НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ Менеджмент риска РУКОВОДСТВО ПО ПРИМЕНЕНИЮ ПРИ ПРОЕКТИРОВАНИИ Risk management. Application guidelines in projects
ОКС 03.120.30 Дата введения 2006-02-01
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
Сведения о стандарте 1 ПОДГОТОВЛЕН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ОАО "НИЦ КД") на основе собственного аутентичного перевода стандарта, указанного в пункте 4 2 ВНЕСЕН Управлением развития, информационного обеспечения и аккредитации Федерального агентства по техническому регулированию и метрологии 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 6 сентября 2005 г. N 220-ст 4 Настоящий стандарт является модифицированным по отношению к международному стандарту МЭК 62198:2001 "Менеджмент риска при проектировании - Руководство по применению" (IEC 62198:2001 "Project risk management - Application guidelines") путем внесения технических отклонений, объяснение которых представлено во введении к настоящему стандарту.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (подраздел 3.5).
Изменения, введенные в настоящий стандарт по отношению к международному стандарту, обусловлены необходимостью наиболее полного достижения целей национальной стандартизации 5 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет
ВведениеВведение
Менеджмент риска - это системное применение политики, процедур и методов управления к задачам определения ситуации, идентификации, анализа, оценки, обработки, мониторинга риска и обмена информацией, относящейся к риску, для обеспечения снижения потерь и увеличения рентабельности. Настоящий стандарт посвящен применению менеджмента риска при проектировании.
Управление проектированием и соответствующие процессы описаны в ГОСТ Р ИСО 10006. Каждый проект включает в себя различные виды риска. Риск проекта может относиться как непосредственно к проекту, так и к продукту проекта. Некоторые факторы риска, воздействующие на проект, показаны на рисунке 1.
Рисунок 1 - Примеры факторов риска, воздействующих на проект
Настоящий стандарт устанавливает процесс менеджмента риска систематическим и непротиворечивым способом. Для получения максимальной выгоды действия в области менеджмента риска должны быть инициированы на наиболее ранней стадии проектирования и продолжены на всех последующих стадиях.
Стандарт предназначен для лиц, принимающих решения в области менеджмента проекта, менеджмента риска, менеджмента бизнеса.
Для применения настоящего стандарта требуется его адаптация к конкретному проекту, поэтому стандарт не может быть использован для целей сертификации в области менеджмента риска.
Настоящий стандарт не рассматривает вопросы безопасности. В этой сфере следует руководствоваться группой стандартов, относящихся к безопасности, или стандартами на продукцию, но не настоящим стандартом.
В отличие от применяемого международного стандарта в настоящий стандарт не включены ссылки на МЭК 60050(191):1990 "Международный электротехнический словарь. Глава 191. Надежность и качество обслуживания" и МЭК 60300-3-3:1996 "Управление общей надежностью. Часть 3-3. Руководство по применению. Стоимость жизненного цикла", которые нецелесообразно использовать в национальном стандарте из-за отсутствия принятых гармонизированных национальных стандартов. В соответствии с этим изменено содержание разделов 3 и 6.
1 Область применения1 Область применения
Настоящий стандарт применим для любого проекта технологического содержания. Он может также быть применен и к другим проектам.
Стандарт устанавливает общие положения менеджмента риска при проектировании, его подпроцессы и воздействующие факторы. Основными подпроцессами являются:
- определение ситуации, включая подтверждение целей проекта;
- идентификация риска;
- оценка риска, включая анализ и количественную оценку риска;
- обработка риска;
- исследование и мониторинг риска;
- обмен информацией по вопросам риска (включая консультации);
- обучение по проекту.
Настоящий стандарт распространяется на организационные требования процесса менеджмента риска на различных стадиях проектирования.
В некоторых ситуациях может быть нецелесообразно включать все положения настоящего стандарта в контракт. Соответственно требования настоящего стандарта следует рассматривать как формирующую часть контракта только по желанию сторон.
2 Нормативные ссылки2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться замененным (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
3 Термины и определения3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р ИСО 10006, а также следующие термины с соответствующими определениями: 3.1 продукция (product): Результат действий или процесса. Продукцией могут быть: услуги, технические средства, обработанные материалы, программное обеспечение или их комбинация. 3.2 проект (project): Уникальный процесс, состоящий из набора скоординированных и управляемых действий с указанием дат начала и окончания, предпринятых для достижения соответствия определенным требованиям, включая ограничения по времени, стоимости и ресурсам.
