с целью получения выгод, которые перевешивают затраты на внедрение менеджмента риска.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Организация проекта с поддержкой менеджмента риска, схемы и процедуры менеджмента риска.
8.3.3 Осуществляют мониторинг процесса менеджмента риска.
ЦЕЛЬ: Обеспечить наглядность процесса менеджмента риска в организации.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Информация о текущем процессе менеджмента риска.
8.3.4 Выполняют анализ усвоенных уроков по менеджменту риска.
ЦЕЛЬ: Постоянное совершенствование процесса менеджмента риска.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Поток обратной информации о положительном и отрицательном опыте, полученном входе реализации процесса менеджмента риска.
8.3.5 По ходу выполнения проекта применяют признанные улучшения процесса менеджмента риска.
Цель: Улучшить процесс менеджмента риска.
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ: Актуализированный за счет улучшений процесс менеджмента риска.
Приложение A
(справочное)
Пример паспорта риска и пример ранжированного реестра рисков
Паспорт риска (пример)
|
Ранжированный реестр рисков (пример)
|
Приложение B
(справочное)
План менеджмента риска (описание требуемых данных)
B.1 Цель и задачи
Цель плана менеджмента риска - сформировать один документ, включающий все элементы, необходимые для обеспечения того, чтобы внедрение менеджмента риска соответствовало проекту, организации и управлению, а также соответствовало требованиям клиента.
B.2 Ожидаемый ответ
B.2.1 Область применения и содержание
<1> Введение
Во введении должны быть описаны цель и задачи плана менеджмента риска.
<2> Применимые и справочные документы
План менеджмента риска должен содержать список применимых и справочных документов, используемых для поддержки создания документа.
<3> Организация
a) План менеджмента риска должен описывать организацию менеджмента риска проекта.
b) План менеджмента риска должен перечислять обязанности каждого из участников менеджмента риска.
<4> Политика в области менеджмента риска
a) План менеджмента риска должен содержать ссылку на применимую политику в области менеджмента риска.
<5> Документация по менеджменту риска и последующие меры
a) План менеджмента риска должен описывать структуру, правила и процедуры, используемые для документирования результатов менеджмента риска и последующих мер.
<6> Краткое описание проекта
a) План менеджмента риска должен содержать краткое описание проекта, включая подход к менеджменту проекта.
<7> Описание внедрения менеджмента риска
a) План менеджмента риска должен описывать, как осуществляется процесс менеджмента риска.
<8> Идентификация и оценивание рисков
a) План менеджмента риска должен описывать процесс идентификации и оценивания и процедуры для изучения элементов и областей критического риска, а также процессы для идентификации и документирования связанных рисков.
b) План менеджмента риска должен обобщать процесс анализа для каждой области риска, приводя к определению оценки совокупного риска.
c) План менеджмента риска должен включать определение конкретных метрик для оценивания риска.
d) План менеджмента риска может включать:
1) обзор и периметр процесса идентификации и оценивания,
2) источники информации,
3) информация, включаемая в отчетность, и ее форматы,
4) описание того, как документируется информация о рисках, и
5) методы и инструменты оценивания.
<9> Принятие решения и действие
a) План менеджмента риска должен описывать обработку риска, в которой информация об оценивании риска используется в качестве входных данных.
b) План менеджмента риска должен содержать критерии принятия риска помимо установленных в политике в области менеджмента риска и мер по митигации, которые можно использовать для определения и оценивания различных вариантов действий по риску.
c) План менеджмента риска должен определять инструменты (например, имя, версию и дату), которые могут помочь в реализации процесса принятия и исполнения решения по риску.
<10> Мониторинг рисков и коммуникация
a) План менеджмента риска должен описывать рабочий подход, который используется для отслеживания, мониторинга, обновления, повторения и информирования о состоянии различных идентифицированных рисков.
b) План менеджмента риска должен содержать критерии выбора рисков, о которых следует сообщать, определить, какие отчеты должны быть подготовлены, указать формат и определить ответственных за их подготовку и периодичность отчетности.
c) В этом пункте должны быть изложены рабочие процедуры эскалации, обеспечивающие достаточную систему оповещения и структурированный способ коммуникации.
Библиография
[1] ISO 14300-1 Space systems - Programme management - Part 1: Structuring of a project
[2] ISO 14620-1 Space systems - Safety requirements - Part 1: System safety
|
|
УДК 658.5.011 | ОКС 03.100.01 |
Ключевые слова: риск, менеджмент риска, космические системы, процесс менеджмента риска, инфраструктура менеджмента риска, анализ риска, идентификация риска, критерий риска, оценивание риска, опасность, последствие, обработка риска |