Примечание 1 - Конкретный проект может быть частью более крупного проекта.
Примечание 2 - В некоторых проектах по мере их развития совершенствуются цели проекта и характеристики продукции.
3.3 процесс (process): Набор находящихся во взаимосвязи ресурсов и действий, которые преобразовывают входы в выходы. 3.4 проектный риск (project risk): Сочетание вероятности появления опасного события и его последствий для целей проекта. 3.5 менеджмент риска (risk management): Систематическое приложение политики, процедур и методов управления к задачам определения ситуации, идентификации, анализа, оценки, обработки, мониторинга риска и обмена информацией по вопросам риска. 3.6 обработка риска (risk treatment): Процесс выбора и выполнения мероприятий для изменения риска.
Примечание 1 - Термин "обработка риска" иногда используют для измерений риска.
Примечание 2 - К мероприятиям по обработке риска могут относиться исключение, оптимизация, передача или сохранение риска.
4 Краткий обзор менеджмента риска при проектировании4 Краткий обзор менеджмента риска при проектировании
4.1 Роль менеджмента риска при проектировании4.1 Роль менеджмента риска при проектировании
Риск присущ каждому проекту, каждому процессу и каждому решению на всех стадиях жизни проекта. Поэтому риск должен быть управляем на каждой стадии проектирования, а процесс менеджмента риска должен быть интегрирован как в процесс менеджмента проекта, так и в процессы, связанные с продукцией. Для облегчения открытого обмена информацией и рентабельности управления риском необходимо структурирование процесса менеджмента риска.
Предпосылка эффективного менеджмента риска при проектировании - это честный и открытый обмен информацией по вопросам риска внутри и вне проекта.
4.2 Общая схема процесса4.2 Общая схема процесса
Процесс менеджмента риска при проектировании начинают с определения ситуации, в которой проект должен быть выполнен. Определение ситуации включает в себя идентификацию заинтересованных сторон, понимание целей и выходов проекта, определение области применения и границ действия менеджмента риска для проекта. Кроме того, должны быть определены связи и пересечения с любыми другими проектами, а также организационные и стратегические ограничения, относящиеся к проекту.
Следующий шаг в процессе менеджмента риска - идентификация риска. Это основная задача процесса менеджмента риска.
Каждый идентифицированный риск должен быть подвергнут последующим действиям менеджмента риска при проектировании, таким как оценка, обработка, анализ и мониторинг риска.
Процесс следует применять сначала на широком уровне для идентификации общих проблем риска, затем на более детальном уровне для изучения специфических видов риска и причин их возникновения. Необходимо осуществлять менеджмент риска на каждой стадии проектирования и анализировать риск проекта и риск, относящийся к проектируемому изделию.
Концепция менеджмента риска при проектировании проиллюстрирована на рисунке 2.
Рисунок 2 - Концепция менеджмента риска проекта
Рисунок 2 - Концепция менеджмента риска проекта 5 Организационные проблемы
5 Организационные проблемы 5.1 Ответственность руководства5.1 Ответственность руководства
Руководитель проекта несет ответственность за решение задач менеджмента риска при проектировании как части общего управления проектированием. В зависимости от размера и сложности проекта задачи менеджмента риска могут быть выполнены руководителем проекта или делегированы другим специалистам. Задачи менеджмента риска следующие:
- определение ситуации для процесса менеджмента риска при проектировании;
- управление действиями по идентификации риска;
- управление действиями по анализу и оценке риска;
- инициализация и осуществление действий по обработке риска, пока уровень риска не станет приемлемым;
- поиск решения для противоречивых задач менеджмента риска;
- верификация выполнения решений и их эффективности;
- постоянный и своевременный обмен информацией по вопросам риска при выполнении проекта;
- обеспечение планами нештатных ситуаций;
- идентификация и регистрация любых проблем, касающихся менеджмента риска;
- мониторинг процесса менеджмента риска и осуществление корректирующих действий при необходимости;
- создание системы документации, обеспечивающей прослеживаемость.
Полномочия для менеджмента риска при проектировании и их связь с другими функциями должны быть определены и документированы.
5.2 Ресурсы5.2 Ресурсы
Руководитель проекта должен гарантировать пригодность ресурсов для менеджмента риска при проектировании, включая персонал. Проект должен учитывать стоимость менеджмента риска.
5.3 Обмен информацией5.3 Обмен информацией
5.3.1 Общие положения
Менеджмент риска использует пригодную информацию, полученную на различных стадиях жизни проекта. Необходимо установить и поддерживать обмен информацией между менеджментом риска и следующими сферами:
- качество и надежность;
- управление конфигурацией;
- коммерческие функции;
- проектирование и разработка;
- постпроектная поддержка, включая сопровождение продукции.
Для этих направлений обмена информацией должны быть определены полномочия и возможность быстрого реагирования, минимизирующие воздействие проекта на последствия появления опасных событий.
Эффективный внутренний и внешний обмен информацией позволяет обеспечить ответственным за осуществление менеджмента риска и заинтересованным сторонам понимание оснований принимаемых решений, соответствующих обязанностей и необходимости конкретных действий. 5.3.2 Обсуждение риска и отчет по проблемам риска
Отчет по проблемам риска (далее - отчет) используют как исходные данные процессов принятия решения и обеспечения конфиденциальности, которые необходимы для целей проекта. Все обсуждения проекта должны предусматривать возможность для дискуссии и решения вопросов, связанных с риском. Обсуждения могут быть формальными или неформальными, но все дискуссии и решения, касающиеся вопросов риска, должны быть зарегистрированы и зафиксированы в отчете.
Обсуждения по вопросам риска могут включать в себя:
- идентификацию и оценку риска;
- анализ перечня всех видов риска проекта;
- анализ статуса всех видов риска и действий, связанных с их обработкой;
- идентификацию и принятие любых изменений данных о риске, а также повторный анализ изменений;
- оценку эффективности процесса менеджмента риска;
- обсуждение отношений между партнерами по контракту.
Требования к отчету должны быть определены в плане менеджмента риска при проектировании.
5.4 Документация5.4 Документация
5.4.1 Цель
Документация облегчает выполнение процесса менеджмента риска и управление этим процессом, особенно при переходе от одних стадий проекта к другим.
Документация оказывает помощь при планировании, оценке и прослеживаемости. Должны быть документированы процесс менеджмента риска, все виды риска и их обработка. 5.4.2 План менеджмента риска при проектировании
План менеджмента риска при проектировании описывает структурированный процесс менеджмента риска, который следует применять при проектировании.
План менеджмента риска при проектировании как часть плана проекта может включать в себя (или включать ссылки на соответствующие документы):
- содержание и организацию проекта, в том числе цели менеджмента риска при проектировании;
- предложенную методологию менеджмента риска, его процессы и интерфейсы;
- формы перечней всех видов риска проекта;
- обязанности, полномочия;
- внутренние и внешние интерфейсы;
- программу обсуждения менеджмента риска;
- формы реестра всех видов риска проекта;
- анализ процессов;
- взаимосвязь с другой проектной документацией и планами;
- уместные организационные процедуры;
- планы менеджмента риска других источников (например, субподрядчиков).
План менеджмента риска при проектировании необходимо регулярно рассматривать и модифицировать в соответствии с требованиями. 5.4.3 Реестр проектного риска
Реестр проектного риска - способ регистрации изменений состояния всех видов риска проекта. Содержание реестра проектного риска, регулярно сообщаемое руководству проекта, является основанием для обсуждения всех видов риска и их обработки.
Реестр проектного риска должен быть разработан на стадии идентификации риска. Он может состоять из базы данных, которая включает в себя всю информацию, касающуюся идентифицированных видов риска. Реестр должен содержать, по крайней мере, список идентифицированных видов риска, их ранжирований и список специалистов, ответственных за их обработку. Должны быть назначены и зафиксированы идентификационные номера и источники используемых данных.
Планы обработки каждого риска должны быть документированы. Эти планы должны включать в себя требуемые действия, график их выполнения и указание ответственного специалиста.
6 Процессы менеджмента риска при проектировании6 Процессы менеджмента риска при проектировании
Примечание - Схема процесса менеджмента риска при проектировании приведена на рисунке А.1 (приложение А).
6.1 Определение ситуации6.1 Определение ситуации
Ситуация менеджмента риска, включая технические, общие, коммерческие, политические, финансовые, юридические, договорные и рыночные цели, которые могут ограничивать или изменять направление проекта, должна быть определена. Цели проекта, которые должны быть достигнуты при выполнении проекта, корпоративные требования и требования заказчика на всех стадиях разработки проекта должны быть идентифицированы и использованы при идентификации и ранжировании видов риска.
Должны быть рассмотрены критерии приемлемости и допустимости риска. Их используют для оценки риска на более поздних стадиях процесса.
6.2 Идентификация риска6.2 Идентификация риска
Цель идентификации риска состоит в том, чтобы найти, перечислить и охарактеризовать все виды риска, которые могут влиять на выполнение проекта в целом или на достижение целей отдельных стадий проекта.
Эффективность менеджмента риска полностью зависит от идентификации риска. Следовательно, идентификация каждого риска должна быть систематической. В большинстве случаев идентификация риска основана на прогнозировании и интерпретации ожидаемых проблемных ситуаций.
Имеется ряд методов идентификации риска:
- мозговой штурм;
- экспертные оценки;
- структурированные интервью;
- анкетные опросы;
- контрольные списки;
- исторические данные;
- предыдущий опыт;
- данные испытаний и моделирования;
- оценки из других проектов.
Все практические источники информации должны быть использованы при идентификации риска. Это могут быть требования спецификаций, структура пооперационного перечня работ и рабочие инструкции.
При идентификации каждого риска должны быть рассмотрены воздействия риска на все цели проекта. Цели обычно включают в себя стоимость, время и качество, а также другие цели, связанные с законодательством, регулирующими соглашениями, надежностью, ответственностью, безопасностью, здоровьем и состоянием окружающей среды.
Предположения, сделанные в начале разработки проекта, могут быть источником риска, и их приемлемость следует периодически проверять.
Идентификация риска может быть проведена на всех или некоторых стадиях разработки продукции. В таблице 1 показан пример некоторых источников риска, которые могут быть существенными на некоторых стадиях жизненного цикла проекта или продукции.
Таблица 1 - Пример источников риска на стадиях жизненного цикла продукции
Риск может быть унаследован от предыдущих стадий проектирования. В переходных стадиях проекта необходимо определить те виды риска, которые переходят в следующую стадию проекта.
В некоторых ситуациях полезно разработать контрольный список (или списки), охватывающий области риска, соответствующие проектированию и применению продукции.
6.3 Оценка риска6.3 Оценка риска
6.3.1 Общие положения
Цель оценки риска состоит в том, чтобы проанализировать и оценить идентифицированные виды риска и определить, требуется ли их обработка. 6.3.2 Анализ риска
В процессе анализа риска устанавливают пределы и эффективные границы риска, выявляют любые зависимости и определяют вероятность появления и воздействия на связанные цели неблагоприятных событий.
В процессе анализа риска может возникнуть необходимость повторения идентификации риска для более четкого выявления видов проектного риска.
Анализ риска может быть выполнен качественными или количественными методами. Предварительный качественный анализ может быть выполнен на ранних этапах проектирования, когда отсутствуют необходимые данные или их очень мало. Количественный анализ применяют, когда имеется большое количество необходимых данных.
Диаграммы, например такие, как показанная на рисунке 3, могут быть использованы для отображения риска. Такие диаграммы могут также быть представлены в матричном виде (рисунок 4).
Рисунок 3 - Диаграмма риска
Рисунок 4 - Матрица риска
При анализе риска могут быть применены следующие методы:
- анализ дерева неисправностей (см. ГОСТ Р 51901.13);
- анализ видов и последствий отказов (см. ГОСТ 27.310);
- анализ дерева событий, чувствительности, статистические методы и анализ Петри. 6.3.3 Оценивание риска
Оценивание риска заключается в сравнении уровня риска с приемлемыми критериями и установке начальных приоритетов для обработки риска. 6.3.4 Принятие риска
Риск может быть принят без обработки (или дальнейшей обработки). Этот риск должен быть включен в реестр проектного риска для проведения эффективного мониторинга. Непринятые виды риска обрабатывают.
6.4 Обработка риска6.4 Обработка риска
6.4.1 Цель
Цель обработки риска состоит в идентификации и осуществлении рентабельных действий, которые позволят сделать риск допустимым. Это процесс альтернативного выбора и представления идентифицированного риска. Он может включать в себя действия, направленные на:
- полное устранение риска;
- уменьшение вероятности появления опасного события;
- уменьшение последствий опасного события;
- перемещение или распределение риска;
- сохранение риска и разработку планов устранения последствий.
Обработка риска может самостоятельно генерировать новые виды риска, которые также следует рассматривать.
Рисунок 5 иллюстрирует процесс обработки риска.
Рисунок 5 - Процесс обработки риска
Рисунок 5 - Процесс обработки риска
6.4.2 Ответственность за обработку риска
Для обработки риска назначают специалиста, за которым закрепляют ответственность за эту обработку. Это может быть специалист с соответствующими полномочиями:
- ответственный за действия, от которых зависит возникновение риска;
- от действий которого зависит вероятность появления опасного события;
- наиболее подходящий для реагирования на появление опасного события и уменьшения его последствий. 6.4.3 Оценка вариантов обработки риска
Вариант обработки риска (или комбинацию вариантов) выбирают на основе анализа затрат на обработку или устранение риска вместе с потенциальными выгодами результатов от выполнения этих вариантов обработки. Необходимо учитывать, что риск одного вида зависит от риска другого вида и может появляться в различных вариантах обработки.
Для определения, является ли риск допустимым, рассматривают риск, оставшийся после выполнения его обработки (остаточный риск). Если суммарный риск является допустимым, рассматривают возможность дальнейшего выполнения обработки или отмены проекта.
Если риск является допустимым и принимается, то рассматривают стратегию восстановления в случае появления неблагоприятных событий. Если такая стратегия необходима, для ее детализации разрабатывают план восстановления. 6.4.4 Предотвращение риска
При обоснованной стоимости работ действия, направленные на предотвращение каждого вида риска, выполняют при проектировании. В противном случае рассматривают возможность отмены проекта. 6.4.5 Уменьшение вероятности
Уменьшение вероятности ведет к сокращению или устранению причин появления риска.
Иногда можно добиться уменьшения риска, объединяя его с риском одного или нескольких видов. Результирующий риск в этом случае имеет иную природу, чем исходный риск. Результирующий риск может быть более удобным для обработки. Однако сокращение риска одного вида может привести к появлению риска другого вида. 6.4.6 Ограничение последствий неблагоприятных событий
Последствия неблагоприятного события могут быть ограничены при проектировании, а также разработкой мероприятий по уменьшению неблагоприятных воздействий и устранению последствий при реализации неблагоприятного события.
Распределение по времени и очередности выполнения различных задач проекта может касаться риска и возможности управления риском. График разработки проекта должен предусматривать возможность изменений для улучшения менеджмента риска при достижении целей проекта. Важно гарантировать идентифицированность любых новых видов риска, которые могут появиться при изменении проектных действий. 6.4.7 Распределение риска
Риск, который остается после действий по его снижению, может быть передан или распределен между теми, кто его оплачивает, например субподрядчиками или страховыми компаниями.
Иногда возможна полная передача риска. Но когда риск передан или распределен, могут появиться новые виды риска.
Возможность распределения риска устанавливают с помощью ответов на следующие вопросы:
- Какая из сторон может лучше всего управлять причинами появления риска?
- Которая из сторон лучше всего управляет риском и последствиями опасного события?
- Является ли приемлемой соответствующая страховая премия?
- Если риск передан, появились ли новые виды риска? 6.4.8 Стратегия восстановления
План восстановления предполагает, что опасное событие реализовалось. Оно может быть предполагаемым или ожидаемым. В случае предполагаемого события ликвидировать его последствия легче, если стратегия восстановления была предварительно определена и установлена.
При финансировании стратегии восстановления следует учитывать:
- уровень риска, который остается после выполнения вариантов обработки риска;
- размер потенциальных последствий;
- невозможность обработки риска до появления опасного события;
- стоимость стратегии восстановления.
Необходимость стратегии восстановления может служить обоснованием для создания фонда нештатных ситуаций, который используют при реализации опасного события. Стратегию восстановления следует выполнять в случае реализации опасного события. Стратегия должна учитывать стоимость, график, эффективность необходимых действий и другие критерии.
6.5 Исследование и мониторинг риска6.5 Исследование и мониторинг риска
6.5.1 Исследование и мониторинг при проектировании
Первичная цель исследования и мониторинга риска состоит в том, чтобы идентифицировать любые новые виды риска и гарантировать сохранение эффективности обработки риска. Эффективность процесса менеджмента риска также следует рассматривать.
Исследования риска в течение жизненного цикла проекта гарантируют, что уместные документы, стандарты, процедуры и перечни постоянно модифицируют и поддерживают.
Мониторинг риска должен быть непрерывным на всех этапах проекта. Он должен включать в себя экспертизу бюджета проекта, системы проекта и других данных проекта. Основные действия по мониторингу риска могут быть проведены в ключевых точках проекта или при существенных изменениях проекта. 6.5.2 Постпроектные исследования
После завершения проекта исследования менеджмента риска выполняют с целью гарантировать эффективность процесса менеджмента риска и определить направления улучшения будущих проектов. Опыт многих ситуаций должен быть исследован для усовершенствования процедур процессов.
Приложение А (справочное). Схема процесса менеджмента риска при проектировании Приложение А
|